DNS Problem
-
Hallo Leute,
ich weiss nicht ob dies schon jemand gehabt hat die Suche im Internet und hier im Forum hat mich nicht weiter gebracht.
Seit dem ich bei uns im betrieb die pfsense als Firewall installiert habe ist unser Ticketsystem OTRS welches auf unserem Windows 2011 Server im Hause läuft intern nur noch über die Server IP und den Port erreichbar, aus einem externen Netz kann ich das Ticketsystem über die Domaine erreichen.
Ich muss gleich dazu sagen dass wir keine Static IP haben sondern dies über Dyn DNS lösen.
Wie gesagt extern klappt es wunderbar, intern auch jedoch nur mit Eingabe der IP und dem Port.
Bin über jeden Hinweis dankbar.
Beste Grüße
Franz
-
Ahoi Franz,
auch wenn mal wieder die halbe Miete fehlt (warum kann man es nicht über die Domain aufrufen, welche Domain ist das überhaupt und was war der vorher/nachher Zustand), wage ich einen Blick in die astrale Glaskugel, weil weiter unten das magische Wort DynDNS steht.
Desweiteren rate ich, dass ihr versucht den unglücklichen Fall abzubilden, auf das Ticketsystem intern wie extern über den gleichen DNS Namen zu erreichen - nämlich den DynDNS Namen - und diesen NICHT intern anders auflöst, sondern einfach an die DynDNS Server weiterreicht.Das ist ganz schlicht ausgedrückt ein einfach gebautes DNS-Eigentor ;) Denn im ersten Schritt verhält sich die pfSense da völlig korrekt. Euer "Fehler" ist, dass ihr OTRS intern wie extern über den gleichen Namen aufrufen wollt, dafür aber DynDNS nutzt weil ihr keine statische IP habt (warum nicht? Gerade ein Ticketsystem sollte doch schon dauerhaft ordentlich erreichbar sein?). Der DynDNS Hostname löst aber auf eure externe IP Adresse auf, die dann (sehr wahrscheinlich - ich spekuliere einfach mal munter weiter) nach intern per NAT auf das Ticketsystem geschickt wird. Und da liegt der Hase im Pfeffer. Intern bekommt ihr den DynDNS Namen auch auf die externe IP aufgelöst. Nur werden Anfragen von der LAN Seite auf die WAN IP eben nicht geNATted (warum auch, es soll ja Verkehr von außen nach innen genattet werden, nicht innen->innen) und damit schlägt der Zugriff fehl.
Nun gibts dafür 3erlei Abhilfe ;)
- Stellt das ganze auf gesunde Beine und organisiert euch ne ordentliche Leitung ;)
- Wenn ihr die pfSense auch als internen DNS Forwarder nutzt, dann tragt dort im DNS Forwarder einen Host Overwrite ein mit dem kompletten DynDNS Namen und der internen IP des OTRS, dann wird - wenn die pfSense gefragt wird - die Adresse von innen mit der internen IP aufgelöst und sollte wieder tun
- Ihr aktiviert NAT reflection für die NAT Regel. Empfehle ich nur ungern, weil das ganze Reflection-Zeugs eigentlich nur der Workaround vom Workaround (NAT) ist. Damit würde dann die Anfrage auf die externe IP/Port Kombo eben durch die FW hindurch wieder zurück-reflektiert werden. Man merkts aber schon beim Lesen - der Traffic geht dann durch die Firewall und das ist eigentlich unnötig wie ein Kropf. Deshalb besser: Variante 2 bzw. 2a (wenn ihr nen eigenen DNS habt, tragt da einfach die dyndns Adresse ein mit der internen Server-IP)
Sollte ich jetzt bei meiner Wahrsagung was vergessen haben oder es doch kein Reflection Problem sein, dann bitte mehr Infos und her damit :D
Beste Grüße
-
Hallo,
ich habe nun alle 3 Varianten versucht, leider hat keine bei mir geholfen hatte sogar den DNS des Windows Servers beendet so dass dieser nicht drein pfuschen kann.
Als wir noch einen normalen Router hatten habe ich in diesem einfach ein Port Forwarding eingestellt und gut wars.
komischerweise wenn ich die Dyn DNS Adresse im Browser eingebe gelange ich auf die pfsense was ja auch nicht sein sollte.
-
komischerweise wenn ich die Dyn DNS Adresse im Browser eingebe gelange ich auf die pfsense was ja auch nicht sein sollte.
Dann ist der Zugriff auf das Web Interface auf die WAN Adresse erlaubt. Da ihr von "innen" kommt, also vom LAN kann es je nach LAN ruleset durchaus sein, dass das erlaubt ist.
Alle 3 Varianten kannst du ja kaum versucht haben, es sei denn ihr könnt einfach mal so eben die Leitung auf ne feste IP umstellen ;)
zu 3) Für NAT reflection muss einmal in den general settings überhaupt erlaubt sein und dann bei der entsprechenden NAT Regel auch aktiviert werden damit das geht. Deshalb bin ich auch kein großer Freund dieser Idee.
zu 2) Um das überhaupt sauber zu testen, wäre es mal wichtig zu wissen wer überhaupt DNS für die Clients intern macht. Wenn der weiterhin die externe IP auflöst kannst du auf der Sense eintragen was du willst, weil sie nie gefragt wird. Dazu mal am Client sehen, welche DNSe hier eingetragen sind. Wenn ihr die über einen Windows DHCP rausgebt, wird der wohl auch seinen eigenen DNS eintragen. Also müsst ihr den anpassen oder diesem für die entsprechende Zone einen anderen Forwarder verpassen. Einfacher wäre es, wenn die pfSense selbst DHCP ist, das ist aber kein muss.
Also erstmal testen, wer überhaupt was und warum auflöst und dann von hinten nach vorne durchgehen.