Neuling braucht Hilfe



  • Hallo zusammen,

    ich bin recht neu in PFsense und habe folgendes Problem:

    Ich habe 3 Server, die je eine WebGUI haben (xx.mydomain.de / yy.mydomain.de / zz.mydomain.de) die von Außen über den besagten Namen im Inet-Browser erreichbar sind.
    Zum Verständnis: Hierbei wird der komplette Verkehr an einen Reverse Proxy (Nginx) hinter der Firewall geleitet wird und dann an die richtige Adresse. Das funktioniert soweit.
    Der Reverse Proxy leitet die Anfragen an Port 80 automatisch an HTTPS weiter.

    Mein Problem ist nun, wenn ich die Seiten über den Namen aus dem LAN aufrufe, keine Verbindung aufgebaut wird. Über die IP sind sie jedoch erreichbar.

    Ich wäre euch sehr Dankbar wenn ihr mir hier helfen könntet und evtl. mir schreibt welche Einstellungen ich wo durchführen muss. Wie gesagt bin ich noch ein absoluter Newbie was die PFsense angeht.

    Solltet ihr mehr Infos brauchen einfach Bescheid geben.

    Danke



  • Hallo,

    wenn du ein internes DNS hast, musst du die Hostnamen da eintragen und als IP die des Revers Proxy.
    Wenn du den DNS Resolver oder Forwarder der pfSense verwendest, ist das in deren Settings unter DNS Overrides zu machen.

    Hast du kein internes DNS, kannst du mit "NAT Reflection" einen Workaround erreichen. NAT Reflection bildet eine NAT-Regel unsichtbar auch auf andere Interfaces ab.
    Dazu ist die NAT Port Forwarding Regel, die für die Weiterleitung auf den Proxy verantwortlich ist, zu editieren und unten die Option NAT Reflection zu aktivieren. Nach meiner Erfahrung müsste es mit "pure NAT" funktionieren (ist die harmlosere Variante). Falls nicht, versuche es mit "NAT + proxy".
    Alternativ kann man NAT Reflection in System > Advanced auch global einstellen. In den NAT Regeln kann die Option dann auf "System defaults" bleiben.



  • @viragomann:

    Hast du kein internes DNS, kannst du mit "NAT Reflection" …

    Das wäre schon ein ungewöhnliches Setup, wenn man unter pfSense keinen lokalen DNS Server laufen lässt, meinst Du nicht auch?



  • Ich meine, ich habe hier ein ungewöhnliches Setup.  :P

    Okay, ist noch ein Relikt aus Zeiten vor pfSense. Die DHCP-Clients verwenden schon das interne DNS, mein PC eben nicht.



  • @viragomann:

    … ein Relikt aus Zeiten vor pfSense.

    Trau' Dich und frag hier im Forum nach Hilfe, auch Dir kann bestimmt geholfen werden!  :P



  • Ihr seid der Hammer! Auf die Idee das über unseren DNS Server zu machen kam ich noch gar nicht. Ich hab vergeblich eine Einstellung an der PFsense gesucht. Naja nach 2 Jahren in dem Job lernt man immer wieder dazu.
    Verlauf: Hab die Forward-Lookupzone erstellt (ich hatte vergessen zu erwähnen, dass es eine andere Domäne ist als unsere) und die Aliase eingefügt, die unter den Adressen verfügbar sein sollten, und diese dann auf die IP Adresse des Reverse Proxy verknüpft.

    Funktioniert einwandfrei. Vielen Dank für euer Hilfe.

    Eine Frage habe ich noch zur Pfsense.

    Gibt es eine Möglichkeit den OpenVPN Client als Download für die User anzubieten? Ich habe die Verbindun soweit eingerichtet und diese funktioniert auch, nur bisher habe ich nirgendwo die Möglichkeit gesehen das so anzubieten ohne, dass ich als Admin an die Rechner muss und den VPN Client installieren bzw. hinterlegen muss.
    Der Wunsch wäre praktisch so, dass sie z.B. auf die IP der Firewall gehen, sich dort einloggen müssen und dann eine Seite bekommen, wo sie den OpenVPN Client runterladen können?

    Ich habe bereits das Paket "openvpn-client-export" installiert.


  • Moderator

    Der Wunsch wäre praktisch so, dass sie z.B. auf die IP der Firewall gehen, sich dort einloggen müssen und dann eine Seite bekommen, wo sie den OpenVPN Client runterladen können?

    Nein geht nicht, das ist bislang in keiner UI/Paket vorgesehen.
    Zudem ist es nicht unbedingt einfach machbar, je nachdem, welche Art des Access Servers du verwendest. Nutzt du bspw. Zert + User/PW, dann macht es wenig Sinn "ein" Paket anzubieten, da jeder User ein eigenes braucht, welches sein eigenes Zertifikat enthält.
    Wenn die Anzahl an Usern überschaubar ist, kannst du allerdings die Pakete selbst runterladen und den Leuten zuschicken per Mail, auf ein internes Laufwerk legen oder selbst irgendwo zum Download ablegen, allerdings macht das - wenn der Zugriff dann nicht pro User reglementiert ist - wenig Sinn, wenn dadurch jemand an ein Zert kommt, das ihm nicht gehört.

    Die meisten Unternehmen lassen das letzte OpenVPN Client Package automatisch ausrollen oder die User installieren und schicken dann nur das Archiv mit der Userkonfiguration zu.

    Gruß



  • Hi,

    in der Tat ist es so, dass ich die Auth Methode "SSL/TLS+User Auth" verwende und für jeden User ein eigenes Zertifikat verwende.
    Da ich nur 4 User habe werde ich das so machen wie du gesagt hast.

    War ja eh nur eine Bequemlichkeits-Frage :)

    Super Danke!