Liebe alle!
Ich habe an der OPNSENSE eine DMZ mit einem Webserver eingerichtet. Der Zugriff von außen funktioniert problemlos. Wenn ich aber von innerhalb des „normalen“ 10.0.0.0-Netzes auf den Webserver zugreife, dann wird das sofort von der Firewall abgefangen mit :
A potential ]DNS Rebind attack has been detected. Try to access the router by IP address instead of by hostname. You can disable this check if needed under System: Settings: Administration.
Auch das Aktivieren der „NAT Reflection“ hat nix gebracht. Kennt wer das Problem und kann mir bitte helfen?
Ich freue mich auf euren Input!
Lieber Klaus!
Danke für deine Hilfe. Das Deaktivieren der Rebind-prüfungen bewirkt nur, dass ich dann - wenn ich die URL eingebe - nicht auf wen Webserver, sondern auf die Login-Seite der Firewall komme.
Fehlt da vielleicht irgendwo eine Regel? Hat da wer eine Idee?
Ich blick da grad nicht ganz durch…
LG
beschreibe doch mal kurz Dein Setup. Wie ist denn der Server in der DMZ erreichbar - über eine eigene öffentliche IP oder über die IP der Firewall mit Portweiterleitung (welche Ports)? Und hat er in der DMZ eine öffentliche IP oder eine private? Wie greifst Du vom grünen Netz auf die DMZ zu?
Je nach Situation sieht nämlich die Lösung unterschiedlich aus.
Eine gute Lösung wäre, im grünen Netz den DNS-Eintrag des Servers in der DNZ so zu überschreiben, dass er auf die Adresse in der DMZ zeigt. Das vereinfacht das Routing auf der Firewall.
Also ich habe auf der Opensense (hat eine öffentliche IP) eine DMZ-Schnittstelle eingerichtet und damit kommuniziert das Interface einer VM, die ich auch auf dem Proxmox laufen habe.
Dann habe ich einfach Portweiterleitung HTTPS auf den Webserver eingerichtet. Für den Zugriff auf die DMZ aus dem grünen Netz habe ich nichts extra konfiguriert.
Könntest du mir kurz erklären, wie ich im grünen Netz den DNS-Eintrag des Servers in der DMZ überschreibe?
Danke vielmals im voraus!
Liebe alle!
Da das Problem immer noch besteht, wollte ich nochmal vorsichtig nachfragen, ob wer eine Idee für mich hätte.
Wenn ich die „Nat Reflection“ aktiviere, dann lädt er ewig die Seite und dann kommt die Fehlermeldung, dass die Seite nicht geladen werden konnte.
Ich habe auch testweise schon den Proxy deaktiviert und mit weiteren Port-Forwarding-Regeln experimentiert.
Schön langsam lässt mich das Ding verzweifeln…
Lieber Jörg!
Vielen Dank für deinen Input. Ich habe jetzt die Regel gesetzt und den Eintrag in die hosts gemacht. Spannenderweise habe ich jetzt folgendes: Wenn ich als linuxadmin eingeloggt bin, komme ich nun auf den Webserver. Als normaler User aber komme ich nicht hin (immer noch das Timeout), obwohl ich die IP pingen kann und auch (testweise) den Proxy am Client deaktiviert hab. Das Gerät ist außerdem in der noProxy-Gruppe.
Das Verhalten kann ich mir so jetzt nicht erklären…
Liebe Grüße,
Alex
EDIT: Gerade herausgefunden: Wenn ich im Firefox die Proxyeinstellungen komplett deaktiviere, dann geht der Zugriff (auch ohne die Änderung der hosts) auf die Website. Wenn ich die Clientweiten Proxyeinstellungen deaktiviere, geht es trotzdem nicht. Es hilft auch nicht, die Seite auf die Ausnahmen zu setzen. Sonderbar…
stimmt, das hatte ich vergessen: Auf dem Client darf kein Proxy verwendet werden. Ansonsten macht der Browser nämlich keine Namensauflösung, sondern überlässt das dem Proxy. Zudem soll der Zugriff ja direkt laufen. Ich vermute, dass das bei Dir der Effekt war. Wird denn der Hostname wie gewünscht aufgelöst (als normaler User)? Langfristig müsstest Du den IP-Bereich bei den Proxyeinstellungen ausnehmen.
Eventuell reicht es aber sogar, nur auf der Firewall den DNS-Eintrag zu setzen. Wenn das auch für den Proxy greift, dann würde der ja direkt in die DMZ gehen und nicht über die externe IP.
Hallo Alex,
hast Du in der OPNSense unter Firewall → Einstellungen → Erweitert alle 3 Haken bei „Network Address Translation“ gesetzt? Das hat bei mir geholfen.
LG
Max
Liebe Leute!
Vielen Dank für eure Mithilfe. Wie auch immer - jetzt funkt die Sache. Was genau nun zum Ziel geführt hat, ist mir nicht ganz klar, aber folgendes habe ich umgesetzt:
Einen DNS-Overwrite-Eintrag auf der Firewall gesetzt
Nat Reflection aktiviert (Firewall → Einstellungen → Erweitert: alle drei gesetzt)
Bei den Proxyeinstellungen die besagte Domain in die Ausnahmen aufgenommen