Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2853 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT funktioniert nicht?

ReneX01
Hallo zusammen
Ich bin neu hier und ein Newbe in Sachen Astaro, habt also ein bisschen Gnade mit mir. 

Ich habe folgendes Problem:
Ich habe bisher einen Webserver und Mailserver direkt in der DMZ meines Routers betrieben und möchte diese nun hinter eine Astaro Security Gateway  7.504 stellen. Ich habe dazu 3 Netzwerkkarten eingebaut:

eth0 = internal (LAN)
eth1 = external (LAN Anschluss des Routers)
eth2 = DMZ (mein neu zu erstellender DMZ-Bereich in welchem ich meinen Web und Mailserver neu betreiben möchte) 

Für einen ersten Versuch mit dem Webserver habe ich bei DNAT folgendes eingetragen:
Datenverkehrsquelle:any
Datenverkehrsdienst:HTTP
Datenverkehrsziel: DMZ Network (eth2)
NAT Modus: DNAT (Ziel)
Ziel: Rechner mit IP meines Webservers und Schnittstelle DMZ
Zieldienst: HTTP
Automatische Paketfilterregel ist aktiviert.

Danach den Router so angepasst dass er Port 80 an den LAN Anschluss weiterleitet und keine IP Konflikte entstehen. Danach Kabel von Router DMZ Anschluss an eth2 umgesteckt. Der Webserver ist nun mit eth2 verbunden.

Nun versuche ich die Webseite von extern aus aufzurufen (über vtunnel.com was bei der bisherigen Konstellation immer gut funktionierte). Die Webseite ist aber nicht zu erreichen. Rufe ich bei Paketfilter das Liveprotokoll auf, so sehe ich, dass die HTTP Anfrage an die ASG gestellt wird, aber auf dem Weg nach external (eth1) mit Drop verworfen wird. Das sieht so aus: 
23:59:17 Default DROP TCP 67.159.51.158 : 80 (Anfrage vom Router) → 192.168.3.2 : 44729 (external / eth1)

Ich habe schon diverses ausprobiert, aber immer endet es mit obigem Verwurf der Anfrage an der eth1.

Von internal und von DMZ nach Internet und von internal (eth0) nach DMZ (eth2) funktioniert alles bestens. Ich schaffe es aber nicht externe HTTP Anfragen an den DMZ Bereich weiterzuleiten da diese offenbar bereits auf dem Weg zur ASG verworfen werden. Langsam zweifle ich an meinem Verstand und ich hoffe dass jemand in diesem Forum so nett ist meinen gedanklichen Knoten zu lösen.

Gruss René


This thread was automatically locked due to age.
  • 0
    Datenverkehrsquelle:any
    Datenverkehrsdienst:HTTP
    Datenverkehrsziel: DMZ Network (eth2)
    NAT Modus: DNAT (Ziel)
    Ziel: Rechner mit IP meines Webservers und Schnittstelle DMZ
    Zieldienst: HTTP


    Mit zwei kleinen Änderungen sollte das klappen...

    Datenverkehrsziel: WAN (Address)

    Zieldienst: {leer lassen}


    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Halo Bob

    Besten Dank für deine schnelle Antwort. Ich habe das Datenverkehrsziel und den Zieldienst nach deinen Anweisungen geändert. Allerdings ohne Erfolg die Meldung im Live-Protokoll: Paketfilter lautet immer noch:

    14:02:04 Default DROP TCP 218.213.238.230 : 80  → 192.168.3.2 : 43048 
                                                                                              ^^^^
    Kann es sein, dass mein vorgeschalteter Router/Firewall das Problem verursacht, da die Anfrage an external (192.168.3.2) wie oben gezeigt über Port 43048 und nicht über Port 80 erfolgt? 

    mfg
    René
  • 0 in reply to ReneX01
    Eine DNAT-Regel alleine reicht nicht. Hast Du auch eine Packetfilterrule die das erlaubt ?
  • 0
    Hallo Nic

    Aktuell nicht (mehr). Meine gelesen zu haben das DNAT vorgreift. Wie müsste diese den lauten?

