Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3137 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Von hinten durch die Brust ins Auge

testosteron
Sitze hier bei einem Kunde und habe folgendes kleines unschönes Problem:

Der Kunde betreibt intern einen Webserver.
Um diesen Webserver zu erreichen gibt haben wir in der Astaro eine NAT Regel erstellt.
Der Aufruf ist so dass der Kunde bei seinem Provider eine iFrame Weiterleitung auf die IP Adresse eingerichtet hat.

Funktioniert von extern auch wunderbar. 

Von intern geht es jedoch nicht. Der Aufruf wäre dann: Aufruf der externen Webseite, die einen iFrame lädt, der wiederum dann die statische IP Adresse des Kunden inklusive Unterverzeichnis, aufruft.


Den Benutzern beizubringen dass sie direkt die interne IP aufrufen sollen, dauert zu lange. Eine DNS Weiterleitung schlägt auch fehl (alles etwas verworren hier).
Aber warum zu Hölle kann ich nicht von intern nach extern und wieder zurück einfach zugreifen?

Hoffe auf Hilfe und bedanke mich fürs durchlesen!


This thread was automatically locked due to age.
Parents
  • 0

    Von intern geht es jedoch nicht. Der Aufruf wäre dann: Aufruf der externen Webseite, die einen iFrame lädt, der wiederum dann die statische IP Adresse des Kunden inklusive Unterverzeichnis, aufruft.



    Das Problem liegt nicht in der Sophos UTM per se, sondern beim Routing auf dem Webserver. 

    • Beim DNAT wird die Ziel-Adresse (öffentliche IP der UTM) durch eine Interne IP ausgetauscht. 
    • Beim Webserver kommt dann ein Paket an, das von einem internen Client kommt und an den Webserver (interne IP) ging. 

    Was macht nun dieser? 

    • Anstatt an die Astaro zurückzuantworten, antwortet er DIREKT an den internen Client (er denkt ja er kann ihn erreichen). 
    • Der Client akzeptiert das Paket allerdings nicht, da die ursprüngliche Anfrage an die Offizielle IP ging, und nun die Antwort von "jemand anderem" kommt. 

    Soviel zum Problem

    Lösung: Für die Internen Clients ein Full-NAT einrichten.

    (oder den Webserver in eine DMZ packen, ohne dass er jedoch einen zweiten Fuss im internen Netz haben darf.)
     
    Internes Netz -> Öffentlicher IP der UTM:443 
    übersetzen in 
    Öffentliche IP der UTM (da für den Webserver extern) -> interne IP Webserver

    Diese Regel dann vor die ursprüngliche NAT Regel stellen und es sollte alles klappen.

    Grüße,
    Matthias
Reply
  • 0

    Von intern geht es jedoch nicht. Der Aufruf wäre dann: Aufruf der externen Webseite, die einen iFrame lädt, der wiederum dann die statische IP Adresse des Kunden inklusive Unterverzeichnis, aufruft.



    Das Problem liegt nicht in der Sophos UTM per se, sondern beim Routing auf dem Webserver. 

    • Beim DNAT wird die Ziel-Adresse (öffentliche IP der UTM) durch eine Interne IP ausgetauscht. 
    • Beim Webserver kommt dann ein Paket an, das von einem internen Client kommt und an den Webserver (interne IP) ging. 

    Was macht nun dieser? 

    • Anstatt an die Astaro zurückzuantworten, antwortet er DIREKT an den internen Client (er denkt ja er kann ihn erreichen). 
    • Der Client akzeptiert das Paket allerdings nicht, da die ursprüngliche Anfrage an die Offizielle IP ging, und nun die Antwort von "jemand anderem" kommt. 

    Soviel zum Problem

    Lösung: Für die Internen Clients ein Full-NAT einrichten.

    (oder den Webserver in eine DMZ packen, ohne dass er jedoch einen zweiten Fuss im internen Netz haben darf.)
     
    Internes Netz -> Öffentlicher IP der UTM:443 
    übersetzen in 
    Öffentliche IP der UTM (da für den Webserver extern) -> interne IP Webserver

    Diese Regel dann vor die ursprüngliche NAT Regel stellen und es sollte alles klappen.

    Grüße,
    Matthias
Children
No Data
Cookie Information Banner