Eigene Webserver über VPN nicht erreichbar bei Einsatz von Filtern

Es gibt 16 Antworten in diesem Thema, welches 2.406 mal aufgerufen wurde. Der letzte Beitrag () ist von iTweek.

    Hallo,


    das vorliegende Unifi-Netz ist in verschiedene Subnetze unterteilt.


    Standardmäßig ist die Kommunikation zwischen den Subnetzen möglich. Mit Firewall-Regeln wurde die Kommunikation zwischen den Subnetzen bis auf wenige Ausnahmen unterbunden.


    Wenn ein Client via WireGuard VPN angemeldet ist, kann dieser nicht über die öffentliche DNS Adresse des Webservers auf diesen zugreifen. Der Domain name kann nicht aufgelöst werden. Ein Zugriff ist nur möglich, wenn sich der Client entweder im gleichen Subnetz befindet, wie der Webserver selbt läuft, oder in einem der Subnetzen, die in den Ausnahmen definiert sind.

    Nun stellt sich die Frage, warum kann kein Zugriff auf eigene Webservices durchgeführt werden, wenn der Client via WireGuard im UnifiNetz angemeldet ist?

    Zur Info: Das Subnetz von WireGuard ist nur im WireGuard Server bekannt. Ausserhalb von WireGuard gibt es das WireGuard-Subnetz nicht. Im Unifi Controller werden auch keine Clients gelistet, die via WireGuard angemeldet sind.

    Zitat von Ben2003

    Wenn ein Client via WireGuard VPN angemeldet ist, kann dieser nicht über die öffentliche DNS Adresse des Webservers auf diesen zugreifen.

    Ein erfolgreicher Zugriff auf den Server miitels der über den FQDN aufgelösten öffentlichen IP von außen klappt ja deshalb, weil der FW-Router die Anfrage erkennt und diese per voreingestellte Adress-/Portübersetzung an den Server weiterleitet.


    Ein Zugriff von innen aus dem eigenen LAN (Subnetz hin oder her) über den öffentlichen FQDN klappt schon deshalb nicht, weil der aufgelöste FQDN der öffentlichen IP enspricht, welche ja zu keiner internen Broadcastdomain gehört und so intern auch nicht behandelt wird (falls der FQDN überhaupt aufgelöst werden kann) - deshalb ist auch der Zugriff über den VPN-Client mittels des öffentlichen FQDN unmöglich, denn dieser "befindet" sich ja auch im internen LAN.


    Du wirst als auf den Server über die interne IP oder den internen FQDN zugreifen müssen, es sei denn, Du schaffst Dir einen richtigen FW-Router an, der kann das, was Du willst, mit einem kompliziertem Satz an Übersetzungsregeln realisieren.

    Zitat von iTweek

    Du musst den vpn server sagen an welche interne ip die ports übermitteln soll

    Der Webserver hat eine dynamische IP Adresse, die beim Ändern immer über einen dyndns-Service automatisch angepasst wird.


    Wenn der Webserver über ein VPN Client aufgerufen wird, kann die Domain nicht aufgelöst werden. Daher hatte ich angenommen, dass es an einer zu restriktiv gesetzten Filter Regel in der "USG3" liegen könnte.


    In den Portfreigaben existieren u.a. zwei Freigaben für die Ports 80 und 443. Beide Ports verweisen auf einen Proxy, der anhand des übergebenen Domainnamens entscheidet, zu welchem Webserver der Aufruf weitergeleitet werden soll. Das Verfahren funktioniert soweit fehlerfrei, wenn der Aufruf nicht über VPN erfolgt.


    Wenn man für dieses Ziel eine andere Hardware Firewall benötigt, wie z.B. "USG4", hat sich das Thema erledigt.

    Der VPN Server ist im gleichen Subnetz, wie die Webserver.


    Die USG ist ebenfalls im gleichen Subnetz wie die Webserver auch.


    Der VPN-Client greift über den VPN Server zu. Nun muss der VPN Server die Domain mit der Internen IP-Adresse des Webservers abgleichen können.

    Reicht es hier schon aus, wenn in der Hosts Datei vom VPN Server der Domainname mit der internen IP-Adresse eingetragen wird?

    Bitte was? Deine zwei server sind im selben netz?


    Wieso braucht man dann ein vpn server? Die domain kannst du nur auf eine ip zu teilen also die von aussen erreichbar ist. Sprich deine usg.


    Dann musst du dein usg an vpn weiterleiten.


    Ihrgendwie verstehe ich deine Konsultation nicht. Skizziere die mal bitte

    LG Michael aka iTweek

    Zitat von iTweek

    Wieso braucht man dann ein von server?

    Das lokale Netz ist in mehrere Subnetze unterteilt, die voneinander isoliert sind. Zum Teil handelt es sich um Testumgebungen oder Smarte Geräte, die ständig irgendwelche Informationen "nach Hause telefonieren".


    Auf der anderen Seite sind die Webservices, die von mir selbst bereitgestellt werden.


    Über Filtern wurden Regeln aufgestellt, die ein Zugriff auf die IP Adresse des Proxys von allen Subnetzen erlaubt ist. Soweit so gut.


    Probleme begannen erst, nachdem auch IP Telefone eingesetzt werden sollten.

    Als Telefonanlage kommt eine FritzBox zum Einsatz, die sich im lokalen LAN befindet.

    Die FritzBox erwartet, dass der Client (virtuelles Telefongerät via FritzFon-App) im gleichen Subnetz, wie die FritzBox selbst befindet. Wenn eine Anmeldung aus einem anderen Subnetz ankommt, wird es nicht angenommen. Erst mit WireGuard konnte das Problem umgangen werden, da die Telefonanlage nur die IP-Adresse vom WireGuard Server erkennen kann. Und schon können sich alle virtuelle Telefonie Teilnehmer an der Telefonanlage anmelden.

    Nun kommen wir zum "neuen" Fehler, dass von den Geräten mit aktivierter VPN-Verbindung keine eigenen Webservices mehr aufgerufen werden können, da der Domainname nicht mehr aufgelöst werden kann.

    Wenn auf einen eingenen Webservice zugegriffen werden soll, muss erst die VPN Verbindung getrennt werden. Erst danach klappt die Domainauflösung fehlerfrei.

    Zitat von Ben2003

    lokalen LAN

    Ein lokales Local Area Network - wenn das nicht doppelt gemopplet ist :smiling_face:


    An sonst versteh ich leider Dein Konstrukt nicht, entweder hast Du ein Designfehler in Deinen Netzwerk(en) oder ein Problem bei der Erläuterung dessen, was Du hast und wass Du willst :frowning_face:

    Zitat von bic

    Ein lokales Local Area Network - wenn das nicht doppelt gemopplet ist :smiling_face:


    An sonst versteh ich leider Dein Konstrukt nicht, entweder hast Du ein Designfehler in Deinen Netzwerk(en) oder ein Problem bei der Erläuterung dessen, was Du hast und wass Du willst :frowning_face:

    Ja das selbe problem habe ich auch grade…


    Er müsste es mal aufzeichnen was er hat und was er erreichen möchte

    LG Michael aka iTweek