10
Endian Firewall mit 2x WAN und NAT
Hallo zusammen,
ich habe eine endian Community Firewall 3.0, welche über zwei Interfaces im Internet ist: 1x DHCP über ein Kabelmodem (Hauptuplink) und 1x PPPoE über ein VDSL Modem.
Ein drittes Interface ist das Gateway.
Im Netzwerk befinden sich 4 Server, welche über ein Richtlinenbasiertes Routing die VDLS Leitung nutzen (wegen fester IP) und diverse Clients, welche die Kabel Leitung nutzen (wegen Bandbreite).
Diese Aufteilung funktioniert auch soweit.
Die Server stellen diverse Dienste zur Verfügung, welche über die öffentliche IP der VDSL Leitung sowohl von innen als auch von außen erreichbar sein sollen.
Dafür habe ich diverse Portforwardings konfiguriert.
Von außen kann ich auf alle Dienste zugreifen. Wenn ich aber im LAN bin, funktioniert das nicht.
Ich bin mit meinem Latein am Ende und würde mich über Tipps und Anregungen freuen.
ich habe eine endian Community Firewall 3.0, welche über zwei Interfaces im Internet ist: 1x DHCP über ein Kabelmodem (Hauptuplink) und 1x PPPoE über ein VDSL Modem.
Ein drittes Interface ist das Gateway.
Im Netzwerk befinden sich 4 Server, welche über ein Richtlinenbasiertes Routing die VDLS Leitung nutzen (wegen fester IP) und diverse Clients, welche die Kabel Leitung nutzen (wegen Bandbreite).
Diese Aufteilung funktioniert auch soweit.
Die Server stellen diverse Dienste zur Verfügung, welche über die öffentliche IP der VDSL Leitung sowohl von innen als auch von außen erreichbar sein sollen.
Dafür habe ich diverse Portforwardings konfiguriert.
Von außen kann ich auf alle Dienste zugreifen. Wenn ich aber im LAN bin, funktioniert das nicht.
Ich bin mit meinem Latein am Ende und würde mich über Tipps und Anregungen freuen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 230420
Url: https://administrator.de/contentid/230420
Printed on: April 25, 2024 at 03:04 o'clock
10 Comments
Latest comment
Hi nächtlicher Musiker
Wer macht den DNS?
Wo endet tracert oder Pathping?
Welche ALC sind definiert?
Dürfen die Server, die lokal da stehen denn auch lokal angesprochen werden.
Wenn die Server ihre Internetverbindung komplett getrennt haben, dann ist möglicherweise auch kein Routing eingestellt. Die IPs werden wie an einem Switch durch geleitet.
Wenn du nur einen LAN-Port hast, dann musst du ja mit einer VLAN-Konfiguration leben. Wie steht das Routing in der Firewall?
Gruß
Netman
Wer macht den DNS?
Wo endet tracert oder Pathping?
Welche ALC sind definiert?
Dürfen die Server, die lokal da stehen denn auch lokal angesprochen werden.
Wenn die Server ihre Internetverbindung komplett getrennt haben, dann ist möglicherweise auch kein Routing eingestellt. Die IPs werden wie an einem Switch durch geleitet.
Wenn du nur einen LAN-Port hast, dann musst du ja mit einer VLAN-Konfiguration leben. Wie steht das Routing in der Firewall?
Gruß
Netman
Ein typischer Klassiker von Hairpin NAT was die Endian vermutlich nicht supportet oder du hast es schlicht und einfach nicht aktiviert:
http://wiki.mikrotik.com/wiki/Hairpin_NAT
bzw.
http://networkingforintegrators.com/2013/02/hairpin-nat-or-how-to-use-y ...
Also: aktivieren, dann klappt das von intern auch sofort oder die Firewall tauschen. Eine pfSense supportet das problemlos
http://wiki.mikrotik.com/wiki/Hairpin_NAT
bzw.
http://networkingforintegrators.com/2013/02/hairpin-nat-or-how-to-use-y ...
Also: aktivieren, dann klappt das von intern auch sofort oder die Firewall tauschen. Eine pfSense supportet das problemlos
Zitat von @MrNetman:
Hi nächtlicher Musiker
Wer macht den DNS?
