Server im DMZ Netz aus dem Internet nicht erreichbar



  • Hallo zusammen,

    ich habe ein Problem mit meinem DMZ Netzwerk. Ich schaffe es nicht das der Nextcloud Server im DMZ Netz aus dem Internet erreichbar ist. Wenn ich die Firewall Regel auf das LAN Netz umstelle funktioniert der Server wie gewohnt.

    PFSense Router ist ein Alix Router mit 3 Netzwerkkarten: WAN igb0, LAN igb1, DMZ igb2,

    Der Nextcloud - Server(auf Ubuntu 18.04) war bis vor kurzen im LAN und ich hatte ihn mit folgender Regel (Portweiterleitung) für das Internet freigegeben.

    Aliases Ports eingerichtet: Firewall/Aliases/Ports ->NCS 80,443,53
    Regel eingerichtet: Firewalls/NAT/Port Forward ->Interface WAN/ Protocol TCP/UDP/Source any/Dest. WAN address/Dest.Ports NCS/NAT IP 192.168.50.99/NAT Ports NCS/
    Verknüfte Regel: /Firewall/Rules/WAN -> Protocol IPv4 TCP-UDP/Source any/Port any/Dest. 192.168.50.99/Port NCS/Gateway */

    So hat es bei mir bis jetzt funktioniert und funktioniert auch mit dem neuem Server im LAN aber nicht im DMZ.
    Ich habe letzte Woche den Nextcloud - Server mit Ubuntu 20.04 neu aufgespielt und dachte mir ich trenne ihn besser vom LAN ab.

    Somit habe ich das 3te Interface (igb2) aktiviert und in DMZ umbenannt. (IP Adresse 10.10.8.1/24). Server IP 10.10.8.99 und 192.168.50.99. Domain wurde in Apache zum erreichen aus dem Internet konfiguriert.
    Soweit so gut, intern ist der Server aus dem LAN Netz und aus dem DMZ Netz erreichbar. Mit den aktivierten Regel von oben auch aus dem Internet.

    Wenn ich aber die Regel auf das DMZ bzw. der IP:10.10.8.99 umstelle ist der Server aus dem Internet nicht erreichbar.
    Seit knapp zwei Wochen probiere ich rum und habe schon alles mögliche an Regeln und Freigaben ausprobiert. Auch YouTube hat mir nicht weiter geholfen.
    Kann mir jemand helfen? Was mache ich falsch?



  • @phyno
    Hast du DMZ und LAN auf einem gemeinsamen L2 Switch hängen?
    Oder hast du LAN und DMZ gebrückt?
    Es dürfte gar nicht sein, dass der Server über die alte IP aus dem LAN erreichbar ist, wenn er am DMZ Interface angeschlossen ist und diese keine IP aus dem LAN hat.

    Ansonsten würde ich den Fehler eher am Server vermuten. Zur Analyse kannst du das Packet Capture Tool der pfSense einsetzen. Damit kannst du am DMZ Interface sniffen und schauen, ob die Pakete da rausgehen und ob Antworten vom Server zurückkommen.

    @phyno said in Server im DMZ Netz aus dem Internet nicht erreichbar:

    Domain wurde in Apache zum erreichen aus dem Internet konfiguriert.

    Eine public Domain, nehme ich an. Du versuchst den Server schon immer über den Hostnamen zu erreichen?
    Hast du ein internes DNS konfiguriert, das diesen überschreibt? Oder hast du NAT Reflection aktiviert?



  • Warum hat der NCS jetzt überhaupt noch eine IP aus dem LAN Segment? Diese würde ich als erstes killen, damit der Server nur noch über das DMZ Segment erreichbar ist.

    Vielleicht sagen auch Screenshots mehr? Ich vermute auch noch eine Fehlkonfiguration auf Server Seite.
    Apache Listener?


  • LAYER 8 Moderator

    @phyno said in Server im DMZ Netz aus dem Internet nicht erreichbar:

    Server IP 10.10.8.99 und 192.168.50.99. Domain wurde in Apache zum erreichen aus dem Internet konfiguriert.

    Warum zwei? Wenn du damit Netzgrenzen überbrückst macht es keinen Sinn den Server in ein Extra Netz zu setzen. Damit unterwanderst du jede Firewall.

    Wenn ich aber die Regel auf das DMZ bzw. der IP:10.10.8.99 umstelle ist der Server aus dem Internet nicht erreichbar.

    Was u.a. daran liegen kann, dass beim Server vielleicht das alte LAN Interface das primäre ist und er darüber antwortet statt über das neue 10.10er - und damit ist dein Routing asynchron und im Eimer :)



  • Erst mal vielen Dank für die Antworten.
    Ich habe am Server beide Netzwerkkarten konfiguriert. Eine geht ins LAN und die andere ins DMZ. Die Idee dahinter war, dass die Anfragen aus dem Internet den Server über das DMZnet erreichen und die Synchronisation der Dateien aus dem LAN zwischen Client und Server sollten nicht mehr über das Internet geschickt werden. Das war so die Idee. Muss aber nicht sein.

    @viragomann
    Hast du DMZ und LAN auf einem gemeinsamen L2 Switch hängen?
    Nein. Lan hat einen eigenen Switch und DMZ auch einen eigenen.

    Eine public Domain, nehme ich an. Du versuchst den Server schon immer über den Hostnamen zu erreichen?
    Ja, eine public Domain. Ein DNS (Bind) habe ich konfiguriert.

    @m0nji
    Warum hat der NCS jetzt überhaupt noch eine IP aus dem LAN Segment?
    Wie oben beschrieben, wird aber jetzt deaktiviert.
    Ich vermute auch noch eine Fehlkonfiguration auf Server Seite.
    Sollte nicht sein, ich werde aber alles nochmal prüfen. Werde morgen nur mit der DMZ Adresse testen und melde mich dann wieder.

    @JeGr
    Was u.a. daran liegen kann, dass beim Server vielleicht das alte LAN Interface das primäre ist und er darüber antwortet statt über das neue 10.10er - und damit ist dein Routing asynchron und im Eimer :)
    Das kann sein, obwohl die Primäre Server Adresse die 10.10.er ist.

    Danke, auf jeden Fall habe ich jetzt von Euch einige Denkanstöße. Ich war so fest auf die Regeln fixiert und wusste nicht mehr weiter. Jetzt wird neu getestet, im Notfall werde ich den Server nochmal neu aufsetzen und schritt für schritt neu konfigurieren. Nur mit DMZ Adresse. Ich melde mich dann wieder. Danke Euch.



  • @JeGr said in Server im DMZ Netz aus dem Internet nicht erreichbar:

    Was u.a. daran liegen kann, dass beim Server vielleicht das alte LAN Interface das primäre ist und er darüber antwortet statt über das neue 10.10er - und damit ist dein Routing asynchron und im Eimer :)

    Habe das Lankabel 192.168.xx.xx vom Server agesteckt und schon öffnet sich die NC Seite. Oh je. Danke.
    Konfiguration des Servers muss ich noch anpassen da die Ladezeit noch etwas lang ist. Wahrscheinlich reicht danach ein Neustart.


Log in to reply