Host Overrides klappt nicht



  • Hallo,

    ich würde gerne erstmal unsere Konstellation darstellen, bevor ich zum Problem komme, für die es hoffentlich eine Lösung gibt.

    WAN: Upstream Gateway Standleitung
    LAN: 192.168.100.0 (Intranet)
    OPT1: 10.10.10.0 (WLAN Access Point)

    Im LAN befindet sich unser Exchange Server (192.168.100.2), welcher von extern mit der entsprechenden NAT einwandfrei erreichbar ist.
    Wie kann ich diesen von unserem WLAN aus erreichen?

    Ich habe bereits über den DNS Resolver die Host Overrides gesetzt, für die Umleitung der aufzurufenden Domain mail.firma.com
    auf die LAN IP des Exchange Servers, greift aber nicht.

    Auch habe ich dieses Workaround getestet, welches wohl aber etwas älter ist.
    Wenn ich von unserer PfSense unter Diagnose Ping vom OPT1/WLAN auf die LAN IP des Exchange Servers pinge, wird es aufgelöst.
    Allerdings nicht von den Geräten, welche über das WLAN verbunden sind.

    Habt ihr eine Idee?

    Ich hoffe ich hab mich einigermaßen verständlich ausgedrückt :)



  • Hallo,

    da stellt sich erstmal die Frage: Verwenden die WLAN Geräte überhaupt die pfSense als DNS?

    Auch wenn der DNS im DHCP angegeben ist, muss er nicht verwendet werden.
    Vielleicht mal mit einem nslookup nachsehen, welche DNS auf dem Gerät abgefragt wird. Auch kann die ursprüngliche IP noch im Cache sein. Also auch Cache leeren versuchen und ggf. die Anwendung neu starten, denn die hat mglw. einen eigenen DNS-Cache.

    Ansonsten könnte auch NAT reflection helfen, ist aber eher zweite Wahl und was für Faule wie mich.  ;)



  • Ich hab gerade mal geschaut, weil ich mir unsicher war.
    Die Endgeräte im WLAN nutzen den pfSense als GW (Dynamic) und DNS(OPT1 zugewiesene Adresse (10.10.10.1)).

    Ich hab grad mal auf einem Endgerät den DNS geändert auf nen externen, dennoch timeout auf mail.firma.com  :-\



  • Was gibt nslookup oder dig zurück, wenn du mail.firma.com abfragst?



  • Vom über WLAN angebundenem Endgerät wird die WAN IP aufgelöst, was korrekt ist.
    Ping klappt aber nicht.



  • Wenn du keine Details preisgibst, kann es mühsam werden.  :o

    Jedenfalls auf ein Portforwarding der WAN IP kann ohne NAT Reflection von einem anderen Netz nicht zugegriffen werden.
    Warum ist die WAN IP korrekt? Dafür brauchst du doch kein DNS Override, die bekommst du auf einem externen DNS auch aufgelöst.



  • Wenn du keine Details preisgibst, kann es mühsam werden.

    welche Details brauchst du?

    Jedenfalls auf ein Portforwarding der WAN IP kann ohne NAT Reflection von einem anderen Netz nicht zugegriffen werden.

    Genau das ist mein Problem  :-\

    Warum ist die WAN IP korrekt? Dafür brauchst du doch kein DNS Override, die bekommst du auf einem externen DNS auch aufgelöst.

    Vom Endgerät welches am WLAN hängt, also dem anderen Netz, wird via nslookup die korrekte öffentliche IP aufgelöst.

    Eingehend vom WAN wird ein Portforwarding auf die LAN IP des Exchanges gemacht.

    Wo genau muss nun das Nat Reflection eingestellt werden und von wo nach wo dann?



  • Ich versteh nicht, was dein Override machen sollte, wenn die WAN IP für dich korrekt ist.

    Also entweder du gibst im DNS Override die interne IP des Exchange an und sorgst dafür, dass der pfSense DNS abgefragt wird, oder NAT Reflection.

    NAT Reflection wird direkt in der NAT Regel eingestellt. Vermutlich brauchst du für deinen Zweck "NAT reflection + proxy", aber das geht nur mit TCP u. UDP, sollte aber für Exchange reichen.
    Global kann man es in System > Advanced > Firewall & NAT einstellen und in der Regel "System defaults" verwenden.
    Damit wird auf die interne IP forwarded.



