Komme einfach nicht weiter -> DMZ [SOLVED]
-
Danke für den Tip Andreas,
an so was habe ich überhaupt nicht gedacht. Vorher mit der Fritz!Box hat da ja locker funktioniert. Ich habe bis jetzt auch noch nie mit einer Firewall gearbeitet, somit kenne ich das gar nicht.
Das klingt viel versprechend und ich werde es auf jeden Fall ausprobieren, was ich leider aber erst am Wochenende machen kann.Aber wie ist das denn jetzt, wenn ich mit meinem Laptop in meinem LAN bin und dann über IMAP meine emails abrufen will, das geht dann ja nicht mehr, oder wie?
Muss ich dann einen Servereintrag (in meinem Mailprogramm) haben einmal mit IP und einmal mit Domain?Grüsse
-
Muss ich dann einen Servereintrag (in meinem Mailprogramm) haben einmal mit IP und einmal mit Domain?
Geht auch einfacher mit Split-DNS. Ich habe im DNS Resolver (geht analog auch im Forwarder) der pfSense einfach einen Host Override gesetzt.
Host
imapDomain
domain.deIP
DMZ IP des ServersDann gehts von aussen und von innen problemlos.
Beim Zyxel Modem würde ich darauf achten, die neuste Firmware zu installieren. Ist schon ein paar Jahre her, aber es gab da mal Probleme mit IPSec bei nem Bekannten. Das lief nur sauber nach Firmware Update. Auch wenn ich nie kapiert habe, wie das sein konnte bei Bridge Betrieb. :)
-
Moin athurdent,
danke für deinen Tip, aber leider verstehe ich nur Bahnhof. :-[
Was ist das und wie funktioniert es?Grüße
-
:)
Also, geh mal in der pfSense auf Services -> DNS Resolver. Dort findest Du den Punkt Host Overrides. Nehmen wir an, Dein IMAP Server heisst imap.kalle13.de und hat in der DMZ die IP 192.168.2.10. Dann trägst Du das dort entsprechend ein:
Host: imap
Domain: kalle13.de
IP: 192.168.2.10Damit löst der Name dann bei Dir im LAN korrekt auf und Dein Mailprogramm braucht keine Änderung.
-
Oh, ok.
Wenn das so einfach ist.
Danke! :D
Das werde ich auch mit auf meine To-Do Liste nehmen.Grüße
-
Kann ich auch den Hostnamen weglassen?
Im Mailprogramm habe ich ja nur meine Domain und den Port angegeben. Meine Domain habe ich nur für meinen Mailserver.Grüße
-
Moin,
nee, den Hostnamen musst Du schon angeben, das gibt doch an welcher Rechner kontaktiert wird.
Trag es einfach mal ein: Hostname.Domain.TLDWelches Mailprogramm?
-teddy
-
@magicteddy: Wieso? Es ist kein Problem, einen A Record auf eine Domain zu setzen. Nur CNAMEs sind eine schlechte Idee, aber das ist eine andere Geschichte. ;)
@Kalle13: Also, ja Du kannst den Hostnamen weglassen und nur Domain und IP beim Host Override eintragen.
-
Stümmt, hatte nur von der Tapete bis zur Wand gedacht …
-teddy
-
Gut, werde ich so machen.
Ich bin gespannt. ;DGrüße
-
;D Moin ;D
Es hat geklappt!
Der Tip von andreas_at_work und athurdent war genau der richtige. Danke!
Es lag an der NAT Reflection, denn ich hatte nie von aussen getestet. Nun kann ich vollständig vom Internetz auf meinen Server zugreifen!
Leider geht das aber nur teilweise vom LAN aus, wenn ich über meine Domain gehe. Mails abrufen geht, aber kein ssh.
-> ssh Benutzer@domain -p49999
Dazu muss ich sagen, dass nicht über den Standart SSH-Port (22) gehe sondern über 49999. Das heisst im NAT mache ich dann aus 49999 wieder 22.
