CNAME - DynDNS nach Wechsel zu pfSense nicht mehr erreichbar

[electricsmoke]

Meine Nextcloud Instanz zu Hause ist mit einem DynDNS und einen darauf verweisenden CNAME Eintrag konfiguriert. Das hat immer gut funktioniert. Nachdem ich jetzt aber meinen Speedport abgeschafft und eine pfSense Instanz aufgesetzt haben, kann ich die Nextcloud ncht mehr über den FQDN des CNAME Eintrags erreichen. Über die DynDNS Adresse und auch die IP allerdings schon. Womit Portfreigabe usw. in pfSense ja korrekt sein sollten, oder?

Auch zeigt ein nslookup jeweils auf die richtige IP Adresse. Was für mich bedeutet dass DynDNS Dienst und CNAME Eintrag ebenfalls korrekt sind und funktionieren.

Jetzt stehe ich etwas an, woran der Fehler noch liegen könnte und bin auf der Suche nach Hilfe bzw. Unterstützung.

 

[blurrrr]

Hi,

Nachdem ich jetzt aber meinen Speedport abgeschafft und eine pfSense Instanz aufgesetzt haben

was ist denn jetzt "vor" der pfSense? Irgendwas muss ja da sein (Modem/Router). Hört sich ja erstmal schwer nach DNS-Rebind-Schutz an, vor allem, wenn es über die DynDNS-Adresse funktioniert, aber über den CNAME-Record nicht.

Über die DynDNS Adresse und auch die IP allerdings schon. Womit Portfreigabe usw. in pfSense ja korrekt sein sollten, oder?

Ja, das sollte soweit passen.

Jetzt stehe ich etwas an, woran der Fehler noch liegen könnte und bin auf der Suche nach Hilfe bzw. Unterstützung.

Fang erstmal bei den Basics an, das wäre jetzt im konkreten Fall erstmal die Namensauflösung. Wenn die Namensauflösung des CNAME korrekt auf die DynDNS-Adresse (und auf die korrekte IP) aufgelöst wird, dann kannst Du dort schon mal einen Haken hinter machen. Ja, ist doch, ja, wird zu 99,9% sowieso richtig sein, aber dennoch...

Wenn das durch ist und Du - was auch immer Du vor dem Router hast - auch entsprechend eingerichtet hast, geht es jetzt um die Frage "was" vor der pfSense ist. Du kannst einen Speedport (mit integriertem Modem) nicht einfach "nur" durch eine pfSense ersetzen, da fehlt dann noch etwas für die Signalumwandlung ("Modem", im Speedport (und anderen SOHO-Routern) ist sowas i.d.R. mit verbaut). SOLLTE es ein Modem sein, ist die nächste Anlaufstelle erstmal die pfSense, sollte es aber ein anderweitiger Router sein, wäre dieser erstmal die nächste Anlaufstelle.

So oder so kannst Du schon direkt bei der pfSense in die Logs schauen bzw. gehst Du erstmal hin und schaltest Logging für die Firewall ein, welche dafür sorgt, dass die Pakete auch an Deine Nextcloud dürfen. Danach öffnest Du das Firewall-Log (Live-Ansicht) und versuchst mal über den CNAME auf die Nextcloud zu kommen. Wenn da "nichts" im Log auftaucht (weder verworfene, noch akzeptierte Pakete), kommst Du noch nichtmals bis zur pfSense, ergo ist schon vorher irgendwo etwas schief gelaufen (Router/Modem).


Ich gehe aber mal eher davon aus, dass an der pfSense die gewünschten Pakete entsprechend verworfen werden... Die Nextcloud-Config besagt ja sicherlich bei den "trusted_domains", dass sowohl der CNAME, als auch die DDNS-Adresse beide gültig sind. Teste mal "beide" Zugriffe mit dem Handy (nur via LTE, nicht WLAN!). Ich vermute einfach mal, dass da dann beide Zugriffe funktionieren. Falls dem so ist, schau mal hier nach: https://docs.netgate.com/pfsense/en/latest/services/dns/rebinding.html

Aber so oder so: 1) Kommt was an der Firewall an (dafür auch das Logging für die allow-Rule aktivieren), 2) wenn etwas verworfen wird, "warum"?

 

[electricsmoke]

Danke für die Rückmeldung. DNS Rebind Schutz war das richtige Stichwort. Ich habe meine Domain in die "Custom Options" eingetragen und jetzt erreiche ich meine Cloud auch über den CNAME .

 

[electricsmoke]

Mist, zu früh gefreut geht leider doch nicht :-( ... bräuchte daher doch noch etwas mehr Hilfe.

Vor meiner pfSense sitzt der Speedport im reinen Modembetrieb (PPPOE Zugang ist in pfSense).

