UTM 9.2 Home - SplitDNS wie bei Fritzbox?

ja, geht. -> UTM: Accessing Internal or DMZ servers from Internal Networks using DNAT

ja, geht. -> UTM: Accessing Internal or DMZ servers from Internal Networks using DNAT

Hi,

vielleicht stehe ich auch ein wenig auf dem Schlauch... aber beschreibt der Artikel nicht genau das? DNS an der Sophos ändern, damit ext.domain.tld mit einer EINZIGEN internen IP aufgelöst wird? 

Suche eigentlich eine Lösung, mit der ich mehrere externe Ports internen Diensten zuordnen kann, um diese auch von intern über den NAT-Port/TLD aufzurufen (ext.domain.tld:80 -> interner Webserver, ext.domain.tld:110 -> anderer interner eMail-Server, etc.)

ok, sorry mein Fehler, hatte die unterschiedlichen Ports nicht beachtet. [:(]

Die Fritzbox kann meines Wissens kein SplitDNS.

Es gibt vermutlich mehrere Varianten wie Du das loesen kannst.

Diese Variante sollte eigentlich funkionieren...

- Zuerst die IP/Port Translation fuer den Zugriff von Extern auf das ext. Interface anlegen (Scenario 2) -> How to Port Forward Service Ports with NAT: Astaro Security Gateway

- Fuer den Zugriff von Intern (gleiche URL) wird der schon u.a. DNS Eintrag benoetigt und zusaetzlich auch wieder eine Port Transation, die fuer Zugriffe aus dem Internen Netz auf den WWW Server den Port aendert. Diese DNAT Rule muss in der Reihenfolge vor der o.g. stehen !

Hi, 

okay, verstehe: Ich setze also intern noch einmal um von Ext. Host auf internen Host.

Habe das gerade auch versucht, klappt nur nicht [:)] Was mache ich falsch?

- Neue DNAT-Regel angelegt:
Verkehrskennzeichner: Any → HTTP → xx.***.de 
Zielübersetzung: mail01 TCP_3000

Dabei ist xx.***.de als DNS-Host angelegt und zeigt auf meinen externen DNS-Namen.

Funktion sollte sein: Alles was von ANY kommt und HTTP auf xx.***.de als Ziel hat soll umgeschrieben werden an internen Server mail01 an Port 3000.

Muss ich dafür intern auch noch mal eine Firewall-Regel erstellen? Eigentlich nicht, bleibt ja schließlich intern?


Edit: Ich bin gerade irritiert. Habe obige DNAT-Regel temporär deaktiviert. Ansonsten sind bei mir nur die externen NAT-Mappings eingetragen. Und plötzlich funktioniert jeglicher Zugriff von intern auf die externen Namen + Port.
Anscheinend macht die Sophos das doch schon automatisch, sobald man NATs angelegt hat?! oO

Dabei ist xx.***.de als DNS-Host angelegt und zeigt auf meinen externen DNS-Namen.

 ? Der DNS-Host Eintrag (xx.***.de) auf der Sophos zeigt doch auf die private IP des Servers, oder nicht ?

Muss ich dafür intern auch noch mal eine Firewall-Regel erstellen? Eigentlich nicht, bleibt ja schließlich intern?

 Vermutlich hast Du in der DNAT Rule den Haken bei "Automatic Firewall rule" gesetzt und da das DNAT vor dem Forwarding erfolgt, ist eine zusaetzliche Freischaltung fuer das interne Netz nicht mehr erforderlich, sofern als source "any" in der Rule steht.

Edit: Ich bin gerade irritiert. Habe obige DNAT-Regel temporär deaktiviert. Ansonsten sind bei mir nur die externen NAT-Mappings eingetragen. Und plötzlich funktioniert jeglicher Zugriff von intern auf die externen Namen + Port.
Anscheinend macht die Sophos das doch schon automatisch, sobald man NATs angelegt hat?! oO

Ich kann Deinen DNAT gerade nicht nachvollziehen, solange Deine Clients die Sophos als DNS Forwarder nutzen funktioniert es auch ohne diesen DNAT Eintrag.

