HA PFSense mit Site to Site VPN, Domain nicht erreichbar
-
Hallo zusammen!
Ich habe wieder mal ein spezial Problem.
Meine 2 Standorte:
Zuhause:
Firewall PFSense, mit laufendem VPN Client.
Dieser VPN Client verbindet sich zum Datacenter und Routet via Outbound NAT Regel
den ganzen im LAN erzeugten Traffic durch den Tunnel. (Ja das ist so gewollt)Datacenter:
Firewall 2x PFSense als high availability aufgebaut.
Diese Stellen den Site to Site VPN Server.
Hinter diesem PFSense Cluster sind auch alle Server, WebServer, Mailserver usw.Soweit funktioniert alles Prima.
Verbindungen und Ping sind in beide Richtungen durch den Tunnel möglich.Allerdings kann ich von zuhause zwar meine Domain auflösen aber diese nicht aufrufen.
Allso alle Dienste die hinter dem PFS Cluster im Datacenter liegen kann ich über die domain nicht erreichen.Hat jemand eine Ahnung an was das Liegen könnte?
besten Dank!!
MfG.
-
@markus4210
Hallo,du hast dir sicher auch schon angeshen, wie die Hostnamen aufgelöst werden, auf die interne oder die externe IP.
Diese Info wäre hier interessant. -
Servus Viragomann!
Ja das passt soweit alles.
Also wenn ich zuhause sitze wird mit ping domain.at die richtige öffentliche ip aufgelöst.
MfG. -
Sorry falsch gelesen....
Die Hostnamen. Nicht Domain.
Also zuhause kann ich die hostnamen der Datacenter Seite nicht auflösen - - ist ja auch ein anderer DNS Server. Aber auf der Datacenter Seite werden die Hostnamen nach den internen ips aufgelöst.MfG
-
@markus4210
Vorausgesetzt, du verwendest einen internen DNS Server, könntest du ein Domain-Override auf diesem einrichten und die Auflösung an dem Datacenter-DNS weiterleiten.
Das wäre die komfortabelste Lösung. -
@viragomann
Jetzt verstehe ich dich.
Nein das wird nicht funktionieren.
Ich kann für beide Standorte nicht den selben dns Server verwenden und die Hostnamen entsprechen nicht der webpage unter der sie erreichbar sind (HA Proxy).MfG
-
@markus4210 said in HA PFSense mit Site to Site VPN, Domain nicht erreichbar:
die Hostnamen entsprechen nicht der webpage unter der sie erreichbar sind (HA Proxy).
Da fehlt im Titel das "proxy". HA steht hier für High Availability.
D.h., du bekommst die Webseiten (heißt auch hier Hostnamen) auf die öffentliche IP aufgelöst und auf dieser lauscht der Proxy?
-
@viragomann
Jup genau!Sorry ich hab mich ein wenig unverständlich ausgedrückt.
Ich versuchs nochmal zu erklären.:Ich sitze vor einem Windows 10 PC der bei mir zuhause in einem Lokalen Netzwerk hängt.
Als Router ins WAN wird eine PFSense verwendet.
Diese PFSense ist gleichzeitig als VPN Client konfiguriert und verbindet sich mit einem PFSense Cluster (VPN Server) in einem Datacenter.
Von zuhause aus kann ich z.B. Virtuelle Maschinen im Datacenter Pingen und mich mit deren LAN Ip verbinden.Ebenso wenn ich mich auf einer Windows VM im Datacenter anmelde, kann ich LAN IP Adressen von mir zuhause erreichen und mich verbinden.
Des weiteren gibt es in diesem Datacenter auf der PFSense einen HAProxy welcher anfragen von WAN auf die dazugehörigen Webserver oder andere Dienste weiter leitet.
Dies funktioniert soweit alles ohne Probleme.
Lediglich aus meinem Client Netz zuhause, wenn ich einen Browser öffne und eine Domain vom Webserver, hinter HAProxy im Datacenter erreichen will bekomme ich keine Antwort.
Ich kann die Domain zwar zur öffentlichen IP Adresse auflösen auf welche auch der HAProxy hört aber mich nicht zu dieser IP Adresse verbinden.
Von allen anderen Clients welche nicht über VPN zum Datacenter verbunden sind ist die Funktionalität des HAProxys und der Webserver aber gegeben.
-
@markus4210
Okay, soweit hatte ich es schon verstanden. Du bekommst die öffentliche IP vom DNS, auf die der HAproxy lauscht, aber über die VPN funktioniert der Zugriff nicht.Also mit solch einem Problem war ich bislang noch nicht konfrontiert. Und mit HAProxy habe ich bislang nur ein paar Versuche gemacht.
