5
Regel für ausgehende Verbindung, deren Ziel wieder im LAN liegt
Guten Morgen Com!
Ich stehe gerade mit einem opnSense Problem völlig auf dem Schlauch... eigentlich sollte das ganz einfach sein, aber ich kann nicht denken...
Wenn ich im lokalen Netzwerk einen Mail-Server habe, der über eine öffentliche Domäne erreichbar ist - also z. B. mail.domain.de - dann kann ich ja ganz einfach eine Portregel erstellen, die den Traffic von außen rein lässt.
Wenn ich aber von einem Client im LAN auch auf diesen öffentlichen Namen zugreifen möchte, dann erzeuge ich ja genau das, was eine Firewall zu verhindern versucht... eine Verbindung die raus geht und direkt wieder ein will. Trotzdem möchte ich genau diese Einrichtung haben, damit ich nicht mehrere Outlook-Profile auf Notebooks brauche, die sowohl im Haus, als auch unterwegs benutzt werden.
Was für eine Regel muss ich auf der opnSense erzeugen, damit diese Verbindung zugelassen wird? Brauche ich eine Regel auf beiden Interfaces? LAN und WAN? Wie gesagt, ich bin gerade völlig behämmert. Ich brauche einen Schubs.
Vielen Dank.
Fugu
Ich stehe gerade mit einem opnSense Problem völlig auf dem Schlauch... eigentlich sollte das ganz einfach sein, aber ich kann nicht denken...
Wenn ich im lokalen Netzwerk einen Mail-Server habe, der über eine öffentliche Domäne erreichbar ist - also z. B. mail.domain.de - dann kann ich ja ganz einfach eine Portregel erstellen, die den Traffic von außen rein lässt.
Wenn ich aber von einem Client im LAN auch auf diesen öffentlichen Namen zugreifen möchte, dann erzeuge ich ja genau das, was eine Firewall zu verhindern versucht... eine Verbindung die raus geht und direkt wieder ein will. Trotzdem möchte ich genau diese Einrichtung haben, damit ich nicht mehrere Outlook-Profile auf Notebooks brauche, die sowohl im Haus, als auch unterwegs benutzt werden.
Was für eine Regel muss ich auf der opnSense erzeugen, damit diese Verbindung zugelassen wird? Brauche ich eine Regel auf beiden Interfaces? LAN und WAN? Wie gesagt, ich bin gerade völlig behämmert. Ich brauche einen Schubs.
Vielen Dank.
Fugu
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1977478942
Url: https://administrator.de/contentid/1977478942
Printed on: April 24, 2024 at 00:04 o'clock
5 Comments
Latest comment
Das Zauberwort heisst NAT Reflection und findest du in den Advanced Settings und hat nichts mit einem Regelwerk zu tun. Intern passiert ohne ein NAT Hairpinning was du über die Reflection Setups deaktivieren kannst.
1
Morschen.
Würde hier nicht ein interner DNS Override Eintrag reichen?
Dann müssten Anfragen von innen ja nicht erst nach draußen und man müsste an den Clients nichts weiter tun.
Ein Hostname für den Mailserver, welcher intern, wie extern verfügbar ist.
Gruß
Marc
Würde hier nicht ein interner DNS Override Eintrag reichen?
Dann müssten Anfragen von innen ja nicht erst nach draußen und man müsste an den Clients nichts weiter tun.
Ein Hostname für den Mailserver, welcher intern, wie extern verfügbar ist.
Gruß
Marc
Schau mal zum Thema Split-DNS.
WAN
mail.firma.de = 1.2.3.4 (öffentlich)
LAN
mail.firma.de = 192.168.5.10 (intern)
WAN
mail.firma.de = 1.2.3.4 (öffentlich)
LAN
mail.firma.de = 192.168.5.10 (intern)
2
Vielen Dank für den Tip. DNS löst das Problem natürlich. Ich mag einfache Lösungen 
)
Thx Fugu
)Thx Fugu
Zitat von @fugu:
Vielen Dank für den Tip. DNS löst das Problem natürlich. Ich mag einfache Lösungen)
Thx Fugu
Vielen Dank für den Tip. DNS löst das Problem natürlich. Ich mag einfache Lösungen
)Thx Fugu
Kurz zum Nachteil von Split-DNS.
Meist kann man das am DNS-Server nur Domänenweise und nicht Hostweise.
Danach kann man also auch auf www.firma.de und ftp.firma.de nicht mehr zugreifen und muss auch diese eintragen und aktuell halten.
Stefan
