Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 726 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG V7.007: Internal connections to DMZ Server over Proxy

Astrofax
Hi.

I have the following setup:

ASG Internal + External Network + 2 DMZs. From the outside world
I allow http to  a server in the DMZ (well pretty basic webserver setup so far).
Now comes the question:

When I am in the internal network in V6 i was able to use my external IP of this webserver and access the webserver (over the non-transparent http proxy).
In V7 it just displaying me a error message "Astaro website does not exists"  or something (The live log of the Packet filter is quiet). The only workaround seems to be that I use the internal IP adress of the webserver and access it directly (Which is not really nice because I dont want to open up the DMZ from my internal Network for every Hinz and Kunz)
Was this functionalty taken out of V7 on purpose or is this a bug?

Can someone share his thoughts please?

Thanks.

Martin


This thread was automatically locked due to age.
Parents
  • 0
    You've setup DNAT, right?
    And you don't have the HTTP Proxy listening on the EXT or DMZs, right?

    Barry
  • 0 in reply to BarryG
    Barry.

    DNAT should be ok. (Config was imported from my V6)
    HTTP Proxy: well not for the whole DMZ but I allow 
    2 hosts in the DMZ to use the proxy. Could this be the issue?

    Addon:
    I just tired to enable the proxy just for our internal network. Still get the same error.
    111 connection refused when I use the external IP. When I use the internal one all works fine.
    And also from the outside world it works fine.

    Martin
  • 0 in reply to Astrofax
    I'd suggest double-checking the DNAT and PacketFilter config... it's possible the v6 import didn't get everything right.

    Barry
  • 0 in reply to BarryG
    Does it have its own External IP Address or is it using the Astaro one
    Have you got any other DNATS Configured?
    What is the Syntax of your DNAT
    What PF Filters have you setup to allow the http traffic to the DMZ where the webserver is?
Reply
  • 0 in reply to BarryG
    Does it have its own External IP Address or is it using the Astaro one
    Have you got any other DNATS Configured?
    What is the Syntax of your DNAT
    What PF Filters have you setup to allow the http traffic to the DMZ where the webserver is?
Children
  • 0 in reply to Mike_H
    Astaro has 4 external IPs one of it is used for the webserver.
    Yes there are multiple DNATS /NATS configured but not on the
    same interface with the same Service.
    Again as a reminder it works from the outside world! From 
    the internet the webserver is accessible! So I must assume that DNAT and PF is configured right.
    It just doesnt work over the internal HTTP proxy from our internal network (so its this kind of loop
    which doesnt work if you will).
    The V6 import was ok (I printed my whole config before upgrading and compared it afterwords with V7)


    This specific DNAT rule looks like:

    DNAT:

    Name: DNAT HTTP-Host-Bugzilla
    Group: none
    Postion: 15

    Traffic Source:  Any
    Traffic Service:  HTTP
    Traffic Destination:  External_242 (one of our external interfaces)
    NAT Mode: DNAT
    Destination: HOST-Bugzilla (Webserver)


    PF:
    Group: none
    Postion: 30
    Source: Any
    Service: HTTP
    Destination: HOST-Bugzilla (Webserver)
    Action: Allow
    Time Event Always

    Live log shows no drops when I try to access the webserver from internal.

    Martin