Öffentliche IP-Adresse landet von intern an der falschen Stelle

[DanielF.]

Hallo zusammen,

ich habe ein Problem mit meiner öffentlichen IP-Adresse beim Zugriff von intern.

Ich habe eine Sophos Firewall, welche mein Router ist.
Davor hängt eine Telekom Digibox, welche im briged-modus ist (also nur Modem spielt).

Wenn ich von AUßEN (außerhalb meines Netzwerks) auf meine öffentliche IP-Adresse zugreife komme dort hin wo ich möchte (also auf einen Dienst im Netzwerk).
-> alles gut!
Wenn in von INNEN (innerhalb meines Netzwerks) auf meine öffentliche IP-Adresse zugreife, komme ich nur auf die Digibox.
-> verstehe ich nicht!

Klar, dass wenn ich die interne Adresse der Digibox angebe auf dem Konfigurations-Interface lande, aber warum ich dort lande wenn ich die externe IP angebe verstehe ich absolut nicht.

Weiß hier einer voran das liegt?

(Klar kann ich den Dienst auch intern auf der interen IP aufrufen aber ich möchte aus speziellen Gründen diesen Weg gehen)

 

[d2boxSteve]

Du kannst nicht von Innen deine öffentliche IP benutzen ... das wäre eine NAT Schleife und das geht nie.
Wenn du von Innen auf deinen Dienst zugreifen willst musst du die Interne IP nehmen.
Wenn du dafür einen Namen (DynDNS) hast musst du diese IP im internen DNS mit der internen IP hinterlegen.

z.B. MeinDienst.dyndns.org müsstest du intern dann auf deine IP, z.B. 192.168.178.10 im DNS hinterlegen. Von extern bleibt alles wie gewohnt, da verwendest du deinen internen DNS ja nicht.

 

[NJay]

Du kannst nicht von Innen deine öffentliche IP benutzen ... das wäre eine NAT Schleife und das geht nie.
Wenn du von Innen auf deinen Dienst zugreifen willst musst du die Interne IP nehmen.

Also ich habe es gerade ausprobiert, komme ohne Probleme von innerhalb meines Netzes über meine Domain, welche auf meine Public-IP zeigt per SSH auf mein NAS im lokalen Netzwerk.
Habe eine Public-v4 und NAT hinter dem Router. SSH ist per Portforwarding von aussen erreichbar.

 

[leipziger1979]

Wenn in von INNEN (innerhalb meines Netzwerks) auf meine öffentliche IP-Adresse zugreife, komme ich nur auf die Digibox.

Was soll das für einen Sinn ergeben?

 

[d2boxSteve]

@NJay : Das ist leider eine große Ausnahme, 98% aller Router lassen das nicht zu

 

[NJay]

@NJay : Das ist leider eine große Ausnahme, 98% aller Router lassen das nicht zu

Ich hab eine ganz normale FB4040...

Ich verstehe auch nicht, warum es nicht funktionieren sollte? Das Paket geht an den Router, dieser sieht, dass es an ihn selbst adressiert ist und leitet es einfach weiter. Am Ende geht der Traffic halt komplett über den Router, statt direkt von Gerät zu Gerät (Falls möglich) und man sollte es vermeiden, aber gehen sollte es doch auf jeden Fall.

 

[shoKuu]

Also einfach einen Host Eintrag machen? Wenn man die externe Adresse eingibt, dieser automatisch auf die interne verweist?

 

[Nilson]

Was soll das für einen Sinn ergeben?

