Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 16158 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Accessing external IP from internal network

timber666
Hi,
i have a webserver on my home-LAN, this server can be accessed from external IP's using the DNAT/SNAT functionality of Astaro V5, and it works just great.  But when I try to access the same server using the external IP-address of my internetconnection from my internal desktop (it has an ip-address in the same range as the webserver), i cannot seem to get connected...  I guess some of you will say i need to configure an internal dns-server but i do not want that (now)... Is this by design or am i doing something wrong?  I have checked the packetfilter log, but no packets for that kind of connection are dropped or rejected, what can be wrong?

Thx,
Tim.


This thread was automatically locked due to age.
Parents
  • 0
    Hi,
    i've been strugling with this problem for a couple of days now, i've posted my question on this BB and then all of the sudden ... bang!

    The old rule of NAT was:
    Source Address: Any
    Destination Address: IP assigned by ISP
    Service: HTTP
    Source Translation: none
    Destination Translation Address: IP of Internal Webserver
    Destination Translation Service : none

    By using this rule: when an internal client tries to access the internal webserver using the external IP of the ISP connection, the webserver sees it comes from an internal IP and responds to it directly, but the client cannot process that information because he doesn't know why he gets those datapackets (he expects to get that information for the external IP-address and not from the internal ip of the webserver).

    If you make a small change to the config of NAT, then it works:
    Source Address: Any
    Destination Address: IP assigned by ISP
    Service: HTTP
    Source Translation Addres: IP ASSIGNED BY ISP (!!!!)
    Source Translation Service: none
    Destination Translation Address: IP of Internal Webserver
    Destination Translation Service : none

    By doing this the webserver is forced to communicate with the firewall instead of directly with the internal client... Problem solved!!

    Kind regards,
    Tim.

    (BTW: if your ISP forces you to use their proxy, you have to add the external address to the list of addresses that don't need the proxy or it might not work)
  • 0 in reply to timber666
    If you do source IP address translation in your Web server NAT rule, this might work OK for the machines on the internal network that wish to browse the web server via its external IP address, but how does the web server now manage to reply to web browsing from the outside world? The replies will now be addressed to the External interface on the ASL box.

    Have you tested your modified NAT rule by browsing the web server from outside of your local LAN? I would suggest that you return to your original rule, which is the proper one for external access, and simply use the local LAN IP address (unless you are running split dNS, with a separate DNS server for the internal network) to browse the web server locally from the internal net.
  • 0 in reply to VelvetFog
    It works fine for both pc's on the internal network or machines on the outside.  I do not understand your remark quite well: the webserver now communicates with the ip assigned by the ISP and the NAT translates the packets to the actual source ip, just like it was when there was no change in the source ip... or am I missing something?

    Tim.
  • 0 in reply to timber666
    actually this will work ok except for certain circumstances
    1. unforseen problems because your doing interesting things with the packets (your guess is as good as mine as to what this will be)
    2. no ability to log based on ip address or block by acl because every packet coming from outside is translated to external isp assigned ip
    in other words your website internally will see everything as the external ip
    -Dave
  • 0 in reply to timber666
    Your web server now sees all the traffic as originating from your external IP address, and responds accordingly. This is something that I consider to be a misconfiguration. It remains a mystery to me how people can now successfully browse your web server from the outside world, since it now sees the external IP address of the ASL box as the single source (and thus the only reply destination) for all the web traffic.

    I can only repeat my recommendation that you return to your original, properly configured, NAT rule.
Reply
  • 0 in reply to timber666
    Your web server now sees all the traffic as originating from your external IP address, and responds accordingly. This is something that I consider to be a misconfiguration. It remains a mystery to me how people can now successfully browse your web server from the outside world, since it now sees the external IP address of the ASL box as the single source (and thus the only reply destination) for all the web traffic.

    I can only repeat my recommendation that you return to your original, properly configured, NAT rule.
Children
No Data