Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 2272 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Pakete für z-Push duchlassen

nixdorf
Hallo,

ich nutze hinter der Firewall einen z-Push-Dienst zum synchronisieren von Mobilen Geräten mit der Groupware. Auf den Dienst wird über den HTML-Port 80 zugegriffen. 

Ich habe in der Firewal eine Paketfilter-Regel bei der Quelle, Dienst und Ziel mit Any, Any, Any definiert sind. Bei der Aktion ist Zulassen angegeben. Damit sollte die Firewall doch offen sein.

Wenn ich aber von außen versuche auf den HTML-Port 80 zuzugreifen, sehe ich im Paketfilterlog:

12:20:41  Default DROP  TCP  79.215.238.xx  :  59211 → 
192.168.1.100  :  80 [SYN]  len=52  ttl=125  tos=0x00 rcmac=88:25:2c:a3:c0:34  dstmac=0:16:a:1c:7e:60


79.215.238.xx ist meine IP beim Provider. Ein Speedport leitet hier local die HTML - Angragen auf die Astaro weiter. Die Astaro selber soll dann diesen HTML-Verkehr auf einen Server hier im Netz weiterleiten über eine DNAT - Regel, die ist auch schon eingerichtet.


Kann wer erkennen, was ich hier noch falsch mache?

Gruß Nixdorf


This thread was automatically locked due to age.
  • 0
    Hast du eine NAT-Rule angelegt?
  • 0 in reply to unst
    Ja, ich habe eine DNAT Regel angelegt. Quelle ist das Externe WAN und Ziel ist der Groupwareserver. Datendienst ist HTTP.  

    Das klappt aber auch mit dieser Regel nicht. 


    Gruß NIxdorf
  • 0
    Wenn ich mit dem IPhone versuche auf den Groupwareserver zuzugreifen kommt:

    19:01:38  Default DROP  TCP  46.115.2.200  :  33120  → 
    192.168.1.100  :  80   [SYN]  len=64  ttl=54  tos=0x00  srcmac=88:25:2c:a3:c0:34  dstmac=0:16:a:1c:7e:60

    die 46.115.2.200 ist doch bestimmt die ip von meinem IPhone. und die 192.168.1.100 ist die die Externe IP der Astaro. 

    Was muß ich denn genau in der NAT - Regel anlegen. Ist die momentan nicht richtig angelegt?

    Im Anhang sieht man noch mal die DNAT - Regel und auch die Regle ANY-ANY-ANY die ich im Paketfilter eingerichtet habe und von der ich ausgehe, daß Sie alle Paket-Filterregeln der Firewall auschaltet.

    Gruß NIxdorf
  • 0
    Hat da nicht noch wer eine Idee?
  • 0 in reply to nixdorf
    Hi,

    sollte Quelle nicht: ANY 
    und Ziel: External Interface WAN sein?
    So gilt die Regel für Pakete mit der Quell-IP-Adresse deines WAN-Interfaces und der Ziel-IP-Adresse (intern) des Zarafa-Servers (also ein HTTP-Request von deiner Firewall auf den Zarafa-Server).

    Gruß,
    Patrick
  • 0
    Genau: Du hast bei der DNAT-Regel als 'Datenverkehrsziel' dasselbe Objekt ausgewählt wie für das 'Ziel'. Da der Traffic vom Speedport aber an 'External (Address)' DNATed wird, musst Du dies auch als 'Datenverkehrsziel' auswählen, damit die Regel greift.

    Im übrigen ist das ein sehr häßliches Setup, doppelt zu maskieren. Gibt es im Speedport nicht vielleicht die Möglichkeit, ihn als reines DSL-Modem zu betreiben (ohne Routerfunktion) und dann das ASG am 'External' Interface PPPoE machen zu lassen?
  • 0 in reply to trollvottel
    Hallo, danke fpr die Antwort.

    ich habe die DNAT Regel jetzt wie im Bild mAnhang abgeändert. Leider bekomme ich im liveprotokoll des Paketfilter immer noch folgende Meldung, wenn versuche die Verbindung aufzubauen:

    10:00:51  Default DROP  TCP  217.81.16.12  :  51971 →  192.168.1.100  :  80 [SYN]  len=52  ttl=125  tos=0x00 srcmac=88:25:2c:a3:c0:34  dstmac=0:16:a:1c:7e:60


    Habe ich da noch etwas falsch verstanden und ist nicht der Paketfilter der Astaro für das DROPen des Datanpakets zuständig?


    Den Router kann ich als DSL-Modem verwenden. Wenn ich das am Router einschalte, muß ich eigentlich nichts weiter an der Astoro ändern oder? Bei der der Schnitstelle External WAN ist ja der Router als Gateway angegeben.


    Wie muß ich dann aber meine DNAT Regel abändern?

    Was muß dann beiden folgenden Einträgen stehen:

    Datenverkehrsquelle:
    Datenverkehrsdienst:  HTML
    Datenverkehrsziel:  zarafa

    NAT-Modus: DNAT (Ziel)

    Ziel:
    Zieldienst: HTML



    Vielen Dank für die Hilfe...

    Gruß NIxdorf
  • 0
    Leider ist mein Deutsch sehr schlecht. Hoffentlich hat Google übersetzen nicht Metzger diese allzu schlecht. Wenn ich mich richtig folgen, werden Sie versuchen, auf einen internen Server von einem externen mobilen Gerät verbinden. Wenn dies richtig ist, dann folgen Sie dem beigefügten Screenshot. [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    It works!

    This is the default web page for this server.

    The web server software is running but no content has been added, yet.


    Danke, das hat geholfen....
  • 0
    Bitte.  Didn't need google translate for that.  ;P
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Cookie Information Banner