http dnat bin ich so dämlich?

Ähhh.....sollte die NAT-Regel nicht auf EXTERNE-IP gehen (ANY-HTTP-External Address).

Mach das mal so:

====
Quelle: Internet (nicht Any)
Dienst: HTTP
Ziel: External (Address)

NAT - Modus: DNAT (Ziel)

Ziel: Webserver
Auto. Packetfilter: Ja (Brauchst keine "eigene" Packetfilter Rule)
=====

Solltest im Normalfall als Quelle "Internet" und nicht "Any" verwenden. Denn "Any" meint wirklich any, jedes Netz, alles, auch die internen. (intern musst du nichts NAT'en) Internet ist eingeschränkt auf das externe Interface.

Hi zusammen

Thx für eure Antwort. Die External (Adresse) Fehler habe ich gestern Abend auch schon bemerkt. Siehe bei meiner Post unter Edit.

Habe jetzt auch auf Internet gesetzt. Obwohl Any ja auch gehen sollte. Und auf Automatische Regel geklickt.

Das mit der Automatische Regel ist mir ein bisschen schleierhaft. Wo sehe ich die? Unter Paketfilter sehe ich keine Regel wenn ich dieses häcken anklicke.

Ach so aber auch mit Internet gehts nicht. Die Regeln werden von irgend einer andern Regel gedroppt weiss aber nicht von welcher.

09:09:11  Default DROP  TCP 
192.168.1.2  :  51602
→ 
84.72.25.224  :  80

[SYN]  len=52  ttl=128  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:0c:29:64:c2:1b
09:09:17  Default DROP  TCP 
192.168.1.2  :  51602
→ 
84.72.25.224  :  80

[SYN]  len=48  ttl=128  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:0c:29:64:c2:1b

Intern sollte es ja auch gehen habe dafür extra einen neue Paketfilterrule gemacht.

Gruss und danke

Ja, Any geht auch, ist aber aus genanntem Grund besser immer Internet zu nehmen (ausser Any ist wirklich gewollt)

Die automatischen Regeln siehst du im Interface nirgendwo, weil er diese eben automatisch erstellt. Würde man höchstens über SSH sehen. Macht aber einfach, entsprechend deiner NAT Regel, eine PF Rule.

Der Drop zeigt aber das die Verbindung von deiner internen Adresse auf die 84.72.x.x nicht zugelassen wird. Ist die 84'er deine externe (wo der Webserver dahinter läuft) ?

Vermutlich versuchst du die Webseite über den DNS Namen aufzulösen, was die externe Adresse zurück gibt wenn du keinen internen DNS hast. Trage den Host/Domain mal unter Network Services ==> DNS ==> Static Entries ein. Der erste (und einzige) DNS auf deinem PC im internen Netz sollte dann natürlich die Astaro sein. Ein nslookup/dig muss dir dann die interne IP des Webservers zurück geben.

Hi und thx. Von aussen komme ich jetzt auf die Domain. Habe es von meinem Handy aus getestet und funktioniert. Mit der Statischen Routing funktioniert es aber irgendwie noch nicht. Ist momentan auch nicht weiter tragisch. Werde einen host eintrag machen und vorübergehend so arbeiten.

Danke dir.

Grüsse

Da musst du kein statisches Routing einrichten. Das Problem ist nur das dein internen PC die Domain auf die externe IP auflöst anstatt auf die interne. Wie geschrieben musst du dafür nur den DNS der Astaro benutzen und einen statischen Eintrag machen,

Jep danke. So jetzt funktioiert es. Habe da noch eine Umleitung gemacht, dass alle anfragen an die Domain auf mein Domain Controller weitergeleitet werden. So funktioniert alles.

Danke dir.

So aber jetzt kommt das nächste Problem ;-) bzw 2i.

1. Komme mit Steam nicht raus :-( Kabe die Services reingetan und eine Gruppe definiert. Sie heisst natürlich Steam

- PC01 in reingenommen (Definitionen - Netzwerk=

- Services konfiguriert siehe Grafik

- DNAT konfiguriert

DNAT []
Traffic selector: Any → Steam → External (WAN) (Address)
Destination translation: PC01
Automatic packet filter rule: Yes
Initial packets are logged:

Sollte eigentlich stimmen! Habe ich was vergessen? Jedenfalls kann ich mich nicht Verbinden :-(

2ites Problem:

HTTP Proxy:

Und zwar lade ich viel von Rapidshare und Co runter. Habe eine Ausnahme reingetan, dass dieser Verkehr nicht überwacht werden sollte. Leider hilft es nicht. Er drosselt zuerst einmal meine Leitung Extrem zweitens lässt er keine Mehrfachverdingungen zu. Wenn ich den Proxy abstelle funktioniert es Super. Gibt es irgendwo eine Möglichkeit den Proxy so einzustellen, dass er Mehrfachverdingungen zulässt bzw auch die Maximale Dowloadgeschwindigkeit nicht selber drosselt?

Thx...

So das mit dem Steam habe ich gepackt. Kann mir einer Sagen wieso ich diesmal die Paketfilter Rules noch von Hand machen musste? Geht in dem Falle nicht immer die Automatische Rules?

Habe folgede gemacht


Quelle Internal (Network)

Service Steam

Ziel Any

Grüsse

Ich denke nicht, dass du für Steam ein DNAT benötigst. Alles was du tust ist ja eine Verbindung nach draußen aufzubauen über diverse Ports.
Ein DNAT übersetzt ja nur eine IP-Adresse oder Port in eine andere. Das hat hier keinen Effekt.
Hier sind nur Filterregeln wirksam. DNAT kannst (und solltest) du entfernen!

Zu Rapidshare und co: Wenn du den (transparenten)Proxy umgehen willst, kannst du unter advanced seiten oder IPs eintragen die davon nicht betroffen sein sollen. Unter "Skip transparent mode hosts/nets", dabei den Haken "Allow traffic for listed hosts" nicht vergessen, sonst wird dein packetfilter diese seiten auch nicht durchlassen.

PF Rule musstest du machen weil das DNAT von aussen nach innen geht, nicht von innen nach aussen. Und für das DNAT hat er auch die korrekten PF Rules gamacht.

(Da sieht man mal wieder das ich kein Gamer bin. Hatte keine Ahnung was Steam ist [:S], musste erst mal g00gle anwerfen...)

Wenn das Ding nur Verbindungen nach aussen macht auf die angegebenen Ports brauchst du das DNAT, wie von Krycek erwähnt, nicht.