? Der DNS-Host Eintrag (xx.***.de) auf der Sophos zeigt doch auf die private IP des Servers, oder nicht ?
 Vermutlich hast Du in der DNAT Rule den Haken bei "Automatic Firewall rule" gesetzt und da das DNAT vor dem Forwarding erfolgt, ist eine zusaetzliche Freischaltung fuer das interne Netz nicht mehr erforderlich, sofern als source "any" in der Rule steht.
Ich kann Deinen DNAT gerade nicht nachvollziehen, solange Deine Clients die Sophos als DNS Forwarder nutzen funktioniert es auch ohne diesen DNAT Eintrag.

Ich bin mir gerade nicht sicher ob ich mich bei meinem Problem richtig ausgedrückt habe.

Der hn.***.de zeigt gerade auf die externe IP meines Internetanschlusses (ddns). Den Haken für Automatic Firewall Rule habe ich nirgends gesetzt.


Ich habe zwei Server intern laufen:
mail01: Mailserver mit Webinterface auf Port 3000
seafile01: SeaFile-Server, ebenfalls mit Webinterface auf 443.

Sobald ich in der Fritzbox DynDNS eingerichtet und zwei NAT-Einträge von Extern auf die zwei internen Server gesetzt habe, konnte ich sowohl von außen als auch von Innen - ohne Konfiguration - die Dienste mit der externen URL aufrufen:
xx.domain.de:3000 und :443

Bei "anderen Lösungen" wie Watchguard kenne ich das nur über SplitDNS - und da ist eben das Problem, dass ich bei einer IP und einem externen Namen nur EINEN internen Host via Intern über die Externe URL erreichen kann (eben xx.domain.de von intern mit der IP des Servers auflösen lassen).

Da ich aber mehrere interne Dienste so ansprechen möchte, funktioniert das mit SplitDNS ja nicht.

Haben wir da aneinander vorbei geredet?
Ich habe deine Lösung jetzt wie folgt interpretiert:
1) NAT von außen einrichten
2) DNAT-Einträge VOR obige NAT-Einträge setzen, die:
Bei einem internen Aufruf von xx.domain.de über Port 3000 soll der Request umgeschrieben werden in mail01 mit Port 3000. 

Habe ich das so richtig verstanden?

? Der DNS-Host Eintrag (xx.***.de) auf der Sophos zeigt doch auf die private IP des Servers, oder nicht ?
 Vermutlich hast Du in der DNAT Rule den Haken bei "Automatic Firewall rule" gesetzt und da das DNAT vor dem Forwarding erfolgt, ist eine zusaetzliche Freischaltung fuer das interne Netz nicht mehr erforderlich, sofern als source "any" in der Rule steht.
Ich kann Deinen DNAT gerade nicht nachvollziehen, solange Deine Clients die Sophos als DNS Forwarder nutzen funktioniert es auch ohne diesen DNAT Eintrag.

Ich bin mir gerade nicht sicher ob ich mich bei meinem Problem richtig ausgedrückt habe.

Der hn.***.de zeigt gerade auf die externe IP meines Internetanschlusses (ddns). Den Haken für Automatic Firewall Rule habe ich nirgends gesetzt.


Ich habe zwei Server intern laufen:
mail01: Mailserver mit Webinterface auf Port 3000
seafile01: SeaFile-Server, ebenfalls mit Webinterface auf 443.

Sobald ich in der Fritzbox DynDNS eingerichtet und zwei NAT-Einträge von Extern auf die zwei internen Server gesetzt habe, konnte ich sowohl von außen als auch von Innen - ohne Konfiguration - die Dienste mit der externen URL aufrufen:
xx.domain.de:3000 und :443

Bei "anderen Lösungen" wie Watchguard kenne ich das nur über SplitDNS - und da ist eben das Problem, dass ich bei einer IP und einem externen Namen nur EINEN internen Host via Intern über die Externe URL erreichen kann (eben xx.domain.de von intern mit der IP des Servers auflösen lassen).

Da ich aber mehrere interne Dienste so ansprechen möchte, funktioniert das mit SplitDNS ja nicht.

Haben wir da aneinander vorbei geredet?
Ich habe deine Lösung jetzt wie folgt interpretiert:
1) NAT von außen einrichten
2) DNAT-Einträge VOR obige NAT-Einträge setzen, die:
Bei einem internen Aufruf von xx.domain.de über Port 3000 soll der Request umgeschrieben werden in mail01 mit Port 3000. 

Habe ich das so richtig verstanden?