Ich habe eine pfSense-Firewall in einer ziemlich standardmäßigen Konfiguration laufen, 1 WAN, 1 LAN. Auf beiden Seiten der pfSense möchte ich einen Dienst über einen DNS-Namen verfügbar machen, sagen wir „service.domain.com“. Für WAN verweist der DNS-Eintrag auf die WAN-IP-Adresse der pfSense, und ich habe bereits eine funktionierende geteilte DNS-Konfiguration für das LAN eingerichtet, sodass Geräte auf die LAN-IP des Dienstes umgeleitet werden.
Auf der WAN-Seite gibt es eine Portweiterleitung von 443 TCP auf Port 444 TCP auf dem Zielserver, sodass der Dienst auf einem Nicht-HTTPS-Port (der bereits verwendet wird) läuft. Das Problem beginnt, wenn ich versuche, diese Konfiguration für die LAN-Seite des pfSense zu spiegeln. Ich habe eine virtuelle IP auf dem pfSense hinzugefügt, ausschließlich für die Split-DNS-Konfiguration.
Was ich bisher versucht habe:
Eine Portweiterleitungsregel auf der LAN-Seite wurde konfiguriert (neue virtuelle IP 443 TCP --> Zielserver 444 TCP). Der Datenverkehr geht über den richtigen Port zum Zielserver und verlässt den Server zum richtigen Ziel (überprüft über tcpdump und Microsoft Netmon). Der Client tritt in einem Timeout auf (Telnet, OpenSSL zum Testen).
Meine Vermutung ist, dass der Client den Datenverkehr empfängt, ihn aber verwirft, da er ihn keiner bestehenden Verbindung zuordnen kann.
Ein weiterer Test war ein 1:1 NAT, aber innerhalb dieses 1:1 NAT kann ich den Zielport nicht ändern, was ich in dieser Konfiguration tun muss.
Was wäre der beste Weg, diese „interne Portweiterleitung“ zu erreichen?
Danke!
Antwort1
Am Ende habe ich in der Firewall eine manuelle NAT-Regel für ausgehenden Datenverkehr hinzugefügt:
- Eingehende Schnittstelle: LAN
- Quell-IP: Beliebig
- Quellport: Beliebig
- Ziel: LAN-IP des Zielservers
- Zielport: Zielserverport (z. B. 444 TCP)
- NAT-Adresse: pfSense LAN-Schnittstellenadresse
Der Dienst funktioniert jetzt mit Split-Brain-DNS und interner Portweiterleitung.