Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3135 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Von hinten durch die Brust ins Auge

testosteron
Sitze hier bei einem Kunde und habe folgendes kleines unschönes Problem:

Der Kunde betreibt intern einen Webserver.
Um diesen Webserver zu erreichen gibt haben wir in der Astaro eine NAT Regel erstellt.
Der Aufruf ist so dass der Kunde bei seinem Provider eine iFrame Weiterleitung auf die IP Adresse eingerichtet hat.

Funktioniert von extern auch wunderbar. 

Von intern geht es jedoch nicht. Der Aufruf wäre dann: Aufruf der externen Webseite, die einen iFrame lädt, der wiederum dann die statische IP Adresse des Kunden inklusive Unterverzeichnis, aufruft.


Den Benutzern beizubringen dass sie direkt die interne IP aufrufen sollen, dauert zu lange. Eine DNS Weiterleitung schlägt auch fehl (alles etwas verworren hier).
Aber warum zu Hölle kann ich nicht von intern nach extern und wieder zurück einfach zugreifen?

Hoffe auf Hilfe und bedanke mich fürs durchlesen!


This thread was automatically locked due to age.
  • 0
    SNAT für die internen oder int. DNS Auflösung fehlt.

    Der Client spricht eine externe Adresse an und bekommt von einer internen Adresse die Antwort, da die UTM ja nach intern an das Ziel ohne SNAT weiterleitet.
  • 0
    1. DNS Problem allg.
    2. DNAT oder WAF sauber einrichten
    3.ENDE
  • 0
    Könntet Ihr das bitte näher ausführen?

    Der Client ruft eine Webseite auf, auf der ein iframe ist welcher wiederum auf die WAN IP Adresse des Clientnetzwerks zugreift.

    Von daher dürfte dies doch nichts mit DNS zu tun haben?!

    Grüße

    Christian
  • 0
    Du wolltest doch Unterstützung bei der Lösung Deines Problems? Bist Du den Hinweisen schon nachgegangen?

    Wer ruft den Inhalt des iFrame ab?

    Nutze doch mal tcpdump auf der UTM oder ein entsprechendes Tool auf dem Zielserver (zB Wireshark), damit Du vielleicht bestätigst bekommst, was vermutet wird.
  • 0

    Von intern geht es jedoch nicht. Der Aufruf wäre dann: Aufruf der externen Webseite, die einen iFrame lädt, der wiederum dann die statische IP Adresse des Kunden inklusive Unterverzeichnis, aufruft.



    Das Problem liegt nicht in der Sophos UTM per se, sondern beim Routing auf dem Webserver. 

    • Beim DNAT wird die Ziel-Adresse (öffentliche IP der UTM) durch eine Interne IP ausgetauscht. 
    • Beim Webserver kommt dann ein Paket an, das von einem internen Client kommt und an den Webserver (interne IP) ging. 

    Was macht nun dieser? 

    • Anstatt an die Astaro zurückzuantworten, antwortet er DIREKT an den internen Client (er denkt ja er kann ihn erreichen). 
    • Der Client akzeptiert das Paket allerdings nicht, da die ursprüngliche Anfrage an die Offizielle IP ging, und nun die Antwort von "jemand anderem" kommt. 

    Soviel zum Problem

    Lösung: Für die Internen Clients ein Full-NAT einrichten.

    (oder den Webserver in eine DMZ packen, ohne dass er jedoch einen zweiten Fuss im internen Netz haben darf.)
     
    Internes Netz -> Öffentlicher IP der UTM:443 
    übersetzen in 
    Öffentliche IP der UTM (da für den Webserver extern) -> interne IP Webserver

    Diese Regel dann vor die ursprüngliche NAT Regel stellen und es sollte alles klappen.

    Grüße,
    Matthias
  • 0
    Hallo Matthias!

    Danke! Das war mal eine Antwort mit der jeder was anfangen kann! Und nicht einfach so ein paar dahingeworfene Brocken!

    Und du scheinst auch absolut Recht zu haben!!
    Ich hatte gestern Abend diesen Beitrag gefunden: Accessing Internal or DMZ Webserver from Internal network (Astaro Security Gateway)
    Umgesetzt ist er auch schon. Jedoch konnte ich noch nicht testen ob er Wirkungsvoll ist, da ich momentan keinen Zugriff auf die Clients hinter der UTM habe. Deswegen hatte ich hier auch noch nichts gepostet, sondern wollte erst mal abwarten.
    Aber du hast es ja eigentlich schon bestätigt was ich vermutet habe.

    Vielen Dank und Grüße

    Christian
  • 0
    Wie unaufmerksam von mir, nicht davon auszugehen, dass Du die Netzwerkgrundlagen nicht beherrscht.
Cookie Information Banner