Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

MOnOwall Inbound NAT Problem

Frage Netzwerke LAN, WAN, Wireless

Mitglied: TheOnlyOne

TheOnlyOne (Level 1) - Jetzt verbinden

16.11.2013, aktualisiert 03.12.2013, 2333 Aufrufe, 12 Kommentare

Hallo zusammen,

ich habe auf einem ESX Server in Fankfurt eine virtuelle monowall laufen.

Eine NIC im öffentlichen Netz
Die andere NIC ist mit einem VSwitch verbunden.
Dahinter stehe ein Webserver der über Port 80 erreichbar wäre, nur zum testen.

Mir steht ein gewisser IP Adressen Range zur Verfügung. Ich will nicht das der Webserver direkt aus dem Netz erreichbar ist sondern er soll hinter der monowall stehen.

Das ganze würde ich ja erreichen mit einem InBound NAT?

Ich gebe unter ServerNAT eine freie öffentliche Adresse ein und erzeuge eine Inbound Rule.

External Adress die Adresse aus dem ServerNAT.
Protokoll TCP HTTP also Port 80
als NAT IP gebe ich die interne IP Adresse an sprich die 192.168.6.21

Die automaitsch erzeugte Firewall Rule macht den Rest

Entweder habe ich einen Denkfehler oder es funktioniert einfach nicht.

WEnn ich jetzt die öffentliche IP Adresse eingebe dann sollte ja mein Webserver erscheinen?

Helft mir mal auf die Sprünge

Sorry aber ich kann keine IP adressen angeben, wer weiss wer da alles mitliest ;)
Mitglied: aqui
16.11.2013, aktualisiert um 20:32 Uhr
Der klassische Denkfehler ist das fast immer folgende 2 Firewall Grundregeln vergessen werden:
1.) Filterlisten gelten bei pfSense oder Monowall ausschliesslich INBOUND
2.) 2te Grundregel ist First match wins D.H. nachdem die erste Firewallregel im Ruleset greift werden die folgenden im Ruleset NICHT mehr abgearbeitet !!
Es ist also essentiell wichtig DENY Regeln immer VOR den allow Regeln im Ruleset zu plazieren.
Hast du das bedacht ?? Vermutlich nicht !!
Du musst zusatzlich zum statischen NAT was du ja machst eine inbound allow Rule auf diese IP am WAN Port erlstellen, denn sonst wird diese IP logischerweise immer geblockt wie es bei einer Firewall ja üblich ist !
Das Firewall Log ist übrigens immer dein bester Freund !
Bitte warten ..
Mitglied: TheOnlyOne
16.11.2013 um 20:33 Uhr
Doch das habe ich beachtet. Das Prätigst du mit immer.

Ja das ist richtig nur inbound aber das hat ja nichts mit dem Problem zu tun?
Bitte warten ..
Mitglied: aqui
16.11.2013 um 20:40 Uhr
Du hast zur statischen NAT Rule vermutlich schlicht und einfach die inbound allow Rule auf diese IP vergessen. Es muss beides konfiguriert werden, dann kommt das auch problemlos zum Fliegen….ist ja ein simpler Klassiker.
Bitte warten ..
Mitglied: TheOnlyOne
16.11.2013 um 20:54 Uhr
Doch klar außerdem wird diese ja automatisch erstellt wenn man das möchte

Protokoll TCP
Source any
Port any
Destination: 192.168.5.21
POrt any
Bitte warten ..
Mitglied: TheOnlyOne
16.11.2013, aktualisiert um 20:56 Uhr
7e74765fa385ade7d8cabbbceca35e3f - Klicke auf das Bild, um es zu vergrößern

6755bc31c56bb158bf1e6b19db4d092c - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: TheOnlyOne
17.11.2013 um 10:12 Uhr
Soweit ich gelesen habe unterstützt die monowall keine Multi WAN IP Adressen?

Das kann nur die pfsense?

Weil genau das habe ich ja. Mehrere WAN IP Adressen die auf verschiedene LAN IP Adressen genatet werden müssen?
Bitte warten ..
Mitglied: aqui
17.11.2013 um 15:56 Uhr
Ja richtig. Was hindert dich daran das Flash schnell mit einem pfSense Image zu flashen ?
Bitte warten ..
Mitglied: TheOnlyOne
02.12.2013 um 19:07 Uhr
Sodala habe es auf eine PFsense geflasht und die Sache läuft....

Habe nun hinter der Pfsense eine Plesk laufen. Da gehen die Probleme aber schon los.

Ich habe die entsprechenden Port Forwarding Regelen erstellt, ebenso die Firewall Rules.

Funktioniert alles soweit einwandfrei. Nachdem jetzt aber das PLESK eine interne IP adresse hat 192.168.6.4 haut das mit der Namensauflösung nicht mehr hin.
Da ich mir nicht sicher war habe ich TCP/UDP Port 53 freigeschalten, ohne Verbesserung.

Nach Anleitung von Plesk muss man DNS Zonen ändern, was ich bereits ausgeführt habe.... ohne Erfolg.

ftp://download1.swsoft.com/Plesk/PPP9/Doc/de-DE/plesk-9.0-administrato ...

Jetzt frag ich mich ob jemand noch einen heissen Tipp hat?.

Komme über die IP Adresse sauber auf das Plesk drauf. Nur die Namensauflösung scheint nicht zu mögen.

Nameserver ist ein externer Server
Bitte warten ..
Mitglied: aqui
03.12.2013 um 09:28 Uhr
Das ist dann kein direktes NAT Problem mehr. DNS liefert dir sicher zu URLs die externe IP obwohl du eigentlich die geNATtete benötigst. Die Freigabe vom DNS Port 53 ist natürlich Unsinn, denn die kann das Problem der falschen IP Antwort nicht lösen, denn sie lässt ja nur das Protokoll passieren.
Das ist jetzt reine eine Konfiguration des DNS Servers die richtigen Antworten zu liefern.
Den DNS hast du neu gestartet nachdem du die Zonen verändert hast ??
Bitte warten ..
Mitglied: TheOnlyOne
03.12.2013 um 09:30 Uhr
Hallo,

der Neustart vom PLESK hat es letzt endlich gebracht. Port 53 DNS habe ich wieder zu gemacht...
Bitte warten ..
Mitglied: aqui
03.12.2013 um 09:35 Uhr
Das hört sich ja dann nach einer finalen Lösung an

Bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Mitglied: TheOnlyOne
03.12.2013 um 09:36 Uhr
Erledigt und Danke für die Hilfe
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
gelöst Multi NAT Problem (13)

Frage von Gr33n93 zum Thema Netzwerkgrundlagen ...

Voice over IP
Voip hinter NAT (10)

Frage von Windows10Gegner zum Thema Voice over IP ...

Netzwerkmanagement
Virtualbox NAT (8)

Frage von TechTobi zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
Verständnisproblem NAT (1)

Frage von Bytedreher zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Windows Server

Netzwerkfehler bei HyperV - Host

Anleitung von Scrises zum Thema Windows Server ...

Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Internet
gelöst Jeden morgen Internet-Probleme (56)

Frage von pjrtvly zum Thema Internet ...

Server-Hardware
HP DL380 G7: Booten vom USB via USB 3.1-PCI-e Karte möglich? (24)

Frage von Paderman zum Thema Server-Hardware ...

LAN, WAN, Wireless
gelöst IP Adressen - Modem - Switch - Accesspoint (22)

Frage von teuferl82 zum Thema LAN, WAN, Wireless ...

Windows Server
Upgrade von Win Server 2008 auf 2012 gescheitert (19)

Frage von Ghost108 zum Thema Windows Server ...