Server im internen Netz nur von Extern erreichbar

Es gibt 14 Antworten in diesem Thema, welches 781 mal aufgerufen wurde. Der letzte Beitrag () ist von Flensgold.

    Hallo,

    die Überschrift mag verwirrend klingen, daher kurze Erläuterung:

    Ich habe mehrere interne Netze, u.a. eines für Webserver, welches keinen Zugriff auf das Heimnetz haben sollte. Das scheint soweit auch zu klappen. Sofern ich meinen PC (über Unifi / Anschlüsse) in das Webserver-Netz packe erreiche ich die dortigen Server, aber keine Maschinen aus dem Heimnetz und umgekehrt. Soweit so gut.

    Ich habe im Webserver Netz eine Nextcloud Installation laufen und möchte diese mittels DynDNS erreichen. Das klappt sobald ich mich außerhalb meines Hauses (Externes Netz, z.B. bei meiner Freundin) befinde. Der Name wird korrekt aufgelöst und ich komme auf die NextCloud Oberfläche (Ports habe ich entsprechend zum Webserver weitergeleitet).

    Versuche ich aber über denselben (DynDNS-)Namen (nicht IP!) aus dem Heimnetz auf meine Nextcloud Installation zuzugreifen klappt es nicht (Seite nicht erreichbar). Über die IP logischerweise auch nicht, die Netze sind ja getrennt. Hat jemand eine Idee woran dies liegen kann?

    Danke und Gruß

    Flensgold

    Zusätzlich würde ich den DDNS Namen noch mit der internen IP des dazugehörigen Webservers als A Eintrag in das DNS eintragen, dann versucht dein Client nicht mal mehr den Zugriff über die öffentliche IP. Denn auch mit Freigabe von deinem Netz zum Servernetz (kannst auch nur die Ports in der Firewall erlauben die benötigt werden) wird sehr wahrscheinlich kein Zugriff über DDNS host auf die WAN IP aufgelöst klappen, denn die Unifi Gateway machen kein Loopback NAT Zeugs, zumindest war das bisher so.


    Noch was zum nachdenken.... Warum darf man aus deinem LAN nicht auf die Server zugreifen, während der Rest der Welt das darf?

    Zitat von DoPe

    Zusätzlich würde ich den DDNS Namen noch mit der internen IP des dazugehörigen Webservers als A Eintrag in das DNS eintragen, dann versucht dein Client nicht mal mehr den Zugriff über die öffentliche IP

    Das kann man mitlerweile über das UI der Netzwork Application, in den Einstellungen des Clients (Webserver) machen, Feld "Local DNS Record". Voraussetzung ist natürlich, dass der Unifi Router als DNS fungiert und propagiert wird.

    Zitat von maxim.webster

    Das kann man mitlerweile über das UI der Netzwork Application, in den Einstellungen des Clients (Webserver) machen, Feld "Local DNS Record". Voraussetzung ist natürlich, dass der Unifi Router als DNS fungiert und propagiert wird.

    Darum hab ich es allgemein gehalten. Wenn ein anderes Gerät DNS spielt, dann muss es halt dort rein. Und als A Record im DNS geht immer, auch wenn man dem Client im Unifi keine fixed IP zuweisen möchte.

    Flensgold


    Ich mach das immer über die Erweiterte Variante, da man die flags new, related, established braucht. Ich gehe mal davon aus das da der Rückweg nicht geht. Weiß nicht ob bei Traffic Richtung sowas wie beide auswählbar ist.


    Bei erweitert würde man sagen können das Default LAN zu Webserver Pakete mit new erlaubt. Zusätzlich dass alle an alle Pakete mit related und established schicken können (für die Antwort). Dann kann der Webserver keine Verbindung ins Default LAN starten aber Antworten. Aus dem Defaul LAN kann man die Verbindung zum Webserver starten.

    LAN_IN musst Du nehmen. Lokal ist für die Schnittstellen der UDM selbst.


    Wieso kommst Du "immer noch" auf den Server? Dachte das geht nicht und das soll hier das Ziel sein? Mach mal bitte einen Screen von der Firewall Regelliste LAN_IN

    Hallo,

    ich meinte natürlich dass es "nicht" geht, war ein Schreibfehler, sorry. Habe auf LAN_IN umgestellt, allerdings klappt es weiter nicht.

    Dann habe ich mal testweise ALLE Regeln deaktiviert (auch testweise nur mit aktivierter Nextcloud-Regel), aber auch das brachte keinen Erfolg.

