staging.inyokaproject.org

Hallo zusammen,

ich habe ein Problem mit meinem Netzwerk und weiß nicht so recht weiter. Wir haben mehrere Domains registriert die auf unsere Public IP zeigen. Hinter unserem Router mit Firewall haben wir einen Server (b) auf dem einen Nginx Reveres Proxy läuft. Die Router firewall leitet externe Anfragen auf Port 80 und 443 an den Nginx Revers Proxy weiter, der dann die entsprechenden Services bereitstellt. Das läuft soweit alles wunderbar!

Parallel daneben haben wir noch ein weiteres Subnet mit einem anderen Server (a) auf dem ebenfalls eine sehr restriktive Firewall läuft. Hinter dieser Firewall sind die PCs mit mehr sensiblen Daten. Auf diesem Server läuft Pihole, DHCP und verschiedene andere dienste für internen gebrauch. Auch das läuft alles wundebar.

Mein Problem ist, wenn aus dem Subnet a auf unsere registrierten Domains zugreifen will klappt das manchmal, manchmal aber nicht und ich weiß nicht woran es liegt oder wie ich dem Fehler auf die Spur kommen soll. Wenn ich aus dem Subnet A auf die interne IP des Server b zugreif komme ich auf den Server b, aber Nginx kann mit der Anfrage der IP nichts anfragen, weil die Zuordnung der Services über den Namen läuft der im Browser eingebeben wurde. Wenn ich von hand in der Nginx Proxy Konfiguration die IP als zweiten Service eintrage, kann ich auf genau diesen einen Service mit der IP zugreifen.

Die Frage ist: Gibt es da eine Möglichkeit entweder das Netzwerk routing umzustellen oder die Nginx proxy so anzupassen, dass ich mit der IP auf die verschiedenen Services zufgreifen kann?

Z.b. 192.168.1.101/serviceA, 192.168.1.101/serivceB ,... Das wäre für mich auch ok.

Mein Problem ist, wenn aus dem Subnet a auf unsere registrierten Domains zugreifen will klappt das manchmal, manchmal aber nicht und ich weiß nicht woran es liegt oder wie ich dem Fehler auf die Spur kommen soll.

Das kommt wahrscheinlich durch das NAT zustande. IPv4 ist halt ein für das heutige Internet ungeeignetes Protokoll. Führe in beiden Netzen IPv6 ein und mache den internen Verkehr dann über IPv6, dann hast du dieses Problem nicht mehr.

Oh, bekommt man das auch mit IPv4 hin? v6 umstieg ist für später dieses Jahr geplannt, wird aber nicht so auf die schnelle gehen.

xsnoopy schrieb:

Oh, bekommt man das auch mit IPv4 hin? v6 umstieg ist für später dieses Jahr geplannt, wird aber nicht so auf die schnelle gehen.

Mit Krücken ja, aber dann würde ich mich lieber um IPv6 kümmern, ist nachhaltiger und macht weniger Ärger.

Krücken, so schlimm es sich anhört wäre im Moment der bevorzugte Weg.

Dann befasse dich mit NAT Hairpinning.

Ist das was für die /etc/hosts Datei? Wenn die DNS Anfragen alle an Pihole gehen, müsste man dort an einer Stelle die Domains in die hosts eintragen? Aber Vorsicht bin eher Anwender und wenig Ahnung von Netzen.

Nein, das ist nicht NAT-Hairpinning. Das findet auf dem NAT-Router statt.

Es sieht so aus als würde der Router kein hairpinning unterstützen.

Das mit der /etc/hosts hatte ich vorher auch schon überlegt. Werde ich einfach mal versuchen.

Dann mache IPv6.

Wie ich schon sagte IPv6 ist was für später 2023. Muss erst mal sehen ob alle Geräte es unterstützen.

Gerade mal geschaut, Pihole hat ein Feature Local DNS Records. Das versuche ich mal.

Ist dir bei DNS klar, dass das die nächste Krücke wird? Dann musst du sicherstellen, dass jeder intern genau diesen DNS fragt - und nicht irgendeinen. Nur ist sowas in Zeiten von DNS over HTTPS im Browser nicht mehr immer der Fall.