Das z.B. das Web-Interface der Heimautomatisierung mit der gleichen Verknüpfung/Adresse erreichbar ist. War z.B bei mir der Fall.
Zur Lösung: das was @d2boxSteve sagt

 

[d2boxSteve]

@NJay : dann lies dir das mal durch:

Client: Request an den Server per example.spdns.eu, die per DynDNS auf die öffentliche IP des Routers aufgelöst wird
Router: Routing des Requests an den Server im lokalen Netzwerk, wobei die öffentliche IP des Routers durch die lokale IP des Servers ersetzt wird (z.B. 192.168.178.10)
Server: Response an die lokale IP-Adresse des Clients als Absender, da diese vom Router nicht verändert wurde (z.B. 192.168.178.5)
Router: Routing der Pakete an den Client via lokaler IP
Client: Verwerfen der Antwort, da eine Antwort von der öffentlichen IP des Routers erwartet wird

Quelle: https://www.datamate.org/nat-loopba...ers-interne-netzwerk-fit-gemacht-werden-kann/

Das dürfen vernünftige Netzwerkgeräte nicht zulassen. wenn es geht wird an der IEEE-Norm vorbeigearbeitet

Ergänzung (13. Januar 2020)

@TE: nein, der Hosteintrag ist ja auch auf deinem PC wenn er nicht im Heimnetzwerk, sondern in einem z.B. öffentlichen WLAN ist, dort findet er aber dann deine lokale IP nicht.

Du musst das auf der Sophos mit dem DNS Server machen.

 

[DanielF.]

Was soll das für einen Sinn ergeben?

Ja hört sich komisch an, aber ich habe einen Fall, bei dem das Sinn ergibt. Ich habe einen Host auf meinem internen DNS erstellt der soll auf die externe IP zeigen, damit die Firewall dann Reverse Proxy machen kann und ein passendes LE-Zertifkate mit dazu und so Späßchen. Das würde mir hier exterm viel Konfigurations-Arbeit sparen. Natürlich könnte man das anders lösen, aber dieser Quick 'n Dirty Weg wäre mir hier echt lieber.

@NJay : Das ist leider eine große Ausnahme, 98% aller Router lassen das nicht zu

Schade, dass das nicht geht. Ich hätte angenommen ich komme dann von innen nach außen und dann wieder zurück... sehr schade wenn das normalerweise nicht funkt.

 

[Raijin]

Du kannst nicht von Innen deine öffentliche IP benutzen ... das wäre eine NAT Schleife und das geht nie.

Das ist leider nicht richtig. NAT "Schleife" ist schon ein guter Begriff, in echt heißt das NAT-Loopback oder auch NAT-Hairpin. Technisch ist das absolut kein Problem.

Bei NAT-Loopback merkt der Router im letzten Moment, kurz bevor die Daten ins www an den Provider weitergeletiet werden, dass er selbst bzw. seine WAN-IP das Ziel ist und "dreht" die Pakete quasi um, steckt sie also wieder in die NAT-Pipeline. Dazu muss der Router aber explizit NAT-Loopback unterstützen bzw. es auch aktiviert haben.

Problematisch ist dabei, dass dann wirklich jedes einzelne Datenpaket der Verbindung immer über den WAN-Port des Routers geht, auch wenn niemals auch nur ein Bit die eigenen vier Wände verlässt. Bei einem Router mit mäßiger WAN-LAN-NAT-Performance, kann das massiven Einfluss auf die Übertragungsrate haben, wenn man so beispielsweise das NAS anbinden will.

Bevor man zu NAT-Loopback greift, rate ich dringend dazu, entweder ganz banal in der lokalen hosts Datei des Client-Geräts einen manuellen Eintrag für die fragliche Domain einzutragen - die öffentliche IP nutzt man ja eh nie direkt - oder dasselbe im DNS-Server/-Forwarder des Netzwerks zu tun (idR der Router). So ergibt die Namensauflösung von blabla.mein.ddns.de im lokalen Netzwerk stets die lokale IP-Adresse des fraglichen Geräts, während blabla.mein.ddns.de außerhalb des Netzwerks stets die öffentliche IP zurückgibt.

 

[d2boxSteve]

@Raijin : schau dir bitte meinen Beitrag #9 an, ich hab es anfangs "einfach" erklärt, die genauere Ausführung ist bei #9

@TE: wenn du intern den richtigen Namen des Zertifikats im DNS mit der internen IP anlegst geht das sogar mit dem Zertifikat, wo ist das Problem? Da kannst du auf den reverse-Proxy sogar verzichten.

 

[DanielF.]