Wo endet tracert oder Pathping?
Welche ALC sind definiert?
Dürfen die Server, die lokal da stehen denn auch lokal angesprochen werden.
Wenn die Server ihre Internetverbindung komplett getrennt haben, dann ist möglicherweise auch kein Routing eingestellt. Die
IPs werden wie an einem Switch durch geleitet.
Wenn du nur einen LAN-Port hast, dann musst du ja mit einer VLAN-Konfiguration leben. Wie steht das Routing in der Firewall?
Gruß
Netman
Hi nächtlicher Musiker
Wer macht den DNS?
Wo endet tracert oder Pathping?
Welche ALC sind definiert?
Dürfen die Server, die lokal da stehen denn auch lokal angesprochen werden.
Wenn die Server ihre Internetverbindung komplett getrennt haben, dann ist möglicherweise auch kein Routing eingestellt. Die
IPs werden wie an einem Switch durch geleitet.
Wenn du nur einen LAN-Port hast, dann musst du ja mit einer VLAN-Konfiguration leben. Wie steht das Routing in der Firewall?
Gruß
Netman
DNS machen 2 Windows DCs welche über die feste IP im Internet sind. Namensauflösung klappt auch.
Wenn ich von außen zugreifen will, mache ich das aber ohnehin über IP.
Der tracert geht sowohl vom Server als auch von den Clients bis zum ende durch.
Jedoch wenn ich einen tracert auf unsere feste IP ausführe, läuft schon der erste Hop bei beiden Systemen (Server/Client) direkt auf der festen IP auf.
Alle Server sollen im LAN auch lolal angesprochen werden - was auch funktioniert.
Ich komme mit allen Systemen ins Internet. Und wenn ich auf wieistmeineip.de gehe, wird mir bei den Servern unsere fixe VDSL IP und auf den Clients die dynamische Kabeldeutschland IP angezeigt - auch das ist so gewollt.
Was genau meinst du mit dem Routing in der Firewall? Es handelt sich eben um ein richtlinienbasiertes Routing für ausgewählte Ziel IPs, welche dann über den "Telekom Uplink" geleitet werden.
Auch mit ALC kann ich gerade nichts anfangen.
Wenn ich es richtig verstehe:
Die Verbindung steht, die Routen sind ok und getestet.
Also wird nur der Applikationszugriff vom lokalen Netz geblockt.
ACL (sorry nicht ALC sind Access Control Listen)
Netman
Die Verbindung steht, die Routen sind ok und getestet.
Also wird nur der Applikationszugriff vom lokalen Netz geblockt.
ACL (sorry nicht ALC sind Access Control Listen)
Netman
Lokaler Zugriff über die Lokalen IPs funktioniert. Aber wenn ich aus dem LAN über die öffentliche IP gehe, funktionerts nicht.
Und die Portforwardings für die ganzen Dienste sind richtig (ist ja auch kein Hexenwerk ;))
Und die Portforwardings für die ganzen Dienste sind richtig (ist ja auch kein Hexenwerk ;))
Moinsen,
kann es vielleicht sein, dass der Endian beim NATing Probleme hat...
Wenn ich das richtig verstanden habe, dann hast du beim Tracert ja nur den einen Hop auf deine feste IP!?!
vG
kann es vielleicht sein, dass der Endian beim NATing Probleme hat...
Wenn ich das richtig verstanden habe, dann hast du beim Tracert ja nur den einen Hop auf deine feste IP!?!
vG
Zitat von @n0cturne:
Lokaler Zugriff über die Lokalen IPs funktioniert. Aber wenn ich aus dem LAN über die öffentliche IP gehe, funktionerts nicht.
Und die Portforwardings für die ganzen Dienste sind richtig (ist ja auch kein Hexenwerk ;) )
Das ist jetzt auch nicht die Antwort auf die Frage.Lokaler Zugriff über die Lokalen IPs funktioniert. Aber wenn ich aus dem LAN über die öffentliche IP gehe, funktionerts nicht.
