Zugriff vlan

Es gibt 20 Antworten in diesem Thema, welches 3.767 mal aufgerufen wurde. Der letzte Beitrag () ist von Lucascoco.

    Hallo,

    ich habe zwei vlan´s

    In vlan 101 steht ein Reverse Proxy

    in vlan 102 steht ein HomeAssistant (HA) Server, IP: 192.168.102.xxx, Port 8123


    im RP steht der Ha Server mit ip und port drin und bekommt dort ein lets encrypt zertifikat.


    In der UDM pro habe ich eine Firewall Regel erstellt Zugriff vom Reverse Proxy zu dem Ha Server.

    Ein Zugriff auf den Reverse Proxy Port 443 ist schon eingerichtet.


    Aber ich bekomme von außen keinen Zugriff auf den HA-Server hin


    Woran könnte das liegen?


    Danke

    Moin,


    Da per default alle Kommunikation zwischen VLAN erlaubt ist, hast du vorher diese Verboten ?

    Wenn ja wird evt. deine "ich darf Regel" nicht greifen weil die Verbotsregeln schon vorher in der Liste stehen,

    oder der Rückweg (also vom HA zu, Proxy) is noch gesperrt.


    Und so ganz Prinzipiell:

    dein Reverse Proxy geht im Prinzip und ist auch erreichbar von außen ? (für andere dinge)

    Zitat

    Da per default alle Kommunikation zwischen VLAN erlaubt ist, hast du vorher diese Verboten ?

    ja, habe einen Block eingerichtet

    Zitat

    Wenn ja wird evt. deine "ich darf Regel" nicht greifen weil die Verbotsregeln schon vorher in der Liste stehen.

    Nein die neue Regel steht ganz oben.

    Zitat

    Und so ganz Prinzipiell:

    dein Reverse Proxy geht im Prinzip und ist auch erreichbar von außen ? (für andere dinge)

    ja, in das gleich vlan, wie der Reverse Proxy geht.


    ich mußte noch nie eine Rückweg Regel erstellen. Muss das in diesem Fall sein ?

    HU das ist was beim Zitieren Schief gelaufen :smiling_face:

    Zitat von Lucascoco

    ich mußte noch nie eine Rückweg Regel erstellen. Muss das in diesem Fall sein ?

    Wenn du es noch nie machen Musstest wohl nicht, aber das war auch eher allgemein gesprochen weil

    ich ja dein geheimes Setup nicht sehen kann. Und Ja wenn ich den Weg zwischen zwei VLAN dicht mache,

    dann müsste ich auch beide Seiten erlauben oder sowas wie "Allow Established/Related Sessions"

    drinnen haben für den Rückweg.

    Es kommt immer drauf an was genau gemacht und gesperrt hast oder wieder freigemacht.


    Zum testen könntest du ja mal deine Blockaden alle entfernen, damit merkst du schnell ob es an der Firewall liegt oder nicht...

    Zitat von Lucascoco

    gute Idee , aber leider geht es immer noch nicht.

    Fein, dann kannst du wenigsten die Firewall ausschließen.

    Nächste Salami Scheibe, meine Glaskugel pennt heute auswärts und treibt sich mit

    so einem ominösen Prisma rum. Daher bin ich leider gezwungen nochmal dein geheimes setup

    zu erraten...


    (sortiert nach Wahrscheinlichkeit, kann spuren von Satire enthalten)

    • Proxy nicht in HA eingetragen (configuration.yaml, trusted_proxies)
    • Auf die falschen IP/port weitergeleitet (oder auf DNS Namen der nicht aufgelöst wird)
    • ACL listen auf Proxy oder Application, oder lokale FW regeln auf dem HOST
    • in Zeile 42 der fnordConfig fehlt das $$/!\$$
    • rotes Kryptonit verhindert gerne die Kommunikation von Proxy zu Haus Steungsanlagen, hast du welches in der Nähe?
    • Dein Lebensabschnittpartner sabotiert dich, damit du mehr Zeit mit ihm/ihr/es verbringst.


    Spoiler:

    In der nächsten runde schlage ich tcpdump auf dem HA vor, um zu schauen ob Daten ankommen von Proxy.

    Danach dann tcpdump auf dem proxy und zu schauen ob was zurückkommt.

    Hallo, werde am Montag mal auf die Suche gehen . Wochenende ist die Hütte voll.

    Aber erst mal Danke.


    kurz Zeit.

    Reverse Proxy eingetragen : geht immer noch nicht

    Firewall Regel ist vom Reverse Proxy zum Ha alle Ports eingetragen.


    Montag mache ich einen Dump

    2 Mal editiert, zuletzt von Lucascoco () aus folgendem Grund: so, ich dachte ich suche einfach mal nach dump bei google und Ha , aber leider keine verwertbarer Treffe. Hast du mal ne Anleitung?

    jetzt habe ich den Server wieder im andren Vlan, jetzt geht wieder alles.

    So Fehler gefunden.

    Es lag an der Subdomian...


    ha.xxxx.de funktioniert wohl nicht...


    Nachdem ich eine andere genommen haben, ging es sofort.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von Lucascoco mit diesem Beitrag zusammengefügt.

    Glaube nicht das es an der Domain an sich liegen sollte. Meine lautet auch ha.xxxx.de und geht ohne Probleme. Die Einstellungen im NGINX korrekt gemacht?


    Code
    location / {
        proxy_pass http://deineip:8123; 
        proxy_set_header Host $host;               
        proxy_pass_header Authorization;                           
        proxy_set_header Upgrade $http_upgrade;   
        proxy_set_header Connection "upgrade";        
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
        }

    Das ist auch per Webinterface

    Moin,

    so Problem gefunden....

    Ich bin die ganze Zeit aus de internen Netz auf die Webinterface des HomeAssisten gegangen.

    Das funktioniert leider nicht über eine externe Adresse auch nicht, wenn man einen eigenen DNS verwendet.

    Was beim Vaultwarden Server super funktioniert, geht beim HA Server nicht.


    Danke

    Selbst das sollte gehen, teste das mal mit den Einstellungen vom NGINX. Ich rufe den Intern wie extern über die Domain auf.

    Zitat von jkasten

    Selbst das sollte gehen, teste das mal mit den Einstellungen vom NGINX. Ich rufe den Intern wie extern über die Domain auf.

    ja gestern mit deinen Einstellungen versucht im NGINX, hat aber auch nicht funktioniert.

    Zitat von gierig

    Wüste nicht warum das nicht funktionieren sollte. Weis aber nicht ob ich das richtig verstanden habe..


    Aber wenn dann fehlt auf dem Proxy die Richtigen DNS einstellungen das dieser auch deinen DNS benutzt.

    Dann spricht da eigentlich nicht gegen...

    Okay, da könnte dann das Problem liegen Ich hatte dem Proxy die Adresse von meinem Adguard gegeben, dann funktioniert aber nicht die Lets Encypte Zertifikat Erstellung, also hat er jetzt als DNS Cloudfläe.


    Aber alles nicht so schlimm, ich rufe ja den Server im internen Netz nicht über die DnyDns auf. Über das Tablett oder Handy geht es super.

    Bei mir hat der NGINX den Pihole als DNS ohne Probleme. Hast du denn auch deine interne IP in dem Code eingesetzt?

    Den Adguard habe ich bei mir wieder raus geschmissen und bin zurück zu Pihole... Der Adguard hatte mir auch ein paar Dinge zerschossen.