Ich würde meinen, der Zugriff müsste ganz normal über den Proxy laufen, sofern es die Firewall-Regeln am VPN-Interface erlauben. Denn HAProxy ist nur ein Service, der direkt auf der pfSense läuft und mit anderen Services funktioniert das ebenso.
Aber ich gehe davon aus, dass es die Firewall erlaubt, nachdem du auch ins Internet über das Datacenter gehst.Betreibst du HAProxy vielleicht im "Transparent ClientIP" Mode?
Host-Overrides im DNS für die Web-Domains wären keine Option? Aber auch diese funktionieren nicht so toll im Transparent ClientIP Mode.
-
Entschuldige meine villeicht manchmal nicht ganz eindeutigen Antworten. Das liegt daran, würde man die gesamte Netzwerk Umgebung betrachten wollen, würde ich dieses Wochenende mit der skizze nicht fertig werden.
Nein der HAProxy hat keinen Transparent Client IP Mode.
Ich habs jetzt mal so gelöst......
Auf der client Seite gibt es auch noch mehrere VLans, eigentlich sollte es ein VLAN geben bei dem eben der ganze Traffic über den tunnel geht. Daher habe ich auf der Client Seite als default Gateway zwar den Standard direkt ins WAN GW genommen aber bei den Firewall regeln für dieses VLAN Spezielle Vlan den Tunnel Gateway zugewiesen. Nachdem das anscheinen nicht so prickelnd klappt habe ich jetzt die VLans die nicht in den Tunnel dürfen explizit auf den Standard Gateway gelegt und beim "Tunnel Vlan" keinen expliziten Gatewy zugewiesen.
Daher komme ich jetzt von den "nicht Tunnel Vlans" auch nicht in den Tunnel - - OK Passt soweit. Und vom "Tunnel Vlan" kann ich alle Server auf der Datacenter Seite erreichen nur der allgemeine Traffic geht hald jetzt nicht über den Tunnel sondern übers Default Gateway.
Was solls man kann nicht alles haben - - > schöner wärs anders gewesen.
Nein mit Host Overrides kann und will ich mich nicht spielen, zum einen wirds sehr kompliziert mit dem HA Proxy, zum anderen soll im Client netzt, also zumindes für alle nicht Tunnel Vlans das Pi-Hole verwendet werden.
Besten dank für deine Input´s Ich werds jetzt mal so lassen und wünsche nen schönen Abend ! ;-)
-
@markus4210 said in HA PFSense mit Site to Site VPN, Domain nicht erreichbar:
Auf der client Seite gibt es auch noch mehrere VLans, eigentlich sollte es ein VLAN geben bei dem eben der ganze Traffic über den tunnel geht. Daher habe ich auf der Client Seite als default Gateway zwar den Standard direkt ins WAN GW genommen aber bei den Firewall regeln für dieses VLAN Spezielle Vlan den Tunnel Gateway zugewiesen. Nachdem das anscheinen nicht so prickelnd klappt habe ich jetzt die VLans die nicht in den Tunnel dürfen explizit auf den Standard Gateway gelegt und beim "Tunnel Vlan" keinen expliziten Gatewy zugewiesen.
Daher komme ich jetzt von den "nicht Tunnel Vlans" auch nicht in den Tunnel - - OK Passt soweit. Und vom "Tunnel Vlan" kann ich alle Server auf der Datacenter Seite erreichen nur der allgemeine Traffic geht hald jetzt nicht über den Tunnel sondern übers Default Gateway.Klingt als ob die VPN als Default-Route gesetzt ist. Aber eigentlich ist mir das zu kompliziert um diese Zeit. Jedoch hat es mich auf die Idee gebracht, die Sache mit Policy Routing zu regeln, falls es auf der Datacenterseite nicht anders möglich ist.
Und zwar so, dass du mit einer Pass-Regel den gesamten Traffic mit Ausnahme der Datacenter Public-IP(s) über den Tunnel routest. Voraussetzung, WAN ist dein Default-Gateway. Die Ausnahme kannst du mit "invert." bei Destionation erreichen.
Dann sollte auch alles so funktionieren, wie du es haben möchtest, der ganze Traffic übers Datacenter, die Webseiten allerdings über WAN und von außen durch den Proxy.Aber jetzt hohl ich mir auch mal ein Bierchen. Schönen Abend.
-
Also für die Antwort hast du dir das Bierchen echt verdient!
Das gibt ein + mit Sternchen ins Elternheft
Werde das am Wochenende versuchen.
Vielen Dank!
MfG.
-
Aber nicht vergessen, die interne Netze auch in die Ausnahme reinzunehmen, damit sie nicht zum VPN Server geroutet werden. Also am besten alles in einen Alias packen und diesen als Ausnahme-Ziel setzen.
Grüße