Und die Portforwardings für die ganzen Dienste sind richtig (ist ja auch kein Hexenwerk ;) )
Du hast zwei WAN Interfaces und ein LAN-Interface, an dem du zwei Adressbereiche betreibst.
Wie trennst du die Netze?
Wie greifst du auf die Server zu? Mit einer oder zwei IPs? Auf ein oder zwei Interfaces?
Gruß
Netman
Ich habe zwei WAN Interfaces und EIN LAN Interface mit EINER IP.
Lokal wird dort nicht getrennt - sprich alles ein Netz.
Bei endian habe ich aber für ausgehenden Datenverkehr ein Routing konfiguriert,
welches den Traffic von bestimmten IPs (Server) über den VDSL Uplink leitet.
Alle anderen Hosts im Netz gehen standardmäßig über das Kabel WAN Interface ins Internet.
Lokal wird dort nicht getrennt - sprich alles ein Netz.
Bei endian habe ich aber für ausgehenden Datenverkehr ein Routing konfiguriert,
welches den Traffic von bestimmten IPs (Server) über den VDSL Uplink leitet.
Alle anderen Hosts im Netz gehen standardmäßig über das Kabel WAN Interface ins Internet.
Klassisches Policy Based Routing.
Vermutung ist aber trotzdem das das ein Haipin NAT Problem ist....
Vermutung ist aber trotzdem das das ein Haipin NAT Problem ist....
Hallo,
kann vieles machen nur wenn es dann zu Problemen
kommt und einige Sachen nicht funktionieren sollte
man zumindest einmal darüber nachdenken ob man
das nicht lieber nach der Methode "best practice"
löst bzw. aussetzt, so wird das nichts.
Es wäre auch einmal an der Zeit über die von Dir
verwendete Hardware zu sprechen. Kannst Du uns
da bitte einmal etwas mehr drüber erzählen?
Ich würde Dir zu folgendem raten wollen,
- Noch einen LAN Port installieren (Netzwerkkarte)
Dann hast Du zwei WAN Ports, einen LAN und einen DMZ Port
- DUAL WAN mit Loadbalancing
Policy based Routing einsetzen wie@aqui es geraten hat
- Einmal nach einer anderen Software suchen die Hairpin NAT anbietet
Da kann Dir @aqui aber bestimmt mehr zu sagen
so wie ich das verstanden habe, ist das richtig?
Das mag zwar alles nicht so prall sein und vor allem auch
nicht so wie Du Dir das alles vorgestellt hast aber es funktioniert
dann wenigstens alles wie Du es benötigst bzw. möchtest!
Gruß
Dobby
Alle anderen Hosts im Netz gehen standardmäßig über
das Kabel WAN Interface ins Internet.
Also nimm mir das bitte nicht übel aber ich denke mandas Kabel WAN Interface ins Internet.
kann vieles machen nur wenn es dann zu Problemen
kommt und einige Sachen nicht funktionieren sollte
man zumindest einmal darüber nachdenken ob man
das nicht lieber nach der Methode "best practice"
löst bzw. aussetzt, so wird das nichts.
Es wäre auch einmal an der Zeit über die von Dir
verwendete Hardware zu sprechen. Kannst Du uns
da bitte einmal etwas mehr drüber erzählen?
Ich würde Dir zu folgendem raten wollen,
- Noch einen LAN Port installieren (Netzwerkkarte)
Dann hast Du zwei WAN Ports, einen LAN und einen DMZ Port
- DUAL WAN mit Loadbalancing
Policy based Routing einsetzen wie@aqui es geraten hat
- Einmal nach einer anderen Software suchen die Hairpin NAT anbietet
Da kann Dir @aqui aber bestimmt mehr zu sagen
Ich habe zwei WAN Interfaces und EIN LAN Interface mit EINER IP.
Also sprich Du hast insgesamt drei LAN Ports an der Firewallso wie ich das verstanden habe, ist das richtig?
Das mag zwar alles nicht so prall sein und vor allem auch
nicht so wie Du Dir das alles vorgestellt hast aber es funktioniert
dann wenigstens alles wie Du es benötigst bzw. möchtest!
Gruß
Dobby
