Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Host Overrides klappt nicht

    Deutsch
    3
    14
    1769
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      Davidaff last edited by

      Hallo,

      ich würde gerne erstmal unsere Konstellation darstellen, bevor ich zum Problem komme, für die es hoffentlich eine Lösung gibt.

      WAN: Upstream Gateway Standleitung
      LAN: 192.168.100.0 (Intranet)
      OPT1: 10.10.10.0 (WLAN Access Point)

      Im LAN befindet sich unser Exchange Server (192.168.100.2), welcher von extern mit der entsprechenden NAT einwandfrei erreichbar ist.
      Wie kann ich diesen von unserem WLAN aus erreichen?

      Ich habe bereits über den DNS Resolver die Host Overrides gesetzt, für die Umleitung der aufzurufenden Domain mail.firma.com
      auf die LAN IP des Exchange Servers, greift aber nicht.

      Auch habe ich dieses Workaround getestet, welches wohl aber etwas älter ist.
      Wenn ich von unserer PfSense unter Diagnose Ping vom OPT1/WLAN auf die LAN IP des Exchange Servers pinge, wird es aufgelöst.
      Allerdings nicht von den Geräten, welche über das WLAN verbunden sind.

      Habt ihr eine Idee?

      Ich hoffe ich hab mich einigermaßen verständlich ausgedrückt :)

      1 Reply Last reply Reply Quote 0
      • V
        viragomann last edited by

        Hallo,

        da stellt sich erstmal die Frage: Verwenden die WLAN Geräte überhaupt die pfSense als DNS?

        Auch wenn der DNS im DHCP angegeben ist, muss er nicht verwendet werden.
        Vielleicht mal mit einem nslookup nachsehen, welche DNS auf dem Gerät abgefragt wird. Auch kann die ursprüngliche IP noch im Cache sein. Also auch Cache leeren versuchen und ggf. die Anwendung neu starten, denn die hat mglw. einen eigenen DNS-Cache.

        Ansonsten könnte auch NAT reflection helfen, ist aber eher zweite Wahl und was für Faule wie mich.  ;)

        1 Reply Last reply Reply Quote 0
        • D
          Davidaff last edited by

          Ich hab gerade mal geschaut, weil ich mir unsicher war.
          Die Endgeräte im WLAN nutzen den pfSense als GW (Dynamic) und DNS(OPT1 zugewiesene Adresse (10.10.10.1)).

          Ich hab grad mal auf einem Endgerät den DNS geändert auf nen externen, dennoch timeout auf mail.firma.com  :-\

          1 Reply Last reply Reply Quote 0
          • V
            viragomann last edited by

            Was gibt nslookup oder dig zurück, wenn du mail.firma.com abfragst?

            1 Reply Last reply Reply Quote 0
            • D
              Davidaff last edited by

              Vom über WLAN angebundenem Endgerät wird die WAN IP aufgelöst, was korrekt ist.
              Ping klappt aber nicht.

              1 Reply Last reply Reply Quote 0
              • V
                viragomann last edited by

                Wenn du keine Details preisgibst, kann es mühsam werden.  :o

                Jedenfalls auf ein Portforwarding der WAN IP kann ohne NAT Reflection von einem anderen Netz nicht zugegriffen werden.
                Warum ist die WAN IP korrekt? Dafür brauchst du doch kein DNS Override, die bekommst du auf einem externen DNS auch aufgelöst.

                1 Reply Last reply Reply Quote 0
                • D
                  Davidaff last edited by

                  Wenn du keine Details preisgibst, kann es mühsam werden.

                  welche Details brauchst du?

                  Jedenfalls auf ein Portforwarding der WAN IP kann ohne NAT Reflection von einem anderen Netz nicht zugegriffen werden.

                  Genau das ist mein Problem  :-\

                  Warum ist die WAN IP korrekt? Dafür brauchst du doch kein DNS Override, die bekommst du auf einem externen DNS auch aufgelöst.

                  Vom Endgerät welches am WLAN hängt, also dem anderen Netz, wird via nslookup die korrekte öffentliche IP aufgelöst.

                  Eingehend vom WAN wird ein Portforwarding auf die LAN IP des Exchanges gemacht.

                  Wo genau muss nun das Nat Reflection eingestellt werden und von wo nach wo dann?

                  1 Reply Last reply Reply Quote 0
                  • V
                    viragomann last edited by

                    Ich versteh nicht, was dein Override machen sollte, wenn die WAN IP für dich korrekt ist.

                    Also entweder du gibst im DNS Override die interne IP des Exchange an und sorgst dafür, dass der pfSense DNS abgefragt wird, oder NAT Reflection.

                    NAT Reflection wird direkt in der NAT Regel eingestellt. Vermutlich brauchst du für deinen Zweck "NAT reflection + proxy", aber das geht nur mit TCP u. UDP, sollte aber für Exchange reichen.
                    Global kann man es in System > Advanced > Firewall & NAT einstellen und in der Regel "System defaults" verwenden.
                    Damit wird auf die interne IP forwarded.