  • Hallo,

    also ich hab jetzt verschiedenste Kombinationen getestet, ohne Erfolg.
    Ich hänge mal 2 Screens rann, das sich mal ein Überblick der angelegten Rules verschafft werden kann.

    Nochmal zum Ist-Stand:
    zBsp iPhone hängt am WLAN(OPT1 GW=10.10.10.1) und hat uneingeschränkten Zugriff zum Internet.
    auf dem iPhone ist der Mailserver mail.firma.com eingetragen, welcher ebenfalls am pfSense hängt an (LAN GW=192.168.100.50) 
    Aus anderen Netzen ist der Exchange wunderbar erreichbar, vom WLAN aus nicht.
    Ein Ping vom iPhone welches im WLAN verbunden ist geht nicht durch, ein NSLookup löst jedoch die korrekte WAN IP der pfSense auf.

    Ich denke, ich mache noch einen Fehler bei der Konfiguration der NAT Regeln, um vom WLAN aus den Exchange zu erreichen.






  • Moin,

    ohne nat reflection kannst du von intern (also alles hinter der pfsense) nicht die externe wan ip verwenden.

    du musst über das wlan die interne dmz IP Adresse hinter mail.firma.com auflösen:

    Weg über das Internet:
    mail.firma.com (WAN IP, z.B 20.20.20.20). Port wird umgeleitet auf auf Mailserver in der DMZ.

    Weg von allen Netzen hinter der pfsense:
    mail.firma.com (DMZ IP, z.B 192.168.100.2). Port wird NICHT umgeleitet, der Mail Server in der DMZ wird direkt angesprochen.

    VG
    Andreas



  • Weg von allen Netzen hinter der pfsense:
    mail.firma.com (DMZ IP, z.B 192.168.100.2). Port wird NICHT umgeleitet, der Mail Server in der DMZ wird direkt angesprochen.

    Das bedeutet dann, das ich ein 1:1 Nat Mapping machen muß oder?



  • @Davidaff:

    Aus anderen Netzen ist der Exchange wunderbar erreichbar, vom WLAN aus nicht.

    Aus welchen? Bislang hast du nur LAN und WLAN aufgezählt. Zum ersten davon gehört der Exchange und der Traffic zwischen den LAN-Clients und dem Server passiert nicht die Firewall.
    Gibt es noch weitere Netze?

    @Davidaff:

    Ein Ping vom iPhone welches im WLAN verbunden ist geht nicht durch, ein NSLookup löst jedoch die korrekte WAN IP der pfSense auf.

    Logisch, Ping wird durch dein NAT Reflection nicht abgedeckt. Wie schon zuvor angemert wirkt das nur auf TCP u. UDP.
    Das wäre mithilfe von DNS Overrides zu erreichen, aber bitte eines, das die interne IP zurück liefert. Die externe IP ist witzlos, auch schon oben erwähnt.



  • Aus anderen Netzen ist der Exchange wunderbar erreichbar, vom WLAN aus nicht.

    damit war das öffentliche gemeint  ::)
    weitere Netze gibt es nicht. Nur (WAN GW=Standleitung Upstream, LAN 192.168.100.0 GW=50, WLAN=10.10.10.0 GW=10.10.10.1)

    Das wäre mithilfe von DNS Overrides zu erreichen, aber bitte eines, das die interne IP zurück liefert. Die externe IP ist witzlos, auch schon oben erwähnt.

    das habe ich bereits im DNS Resolver angelegt.
    mail.firma.com zeigt auf 192.168.100.2

    greift aber nicht.



  • Wenn du im internen DNS die interne IP des Exchange Servers eingetragen hast und die pfSense von den WLAN-Geräten als DNS abgefragt wird (habe Zweifel), muss die auch die interne Server IP bei der Auflösung zurückkommen.
    Um hier sicher gehen zu können, wollte ich zuvor die gesamte Rückgabe des nslookups sehen. Das habe ich mit fehlende Details gemeint. Du machst es einem nicht einfach, dir zu helfen.  :-\