Kein Zugriff auf DynDNS-Domain vom lokalen Netzwerk aus

Diese Webseite finanziert sich ausschließlich durch freiwillige Spenden. Dank der Unterstützung unserer Nutzer können wir die Inhalte werbefrei und unabhängig anbieten. Jetzt Unterstützen

    Moin zusammen,

    Ich bin neu hier. Beruflich habe ich schon länger mit Unifi-Produkten zu tun. In meinem privaten Umfeld bin vor kurzem aus der AVM-Fritzbox-Welt zu Unifi-Produkten umgestiegen, und auch sehr zufrieden mit dem Wechsel und den Produkten. Bis auf ein Problem:

    Also ich habe einen NGINX Proxy Manager (im späteren Verlauf dieses Posts als NPM bezeichnet) laufen, der auf bestimmte DynDNS-Domains lauscht, um sie dann von außen zum passenden Webservice weiterzuleiten. Das ist notwendig, weil mindestens einer der Webservices zwingend per HTTPS und mit gültigen Zertifikat angesprochen werden muss. Der NPM, der Client und auch der Webservice liegen im selben Netzwerk (VLAN). Eine Portweiterleitung, sowie die dazugehörigen Firewall-Rules sind ebenfalls angelegt. Der Zugriff funktioniert auch, wenn ich mich von extern mittels Mobilfunk oder dem externen Internet oder über einen VPN-Tunnel zum Wireguard-Server auf der UCG-Fiber per Aufruf der DynDNS-Domain verbinde. Dann kann ich ohne Proleme auf den Service zugreifen.

    Befinde ich mich aber in meinen lokalen LAN (alle Teilnehmer: Client, NPM und Webservice sind im selben VLAN), kann ich, wenn ich die DynDNS-Domain aufrufe, den Webservice nicht erreichen. Wenn ich intern die DynDNS-Domain aurufe, dann bekomme ich einen Timeout. Ping auf die Domain, löst die externe IPv4-Adresse von meinem ISP auf (sollte ja auch so sein, also DNS scheint zu funktionieren). Nslookup meldet unter Windows einen Fehler mit "unknown server" und einer IPv6 Adresse. Unter Linux, mit der Einstellung das IPv6 deaktiviert ist, löst der nslookup per IPv4 die externe IP vom Provider auf. Als DNS-Server habe ich mittlerweile Pi-hole als auch den DNS-Server vom Unifi-Controller selbst, ausprobiert. Kein Unterschied. Im Logfile vom NPM sehe ich nur die Zugriffe die von Extern erfolgt sind. Es wirkt als würde der Zugriff vom LAN über die DynDNS-Domain auf den NPM geblockt. Ich habe aber keine Firewall-Rule entdeckt die das verursachen könnte. Alle Allow-Rules stehen über den Block-Rules und alle Teilnehmer sind im selben Netz. Es sollten also eigentlich gar keine Firewall-Rules angewendet werden. Der Befehl "tracert" auf die Dyn-DNS-Domain liefert die IP und den Hostname meines Providers zurück und auch nur einen Hop. Schaut meiner Meinung nach auch korrekt aus. Wenn ich aber ein "curl"-Befehl absetze um wie Webseite hinter der Domain anzurufen, gibts wieder nur einen Timeout.

    Mein Internetzugang läuft über einen Kabelanschluss mit einem von Vodafone gestellten Kabel-Modem im Bidge-Modus. D.h mein UCG-Fiber sieht direkt die externe IPv4-Adresse von Vodafone. IPv6 wird von Vodafone nicht ausgegeben. Ach ja, der LXC Container in dem der NPM läuft ist eigentlich bis auf die Änderung der IP-Adresse und dem Zuweisen des VLANs eigentlich unverändert. Wie gesagt, von außerhalb funktioniert der Zugriff ja auch weiterhin. Nur aus dem Heimnetz selbst nicht.

    Ich würde mich freuen, wenn ihr vielleicht ein paar Ideen oder Vorschläge für mich habt, in welche Richtung ich noch mal schauen kann.

    Vielen Dank.

    Das wird vermutlich die Firewall sein. Dann müsstest Du in den Netzwerk Flows auch entsprechende Einträge finden. Die haben dann als Source und Destination das Netzwerk wo Proxy und Client drin sind. Kommt unter bestimmten Bedingungen so vor und benötigt einfach oben drüber eine Allow Regel mit Source und Destination für dieses Netzwerk.

    Ansonsten kannst Du auch im lokalen DNS (das UCG??) einfach deine ddns hostnamen mit der IP des Proxys als A Eintrag im DNS hinterlegen. dann gehts direkt zum proxy innerhalb des VLANs.

    Es fehlt, wenn es ein Firewall-Problem ist, also eine Regel die folgenden Weg abbildet: Intern -> Extern -> NPM. Also der Client darf ins Internet (also Intern zu Extern) geht schon mal. Es gibt auch eine Regel Extern zu NPM (weswegen der interne Zugriff ja geklappt hat). Aber irgendgwo gibt es dann wohl noch ein Problem. Verstehen tue ich es nicht ganz.

    Ich das Problem jetzt mit Split-DNS gelöst. In meinem PiHole habe ich jetzt bei den Local DNS-Einträgen als A-Record die DynDNS-Adresse auf die lokale Adresse vom NPM zeigen lassen. Dann habe ich für alle Subdomains jeweils einen CNAME Eintrag gemacht, der auf den A-Record verweist. Ist keine schöne Lösung, weil sie für die Zukunft alles andere als komfortabel. Ich muss nun für jeden neuen Eintrag im NPM, immer auch die lokalen DNS-Einträge ergänzen, aber zumindest funktioniert es so nun. Das war bei der Fritzbox nicht notwendig, da musste ich nur die Ports auf den NPM verweisen und gut wars. Professionellere Technik, professionellere Probleme. :D

    Vielen Dank für den Lösungsansatz DoPe . Ich markiere den Thread für mich als gelöst.

    Ich kenne das Problem auch und es hat mit NAT Loopback zu tun. Pack den Proxy in ein extra Vlan und es läuft (sollte eh sehr isoliert laufen, wenn er von extern erreichbar ist).

    Ich hab mir ne Mailserver als VM hingestellt und die läuft aus Sicherheitsgründen erstmal im IOT devices Vlan bis ich ein separates "Untrust" mache.

    Da klappt das mit dyndns perfekt.

    Das Paket kommt aus dem LAN zum Router und wird dort umgeschrieben. Es gelangt nicht ins Internet. Dann wird es zum Ziel geschickt.

    Bedeutet für die Firewall Sourcezone = Destinationzone = internal.

    Die Kommunikation innerhalb eines LAN erfolgt über den Router. Klingt wirr und entsteht auch nur durch den DDNS und der öffentlichen WAN IP.

    Moin Leute, vielen Dank noch mal. Ich habe es jetzt wie von BigDog71 vorgeschlagen gemacht. Ich habe den NPM in die DMZ gesetzt, ne Menge Firewall-Rules für die Ports und IP-Adressen freigeben, oder blockiert (je nachdem wo es hingehen soll), fertig. Es klappt zumindest jetzt von intern und extern.

    DoPe, danke noch mal für die Erläuterung, ich habe jetzt verstanden, warum es nicht so einfach möglich ist, wie ich es mir vorgestellt habe.

    Danke an alle für die Hilfe.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login