millernet
OK, jetzt ist klar … Wir reden definitiv aneinander vorbei … 😁
Wie Split DNS funktioniert weiss ich schon, wie ich bereits erwähnt habe. Mein Setup entspricht das, was Du beschrieben hast und es funktioniert einwandfrei. Meine „Problemstellung“ sieht jedoch vor, dass der Zugriff über die WAF zuerst getestet werden muss, bevor der Zugriff aus dem Internet ermöglicht wird. D. h., bevor der DNS Eintrag auf dem externen DNS gemacht wird.
Zur Erklärung: In der Regel teste ich eine neue WebApp zuerst mit direkten Zugriffen auf dem Webserver. Dann teste ich den Zugriff über die WAF von einer VM in der „WAN-Zone“ (Netz zwischen Firewall und UPC Router). Dabei wird nicht nur die Applikation selber getestet, sondern auch die MF-Authentisierung, welche nur für Zugriffe aus dem Internet gelten soll. Erst wenn alle Tests erfolgreich sind, wird die Applikation vom Internet aus erreichbar gemacht (DNS-Eintrag im externen DNS-Server und LE Zertifikat). Dies kann ich recht einfach mit dem Router-Modus bewerkstelligen.
Mit dem Bridge-Modus habe ich die folgenden Optionen, um das Gleiche zu erreichen:
- Ich teste den Zugriff vom Internet aus, was ich eigentlich vermeiden will
- Ich verwende unterschiedliche FQDNs zur Unterscheidung der Ziel-IPs, um den Zugriff aus dem internen Netz testen zu können. Dies kann jedoch, je nach Applikation, zu weitere notwendigen Anpassungen (WAF, Webserver), damit die betroffene Applikation richtig durchgetestet werden kann.
- Eine DMZ einrichten (analog WAN-Zone beim Router-Modus), nur um den Zugriff testen zu können, was zur Konfiguration von zusätzlichen Interfaces, VLANs und Rules führt.
- Ich installiere einen eigenen Router zwischen UPC Router und Firewall und verlagere die „WAN-Zone“ hinter den eigenen Router.
Wenn man die beiden Modi miteinander vergleicht, dann ist der Router-Modus aufgrund der Einfachheit in diesem Fall besser geeignet.