Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 20139 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Nat und andere Einstellungen

mabusesetve
Hallo
Ich experimentiere gerade mir der Homeversion V8 an einem VDSL Anschluss.
Soweit läuft ales, bis auf ein paar kleinigkeíten:

Was mir nicht klar ist, wie ich einen zugang von aussen zu einem internen server 
konfiguriere: Es solle eine feste öffentliche ip auf eine interne ip geroutet werden.
Die ASG läuft auf einem rechnern mit 4 netzwerkanschlüssen. ich dachte mir es so zu konfiguriern das anfragen der festen öffentlichen ip dann an einen spezielelen anschluss weitergeleitet werden und ich diesen dann auf dem serverals gateway einstelle.

Da ich das ganze nur hobbymaßig betreibe entschuldigt die vielelicht blöde frage,
aber ich habe da tortz intensiver suche bisher keine lösung gefunden.

Danke für eine Info


This thread was automatically locked due to age.
  • 0
    Hallo,

    blöde Fragen gibts nicht ;-). Also das im Prinzip nicht schwer. Im einfachsten Fall benötigst du eine DNAT Regel (Network Security -> NAT -> DNAT/SNAT). Am besten liest du dann mal ein bischen in der Hilfe und such mal hier im Forum nach DNAT.

    Wenn du nicht weiterkommst, beschreib mal was du schon gemacht hast und wo es klemmt.

    Viele Grüße
    Manfred
  • 0 in reply to Hallowach2
    Hallo 
    Danke für die antwort, ansich ergeben sich für mich folgende Fragen:

    ich muss für jeden Diesnt eine eigen Natregel erstellen?

    Wenn ich vollen zugriff gewähren will, muss ich Volles NAT wählen?

    Was ist der Unterschied zwischen Ziel und Quelle bwz. Quelle  und Datenverkehrsquelle??

    Meine Feste IP muss ich dannbei Datenverkehrsquelle einstellen und dann auf einen bestimmten Schnittstelle festlegen???

    Danke für eure Unterstützung
  • 0 in reply to mabusesetve
    >>ich muss für jeden Diesnt eine eigen Natregel erstellen?
    entweder das oder als Protokoll Any, aber das würde ich mir gut überlegen

    >>Wenn ich vollen zugriff gewähren will, muss ich Volles NAT wählen?
    Nein - das Full NAT ist AFAIK eine Kombination aus DNAT und SNAT 

    >>Was ist der Unterschied zwischen Ziel und Quelle bwz. Quelle  und >>Datenverkehrsquelle??

    >>Meine Feste IP muss ich dannbei Datenverkehrsquelle einstellen und dann auf >>einen bestimmten Schnittstelle festlegen???
    Mit dem oberen Block definierst du, welcher Traffic umgeleitet werden soll. Also 'von aussen auf nen Webserver' wäre 'Internet', 'Http', 'externes Interface' im oberen Block und 'interner Server' und Protokoll leer lassen im unteren Bereich.

    Gruß
    Manfred
  • 0 in reply to Hallowach2
    Hallo Manfred
    leider geht es so auch nicht..
    bitte nicht lachen, aber ich habe jetzt den überblick verloren!

    Zum Verständiss:  astaro läuft auf rechener mit 4 netzwerkports,

    eth0=VDSL Modem, bekommt feste IP bei connect

    eth2=öffentlich IP  (lässt sich von aussen auch pingen)

    eth3=interne IP , ist der gateway im netzwerk

    Soweit läuft alles, mail, internt, ftp usw.

    Ich möchte jetzt  anfragen von aussen (ip von eth2) auf eine interne IP umleiten.
    Die Anwendung auf diesem Rechner verlangt HTTP port 2009. 
    über mein nternes netzt läuft das alles. Nur bekomme ich das  mit dem zugang nicht hin!

    Vielleicht hast du da nochmal einen tip für einen rookie.

    Danke
  • 0
    Moin,
    Hast du den HTTP Dienst ausgewählt der bei Astaro schon drin ist? das währe dann port 80, du musst ein neuen Dienst erstellen mit deim Port 2009.
  • 0 in reply to mabusesetve
    Ähhm - jetzt hast du mich auch verwirrt. Wie hast du denn eth0 und eth2 mit öffentliches Adressen versorgt und wie ist das verkabelt (kleine Zeichnung wäre hilfreich).