                    1 Reply Last reply Reply Quote 0
                    • D
                      Davidaff last edited by

                      Hallo,

                      also ich hab jetzt verschiedenste Kombinationen getestet, ohne Erfolg.
                      Ich hänge mal 2 Screens rann, das sich mal ein Überblick der angelegten Rules verschafft werden kann.

                      Nochmal zum Ist-Stand:
                      zBsp iPhone hängt am WLAN(OPT1 GW=10.10.10.1) und hat uneingeschränkten Zugriff zum Internet.
                      auf dem iPhone ist der Mailserver mail.firma.com eingetragen, welcher ebenfalls am pfSense hängt an (LAN GW=192.168.100.50) 
                      Aus anderen Netzen ist der Exchange wunderbar erreichbar, vom WLAN aus nicht.
                      Ein Ping vom iPhone welches im WLAN verbunden ist geht nicht durch, ein NSLookup löst jedoch die korrekte WAN IP der pfSense auf.

                      Ich denke, ich mache noch einen Fehler bei der Konfiguration der NAT Regeln, um vom WLAN aus den Exchange zu erreichen.




                      1 Reply Last reply Reply Quote 0
                      • A
                        andreas_at_work last edited by

                        Moin,

                        ohne nat reflection kannst du von intern (also alles hinter der pfsense) nicht die externe wan ip verwenden.

                        du musst über das wlan die interne dmz IP Adresse hinter mail.firma.com auflösen:

                        Weg über das Internet:
                        mail.firma.com (WAN IP, z.B 20.20.20.20). Port wird umgeleitet auf auf Mailserver in der DMZ.

                        Weg von allen Netzen hinter der pfsense:
                        mail.firma.com (DMZ IP, z.B 192.168.100.2). Port wird NICHT umgeleitet, der Mail Server in der DMZ wird direkt angesprochen.

                        VG
                        Andreas

                        1 Reply Last reply Reply Quote 0
                        • D
                          Davidaff last edited by

                          Weg von allen Netzen hinter der pfsense:
                          mail.firma.com (DMZ IP, z.B 192.168.100.2). Port wird NICHT umgeleitet, der Mail Server in der DMZ wird direkt angesprochen.

                          Das bedeutet dann, das ich ein 1:1 Nat Mapping machen muß oder?

                          1 Reply Last reply Reply Quote 0
                          • V
                            viragomann last edited by

                            @Davidaff:

                            Aus anderen Netzen ist der Exchange wunderbar erreichbar, vom WLAN aus nicht.

                            Aus welchen? Bislang hast du nur LAN und WLAN aufgezählt. Zum ersten davon gehört der Exchange und der Traffic zwischen den LAN-Clients und dem Server passiert nicht die Firewall.
                            Gibt es noch weitere Netze?

                            @Davidaff:

                            Ein Ping vom iPhone welches im WLAN verbunden ist geht nicht durch, ein NSLookup löst jedoch die korrekte WAN IP der pfSense auf.

                            Logisch, Ping wird durch dein NAT Reflection nicht abgedeckt. Wie schon zuvor angemert wirkt das nur auf TCP u. UDP.
                            Das wäre mithilfe von DNS Overrides zu erreichen, aber bitte eines, das die interne IP zurück liefert. Die externe IP ist witzlos, auch schon oben erwähnt.

                            1 Reply Last reply Reply Quote 0
                            • D
                              Davidaff last edited by

                              Aus anderen Netzen ist der Exchange wunderbar erreichbar, vom WLAN aus nicht.

                              damit war das öffentliche gemeint  ::)
                              weitere Netze gibt es nicht. Nur (WAN GW=Standleitung Upstream, LAN 192.168.100.0 GW=50, WLAN=10.10.10.0 GW=10.10.10.1)

                              Das wäre mithilfe von DNS Overrides zu erreichen, aber bitte eines, das die interne IP zurück liefert. Die externe IP ist witzlos, auch schon oben erwähnt.

                              das habe ich bereits im DNS Resolver angelegt.
                              mail.firma.com zeigt auf 192.168.100.2

                              greift aber nicht.

                              1 Reply Last reply Reply Quote 0
                              • V
                                viragomann last edited by

                                Wenn du im internen DNS die interne IP des Exchange Servers eingetragen hast und die pfSense von den WLAN-Geräten als DNS abgefragt wird (habe Zweifel), muss die auch die interne Server IP bei der Auflösung zurückkommen.
                                Um hier sicher gehen zu können, wollte ich zuvor die gesamte Rückgabe des nslookups sehen. Das habe ich mit fehlende Details gemeint. Du machst es einem nicht einfach, dir zu helfen.  :-\

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post