Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2755 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Access to internal websites from internal network

RBSorensen
Hi,

I am having an issue which is even more of a problem now that I have upgraded to 7.003.  When I attempt to access a website on my web server from a workstation within the network, I receive a screen from the Astaro unit indicating that the connection failed because it was refused by the web server.

This is undoubtedly due to the fact that with the internal stations being NATted, the packets from them are coming in from the external address of the Astaro box.  I have the same issue with not being able to release or whitelist email contacts when a user is running Outlook from within the network, because the link consists of a DNS name that resoves to the external address of the firewall.

How can this problem be resolved?


This thread was automatically locked due to age.
  • 0
    Put your web server and any other servers you need access to on a separate subnet behind ASG.

    For example, if your internal network runs on 192.168.0.***, put your servers on 192.168.1.***.  

    This is the only practical way I've found to still be able to access internal web servers using their true dns name from inside the network.
    E.g. http://www.yoursite.com
  • 0 in reply to Jhaislet
    Thanks for the suggestion.

    So your internal network and the Astaro unit as on 192.168.0.***, and your web and email servers are on 192.168.1.***x?

    Do you have any trouble with email clients and other processes on your network that require access to the servers?
  • 0 in reply to RBSorensen
    I just have a web server on the separate subdomain and can access it fine using it's real DNS name (when I move the server back into my primary internal network, DNS resolution no longer works).

    I have no idea about e-mail.  I don't run an e-mail server, but would assume it would resolve the same way.
  • 0
    Run split DNS. This requires separate DNS servers inside and outside the LAN.

    We run Astaro v6.3 with transparent web proxy. Our LAN workstations receive the addresses of our internal DNS servers running on our Windows AD domain controllers. When an internal workstation tries to access a URL that is also defined on our external DNS server, they get the info from an internal DNS server, which resolves it to the LAN IP address, rather than to the external firewall address. It works like a charm.
  • 0 in reply to VelvetFog
    I found the answer on how to do this, and it did not require placing any servers in another subnet.

    All I had to do was to create static DNS entries in the Astaro unit for each of the web sites I am hosting, and point them to the internal address of my web server.  For example...

    www.internalsite1.com    192.168.0.10
    www.internalsite2.com    192.168.0.10
    (etc.)

    However, this does not solve the end-user spam report issue (where the links contains a DNS reference to the firewall so that external mail clients can use the Release and Whitelist links in the end-user spam report).  I resolved that problem by creating an entry in the Hosts files on each on my internal machines, as in the following example:

    192.168.0.1    astaro.site.com

    where "192.168.0.1" is the internal IP of the firewall, and "astaro.site.com" is a public DNS entry pointing to the external IP of the firewall, which would be used as the hostname in the end-user spam report configuration.  A Release/Whitelist link clicked from an external mail client will then resolve to the external firewall address, while the same thing done within the network resolves to the internal address.  Everything works.
  • 0 in reply to RBSorensen
    Split DNS at VelvetFog writes is the normal way of solving this.

    So, your DMZ/External DNS Server has host=public IP
    whilst your internal DNS server has host=private IP
Cookie Information Banner