Ich habe jetzt versucht in die Logs der Firewall zu schauen und bin dazu wie folgt vorgegangen:

1. Laptop mit Wifi Hotspot am Handy verbunden, auf whatsmyip.org meine IP Adresse geprüft. Auf meinem Desktop, der mit meinem lokalen LAN verbunden ist, habe ich als Gegenprobe ebenfalls meine IP geprüft - es ist eine andere.

2. auf meinem Laptop im Browser einmal die DynDNS URL, einmal die CNAME URL und auch IP Adresse eingegeben und dann im pfSense unter -> Status -> Systemlogs -> Firewall -> Dynamic View geschaut, ob die IP Adresse des Laptops auftaucht.

Tatsächlich taucht die IP Adresse auch als "passed" in den Logs auf - egal über welche URL bzw. die IP. Allerdings steht bei Aufrufen über die IP und den DynDNS unter Interface "LAN", während beim Aufruf des CNAME "WAN" bei Interface steht. Die Destination stimmt jeweils.

Wenn nix blockiert wird, kann es ja eigentlich nicht an der FW liegen, oder? Ich lasse meiner Nextcloud im DNS Resolver einen lokalen Hostnamen zuweisen und einen Hostoverride, damit der CNAME im LAN lokal aufgelöst wird. Kanns daran liegen?

 

[blurrrr]

Ich lasse meiner Nextcloud im DNS Resolver einen lokalen Hostnamen zuweisen und einen Hostoverride, damit der CNAME im LAN lokal aufgelöst wird.

Sowas ist nicht nötig, denn im öffentlichen DNS sind ja bereits entsprechende Informationen hinterlegt. Fraglich wäre ggf. noch, ob die pfSense auch als Reverse-Proxy agiert, oder ob die Pakete einfach nur "durchgereicht" werden. Die interne Umschreiberei kann man sicherlich machen, das geht dann aber schon in Richtung Split-DNS (öffentlich und interne DNS-Records unterscheiden sich).

Ich würde grundlegend - sofern es von extern erreichbar sein soll - alles auf "regulärem" Wege einrichten (ohne irgendwelche Umschreibereien). Vielleicht nimmst Du die Dinge im Resolver einfach mal raus, so dass es intern die gleichen Bedingungen hat, wie auch extern.

 

[electricsmoke]

Sowas ist nicht nötig, denn im öffentlichen DNS sind ja bereits entsprechende Informationen hinterlegt.

Äh - also das halte ich für unwahrscheinlich. Der öffentliche DNS kennt ja nicht die (interne) IP meiner NC Instanz geschweige denn, welchen Hostnamen und Domain ich im LAN benutzen möchte ...

Ich hab das bei mir in der Firma genau so eingerichtet und es funktioniert perfekt. Das ist genau mein Problem, dass ich es (vermeintlich) genau so wie bei mir in der Firma gemacht habe, es dort funktioniert, bei mir aber nicht. Der einzige Unterschied ist, dass wir in der Firma eine feste IP haben und ich zu Hause nicht.

Ich habe den Host Override aus dem Resolver rausgenommen und auch das macht keinen Unterschied.

Fraglich wäre ggf. noch, ob die pfSense auch als Reverse-Proxy agiert, oder ob die Pakete einfach nur "durchgereicht" werden.

Wie find ich das raus?


Vielen Dank!

 

[blurrrr]

Äh - also das halte ich für unwahrscheinlich. Der öffentliche DNS kennt ja nicht die (interne) IP meiner NC Instanz geschweige denn, welchen Hostnamen und Domain ich im LAN benutzen möchte ...

Warum solltest Du da irgendwas "anderes" benutzen wollen? Natürlich kennt der "öffentliche" DNS die "interne" IP Deiner NC-Instanz nicht, das spielt aber auch überhaupt keine Rolle. Wenn Du es - warum auch immer - so kompliziert machen willst, okay.

Der einzige Unterschied ist, dass wir in der Firma eine feste IP haben und ich zu Hause nicht.

Das spielt keine Rolle, denn der CNAME zeigt auf die DynDNS-Adresse. Ist diese nicht "aktuell" wird es auch nicht funktionieren, aber ansonsten geht es nur darum, dass etwas auf die korrekte IP zeigt.

Ich lasse meiner Nextcloud im DNS Resolver einen lokalen Hostnamen zuweisen und einen Hostoverride, damit der CNAME im LAN lokal aufgelöst wird.

Das solltest Du dann einfach mal "beides" rausnehmen, denn ansonsten stimmt auch die Namensauflösung nicht.

Ich hab das bei mir in der Firma genau so eingerichtet und es funktioniert perfekt.

Na dann weisst Du ja (hoffentlich) wie es funktioniert, da versteh ich dann auf der anderen Seite die entstandene Problematik nicht...

Wie find ich das raus?

Entweder hast Du es selbst eingerichtet, oder eben nicht.