    Aber so vom Prinzip her müsstest du (wenn das mit den Interfaces so stimmt) in der DNAT Regel nicht das external (WAN) als Datenverkehrsziel nehmen sondern das 'Webs' also eth2 -- aber wie gesagt dein Netzaufbau ist mir nicht klar.

    Desweiteren hat tobi28 Recht - es kommt aber drauf an, was du erreichen möchtest. Soll der externe im Browser nen Port mit angeben müssen? (also so http://lalalalala.de:2009) - dann musst du eine Servicedefinition für den Port 2009 anlegen und den verwendest du als Datenverkehrsdienst und lässt Zieldienst wieder leer.
    Soll der externe nur http://lalalalala.de eingeben und auf deinem internen Server auf Port 2009 ankommen, dann legst du eine Servicedefinition für Port 2009 an und trägst die beim Zieldienst ein und lässt bei Datenverkehrsdienst die HTTP Definition drin.

    Aber ich hab das dumpfe Gefühl, das da noch irgendwas Seltam mit deinen Interfaces ist.

    Gruß
    Manfred
  • 0 in reply to Hallowach2
    hallo manfred
    danke für deine hiolfe, anbei mal eine kleine zeichnung vom der verkabelung.

    wegen des zugangs über port 2009, da muss ich dann noch eine neue paketfilter regel anlegen, richtig? als quelle das externe interface und als ziel den server intern, oder??

    danke für euer verständiss für mein unwissen..

    steve
  • 0 in reply to mabusesetve
    Hallo Steve,

    öööhhhmmm - das sieht für meine Augen sehr seltsam aus...wie kommt denn der Anwendungsserver ins INet? Irgendwie sieht das meiner Meinung nach falsch/seltsam aus - wenn ich hier Mist verzapfe bitte laut melden :-).

    Ich würde versuchen das ganze anders angehen:

    - Anwendungsserver an den Switch an eth3 mit ner Adresse aus 192.x.x.x
    - die zusätzlichen IP Adressen als 'Additional Adress' auf das eth0 Interface konfigurieren
    - die DNAT Regel auf das in Punkt 2 enstandene Interfaceobjekt konfigurieren und auf den internen Server aus 1 biegen

    Wenn du die DNAT Einstellungen so (nur mit den Änderungen von diesem Post) machst wie in Post 7 machst, kannst du den Haken bei 'auto Packet Filter Rule' machen dann hast du dir die Regel gespart.

    Viele Grüße
    Manfred
  • 0 in reply to Hallowach2
    Hallo Manfred
    danke für deine tip, bin total auf dem holzweg gewesen.
    Habe jetzt die zusätzliche adresse als zuätzliche adress auf etho konfiguriert.
    (schnittstelle.jpg) Die dnat regel geändert (DNAT.jpg).

    leider immernoch ohne erfolg, übers internet kann ich jetzt aber zumindest die 
    neu hinzugefügte ip anpingen. ei zugriff ist leider immer nochnichtmöglich.
    Der muss auch über PORT 2009 erfolgen! ansich müsste ich das doch auch noch ändern?
    wenn ich das jetzt aber in der dnatregel ändere (dients port aenderung.jpg)
    ist der ganze http verkehr im netz unterbunde!!

    vielen dank fü eine info von dir. toll das es solche leute wie dich hier gibt, die auch einen anfänger etwas untützen.

    viele grüsse
    steve
  • 0
    Hmm - hast du etwa die vordefinierte HTTP definition geändert oder hast du eine neue Definition angelegt? Die vordefinierte HTTP definition solltest du nicht verändern - die wird ja an vielen Stellen benutzt - also neue Definition anlegen.

    Bei dir sehen auch in den Screenshots die Objekte seltsam aus (REF_sgdjdgjad). Schau mal auf WebAdmin - ich hab da mal das so gemacht wie ich das meine - ich weiß nur nicht wie lange das erhalten bleibt...

    Im wesentlichen ist die Änderung:
    - neue Servicedefinition HTTP 2009 angelegt und in die DNAT Regel genommen
    - als Datenverkehrsquelle das InternetV4 Objekt genommen

    So müsste dann http://lalalalala.de:2009 funktionieren.

    Helfen ist unser Beruf ;-) (wer den Film errät aus dem das zitiert ist darf das nächste Zitat bringen...)

    Gruß
    Manfred