Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Endian Firewall mit 2x WAN und NAT

Frage Netzwerke Router & Routing

Mitglied: n0cturne

n0cturne (Level 1) - Jetzt verbinden

19.02.2014 um 17:29 Uhr, 3589 Aufrufe, 10 Kommentare

Hallo zusammen,

ich habe eine endian Community Firewall 3.0, welche über zwei Interfaces im Internet ist: 1x DHCP über ein Kabelmodem (Hauptuplink) und 1x PPPoE über ein VDSL Modem.
Ein drittes Interface ist das Gateway.
Im Netzwerk befinden sich 4 Server, welche über ein Richtlinenbasiertes Routing die VDLS Leitung nutzen (wegen fester IP) und diverse Clients, welche die Kabel Leitung nutzen (wegen Bandbreite).
Diese Aufteilung funktioniert auch soweit.
Die Server stellen diverse Dienste zur Verfügung, welche über die öffentliche IP der VDSL Leitung sowohl von innen als auch von außen erreichbar sein sollen.
Dafür habe ich diverse Portforwardings konfiguriert.
Von außen kann ich auf alle Dienste zugreifen. Wenn ich aber im LAN bin, funktioniert das nicht.

Ich bin mit meinem Latein am Ende und würde mich über Tipps und Anregungen freuen.
Mitglied: MrNetman
19.02.2014, aktualisiert 20.02.2014
Hi nächtlicher Musiker

Wer macht den DNS?
Wo endet tracert oder Pathping?
Welche ALC sind definiert?
Dürfen die Server, die lokal da stehen denn auch lokal angesprochen werden.
Wenn die Server ihre Internetverbindung komplett getrennt haben, dann ist möglicherweise auch kein Routing eingestellt. Die IPs werden wie an einem Switch durch geleitet.
Wenn du nur einen LAN-Port hast, dann musst du ja mit einer VLAN-Konfiguration leben. Wie steht das Routing in der Firewall?

Gruß
Netman
Bitte warten ..
Mitglied: aqui
20.02.2014, aktualisiert um 11:14 Uhr
Ein typischer Klassiker von Hairpin NAT was die Endian vermutlich nicht supportet oder du hast es schlicht und einfach nicht aktiviert:
http://wiki.mikrotik.com/wiki/Hairpin_NAT
bzw.
http://networkingforintegrators.com/2013/02/hairpin-nat-or-how-to-use-y ...
Also: aktivieren, dann klappt das von intern auch sofort oder die Firewall tauschen. Eine pfSense supportet das problemlos
Bitte warten ..
Mitglied: n0cturne
20.02.2014 um 11:10 Uhr
Zitat von MrNetman:

Hi nächtlicher Musiker

Wer macht den DNS?
Wo endet tracert oder Pathping?
Welche ALC sind definiert?
Dürfen die Server, die lokal da stehen denn auch lokal angesprochen werden.
Wenn die Server ihre Internetverbindung komplett getrennt haben, dann ist möglicherweise auch kein Routing eingestellt. Die
IPs werden wie an einem Switch durch geleitet.
Wenn du nur einen LAN-Port hast, dann musst du ja mit einer VLAN-Konfiguration leben. Wie steht das Routing in der Firewall?

Gruß
Netman


DNS machen 2 Windows DCs welche über die feste IP im Internet sind. Namensauflösung klappt auch.
Wenn ich von außen zugreifen will, mache ich das aber ohnehin über IP.
Der tracert geht sowohl vom Server als auch von den Clients bis zum ende durch.
Jedoch wenn ich einen tracert auf unsere feste IP ausführe, läuft schon der erste Hop bei beiden Systemen (Server/Client) direkt auf der festen IP auf.

Alle Server sollen im LAN auch lolal angesprochen werden - was auch funktioniert.
Ich komme mit allen Systemen ins Internet. Und wenn ich auf wieistmeineip.de gehe, wird mir bei den Servern unsere fixe VDSL IP und auf den Clients die dynamische Kabeldeutschland IP angezeigt - auch das ist so gewollt.

