6
OPNSense - Zugriff auf Webserver aus Gast Netzwerk
Hallo und Guten Tag!
Ich habe hier ein kleines Problem mit einer OPNsense, einem Webserver in einem Lan Netzwerk und einem Gast Netzwerk.
Der Aufbau:
Die OPNsense baut an WAN über pppoe eine Internetverbindung auf und bekommt eine feste Öffentliche IP-Adresse
Auf dem LAN NIC ist das normale Lan Netzwerk zu finden mit meinen Clients und einem Webserver.
Auf dem DMZ NIC habe ich einen Access Point mit einem Gäste WLAN laufen.
In der Firewall habe ich die Regeln für eine Portweiterleitung (Port 443) sowie Port Reflexion an, damit die Clients im Lan über den FQDN mit der Öffentlichen IP auf den Webserver zugreifen können.
Für die DMZ habe ich die Regeln das die Clients nur ins Internet können und in keine privaten Netze reinkommen.
Nun habe ich das Problem, das ich aber auch möchte, dass die Clients in dem Gast Netzwerk auch auf diesen Webserver zugreifen können.
Dies funktioniert momentan aber nicht.
Wenn ich im Gast Netzwerk die Seite über den FQDN aufrufe, wird dieser ordentlich auf die Öffentliche IP aufgelöst und dann bekomme ich bei dem Client "Connection refused" im Browser angezeigt.
Mein Schritt war dann, eine Regel anzulegen das alle Verbindungen über HTTPS auf den Webserver aus dem Gast Netzwerk zugelassen werden sollen, der Rest aber weiterhin abgelehnt werden soll.
In den Logs funktioniert das Ganze auch soweit und mit Wireshark kann ich auch sehen das von einem Client aus dem Gastnetzwerk Pakete ankommen aber die Fehlermeldung im Browser bleibt die gleiche und es funktioniert nichts.
Nun bin ich nach längerem probieren und suchen im Internet immer noch auf keine Lösung gestoßen und hoffe das jemand von euch vielleicht noch einen Lösungsansatz hat, den ich probieren kann.
Vielen Dank schonmal!
Ich habe hier ein kleines Problem mit einer OPNsense, einem Webserver in einem Lan Netzwerk und einem Gast Netzwerk.
Der Aufbau:
Die OPNsense baut an WAN über pppoe eine Internetverbindung auf und bekommt eine feste Öffentliche IP-Adresse
Auf dem LAN NIC ist das normale Lan Netzwerk zu finden mit meinen Clients und einem Webserver.
Auf dem DMZ NIC habe ich einen Access Point mit einem Gäste WLAN laufen.
In der Firewall habe ich die Regeln für eine Portweiterleitung (Port 443) sowie Port Reflexion an, damit die Clients im Lan über den FQDN mit der Öffentlichen IP auf den Webserver zugreifen können.
Für die DMZ habe ich die Regeln das die Clients nur ins Internet können und in keine privaten Netze reinkommen.
Nun habe ich das Problem, das ich aber auch möchte, dass die Clients in dem Gast Netzwerk auch auf diesen Webserver zugreifen können.
Dies funktioniert momentan aber nicht.
Wenn ich im Gast Netzwerk die Seite über den FQDN aufrufe, wird dieser ordentlich auf die Öffentliche IP aufgelöst und dann bekomme ich bei dem Client "Connection refused" im Browser angezeigt.
Mein Schritt war dann, eine Regel anzulegen das alle Verbindungen über HTTPS auf den Webserver aus dem Gast Netzwerk zugelassen werden sollen, der Rest aber weiterhin abgelehnt werden soll.
In den Logs funktioniert das Ganze auch soweit und mit Wireshark kann ich auch sehen das von einem Client aus dem Gastnetzwerk Pakete ankommen aber die Fehlermeldung im Browser bleibt die gleiche und es funktioniert nichts.
Nun bin ich nach längerem probieren und suchen im Internet immer noch auf keine Lösung gestoßen und hoffe das jemand von euch vielleicht noch einen Lösungsansatz hat, den ich probieren kann.
Vielen Dank schonmal!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 53202405550
Url: https://administrator.de/contentid/53202405550
Printed on: July 27, 2024 at 11:07 o'clock
6 Comments
Latest comment
Tippfehler, entschuldige, es sollte der Client sein und nicht Router, danke für die Info 
Moin,
für welche Regeln hast du denn NAT-Reflection aktiv? Oder hast du die Konfig global gesetzt?
Das muss auf der Out-going rule fürs Gast Netz aktiv sein.
Alternativ kannst du dein FQDN Eintrag auch per Split-DNS auf die interne Adresse auflösen und dahin eine Freigabe erstellen.
Gruß
Spirit
für welche Regeln hast du denn NAT-Reflection aktiv? Oder hast du die Konfig global gesetzt?
Das muss auf der Out-going rule fürs Gast Netz aktiv sein.
Alternativ kannst du dein FQDN Eintrag auch per Split-DNS auf die interne Adresse auflösen und dahin eine Freigabe erstellen.
Gruß
Spirit
NAT-Reflection habe ich global an da sonst beim Aufrufen der Webseite des Webservers im LAN über den FQDN die Firewall meckert wegen DNS Rebind Attack, also für die Portweiterleitungsregel.
Mit dem DNS habe ich das auch schon probiert, aber das Problem ist das ich, egal ob über Öffentliche oder Private IP vom Server dasselbe Problem habe und die Website nicht lädt auch wenn die Pakete dort landen.
Die Firewall am Webserver (Ist ein Windows Server auf dem Node.js läuft) habe ich testweise ganz aus gestellt aber das hat auch nichts gebracht.
Mit dem DNS habe ich das auch schon probiert, aber das Problem ist das ich, egal ob über Öffentliche oder Private IP vom Server dasselbe Problem habe und die Website nicht lädt auch wenn die Pakete dort landen.
Die Firewall am Webserver (Ist ein Windows Server auf dem Node.js läuft) habe ich testweise ganz aus gestellt aber das hat auch nichts gebracht.
Sorry Bullshit, NAT-Reflection muss nur an der Port-Forwarding Rule aktiv sein.
Aber wenn beim LAN schon klappt, liegt das Problem wo anders.
Aber wenn beim LAN schon klappt, liegt das Problem wo anders.
Danke für den Tipp, ich stell das dann mal um das das nur in der Regeln an ist und nicht Global.
Die Vermutung, das es nicht an der Firewall liegt hab ich langsam auch aber ich werde echt nicht schlau aus dem Problem.
Die Vermutung, das es nicht an der Firewall liegt hab ich langsam auch aber ich werde echt nicht schlau aus dem Problem.