Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 5528 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verständiss Frage DNAT / merfach Port Nutzung

gidos
Hallo zusammen

Ich bin ganz neuer Astaro Benutzer uns soweit recht begeistert.

Eine kleine Frage oder Problemstellung habe ich und bin nicht sicher, ob dies mit Astaro zu bewerkstelligen ist.

Ich möchte 3 Webdienste von aussen erreichbar machen. Diese sollten extern alle auf Port 80 erreichbar sein und die Astaro soll diese anhand der eingegebenen URL auf drei unterschiedliche Systeme routen.
Also:
url1.domian.com:80 --> 192.168.1.17:80
url2.domian.com:80 --> 192.168.1.22:80
url3.domian.com:80 --> 192.168.1.24:80

Habe mal irgendwo in einem Forum gelesen, dass dies via dnat in verbindung mit dyndns bewerkstelligt werden kann.

Für Hilfe und Anregungen bin ich EUch allen Dankbar

mfg

Guido


This thread was automatically locked due to age.
  • 0
    Hallo Guido, 

    Das geht leider nicht per DNAT, da dies lediglich auf ip und Port agiert und keine Ahnung vom dbs Namen hat ud auch nicht den HTTP Header analysiert.

    Du kannst dafuer aber den Http Reverse proxy in der web Application Firewall der ASG V8 verwenden, dort geht es problemlos, weil der den hostnamen im http Header nutzt um seine routinf Entscheidung zu treffen.

    Hoffe das hilft

    gruss Gert
  • 0
    Also: in V7.5, wenn, zum Beispiel, es Folgendes gäbe:

    url1.domian.com --> 84.72.66.65
    url2.domian.com --> 84.72.66.66
    url3.domian.com --> 84.72.66.67


    dann könnte man DNAT benutzen.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Gert

    Besten Dank für die schnelle Antwort. Das mit dem Reverse Proxy habe ich mir gleich mal angeschaut.
    Ich setze die Version 7.504 ein. Zur vervollständingung ich habe nur eine öffentliche IP Adresse welche ich via DHCP vom Provider beziehe.
    Insgesamt habe ich anrecht auf 4 IP's welche aber "nur" via DHCP vergeben werden.
    Funktioniert denn nun mein vorgaben damit?

    ZumReverseProxy:
    Wo gebe ich denn die URl ein respektive den DQDNS?
    Muss ich ein Host erstellen, der den Namen url1.domain.com hat mit der IP 192.168.1.17
    Also würde die Regel wie folgt aussehen?
    External (WAN) HTTP --> url1.domian.com Service http

  • 0
    Wenn Du bis zu 4 verschiedene öffentliche IPs bekommen kannst, würden bis zu 4 Server per DNAT und DynDNS funktionieren.

    Du müsstest dazu auf dem ASG 4 verschiedene External-Interfaces anlegen, alle im selben Segment und jeweils DHCP einstellen. Dann für jedes Interface separat DynDNS konfigurieren. Anschließend für jedes External-Interface eine DNAT-Regel zum jeweiligen Server einrichten.

    So würde es mit v7 - ohne Reverse-Proxy - mit bis zu 4 Servern auch per DNAT funktionieren.

    Gert erwähnte den HTTP Reverse-Proxy - ein *neues* Feature in ASG v8 (Momentan im Beta-Stadium, siehe entspr. Forum!). Dein Screenshot zeigt den Generic-Proxy in v7. Mit dem klappt das allerdings nicht ;-)...
  • 0
    Hi Mario

    So nun habe ich also zwei WAN NIC's beide beziehen eine verschiedene IP. Via DynDNS sind auch beide ansprechbar.
    Bei diesem versuche habe ich kurz meine beiden Webcams konfiguriert. (Darum spreche ich nun von Webcams)
    Webcam1 ist über die erste WAN Nic (auf der läuft der GW) erreichbar.
    Webcam2 sollte nun über die IP von WAN NIC Port2 erreichbar sein. Ist sie aber nicht.
    Ich vermute ich muss der Astaro noch bei bringen, dass der HTTP Traffic über die zweite Nic raus soll und nicht über den standartGW. Aber wie ?
    Folgendes ist eingestellt:

    Wenn ich folgendes rausnehme läuft auch Webcam 1 nicht mehr.
  • 0
    1. Die DNAT-Regeln sind falsch. Was Du wahrscheinlich haben willst, ist:

    FROM: 'Any' -> 'External Interface #1 (Address)' mit Service 'HTTP' TO: 'Network Host Server1'
    FROM: 'Any' -> 'External Interface #2 (Address)' mit Service 'HTTP' TO: 'Network Host Server2'

    2. Der Generic Proxy ist für Deinen Anwendungsfall nicht gedacht - Bitte ausschalten.

    3. Default-Gateway muss nicht auf jedem externen Interface sein (wird ohne Uplink-Balancing sogar verhindert). Ein funktionierendes reicht.
  • 0 in reply to trollvottel
    Guten morgen

    So nun habe ich das hinbekommen mit den DNAT Regeln. Das klappt nun.
    Heisst also für mich, sobald ich eine Regel benötige, die vom wan ins interne LAN geht  (mit privater IP) mache ich keine PacketFilter Rules sondern immer direkt eine DNAT Regel.

    Wie sieht es denn nun in der DMZ aus? Dort habe ich nun einen Server der https (443) anbietet. Dachte mir folgendes:
    Das UserPortal der Astaro benötigt Port443 von WAN1. Wan2 ist dem UserPortal nicht zugewiesen also frei. Die DMZ hat den IP Bereich 192.168.2.x

    Also eine DNAT Rules any --> https --> External2 (WAN) (Network) 192.168.2.10 / HTTPS automatic rule und Initial Packets eingeschalten.

    vom internen Netz kann ich das System in der DMZ pingen, also GW etc auf System korrekt. Intern und extern ist das system jedoch nicht via https erreichbar.
    Habe auch noch eine PacketFilter Regel gemacht, dass ich von intern auf DMZ mit https darf. Hat nix genutzt.

    Hmm wo mache ich da schon wieder einen Überlegungsfehler?
  • 0
    Hallo, das UserPortal 'lauscht' auf allen Interfaces. Ab ASG v8 wird man allerdings auch das konfigurieren können...

    Also entweder den Port des UserPortals ändern oder vom Standardport für HTTPS abweichen.
  • 0 in reply to trollvottel
    Das Astaro UserPortal habe ich nun mal auf einen anderen Port konfiguriert.
    Soweit ok, UserPortal ist nun via neuem Port von aussen erreichbar.

    Mein Server der via HTTPS ereichbar sein soll ist es jedoch nicht. Habe dies via WAN1 udn WAN2 Regel versucht.
    Benötigt es neben der DNAT Regel noch was anderes? 
    Was muss cih zudem noch einrichten, dass ich auch via internem Lan auf das System via https zugreifen kann? Habe eine PacketFilter Rules erstellt, leider ohne Erfolg?

    Vielleicht hat ja jemadn mal Zeit dies via Chat und Remote Unterstützung anzuschauen?
  • 0 in reply to gidos
    Hat der Webserver in der DMZ ein default gateway configuriert und ist das die ASG?
    Gert