Der Server und die NAT Regel funktioniert! Das habe ich schon von aussen getestet. :-\Gerade habe ich auch noch entdeckt, dass ich vom Server aus keine Updates (Debian) machen kann. Ich habe als NAT Regel Port 80(HTTP) TCP und Port 53(DNS) TCP/UDP freigeschaltet. Trotzdem geht es nicht. :-
Wget geht auch nicht. -> wget http://128.101.240.212
Ping geht auch nicht. -> ping www.google.de oder ping 8.8.8.8Grüße
-
Für SSH müsstest Du entweder aus dem LAN in Richtung DMZ eine NAT Regel schreiben, die Dir die Ports umbiegt (also Anfragen aus dem LAN an Port 49999 wieder auf 22 umschreiben), oder Du lässt das SSH einfach auf der Linux Box auf 49999 laufen und sparst Dir bei WAN und LAN das Portverbiegen.
Für den Traffic aus der DMZ Richtung WAN fehlt vielleicht eine Firewallregel? Und ICMP für Ping hast Du auch nicht genatted, das würde eh nicht gehen. Der Einfachheit halber natte ich wo möglich auch immer ohne Ports/Protokolle und schreibe dann restriktive Firewallregeln, die durch dürfen. Macht die Sache unkomplizierter, ist aber nur meine Meinung ;)
Wenns nicht klappt, zeig vielleicht mal Deine Nat und Firewallregeln… -
Moin athurdent,
ssh wollte ich eigentlich so wie immer beibehalten, d.h. von aussen (über meine domain) auf den Server zugreifen. Darüber den Port in der sshd_config zu ändern habe ich auch schon nachgedacht; das werde ich wohl auch so machen.
Für den Traffic aus der DMZ Richtung WAN fehlt vielleicht eine Firewallregel?
Ich habe NAT Regeln (Portfreigabe) für`s WAN erstellt die auf den Server zeigen (automatisch natürlich die passenden Firewall Regeln).
Ist das also so nicht richtig und ich muss, wie du sagst, eine Firewallregel für die DMZ erstellen?
das werde ich dann natürlich ausprobieren.
So richtig habe ich das ganze wohl noch nicht verstanden mit den Firewallregeln und so. :P :-\Der Einfachheit halber natte ich wo möglich auch immer ohne Ports/Protokolle und schreibe dann restriktive Firewallregeln, die durch dürfen.
Das verstehe ich nicht. :-[ Was meinst du damit genau?
Leider bin ich die nächsten 1,5 Wochen nicht zu Hause und kann es deshalb nicht testen. :(
Wenn ich aber zu Hause bin und es so nicht klappt, poste ich gerne meine Regeln.Danke und Grüße
-
Moin,
@athurdent - Das mit dem ssh Problem habe ich hingekriegt. :D
Aber jetzt es ist wieder so weit, ich schmeiss gleich alles hin. Ich kriege keine Verbindung nach aussen von meinem RPI1Tor (ein weiterer PI Server der per Switch jetzt auch in der DMZ hängt) weder per
ping 8.8.8.8
noch per```
apt-get updateVon aussen kann ich ihn per ssh erreichen, das ist aber auch alles. Hier meine Screenshots für meine DMZ Regeln. Ich verstehe einfach noch nicht wie die Regeln richtig funktionieren. >:( Grüße ![Bildschirmfoto vom 2016-03-11 01:28:04.png](/public/_imported_attachments_/1/Bildschirmfoto vom 2016-03-11 01:28:04.png) ![Bildschirmfoto vom 2016-03-11 01:28:04.png_thumb](/public/_imported_attachments_/1/Bildschirmfoto vom 2016-03-11 01:28:04.png_thumb) ![Bildschirmfoto vom 2016-03-11 01:30:29.png](/public/_imported_attachments_/1/Bildschirmfoto vom 2016-03-11 01:30:29.png) ![Bildschirmfoto vom 2016-03-11 01:30:29.png_thumb](/public/_imported_attachments_/1/Bildschirmfoto vom 2016-03-11 01:30:29.png_thumb) ![Bildschirmfoto vom 2016-03-11 01:32:03.png](/public/_imported_attachments_/1/Bildschirmfoto vom 2016-03-11 01:32:03.png) ![Bildschirmfoto vom 2016-03-11 01:32:03.png_thumb](/public/_imported_attachments_/1/Bildschirmfoto vom 2016-03-11 01:32:03.png_thumb)
-
Überprüfe, ob das Outbound NAT für die DMZ oder für diesen Server korrekt arbeitet.
