[pf.conf] "loop"-Verbindungen auf externe DSL-IP funktionieren nicht

Herakles · 27 November 2012

Moin!

Ich habe hier einen DSL-Router mit OpenBSD 4.6 stehen. Ein Update möchte ich derzeit nicht machen, weil mir der Zeitaufwand zu hoch ist, bisher verrichtet er auch ohne Probleme seinen Dienst. Ich weiß, Sicherheit geht vor, aber darum soll es hier nicht gehen.

Ich habe einen Server hinter den Router gestellt, der svn und http bereitstellen soll(nennen wir ihn von nun ab "Kalle"). Wenn ich innerhalb meines lokalen Netzes eben diese zwei Serverdienste in Anspruch nehme, klappt das alles wunderbar. Dabei ist der Router auch nicht involviert, weil die Rechner im LAN direkt miteinander über den Switch verbunden sind, befinden sich also im selben Subnetz.

Nun versuche ich, von einem der Rechner im LAN einen der beiden Serverdienste auf "Kalle" anzusprechen - und zwar über die externe DSL-IP meines Routers. Das klappt nicht.

Wenn ich aber von einem Rechner außerhalb meines LANs(also mit einer anderen "öffentlichen" IP) die externe DSL-IP meines Routers via ssh oder http anspreche, bekomme ich funktionierende, prompte Antworten.

Ich meine mich erinnern zu können, dass das schon einmal Thema in diesem Forum war, leider finde ich aber den Thread nicht wieder...

Also: Woran liegt das und wie kann ich Abhilfe schaffen?

Viele Grüße
Herakles

Crest · 27 November 2012

Dein NAT wird nicht dafür konfiguriert sein. Wie wäre statt hässlicher (unnötiger) NAT Spiele einfach zwei Views per DNS anzubieten?

Bummibaer · 27 November 2012

Hoi,
die einfachste Lösung wo saubär klappt wäre hier Split-Horizon DNS.
Gruß Bummibär

metro · 27 November 2012

Herakles schrieb:
Moin!

Also: Woran liegt das und wie kann ich Abhilfe schaffen?

Viele Grüße
Herakles

Abhilfe wie oben.
Da pf im threadtitle ist , nehme ich an das auf deinem Router auch pf läuft.
Wenn du nun aus deinem internem Netz auf eine Adresse in deinem internen Netz ( rfc 1918 ? ) über die öffentliche IP zugreifen willst, sieht pf das als Versuch des spoofings und lässt das nicht zu. Wahrscheinlich hast du dafür eine Regel !?
Wobei es mir ehrlichgesagt nicht schlüssig ist, warum der Umweg über die öffentliche IP überhaupt sein muss.
Ich würde diese Regel in pf nicht ändern, obwohl RFC 1918 Adressen eigentlich nicht über das Internet geroutet werden sollten.

hth

Bummibaer · 27 November 2012

*knurrr*

du willst Split-Horizon DNS - damit klappts von extern und intern ohne Problem und mer muss nix frickeln oder fummeln oder basteln.

Gruß Bär

SeppoE · 27 November 2012

netcat

http://openbsd.org/faq/pf/rdr.html

Schau mal unten, bei TCP proxying. Damit habe ich mir seinerzeit auch beholfen.
Syntax kann natürlich variieren, je nach Version.

Bummibaer · 28 November 2012

Hoi,
wozu willst da en Proxy neischieben wenn die Kisten im selben LAN sitzen ? - dat is zwar möglich abär bärig doch leicht übärtrieben oda ?
Bei Split-Horizon DNS bleibt er oifach im LAN und der Firewall muss ned extra noch wat machen und hat damit natürlich dann au koi zusätzliche unnötige Last. BTW Split-Horizon DNS is uf de selben verlinkten Seite aus genau dem Grund au aufgezählt.
Gruß Bummibär

[pf.conf] "loop"-Verbindungen auf externe DSL-IP funktionieren nicht

Herakles

Profifragensteller

Crest

rm -rf /*

Bummibaer

Registered Schwarzbär

metro

i² = -1

Bummibaer

Registered Schwarzbär

SeppoE

Active Member

Bummibaer

Registered Schwarzbär

Wir schützen deine Privatsphäre