    Anbei einmal die LAN_IN Übersicht. Wie gesagt...sind etliche Netze.

    Flensgold

    Also prinzipiell mal zur Arbeitsweise der Firewall. Um zu bewerten was mit einem Paket passiert, wird das Paket mit den Regeln von oben nach unten verglichen. Stimmt das Paket mit einer Regel überein, dann wird das Paket entsprechend verarbeitet OHNE die nachfolgenden Regeln zu berücksichtigen.


    Bedeutet schon mal das die Regel "blockiert die gesamte Kommunikation zwischen VLANs" dazu führt, dass die beiden nachfolgenden Regeln nie zum Zug kommen wenn es um private IP Adressen geht.


    Wichtig sind auch die flags in den Regeln. Also sortieren und kontrollieren.

    - In der "erlaube etablierte .... Sitzungen" muss dort established und related und zwar nur diese beiden angehakt sein und Position 1 ist ok.

    - In "alle ungültigen Zustände löschen" darf nur illegal angehakt werden und die schiebe ich immer auf Position 2

    - Bei allen anderen Regeln sollte nur das flag New angehakt werden. Da es nur um den Aufbau einer neuen Verbindung geht. bestehende bzw. das Antworten darauf ist ja in der ersten Regel erledigt. Die Reihenfolge ist hier relativ unwichtig. Wenn es möglich ist das eine Regel besonders oft zutreffen wird, dann diese weiter hoch um nicht erst die weniger auftretenden Regeln zu vergleichen. Aber wie gesagt meist nicht so wichtig. Das ist eher so ein Performanceding bei sehr sehr vielen Regeln.

    - "blockiert die gesamte Kommunikation zwischen VLANs" als letztes in der Reihenfolge Hier darf alles (oder gleichzusetzen mit nichts) angehakt sein. Alles was spezialisierter ist sollte vorher schon "abgebogen" sein


    Schaue bitte alle flags durch, die Nextcloud Regel wäre zwar nicht zum zug gekommen, aber da der Webserver eine private IP sein dürfte, hätte bereits im Bild die Regel 3 die Erlaubnis für das Paket geben sollen. Die Nextcloud würde auch über der Block Regel nicht greifen weil die 3. Regel bereits Quelle und Ziel (hier halt nicht konkret sondern allgemeiner) enthält.

    Zitat von maxim.webster

    Warum braucht es überhaupt eine dedizierte Regel für den Nextcloud-Service, wenn sowohl das Mgmt-LAN, als auch das Default LAN auf alle anderen VLANs zugreifen dürfen?


    Hast Du die IP-Gruppe „00 | alle privaten …“ mal geprüft, ob das Webserver Netz da drin ist?


    Theoretisch brauchts die wohl nicht. Ich vermute mal das wie bei den meisten dort die RFC1918 Netze drin sind, wie auf deinem Screen. Dann sollte der Server da schon inkludiert sein.

    Bei Firewallregeln helfen ist halt immer etwas schwierig, weil man ja nie alles sieht. Was da in den Profiles angelegt ist und welche flags in den Regeln gesetzt sind kann man leider anhand eines Bildes nicht sehen.

    Erlaubte Sessions (Position 1):


    Ungültige Zustände (jetzt Position 2):


    Blockiert gesamte Kommunikation zwischen VLANs:


    Dazwischen alles auf "automatisch" ("New" klappt genauso nicht).


    IP-Gruppe:


    Erstmal vielen vielen Dank für eure Tipps und die damit verbundene Zeit!

    Gibt es irgendwo eine Art Log an Hand dessen ich herausfinden könnte, warum hier etwas geblockt wird?

    Grüße

    Ich muss das hier nochmal rauskramen, da ich es nicht verstehe und es weiterhin nicht klappt. Gestern habe ich mal VPN aktivieren müssen, sofort hat sich mein lokaler NextCloud Client verbunden und ich kam auf den Server. Sobald VPN deaktiviert ist, ist wieder Feierabend.

    Wenn ich es richtig verstehe werden die Firewall-Regeln von oben nach unten abgearbeitet und sobald eine Regel zutrifft werden die nachfolgenden Regeln nicht beachtet. Also habe ich diese Regel direkt mal auf #1 gepackt:

    Anbei nochmal der Inhalt:

    Ich stehe auf dem Schlauch. Kann man irgendwo ein Log einsehen, welches erahnen lässt, warum der Zugriff nicht klappt?

    Danke und Gruß