OPNSENSE: Zugriff von LAN auf DMZ funktioniert nicht!

Liebe alle!
Ich habe an der OPNSENSE eine DMZ mit einem Webserver eingerichtet. Der Zugriff von außen funktioniert problemlos. Wenn ich aber von innerhalb des „normalen“ 10.0.0.0-Netzes auf den Webserver zugreife, dann wird das sofort von der Firewall abgefangen mit :

A potential ]DNS Rebind attack has been detected. Try to access the router by IP address instead of by hostname. You can disable this check if needed under System: Settings: Administration.

Auch das Aktivieren der „NAT Reflection“ hat nix gebracht. Kennt wer das Problem und kann mir bitte helfen?
Ich freue mich auf euren Input!

Danke und lg,
Alex

Hallo Alex,

in der OPNsense kann man diese Überprüfung deaktivieren:

System → Einstellungen → Verwaltung → DNS-Rebind-Prüfung → [x] Deaktiviere DNS-Rebind-Prüfungen

Viele Grüße
Klaus

Nachtrag:
wenn das nichts hilft, dann in den Einstellungen der Schnittstelle DMZ „Private Adressen“ und „Bogon Netzwerke“ oder so, nicht blockieren.

Viele Grüße
Klaus

Lieber Klaus!
Danke für deine Hilfe. Das Deaktivieren der Rebind-prüfungen bewirkt nur, dass ich dann - wenn ich die URL eingebe - nicht auf wen Webserver, sondern auf die Login-Seite der Firewall komme.
Fehlt da vielleicht irgendwo eine Regel? Hat da wer eine Idee?
Ich blick da grad nicht ganz durch…
LG

Hallo Alex,

beschreibe doch mal kurz Dein Setup. Wie ist denn der Server in der DMZ erreichbar - über eine eigene öffentliche IP oder über die IP der Firewall mit Portweiterleitung (welche Ports)? Und hat er in der DMZ eine öffentliche IP oder eine private? Wie greifst Du vom grünen Netz auf die DMZ zu?

Je nach Situation sieht nämlich die Lösung unterschiedlich aus.

Eine gute Lösung wäre, im grünen Netz den DNS-Eintrag des Servers in der DNZ so zu überschreiben, dass er auf die Adresse in der DMZ zeigt. Das vereinfacht das Routing auf der Firewall.

Beste Grüße

Jörg

Hallo Jörg!

Also ich habe auf der Opensense (hat eine öffentliche IP) eine DMZ-Schnittstelle eingerichtet und damit kommuniziert das Interface einer VM, die ich auch auf dem Proxmox laufen habe.
Dann habe ich einfach Portweiterleitung HTTPS auf den Webserver eingerichtet. Für den Zugriff auf die DMZ aus dem grünen Netz habe ich nichts extra konfiguriert.
Könntest du mir kurz erklären, wie ich im grünen Netz den DNS-Eintrag des Servers in der DMZ überschreibe?
Danke vielmals im voraus!

LG

Liebe alle!
Da das Problem immer noch besteht, wollte ich nochmal vorsichtig nachfragen, ob wer eine Idee für mich hätte.
Wenn ich die „Nat Reflection“ aktiviere, dann lädt er ewig die Seite und dann kommt die Fehlermeldung, dass die Seite nicht geladen werden konnte.
Ich habe auch testweise schon den Proxy deaktiviert und mit weiteren Port-Forwarding-Regeln experimentiert.
Schön langsam lässt mich das Ding verzweifeln…

Hallo Alexander,

versuch doch mal folgendes:

• Du richtest eine Regel ein, die den Verkehr über Port 80/443 aus dem Schulnetz in die DMZ zulässt

• Auf eine Testrechner im Schulnetz trägst Du in der Datei /etc/hosts den FQDN des Servers in der DMZ ein, und zwar mit seiner IP aus der DMZ

• Wenn es jetzt auf dem Testrechner klappt, dann kannst Du auf der Firewall einen DNS-Overwrite-Eintrag setzen

Leider habe ich gerade keine Opnsense griffbereit, deshalb kann ich Dir nicht sagen, wo das jeweils geht.

Beste Grüße

Jörg

Lieber Jörg!
Vielen Dank für deinen Input. Ich habe jetzt die Regel gesetzt und den Eintrag in die hosts gemacht. Spannenderweise habe ich jetzt folgendes: Wenn ich als linuxadmin eingeloggt bin, komme ich nun auf den Webserver. Als normaler User aber komme ich nicht hin (immer noch das Timeout), obwohl ich die IP pingen kann und auch (testweise) den Proxy am Client deaktiviert hab. Das Gerät ist außerdem in der noProxy-Gruppe.
Das Verhalten kann ich mir so jetzt nicht erklären…
Liebe Grüße,
Alex

EDIT: Gerade herausgefunden: Wenn ich im Firefox die Proxyeinstellungen komplett deaktiviere, dann geht der Zugriff (auch ohne die Änderung der hosts) auf die Website. Wenn ich die Clientweiten Proxyeinstellungen deaktiviere, geht es trotzdem nicht. Es hilft auch nicht, die Seite auf die Ausnahmen zu setzen. Sonderbar…

Hallo Alexander,

stimmt, das hatte ich vergessen: Auf dem Client darf kein Proxy verwendet werden. Ansonsten macht der Browser nämlich keine Namensauflösung, sondern überlässt das dem Proxy. Zudem soll der Zugriff ja direkt laufen. Ich vermute, dass das bei Dir der Effekt war. Wird denn der Hostname wie gewünscht aufgelöst (als normaler User)? Langfristig müsstest Du den IP-Bereich bei den Proxyeinstellungen ausnehmen.

Eventuell reicht es aber sogar, nur auf der Firewall den DNS-Eintrag zu setzen. Wenn das auch für den Proxy greift, dann würde der ja direkt in die DMZ gehen und nicht über die externe IP.

Viele Grüße

Jörg

Hallo Alex,

wenn es ohne Proxy funktioniert und mit Proxy nicht, dann wäre es einen Versuch wert, meinen Hinweis in Post OPNSENSE: Zugriff von LAN auf DMZ funktioniert nicht! - #3 von garblixa auszuprobieren.

Der Squid Proxy kommt am WAN Interface mit seiner internen IP-Adresse an. Dort werden private Adressen per default geblockt.

Viele Grüße
Klaus

Hallo Alex,
hast Du in der OPNSense unter Firewall → Einstellungen → Erweitert alle 3 Haken bei „Network Address Translation“ gesetzt? Das hat bei mir geholfen.
LG
Max

Liebe Leute!
Vielen Dank für eure Mithilfe. Wie auch immer - jetzt funkt die Sache. Was genau nun zum Ziel geführt hat, ist mir nicht ganz klar, aber folgendes habe ich umgesetzt:

• Einen DNS-Overwrite-Eintrag auf der Firewall gesetzt
• Nat Reflection aktiviert (Firewall → Einstellungen → Erweitert: alle drei gesetzt)
• Bei den Proxyeinstellungen die besagte Domain in die Ausnahmen aufgenommen

Danke nochmal und liebe Grüße,
Alex