UCS 5 - Appcenter Problem hinter Firewall - "das Netzwerk ist nicht erreichbar"

Gude in die Runde.

Ich verzweifle schon seit Tagen mit meiner privaten UCS Installation… Aber bestimmt können mir hier einige Erfahrene weiterhelfen.

Mein grundsätzliches Problem:

Das Appcenter funktioniert nicht, zeigt keinen Inhalt und bringt den Fehler: “Das Netzwerk ist nicht erreichbar”. Derselbe Fehler erscheint, wenn ich versuche das Appcenter auf der Kommandozeile zu aktualisieren:

univention-app update

Das System bleibt immer sehr lang an dem Punkt “Downloading https://appcenter.software-univention.de/meta-inf/app-categories.ini” hängen und bringt dann ebenfalls den Fehler “Das Netzwerk ist nicht erreichbar”.

Folgendes Setup habe ich:

  • OPNsense Firewall (ebenfalls pfSense getestet)

→ Interface1 = WAN (mit fester Public IP)

→ Interface2 = LAN (10.40.200.254/24)

  • Univention Server hängt am internen LAN (10.40.200.100/24)

→ GW: 10.40.200.254 | Domain-DNS: 10.40.200.100 | ext.DNS: 10.40.200.254

Prinzipiell funktioniert Alles am Univention Server. Ich kann die Paket Updates installieren. Habe Internetzugang, bzw. kann ext. IPs und Domains erreichen.

Zudem ist der Server problemlos von außen via TCP443-Portforward erreichbar.

Nur der oben besagte Fehler tritt auf. Leider schränkt mich das in meiner gewünschten Installation stark ein, da ich weitere Apps auf dem UCS installieren und bereitstellen möchte.

Lediglich wenn ich den UCS direkt ans WAN hänge und somit die OPNsense Firewall umgehe, funktioniert das Appcenter auf Anhieb. Demzufolge liegt das Problem natürlich am Firewall Betrieb. Nur konnte ich bisher den Fehler noch nicht finden.

Ich habe ebenfalls die Firewall komplett neu aufgesetzt und keine exotischen Einstellungen vorgenommen.
Ebenfalls habe ich auch schon pfSense als Alternative getestet - derselbe Fehler!

Anfangs vermutete ich DNS Probleme. Aber ein “nslookup appcenter.software-univention.de” löst sich auf wie geschnitten Brot. :slight_smile:

Es wäre toll, wenn jemand von Euch einen guten und konstruktiven Hinweis zu dem möglichen Problem hätte.

Vielen Dank und viele Grüße,

Fabio

Hallo Fabio,

das macht man so nicht. Portforwarding erst mal raus nehmen.
Die UCS-Verwaltung hat nichts im Internet verloren.
Wenn du Services bereit stellen möchtest, kannst du das via haproxy tun.
Den gibt es auf beiden Firewalls. Dazu solltest du dich aber erst mal tiefer mit der Materie beschäftigen.
Fail2ban, snort, rk-hunter, geoipblocking, pfblockerNG, etc., sollten da schon sitzen, bevor man sich die Hölle ins Haus holt.
Dann ACME und ein automatisches Zertifikatsdeployment, alles nach Möglichkeit außerhalb UCS, damit man erst mal lernt und versteht, wie das zu funktionieren hat. Bis das nicht sitzt, solltest du es vermeiden, Services nach Außen bereit zu stellen.
Wie sehen die Firewall-Regeln für WAN und LAN aus?

LG.
R.