Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2912 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No external connection to internal WebServer???

Myggan
Hi!

I have a very weird failure!
No one from the outside can reach my Webserver.
My config:

ISP -----> D-Link router 804 -----> ASL 4 ----> Webserver

Dlink has wan port configured with my ext ip, and my lan port configured with my "192.168.dlink internal ip" and a static route to my astaro:

 S~ ----- 192.168.InternIp.0/ --- 255.255.255.0 via 192.168.Astaro external ip, IF0 ---- Eth 0 "WebServer"
 S~ ----- 192.168.StudentIp.0/ --- 255.255.255.0 via 192.168.Astaro external ip, IF0 -- Eth 2

and  redirect ports
Comment --------- Protocol ---- Incoming Port ---- LocalPort ---- Local IP 
1 WEB Server ---- TCP -------------- 80 ---------------- 80 ------ 192.168.webserver internal ip
2 DNS Server ---- TCP -------------- 53 ---------------- 53 ------- 192.168.webserver internal ip
3 DNS Server ---- UDP -------------- 53 ---------------- 53 ------ 192.168.webserver internal ip

In astaro the config is like this
... - No. -  From (Client) Service ------------ To (Server) ----------- Action
On - 2 ---- { Internet Total } DNS -------- Internal_Www__ ---- Allow
On - 3 ---- { Internet Total } HTTP ------ Internal_Www__ ---- Allow 

My Network Group { Internet Total } is explained in the thred
https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/27102

On the student network i run HTTP Proxy in 
Operation mode : standard
Anonymity : None
Allowed networks : Student
Does the Proxy inflict with my webserver traffic?

My minor knowlige about firewalling and ASL tells me this should work!
From my personal computor i reach the hompages on my webserver (i use external DNSServer)
All traffic works fine except Internet ---> WebServer
Why doesn't it work???
Im getting frustrated![:S]
Please help!     

Web Server is hosting 
http://www.samurai.se
http://www.swedishopen.nu


This thread was automatically locked due to age.
  • 0
    why do you use a D-Link router 804 and not connect astaro directly to your isp cable/adsl modem

       
  • 0 in reply to karabela
    If i run SNAT/Masquerading on the ASL QoS will not work because QoS wonks after SNAT/Masquerading
    and will only get the IP i masq on!
    This way I can use SNAT on the D-Link and QoS on the ASL Box!    
  • 0
    Dunno if you solved the issue since I successfully surfed the hosted domains =)

    In my eyes the problem seems to be this:
    The internal webserver recieves the http request and answer it. The answer will look like it came from the internal/privete ip since there is NAT rule saying that it should look like it was the external address that responded ==> no handshake.

    I suppose your current setup without NAT and just routing you would need to use fully qualified addresses both on the DLINK Wan Interface and the ASL DMZ Interface using a private routingnet between them.

    btw... I might be wrong  [:)]  
  • 0
    Svar till:

    Dunno if you solved the issue since I successfully surfed the hosted domains =)

    [/ QUOTE ] 

    The reason u were able to surf my domains are becuase the webserver is now connected directly on the DI-804!
    cant afford to have webserver offline, cause:
    Swedishopen will be in end September and competitors must be able to register as competitors, book hotel, ask questions...
    No secure way, but i need webserver online!!!
    As soon as I get an explanation I will move www to ASL DMZ

    PLEASE!!!     
  • 0 in reply to Myggan
    I just noticed that I missed one importand little word... "No"   [:$]

    The line: "The answer will look like it came from the internal/privete ip since there is NAT rule saying that it should look like it was the external address that responded ==> no handshake." ..... should be

    The answer will look like it came from the internal/privete ip since there is      NO     NAT rule saying that it should look like it was the external address that responded ==> no handshake.

    By this I mean: Since you use private nets behind the DLink - is there anything that says that the responds from the www-server looks like the fully qualified external adress??   
  • 0 in reply to AJo
    It should!
    Using SNAT on the DI-804!
    That should change ip's to external on the way out!
    I beleve it is a rule issue, but dont know what and why!