jeschero
Goto Top

Opnsense "DNS Rebind attack"-Problematik für interne VMs

Hallo alle zusammen,

ich habe ein Problem Opnsense richtig zu konfigurieren.

Zu meiner Problematik:
In Opensense sind IP-Aliase eingerichet.
Auf diese IP-Aliase verwiesen öffentliche DNS-Einträge und der Traffic der IP-Aliase wird per NAT One-to-One an interne VMs weitergeleitet.
Rufe ich jetzt die Domains außerhalb des Opnsense-Netzwerk auf, funktioniert alles einwandfrei. Ich kann auf den Webseiten surfen und auch sonst alles benötigte machen.

Rufe ich jetzt aber die Domains (z.B. nextcloud.extern.net) innerhalb des Opnsense-Netzwerk auf, so leitet Opensense den Traffic um und sagt, es gibt ein DNS Rebind attack. Das sorgt dafür, das die Domain/Webseiten nicht genutzt werden können. Zu Testzwecke habe ich den Schutz vor DNS Rebind attack deaktiviert, das hilft leider nicht.

Könnte mir jemand sagen, wie ich dies Problem behebe.

Vielen Dank
jeschero

Content-ID: 516499

Url: https://administrator.de/forum/opnsense-dns-rebind-attack-problematik-fuer-interne-vms-516499.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

Spirit-of-Eli
Lösung Spirit-of-Eli 17.11.2019 aktualisiert um 15:37:39 Uhr
Goto Top
Moin,

du könntest hairpin NAT nutzen.
Ansonsten ist deine WAN IP nicht von intern aufrufbar.

Ansonsten musst per SplitDNS die Adresse auf die Interne IP des Servers/Ressource auflösen lassen.

Ich würde hairpin NAT bevorzugen. Kann aber zu Problem führen wenn du die Funktion nicht auf dem Schirm hast.

Die Meldung wird überigens angezeigt da du von intern über die WAN Adresse auf die Webseite der Sense geleitet wirst. Dort greift das portforwarding nicht!


Gruß
Spirit
jeschero
jeschero 17.11.2019 um 15:39:29 Uhr
Goto Top
Erst versucht man es ewigkeit und es klappt nicht und bittet dann im Forum um Hilfe.
Kaum hat man den Beitrag im Forum geschrieben, findet man die Lösung ;).

Man muss unter "Firewall: Settings: Advanced" "Reflection for 1:1" erlauben und schon geht es.

Danke
Spirit-of-Eli
Spirit-of-Eli 17.11.2019 um 16:13:48 Uhr
Goto Top
Geht auch. Schöner ist "NAT Reflection mode for port forwards = Pure NAT".