Firewall-Regeln

Damit die Nextcloud funktionieren kann, braucht Sie Zugriff auf das AD des Servers. Möchtest du auch auf Verzeichnisse und Dateien zugreifen, muss die OpnSense auch Samba-Anfragen an den Server weiterleiten.

In beiden Fällen müssen Anfragen vom Docker-Host an den Server weitergeleitet werden

Firewallregel für den Zugriff auf das AD

Wenn ein Service, wie die Nextcloud oder Moodle auf das AD des Servers zugreifen möchte, wird er die Anfrage an die Firewall stellen. Die Firewall sollte dann diese Anfrage an den Server weiterleiten.

Die Firewallregel wird also eine Portweiterleitung des Ports 636 (ldaps) sein.

Melde dich als root an der OpnSense an und navigiere zu Firewall -> NAT -> Portweiterleitung.

Firewall Portweiterleitung

Klicke auf Hinzufügen um eine neue Firewallregel hinzuzufügen und trage die folgenden Werte ein.

Firewall Portweiterleitung ldaps

Bei Ziel-IP umleiten trägst du natürlich die IP-Adresse deines Servers ein. Im Allgemeinen wird das 10.0.0.1 sein. In der lmn6 war das 10.16.1.1.

Firewallregel für den Zugriff über Samba

Hinweis

Sollte der Nextcloud-Servicve extern stehen, so sollten diese Ports nicht weitergeleitet werden.

Für den Zugriff über Samba müssen die Ports 139 und 445 an den Server weiter geleitet werden. Dazu legst du erst mal einen Alias an.

Navigiere auf Firewall -> Aliase.

Firewall Portweiterleitung ldaps

In der Zeile unter dem letzten Alias klickst du auf + um einen neuen Alias anzulegen.

Firewall neuer Alias

Und trage die folgenden Werte ein.

Firewall SMB Alias

Klicke anschließend auf Speichern.

Jetzt kommt noch die eigentliche Firewall-Regel. Navigiere wieder zu Firewall -> NAT -> Portweiterleitung.

Firewall Portweiterleitung

Klicke auf Hinzufügen, um eine neue Firewallregel hinzuzufügen und trage die folgenden Werte ein:

Firewall Portweiterleitung SMB

Bei Quelle trägst du die IP-Adresse und die Netzwerkmaske deines Docker-Hosts ein. Und bei Ziel-IP umleiten trägst du wieder die IP-Adresse deines Servers ein. Im Allgemeinen wird das 10.0.0.1 sein. In der lmn6 war dies die IP 10.16.1.1.