khavatari
Goto Top

OPNSense - Zugriff auf Webserver aus Gast Netzwerk

Hallo und Guten Tag!

Ich habe hier ein kleines Problem mit einer OPNsense, einem Webserver in einem Lan Netzwerk und einem Gast Netzwerk.

Der Aufbau:
Die OPNsense baut an WAN über pppoe eine Internetverbindung auf und bekommt eine feste Öffentliche IP-Adresse
Auf dem LAN NIC ist das normale Lan Netzwerk zu finden mit meinen Clients und einem Webserver.
Auf dem DMZ NIC habe ich einen Access Point mit einem Gäste WLAN laufen.

In der Firewall habe ich die Regeln für eine Portweiterleitung (Port 443) sowie Port Reflexion an, damit die Clients im Lan über den FQDN mit der Öffentlichen IP auf den Webserver zugreifen können.

Für die DMZ habe ich die Regeln das die Clients nur ins Internet können und in keine privaten Netze reinkommen.

Nun habe ich das Problem, das ich aber auch möchte, dass die Clients in dem Gast Netzwerk auch auf diesen Webserver zugreifen können.
Dies funktioniert momentan aber nicht.
Wenn ich im Gast Netzwerk die Seite über den FQDN aufrufe, wird dieser ordentlich auf die Öffentliche IP aufgelöst und dann bekomme ich bei dem Client "Connection refused" im Browser angezeigt.
Mein Schritt war dann, eine Regel anzulegen das alle Verbindungen über HTTPS auf den Webserver aus dem Gast Netzwerk zugelassen werden sollen, der Rest aber weiterhin abgelehnt werden soll.
In den Logs funktioniert das Ganze auch soweit und mit Wireshark kann ich auch sehen das von einem Client aus dem Gastnetzwerk Pakete ankommen aber die Fehlermeldung im Browser bleibt die gleiche und es funktioniert nichts.

Nun bin ich nach längerem probieren und suchen im Internet immer noch auf keine Lösung gestoßen und hoffe das jemand von euch vielleicht noch einen Lösungsansatz hat, den ich probieren kann.

Vielen Dank schonmal!

Content-Key: 53202405550

Url: https://administrator.de/contentid/53202405550

Printed on: July 26, 2024 at 23:07 o'clock

Member: aqui
aqui Oct 19, 2023 updated at 12:40:46 (UTC)
Goto Top
dann bekomme ich im Router nur noch "Connection refused"
In welchem Router? 🤔
Member: Khavatari
Khavatari Oct 19, 2023 at 12:27:44 (UTC)
Goto Top
Tippfehler, entschuldige, es sollte der Client sein und nicht Router, danke für die Info face-smile
Member: Spirit-of-Eli
Spirit-of-Eli Oct 19, 2023 updated at 12:55:08 (UTC)
Goto Top
Moin,

für welche Regeln hast du denn NAT-Reflection aktiv? Oder hast du die Konfig global gesetzt?
Das muss auf der Out-going rule fürs Gast Netz aktiv sein.

Alternativ kannst du dein FQDN Eintrag auch per Split-DNS auf die interne Adresse auflösen und dahin eine Freigabe erstellen.

Gruß
Spirit
Member: Khavatari
Khavatari Oct 19, 2023 updated at 13:01:21 (UTC)
Goto Top
NAT-Reflection habe ich global an da sonst beim Aufrufen der Webseite des Webservers im LAN über den FQDN die Firewall meckert wegen DNS Rebind Attack, also für die Portweiterleitungsregel.
Mit dem DNS habe ich das auch schon probiert, aber das Problem ist das ich, egal ob über Öffentliche oder Private IP vom Server dasselbe Problem habe und die Website nicht lädt auch wenn die Pakete dort landen.
Die Firewall am Webserver (Ist ein Windows Server auf dem Node.js läuft) habe ich testweise ganz aus gestellt aber das hat auch nichts gebracht.
Member: Spirit-of-Eli
Spirit-of-Eli Oct 19, 2023 at 13:17:45 (UTC)
Goto Top
Sorry Bullshit, NAT-Reflection muss nur an der Port-Forwarding Rule aktiv sein.
Aber wenn beim LAN schon klappt, liegt das Problem wo anders.
Member: Khavatari
Khavatari Oct 19, 2023 at 13:30:58 (UTC)
Goto Top
Danke für den Tipp, ich stell das dann mal um das das nur in der Regeln an ist und nicht Global.
Die Vermutung, das es nicht an der Firewall liegt hab ich langsam auch aber ich werde echt nicht schlau aus dem Problem.