Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Rechnerfreigabe per Hostname

    Scheduled Pinned Locked Moved Deutsch
    13 Posts 4 Posters 906 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Bob.DigB
      Bob.Dig LAYER 8 @OKuenstler
      last edited by Bob.Dig

      @OKuenstler said in Rechnerfreigabe per Hostname:

      Nicht in allen dieser Netze kann ich statische IPs einrichten.

      Aber Namen gehen? Versteh ich nicht.

      1 Reply Last reply Reply Quote 0
      • O
        OKuenstler
        last edited by

        Was verstehst Du nicht? Wie die Firewall arbeitet oder warum ich keine statischen IPs festlegen kann?

        Zugriffe auf die Firewall sind weltweit. Wenn ein Rechner per Hostname in einem Alias freigeschaltet wird,
        dann ist es egal mit welcher IP er kommt. Er wird dann durchgelassen. Wie geschrieben, vor ein paar Versionen lief das alles Fehlerfrei.

        Gruß

        Olli

        Bob.DigB 1 Reply Last reply Reply Quote 0
        • Bob.DigB
          Bob.Dig LAYER 8 @OKuenstler
          last edited by Bob.Dig

          @OKuenstler Wenn die IP beliebig sein kann, wie soll die Firewall den Namen auflösen, wenn sie dessen IP nicht kennt? Nutze pfSense erst seit kurzem und wenn Du mir einen erklärenden-Link posten würdest, könnte ich es vielleicht selbst nachvollziehen.

          1 Reply Last reply Reply Quote 0
          • O
            OKuenstler
            last edited by

            Das macht der DNS Dienst. Alle Rechner und auch die Firewall selber sind am selben DNS Server angemeldet. Wenn ein Rechner an der Firewall aufschlägt, dann natürlich mit seiner IP Adresse. Jetzt schaut die Firewall ihre Regeln durch und fragt zu jedem freigegeben Host Namen die aktuelle IP ab. Ist die gleich mit der ankommenden IP, dann kommt der Rechner durch.

            Bob.DigB V 2 Replies Last reply Reply Quote 0
            • Bob.DigB
              Bob.Dig LAYER 8 @OKuenstler
              last edited by

              @OKuenstler Das wusste ich. Wenn sich jetzt die IP geändert hat zum alten Stand, wie soll das noch funktionieren?

              1 Reply Last reply Reply Quote 0
              • V
                viragomann @OKuenstler
                last edited by

                @OKuenstler
                Hi,

                kannst du definitiv sagen, dass der Alias das Problem ist? Wenn du eine IP in die Regel einträgst klappt es?

                Standardmäßig werden die Hostnamen in den Aliases alle 5 Minuten neu aufgelöst. Sollte also keinen Neustart erfordern. Das Intervall kannst du auch selbst festlegen:
                System > Advanced > Firewall & NAT > Aliases Hostnames Resolve Interval

                Verwendest du den Alias in einer NAT-Regel? Damit gibt es, soweit ich mich erinnere, schlechte Erfahrung. Ich würde daher ein "offene" NAT-Regel erstellen und den Alias nur in der FW-Regel einsetzen, die den Zugriff erlaubt.

                Grüße

                Bob.DigB 1 Reply Last reply Reply Quote 0
                • Bob.DigB
                  Bob.Dig LAYER 8 @viragomann
                  last edited by

                  @viragomann Wobei ich damit bis jetzt keine Probleme hatte.

                  V 1 Reply Last reply Reply Quote 0
                  • V
                    viragomann @Bob.Dig
                    last edited by

                    @Bob-Dig said in Rechnerfreigabe per Hostname:

                    @viragomann Wobei ich damit bis jetzt keine Probleme hatte.

                    Du meinst mit Aliases in NAT-Regeln?

                    Ich verwende das, glaube ich, nicht. Somit auch keine Probleme. ☺

                    JeGrJ 1 Reply Last reply Reply Quote 0
                    • Bob.DigB
                      Bob.Dig LAYER 8
                      last edited by Bob.Dig

                      Genau.

                      Dachte erst, hier ging es um Zugriffe von außen... 😉

                      @OKuenstler Das muss natürlich alles an sein in Unbound.
                      Capture2.JPG

                      Dazu habe ich noch folgendes in den Alias (nur ein Host in meinem Fall) Eingetragen, damit der Alias auch zusätzlich (für IPv6) aufgelöst werden kann. Funktioniert ohne Probleme.
                      Capture.JPG
                      Damit werden selbst beim Wechsel des IPv6-Prefix bei mir die Firewallregeln automatisch aktualisiert.

                      Wenn es bei dir nicht mehr geht, dann hat die pfSense vielleicht auch einfach "einen weg", kommt ja immer wieder mal vor ist mein Eindruck.

                      Oder das Firewall Maximum Table Entries -Limit ist überschritten (z.B. wegen pfBlocker), dann einfach den Wert erhöhen.

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator @viragomann
                        last edited by JeGr

                        @viragomann said in Rechnerfreigabe per Hostname:

                        Ich verwende das, glaube ich, nicht. Somit auch keine Probleme.

                        Dito, sollte man m.M.n. so viel als möglich vermeiden. Zudem ist gerade Unbound anfällig bei DHCP registration ständig zu hängen, weshalb es beim Resolver nicht empfohlen wird Register DHCP leases zu aktivieren. Static Mappings sind kein Problem, bei OpenVPN hab ich bislang nichts gehört. Das könnte dadurch aber auch das Problem sein, da Unbound dann ständig neu startet und dann die Infos nicht vorliegen.

                        @OKuenstler

                        Entweder testweise den DNS Forwarder nutzen - da läuft dnsmasq statt unbound der das Problem nicht hat - oder eben statisch gemappte IPs nutzen. Verstehe nicht warum das in LAN, WLAN und OpenVPN nicht gehen soll - machen ja hier mehrere Dutzend Leute auch ;) LAN geht per MAC, WLAN geht per MAC, OpenVPN geht per Zuweisung via Radius oder Client Specific Override.

                        Hatte bislang aber selbst in höheren Sicherheitsstufen niemand, der eine "Person" egal von wo genau auf EIN Ziel freigeben wollte/musste. Dafür gibt es ja Zonenkonzepte. Client VPN bspw. darf in Client PC Subnetz o.ä. - Dass genau Huber-PC, Huber-Laptop und Huber-via-VPN genau nur auf bestimmte IPs kommt, hab ich konzeptionell noch nirgends gesehen - bei entsprechend größerer Zahl an Mitarbeitern viel zu großer Aufriß um das noch vernünftig und sicher betreuen zu können. Außerdem anfällig gegen DHCP/DNS Injection Angriffe

                        Wirklich neugierig nachgefragt: Wie machst du dann dein Alias/Freigabe? DNS Name ist dann bspw. huber-laptop weil sich der so im DHCP registriert und an den DNS weitergegeben wird?
                        Wenn ja, was machst du dann sicherheitstechnisch bei der Konstellation wenn einer einfach seinen Rechner umbenennt? Dann kommt er auch nirgends mehr hin, oder? Lerne ja gern immer wieder dazu, was andernorts so gebaut wird :)

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.