fail2ban sperrt private IP, Seite für niemanden mehr erreichbar

Jeffus

Lt. Junior Grade
Registriert
März 2022
Beiträge
271
Hi,

Aktuell habe ich ein ziemlich interessantes Problem mit meiner Nextcloud in Verbindung mit fail2ban.

Sobald fail2ban anschlägt sperrt es egal von wo und wie jemand ein falsches Passwort eingibt eine Private IP Adresse die mir nicht bekannt ist.

In der DMZ gibt es 2 statische IP Adressen: Der Nextcloud Server -> 192.168.40.99, und der Cloudflare VPN Server -> 192.168.40.98

die IP die gesperrt wird: 192.168.40.97.

Das die DMZ komprimiert ist würde ich als unwahrscheinlich einstufen, ich habe selber ein fail2ban Ereignis provoziert und genau die selbe IP wurde wieder gesperrt, zudem reagiert die IP nicht auf einen Ping.

Die Nextcloud läuft auf Ubuntu Server 22.04.1, als Router ist pfSense im Einsatz.
Ports geöffnet sind keine, da ich den Cloudflare Zero Trust VPN nutze.
Alles außer der pfSense ist eine VM auf ESXi 8.0

fail2ban jail config:

[nextcloud]
backend = auto
enabled = true
port = 80,443
protocol = tcp
filter = nextcloud
maxretry = 3
bantime = 86400
findtime = 43200
logpath = /mnt/storage/data/nextcloud.log


Kann mich jemand aufklären was das für eine IP ist und warum fail2ban sich so verhält?

MfG.
 
und: nur weil keine Antwort auf Ping kommt, heißt das nicht das die IP nicht verwendet wird.
 
  • Gefällt mir
Reaktionen: Jeffus, Yesman9277 und spcqike
vielleicht hilft dir ja das hier weiter.
https://www.reddit.com/r/selfhosted/comments/sixkst/fail2ban_with_cloudflare_proxy/

auch wenn ich nicht nachvollziehen kann, warum ein CF Server bei dir als .97 auftauchen soll. dein (lokaler?) VPN Proxy ist ja die .98. Routingseitig halte ich es für unwahrscheinlich, dass CF auch nur ansatzweise irgendwie eine IP aus deinem privaten DMZ Subnetz verwendet.

Was ich mir vorstellen kann, dass dein VPN Proxy einfach eine zweite vNIC erstellt hat und diese die .97 verwendet. du müsstest doch in pfSense in den DHCP-Leases irgendeinen Eintrag zur .97 finden... oder nicht?
 
  • Gefällt mir
Reaktionen: Jeffus
In deinem Nextcloud-Log solltest du ja Hinweise finden. Ggfs. einen Proxy (traefik, nginx etc.) dazwischen geschaltet?
 
spcqike schrieb:
vielleicht hilft dir ja das hier weiter.
https://www.reddit.com/r/selfhosted/comments/sixkst/fail2ban_with_cloudflare_proxy/

auch wenn ich nicht nachvollziehen kann, warum ein CF Server bei dir als .97 auftauchen soll. dein (lokaler?) VPN Proxy ist ja die .98. Routingseitig halte ich es für unwahrscheinlich, dass CF auch nur ansatzweise irgendwie eine IP aus deinem privaten DMZ Subnetz verwendet.

Was ich mir vorstellen kann, dass dein VPN Proxy einfach eine zweite vNIC erstellt hat und diese die .97 verwendet. du müsstest doch in pfSense in den DHCP-Leases irgendeinen Eintrag zur .97 finden... oder nicht?
Danke, aber das Tutorial was dort verlinkt ist scheint auch nicht mehr zu funktionieren.

Bin da schon seit Stunden dran, es sperrt nach wie vor die private IP.
 

Ähnliche Themen

Zurück
Oben