Übrigens, in deinen DMZ-Firewall-Regeln sehe ich, abgesehen von der ersten, keinen Sinn. Als Destination DMZ net, wo ja DMZ net eigentlich Source ist?? ???
-
Danke für deine Antwort! ;D
Langsam kriege ich den Dreh raus mit den Regeln. Ich musste einfach eine Nacht drüber schlafen. ;D
Meine Konfig ist nun so, dass ich zwei Raspberries per Switch in der DMZ habe.
Ich will, dass ich bei beiden Updates machen kann (apt-get update).
Bei einem (RPI2Mail) funktioniert es nun, nur bei dem anderen (RPI1Tor) nicht.
Laut meinen neuen Regeln müsste es aber doch generell für beide aus der DMZ funktionieren, oder nicht? :o
-> Bild 1
Ich habe ein "Packet Capture" gemacht und festgestellt, dass die Anfrage vom RPI1Tor gar nicht ins WAN geht, sondern an eine komische
Adresse 192.168.43.1. Diesen Adressbereich habe ich gar nicht definiert und kann auch nichts mit anfangen.
-> Bild 2Komisch.
Danke und Grüße
![Bildschirmfoto vom 2016-03-11 11:53:48.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 11:53:48.png)
![Bildschirmfoto vom 2016-03-11 11:53:48.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 11:53:48.png_thumb)
![Bildschirmfoto vom 2016-03-11 11:53:36.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 11:53:36.png)
![Bildschirmfoto vom 2016-03-11 11:53:36.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 11:53:36.png_thumb) -
Das was da an 192.168.43.1 geht, ist eine DNS-Abfrage. Vermutlich ist diese IP als DNS konfiguriert (ev. im DHCP).
Die DMZ Regeln 2 - 4 bewirken nun nur, dass auch ins LAN erlaubt sind. Ich weiß nicht, ob das so deine Absicht ist.
-
Genau. Die DNS Abfrage funktioniert aber bei dem anderen PI richtig, denn da steht dann 192.168.178.1.
Wieso ins LAN? "Destination" ist doch any.
Grüsse
-
Dann überprüfe mal die Netzwerkkonfiguration am RPI1Tor.
Die Firewall-Regeln werden von oben nach unten durchgearbeitet. Treffen die Bedingungen einer zu, wird diese angewandt und die Prüfung beendet, also nachfolgende Regeln werden ignoriert.
Deine 1. DMZ-Regel erlaubt jeden IPv4 Zugriff auf alle Ports und alle Adressen außer aufs LAN. Damit wirken sich nachfolgende Regeln nur noch aufs LAN aus.Grüße
-
Ah, ich verstehe dich. Das heisst also auch, dass ich die Regeln 2-4 gar nicht brauche!?
Somit habe ich einfach unbewusst einen Workaround gemacht, der aber gleichzeit meine erste Regel aushebelt.
Denn die 192.168.178.1 ist der gateway von meinem LAN und der macht DNS.
Ich habe in meiner DMZ alles statisch konfiguriert, d.h. mir fehlt wohl der DNS, weil ich aus der DMZ nix großartig machen kann.
Wie verpasse ich der DMZ einen DNS?Grüße