Was genau meinst du mit dem Routing in der Firewall? Es handelt sich eben um ein richtlinienbasiertes Routing für ausgewählte Ziel IPs, welche dann über den "Telekom Uplink" geleitet werden.
Auch mit ALC kann ich gerade nichts anfangen.
Bitte warten ..
Mitglied: MrNetman
20.02.2014 um 12:11 Uhr
Wenn ich es richtig verstehe:
Die Verbindung steht, die Routen sind ok und getestet.
Also wird nur der Applikationszugriff vom lokalen Netz geblockt.
ACL (sorry nicht ALC sind Access Control Listen)

Netman
Bitte warten ..
Mitglied: n0cturne
20.02.2014 um 12:24 Uhr
Lokaler Zugriff über die Lokalen IPs funktioniert. Aber wenn ich aus dem LAN über die öffentliche IP gehe, funktionerts nicht.
Und die Portforwardings für die ganzen Dienste sind richtig (ist ja auch kein Hexenwerk ;))
Bitte warten ..
Mitglied: claas30926
21.02.2014 um 14:03 Uhr
Moinsen,

kann es vielleicht sein, dass der Endian beim NATing Probleme hat...
Wenn ich das richtig verstanden habe, dann hast du beim Tracert ja nur den einen Hop auf deine feste IP!?!

vG
Bitte warten ..
Mitglied: MrNetman
21.02.2014 um 15:03 Uhr
Zitat von n0cturne:
Lokaler Zugriff über die Lokalen IPs funktioniert. Aber wenn ich aus dem LAN über die öffentliche IP gehe, funktionerts nicht.
Und die Portforwardings für die ganzen Dienste sind richtig (ist ja auch kein Hexenwerk ;) )
Das ist jetzt auch nicht die Antwort auf die Frage.
Du hast zwei WAN Interfaces und ein LAN-Interface, an dem du zwei Adressbereiche betreibst.
Wie trennst du die Netze?
Wie greifst du auf die Server zu? Mit einer oder zwei IPs? Auf ein oder zwei Interfaces?

Gruß
Netman
Bitte warten ..
Mitglied: n0cturne
21.02.2014 um 17:56 Uhr
Ich habe zwei WAN Interfaces und EIN LAN Interface mit EINER IP.
Lokal wird dort nicht getrennt - sprich alles ein Netz.
Bei endian habe ich aber für ausgehenden Datenverkehr ein Routing konfiguriert,
welches den Traffic von bestimmten IPs (Server) über den VDSL Uplink leitet.
Alle anderen Hosts im Netz gehen standardmäßig über das Kabel WAN Interface ins Internet.
Bitte warten ..
Mitglied: aqui
21.02.2014, aktualisiert um 18:40 Uhr
Klassisches Policy Based Routing.
Vermutung ist aber trotzdem das das ein Haipin NAT Problem ist....
Bitte warten ..
Mitglied: Dobby
21.02.2014 um 21:57 Uhr
Hallo,

Alle anderen Hosts im Netz gehen standardmäßig über
das Kabel WAN Interface ins Internet.
Also nimm mir das bitte nicht übel aber ich denke man
kann vieles machen nur wenn es dann zu Problemen
kommt und einige Sachen nicht funktionieren sollte
man zumindest einmal darüber nachdenken ob man
das nicht lieber nach der Methode "best practice"
löst bzw. aussetzt, so wird das nichts.

Es wäre auch einmal an der Zeit über die von Dir
verwendete Hardware zu sprechen. Kannst Du uns
da bitte einmal etwas mehr drüber erzählen?

Ich würde Dir zu folgendem raten wollen,
- Noch einen LAN Port installieren (Netzwerkkarte)
Dann hast Du zwei WAN Ports, einen LAN und einen DMZ Port
- DUAL WAN mit Loadbalancing
Policy based Routing einsetzen wie@aqui es geraten hat
- Einmal nach einer anderen Software suchen die Hairpin NAT anbietet
Da kann Dir @aqui aber bestimmt mehr zu sagen

Ich habe zwei WAN Interfaces und EIN LAN Interface mit EINER IP.
Also sprich Du hast insgesamt drei LAN Ports an der Firewall
so wie ich das verstanden habe, ist das richtig?

Das mag zwar alles nicht so prall sein und vor allem auch
nicht so wie Du Dir das alles vorgestellt hast aber es funktioniert
dann wenigstens alles wie Du es benötigst bzw. möchtest!

Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
PfSense mit 2x WAN - Zugriff von WAN1 auf WAN2 (4)

Frage von endy66 zum Thema Router & Routing ...

Router & Routing
Lancom N:N-NAT - öffentliche IP und Firewall

Frage von devil77 zum Thema Router & Routing ...

Firewall
Suche nach NAT-Gateway-Firewall-Lösung (9)

Frage von marcinomel zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (22)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...