@TE: wenn du intern den richtigen Namen des Zertifikats im DNS mit der internen IP anlegst geht das sogar mit dem Zertifikat, wo ist das Problem? Da kannst du auf den reverse-Proxy sogar verzichten.

Der Reverse Proxy der Sopohs (heißt dort WebApplicationFirewall) brauch ich in jedem Fall, da dort viele verschiedene Dienste auf einer IP ankommen und je nach Ziel dann an die einzelnen Dienste zugewiesen werden. Und eben so einen Dienst will ich jetzt von intern aufrufen. Ich würde mir halt einfach Arbeit sparen. Das passt schon so, ist ja auch egal. wollte nur wissen ob es geht.
Danke für die Infos.

 

[Raijin]

schau dir bitte meinen Beitrag #6 an, ich hab es anfangs "einfach" erklärt, die genauere Ausführung ist bei #6

#6 stammt von @NJay . Sofern ich nicht völlig auf dem Schlauch stehe, widersprichst du dir mehrfach. Erst schreibst du, dass das "nie" geht, was nicht stimmt. Später räumst du ein, dass es doch gehen kann, verlinkst einen Artikel, zitierst den Fehlerfall, und merkst an, dass es bei 98% der Router nicht geht, obwohl es in eben dem von dir verlinkten Artikel sogar explizit anders steht:

Die meisten Router in Deutschland sind mittlerweile NAT-Loopback fähig.

Wie dem auch sei, manchmal redet man auch aneinander vorbei, versteht etwas falsch oder was auch immer, Schwamm drüber. Fakt ist, dass man definitiv mittels NAT-Loopback auf lokale Ressourcen zugreifen kann, auch wenn es wenig empfehlenswert ist, nicht nur aus Gründen der Performance. Die zu bevorzugende Lösung sollte ein lokaler DNS-Eintrag sein, sei es in der hosts-Datei des oder der Client-PC(s) oder zentral im Router, pihole oder was auch immer man lokal als DNS nutzt (natürlich nicht 8.8.8.8, o.ä.). Wie du ja in #9 auch schon geschrieben hast.

 

[d2boxSteve]

Ja sorry, ich meinte #9, ich hab es editiert weil ich aus Versehen #6 geschrieben hatte.
Ich hab es zumindest noch nie erlebt dass es funktioniert. Aber ich hab auch nicht "die meisten Router" zum Testen :=)

 

[NJay]

Aber ich hab auch nicht "die meisten Router" zum Testen :=)

Ich teste am Wochenende mal die FritzBox meiner Eltern, da meine FB 4040 das ganze kann, denke ich auch das alle neueren FritzBoxen das können.

 

[d2boxSteve]

Ich selbst hab hinter meiner Fritte von KD/VF eine ASA 5506X und mehrere VLAN's. Ich benutze selbst meinen Windows DC als DNS Server (dann Weiterleitung zu PI-Hole) und trage da meine Sachen per lokale IP ein.

 

[DanielF.]

Hey ich schalte mich kurz nochmal ein.
NAT-Loopback war der richtige (und wichtige) Begriff. Das kann man in der Digibox aktivieren (unter Netzwerk-Einstellungen -> NAT).
Damit funktioniert es wie gewünscht.
Danke für die Unterstützung und Aufklärung an alle.
MFG

 

[t-6]

Interessant, das würde dann aber bedeuten dass die Digibox eben nicht regelrecht als Bridge läuft, sprich: Die Sophos hat die WAN-IP an einem seiner Interfaces und keine private von der Digibox.

DMZ/Exposed Host ist kein Bridge-Modus.

 

[DanielF.]

Also Portweiterleitung (auch in Form von Exposed Host) ist nicht eingerichtet, soviel kann ich sagen. Das eine Interface welches an der Sophos hängt ist auf Bridge geschalten das wars. Das WAN Interface der Sophos hat eine private Adresse der Digibox. Aber das NAT-Loopback lässt/ließ sich dediziert für die Bridge einschalten. Möglicherweise versteht die Telekom etwas anderes unter Bridge; vielleicht ist es auch nicht korrekt konfiguriert, ich kanns nicht sagen.