2
Lokalen Server per URL aus lokalem Netz erreichbar machen
Hallo,
Ich habe Probleme mit der Erreichbarkeit unseres lokalen Servers aus dem lokalen Netzwerk über die externe IP bzw. URL.
Das Setup sieht folgendermaßen aus. Wir haben in unserem Wohnprojekt 11 Wohnungen, die alle in einem eigenen VLAN sind und an einem Cisco SG350 switch hängen. Außerdem Hängt an dem Switch ein Server in einem eigenen VLAN auf dem diverse Dienste unserer Genossenschaft laufen, u.a. ein Jitsi Meet Server.
Außerdem hängt an dem Switch ein OPNSense Router der als Gateway nach draußen fungiert. Auf dem Router sind die NAT-Rules für die Kommunikation von außen mit dem Server konfiguriert und funktionieren auch einwandfrei.
Wichtig ist, dass der Server sowohl von extern als auch aus dem lokalen Netz per URL erreichbar ist. Einerseits aus Komfort-Gründen, andererseits um eine Zertifizierung per LetsEncrypt zu ermöglichen.
Bisher hatte ich einen DNS-Override im Unbound-DNS konfiguriert und darüber alle Anfragen an die Domain auf die lokale IP des Servers geleitet. Das hat gut funktioniert. Das Problem dabei ist, dass wenn jemand seinen eigenen DNS Server betreibt oder nicht per DHCP bezieht (z.B. eigenes PiHole), erreicht er den Server nicht mehr.
Um die Konfiguration allgemeintauglich zu machen habe ich NAT reflection eingestellt und gehofft, dass es auf diese Weise ohne DNS-Override funktionieren würde. Leider ist das nicht der Fall und ich weiß nicht woran es liegt.
Kann mir jemand dabei helfen wie ich das am besten konfigurieren kann?
Danke schon mal
Sami
Ich habe Probleme mit der Erreichbarkeit unseres lokalen Servers aus dem lokalen Netzwerk über die externe IP bzw. URL.
Das Setup sieht folgendermaßen aus. Wir haben in unserem Wohnprojekt 11 Wohnungen, die alle in einem eigenen VLAN sind und an einem Cisco SG350 switch hängen. Außerdem Hängt an dem Switch ein Server in einem eigenen VLAN auf dem diverse Dienste unserer Genossenschaft laufen, u.a. ein Jitsi Meet Server.
Außerdem hängt an dem Switch ein OPNSense Router der als Gateway nach draußen fungiert. Auf dem Router sind die NAT-Rules für die Kommunikation von außen mit dem Server konfiguriert und funktionieren auch einwandfrei.
Wichtig ist, dass der Server sowohl von extern als auch aus dem lokalen Netz per URL erreichbar ist. Einerseits aus Komfort-Gründen, andererseits um eine Zertifizierung per LetsEncrypt zu ermöglichen.
Bisher hatte ich einen DNS-Override im Unbound-DNS konfiguriert und darüber alle Anfragen an die Domain auf die lokale IP des Servers geleitet. Das hat gut funktioniert. Das Problem dabei ist, dass wenn jemand seinen eigenen DNS Server betreibt oder nicht per DHCP bezieht (z.B. eigenes PiHole), erreicht er den Server nicht mehr.
Um die Konfiguration allgemeintauglich zu machen habe ich NAT reflection eingestellt und gehofft, dass es auf diese Weise ohne DNS-Override funktionieren würde. Leider ist das nicht der Fall und ich weiß nicht woran es liegt.
Kann mir jemand dabei helfen wie ich das am besten konfigurieren kann?
Danke schon mal
Sami
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 569436
Url: https://administrator.de/contentid/569436
Printed on: May 3, 2024 at 08:05 o'clock
2 Comments
Latest comment
Das ist in dem meisten Fällen ein Hairpin NAT Problem. Das Thema ist hier recht gut erklärt:
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Bei der pfSense sind das die "NAT Reflection mode for port forwards" Einstellungen in den Advanced Settings. Wenn man diese entsprechend setzt, dann klappt es auch wieder mit dem Hairpin NAT.
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Bei der pfSense sind das die "NAT Reflection mode for port forwards" Einstellungen in den Advanced Settings. Wenn man diese entsprechend setzt, dann klappt es auch wieder mit dem Hairpin NAT.
Danke für die Antwort. Das hatte ich mir auch schon angeguckt, hatte aber nicht funktioniert. Bin jetzt aber auch drauf gekommen warum, denke ich zumindest. Das Problem ist, dass wenn der Server antwortet die Antwort garnicht mehr über den Router läuft sondern schon am Switch zum Client geleitet wird. Dementsprechend hat das Outbound-NAT keinen Einfluss und kann das Packet vom Router gartnicht modifiziert werden. Vom Routing her ist das ja auch der sinnvollste Weg. Theoretisch müsste also der Switch die Verbindung erst wieder zum Router routen. Das ist aber eher unschön, daher bleibe ich wohl erstmal beim DNS-Override es sei denn meine Überlegung ist quatsch oder jemand hat eine bessere Idee.