    Quelle: any
    Dienst: HTTP
    Ziel: Rechner IP ??

    Gruss 
    René
  • 0
    Zur Ergänzung noch ein paar Angaben zum Aufbau. Aktuell habe ich den DMZ Anschluss meines Router/Firewall und den DMZ Anschluss (eth2) der ASG am gleichen Switch angeschlossen wie den Webserver (unüblich, ich weiss. Ist aber nur vorübergehend bis das ganze läuft). In der bisherigen Konfiguration hat mein Router/Firewall in der DMZ Zone die Portweiterleitung an die IP des Webservers übernommen. Dies soll neu über die ASG laufen. Ich habe verschiedene Portweiterleitungen versucht (auch Ziel Rechner IP des Webservers). Sobald ich die Portweiterleitung des Router/Firewall deaktiviere, sollte diese über die ASG laufen. Jedoch habe ich immer noch das gleiche Bild im Live-Protokoll. Die Anfragen werden nicht weitergeleitet (Drop). Irgendwie habe ich einen geistigen Knopf ;-(

    Gruss René
  • 0 in reply to ReneX01
    Hallo Nic

    Aktuell nicht (mehr). Meine gelesen zu haben das DNAT vorgreift. Wie müsste diese den lauten?

    Quelle: any
    Dienst: HTTP
    Ziel: Rechner IP ??

    Gruss 
    René


    So müßte sie lauten ja...

    Das man die nicht mehr braucht wäre mir neu....werde ich mal testen (-;
  • 0
    Ein Lichtblick, aber ... :-( Ich habe die Portweiterleitung meines Routers/Firewall versuchsweise mal so umkonfiguriert dass die Weiterleitung von Port 80 nicht mehr direkt an den Webserver sondern an die die IP von external erfolgt. Siehe da, nun erscheint meine Webseite per vtunnel.com zumindest zeitweise über external. Schnell alle Einstellungen notiert. Aber das ganze scheint ist irgendwie nicht konstant zu funktionieren. Mal funktioniert es, mal nicht. Irgendwie scheint mein Router/Firewall das Problem zu verursachen. Aus Verfügbarkkeitsgründen musste ich das ganze zurücbuchstabieren, aber ich bleibe dran.

    Gruss René
    Gruss René
  • 0
    Hallo zusammen
    Das Problem ist gelöst ;-). Um einige graue Haare reicher habe ich schlussendlich herausgefunden, dass eine Einstellung am Webserver das Problem verursachte. 

    Problem:
    Dadurch das ich versuchsweise zwei Wege in die DMZ geschaltet hatte, musste ich für die IP von DMZ (eth2) natürlich auf eine andere Adresse als beim Router setzen. Ich habe beim Webserver zwar einen zweiten Standardgateway auf eth2 eingetragen, dass hat aber offenbar nicht richtig funktioniert. Beim Webserver hat nun also der Standardgateway nicht gestimmt da er wohl auf den Router zeigte. Port 80 wurde weitergeleitet, aber der Webserver hat nicht bzw. nicht immer auf DMZ (eth2) geantwortet. Ich habe den Standardgateway beim Webserver nun fix auf die IP von eth2 gesetzt und schon läufts. Tja, auch ich werde klüger auch wenn es manchmal dauert ;-)

    Zusammenfassend die laufenden Einstellungen (vielleicht hilft es anderen):

    Router/Firewall -> Portweiterleitung an External 

    DNAT
    Datenverkehrsquelle:any 
    Datenverkehrsdienst:HTTP
    Datenverkehrsziel: External (Address)
    NAT Modus: DNAT (Ziel)
    Ziel: Rechner mit IP meines Webservers und Schnittstelle DMZ
    Zieldienst: leer lassen

    Standardgateway auf dem Webserver: IP von DMZ (eth2) ;-)

    Zum Beitrag von Nic: Eine weitere Portregel ist nicht nötig, DNAT reicht.

    Ich möchte mich ganz herzlich für eure Hilfe bedanken.

    Gruss René