123788
Goto Top

Nextcloud über 2 versch. IPs

Moin zusammen,

folgende Situation:
Betreibe einen Nextcloud-Server (auf Debian), der in einer DMZ an einer Firewall hängt. In der DMZ ist sonst nichts, ist also ein 30er-Netz.
Momentan ist Nextcloud mit entspr. Firewall-Regeln aus dem LAN verfügbar. Die Clients nutzen dazu die IP, welche Nextcloud in der DMZ hat (192.168.3.2).
In Zukunft soll die Cloud aber auch über VPN erreichbar sein. Dazu existiert bereits ein openVPN-Server, welcher auf der Firewall läuft. Der NC-Server und alle Clients können sich zu diesem verbinden.

Mein Problem nun: Wie regel ich das mit den Clients? Denn diese sind WLAN-Laptops und müssten im eigenen Hause mal die LAN-IP nutzen und mal von extern die VPN-IP des NC-Servers (172.16.16.3).
Klar: Ich könnte den VPN in die DMZ routen lassen. Das könnte aber Probleme verursachen, wenn die Clients mal in Netzen sind, welche zufällig denselben IP-Bereich verwenden.
DNS ist momentan nicht im Einsatz, die Konfiguration dessen wäre auch mittelmäßig aufwendig.

Habt ihr Ideen? Ruhig auch ausgefallene...

Content-Key: 339431

Url: https://administrator.de/contentid/339431

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: aqui
aqui 31.05.2017 aktualisiert um 17:31:48 Uhr
Goto Top
wenn die Clients mal in Netzen sind, welche zufällig denselben IP-Bereich verwenden.
Das ist ja aber ein hausgemachtes Problem wenn man dümmliche 192.168er IPs verwendet face-sad

Dazu gilt immer die goldene Regel:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Mit dem .3er Netz bist du aber knapp aus dem Rahmen der 08/15 IP Adressen der Massenrouter so das es sicher nur in Ausnahmefällen passiert.
Aber da du ja eh ein /30er Netz hast mit maximal 2 popeligen IP Adressen die dann zu ändern sind, ist das ja dann auch ne Lachnummer die 2 IPs schnell auf ein etwas "exotischeres" IP Netz umzustellen.
Damit wärst du dann sicher vor solchen Dopplungen. Denn die Chance das jemand sowas wie 172.23.243.176 /30 usw. vergeben hat dürfte reichlich gegen Null gehen face-wink

Der andere (einzige) Ausweg wäre dann bidirektionales NAT was dann in eine elende Fricklei ausartet. Dann lieber 30 Sekunden die beiden IPs ändern. Keep it simple stupid...
Mitglied: 123788
123788 31.05.2017 um 19:22:04 Uhr
Goto Top
Recht hast du, die beiden IPs zu ändern geht natürlich sehr fix.
Das Problem ist nur: Es ist eben ein DMZ-Server. Deshalb nutzen Clients anderer VLANs den Server über die momentane IP im 30er Netz.
Und natürlich kann ich's auch dort überall ändern, das wird danna ber eben doch schon ein gutes Stück mehr Arbeit.
Mitglied: StefanKittel
StefanKittel 31.05.2017 um 21:18:39 Uhr
Goto Top
Hallo,

warum greifst Du über die IPs zu?
Wenn Du über einen Hostnamen darauf zugreifst kannst Du doch für jedes Segment diesen Hostnamen anders auflösen?
Stichwort Split-DNS

Als Name z.B. cloud.firma.de

Stefan
Mitglied: horstvogel
horstvogel 31.05.2017 aktualisiert um 21:51:16 Uhr
Goto Top
Oder z.B. Squid Reverse Proxy mit Client Zertifikat
mit ACME ( let´s encrypt).
Wenn man z.B. eine PFsense hat, ist aber nicht ganz vollständig.

3
4
5
6
7
8
9
10
11
12
13
14

der Horst
Mitglied: 123788
123788 01.06.2017 um 09:05:37 Uhr
Goto Top
Split-DNS klingt gut. Wie richte ich das unter pfSense denn ein?
Finde nämlich nur die Möglichkeit, generell Host/Domain-Overrides zu machen.
Per VPN muss ich den DNS-Server dann auch an meine Clients pushen, richtig?
Mitglied: aqui
aqui 01.06.2017 um 09:31:49 Uhr
Goto Top
Mitglied: 123788
123788 03.06.2017 um 09:34:39 Uhr
Goto Top
Moin,

also nochmal vollständig:

- ich pushe die Route in die DMZ auf die Clients, per OpenVPN-config

Die Anleitung habe ich mir angeschaut. Was ich nicht verstehe: Im Beispiel wird ja die 192.168.1.200 verwendet. Setze ich dort die IP meines NC-Servers ein?
Mitglied: 123788
123788 09.06.2017 aktualisiert um 22:29:40 Uhr
Goto Top
Muss ergänzen, denn ich stelle einen unbeabsichtigten Fehler in meiner Darstellung fest:
Der VPN-Server läuft auf einer entfernten Firewall. Das bedeutet: Der Nextcloud-Server hängt garnicht an dieser. Sondern er verbindet sich lediglich auch als Client (per openVPN) dorthin.
Das Pushen der Route wird also nicht viel bringen, denn der VPN-Server kennt dieses LAN ja garnicht?

Gibt's also irgendeine Möglichkeit, das zu tun? Es gibt inter-client-communication bei openVPN. An die Nextcloud heranzukommen ist über die VPN-IP also kein Problem. Bloß wär das im LAN nicht gerade ne performante Variante...

Meine Idee ist jetzt: Ich kann doch den DNS-Server (die VPN-Firewall) einfach auf die Clients pushen und den DNS-Namen des Nextcloud-Servers auf dessen VPN-IP setzen?
Mitglied: aqui
aqui 10.06.2017 um 13:39:06 Uhr
Goto Top
Das Pushen der Route wird also nicht viel bringen, denn der VPN-Server kennt dieses LAN ja garnicht?
Das ist richtig und dann aber auch gar nicht erforderlich, denn dann ist der NextCloud Server ja direkt mit seiner VPN IP Adresse zu erreichen.
Wenn du OpenVPN als VPN Protokoll verwendest musst du dann aber die Client zu Client Kommunikation am Server aktivieren im Setup. Per Default ist die deaktiviert und so können dann die Clients nicht untereinander kommunizieren.
Das müssen sie hier aber zwingend, denn dein Nextcloud Server ist ja dann auch ein Client.
Ergänze also client-to-client im Konfig File, dann klappt das auch sofort face-wink
Mitglied: 123788
123788 10.06.2017, aktualisiert am 11.06.2017 um 11:33:23 Uhr
Goto Top
Genau, das habe ich jetzt gemacht face-wink
Funktioniert auch. Ich pushe den DNS-Server an die Clients und lasse dann den Hostnamen des NC-Servers darüber auflösen.

Frage: Wie bekomm' ich das bei pfSense hin, dass er in verschiedenen Subnetzen den Hostnamen verschieden auflöst?

Edit: Jetzt habe ich folgendes Problem: Auf dem DNS-Server werden noch andere Domainnamen überschrieben und mit lokalen IPs aufgelöst.
Das macht natürlich auf einem externen VPN-Client nun Probleme... wie kann ich das regeln?
Mitglied: aqui
aqui 12.06.2017 um 10:38:18 Uhr
Goto Top
Du musst dazu den DNS Server auf der pfSense entsprechend customizen.
Besser ist es aber du nutzt einen zentralen DNS Server für die Clients und nicht den der pfSense wenn du solch komplexere Anforderungen an dein DNS System hast.