3
Opnsense "DNS Rebind attack"-Problematik für interne VMs
Hallo alle zusammen,
ich habe ein Problem Opnsense richtig zu konfigurieren.
Zu meiner Problematik:
In Opensense sind IP-Aliase eingerichet.
Auf diese IP-Aliase verwiesen öffentliche DNS-Einträge und der Traffic der IP-Aliase wird per NAT One-to-One an interne VMs weitergeleitet.
Rufe ich jetzt die Domains außerhalb des Opnsense-Netzwerk auf, funktioniert alles einwandfrei. Ich kann auf den Webseiten surfen und auch sonst alles benötigte machen.
Rufe ich jetzt aber die Domains (z.B. nextcloud.extern.net) innerhalb des Opnsense-Netzwerk auf, so leitet Opensense den Traffic um und sagt, es gibt ein DNS Rebind attack. Das sorgt dafür, das die Domain/Webseiten nicht genutzt werden können. Zu Testzwecke habe ich den Schutz vor DNS Rebind attack deaktiviert, das hilft leider nicht.
Könnte mir jemand sagen, wie ich dies Problem behebe.
Vielen Dank
jeschero
ich habe ein Problem Opnsense richtig zu konfigurieren.
Zu meiner Problematik:
In Opensense sind IP-Aliase eingerichet.
Auf diese IP-Aliase verwiesen öffentliche DNS-Einträge und der Traffic der IP-Aliase wird per NAT One-to-One an interne VMs weitergeleitet.
Rufe ich jetzt die Domains außerhalb des Opnsense-Netzwerk auf, funktioniert alles einwandfrei. Ich kann auf den Webseiten surfen und auch sonst alles benötigte machen.
Rufe ich jetzt aber die Domains (z.B. nextcloud.extern.net) innerhalb des Opnsense-Netzwerk auf, so leitet Opensense den Traffic um und sagt, es gibt ein DNS Rebind attack. Das sorgt dafür, das die Domain/Webseiten nicht genutzt werden können. Zu Testzwecke habe ich den Schutz vor DNS Rebind attack deaktiviert, das hilft leider nicht.
Könnte mir jemand sagen, wie ich dies Problem behebe.
Vielen Dank
jeschero
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 516499
Url: https://administrator.de/contentid/516499
Printed on: May 2, 2024 at 10:05 o'clock
3 Comments
Latest comment
Moin,
du könntest hairpin NAT nutzen.
Ansonsten ist deine WAN IP nicht von intern aufrufbar.
Ansonsten musst per SplitDNS die Adresse auf die Interne IP des Servers/Ressource auflösen lassen.
Ich würde hairpin NAT bevorzugen. Kann aber zu Problem führen wenn du die Funktion nicht auf dem Schirm hast.
Die Meldung wird überigens angezeigt da du von intern über die WAN Adresse auf die Webseite der Sense geleitet wirst. Dort greift das portforwarding nicht!
Gruß
Spirit
du könntest hairpin NAT nutzen.
Ansonsten ist deine WAN IP nicht von intern aufrufbar.
Ansonsten musst per SplitDNS die Adresse auf die Interne IP des Servers/Ressource auflösen lassen.
Ich würde hairpin NAT bevorzugen. Kann aber zu Problem führen wenn du die Funktion nicht auf dem Schirm hast.
Die Meldung wird überigens angezeigt da du von intern über die WAN Adresse auf die Webseite der Sense geleitet wirst. Dort greift das portforwarding nicht!
Gruß
Spirit
Erst versucht man es ewigkeit und es klappt nicht und bittet dann im Forum um Hilfe.
Kaum hat man den Beitrag im Forum geschrieben, findet man die Lösung ;).
Man muss unter "Firewall: Settings: Advanced" "Reflection for 1:1" erlauben und schon geht es.
Danke
Kaum hat man den Beitrag im Forum geschrieben, findet man die Lösung ;).
Man muss unter "Firewall: Settings: Advanced" "Reflection for 1:1" erlauben und schon geht es.
Danke
Geht auch. Schöner ist "NAT Reflection mode for port forwards = Pure NAT".
