Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

MOnOwall Inbound NAT Problem

Frage Netzwerke LAN, WAN, Wireless

Mitglied: TheOnlyOne

TheOnlyOne (Level 1) - Jetzt verbinden

16.11.2013, aktualisiert 03.12.2013, 2204 Aufrufe, 12 Kommentare

Hallo zusammen,

ich habe auf einem ESX Server in Fankfurt eine virtuelle monowall laufen.

Eine NIC im öffentlichen Netz
Die andere NIC ist mit einem VSwitch verbunden.
Dahinter stehe ein Webserver der über Port 80 erreichbar wäre, nur zum testen.

Mir steht ein gewisser IP Adressen Range zur Verfügung. Ich will nicht das der Webserver direkt aus dem Netz erreichbar ist sondern er soll hinter der monowall stehen.

Das ganze würde ich ja erreichen mit einem InBound NAT?

Ich gebe unter ServerNAT eine freie öffentliche Adresse ein und erzeuge eine Inbound Rule.

External Adress die Adresse aus dem ServerNAT.
Protokoll TCP HTTP also Port 80
als NAT IP gebe ich die interne IP Adresse an sprich die 192.168.6.21

Die automaitsch erzeugte Firewall Rule macht den Rest

Entweder habe ich einen Denkfehler oder es funktioniert einfach nicht.

WEnn ich jetzt die öffentliche IP Adresse eingebe dann sollte ja mein Webserver erscheinen?

Helft mir mal auf die Sprünge

Sorry aber ich kann keine IP adressen angeben, wer weiss wer da alles mitliest ;)
Mitglied: aqui
16.11.2013, aktualisiert um 20:32 Uhr
Der klassische Denkfehler ist das fast immer folgende 2 Firewall Grundregeln vergessen werden:
1.) Filterlisten gelten bei pfSense oder Monowall ausschliesslich INBOUND
2.) 2te Grundregel ist First match wins D.H. nachdem die erste Firewallregel im Ruleset greift werden die folgenden im Ruleset NICHT mehr abgearbeitet !!
Es ist also essentiell wichtig DENY Regeln immer VOR den allow Regeln im Ruleset zu plazieren.
Hast du das bedacht ?? Vermutlich nicht !!
Du musst zusatzlich zum statischen NAT was du ja machst eine inbound allow Rule auf diese IP am WAN Port erlstellen, denn sonst wird diese IP logischerweise immer geblockt wie es bei einer Firewall ja üblich ist !
Das Firewall Log ist übrigens immer dein bester Freund !
Bitte warten ..
Mitglied: TheOnlyOne
16.11.2013 um 20:33 Uhr
Doch das habe ich beachtet. Das Prätigst du mit immer.

Ja das ist richtig nur inbound aber das hat ja nichts mit dem Problem zu tun?
Bitte warten ..
Mitglied: aqui
16.11.2013 um 20:40 Uhr
Du hast zur statischen NAT Rule vermutlich schlicht und einfach die inbound allow Rule auf diese IP vergessen. Es muss beides konfiguriert werden, dann kommt das auch problemlos zum Fliegen….ist ja ein simpler Klassiker.
Bitte warten ..
Mitglied: TheOnlyOne
16.11.2013 um 20:54 Uhr
Doch klar außerdem wird diese ja automatisch erstellt wenn man das möchte

Protokoll TCP
Source any
Port any
Destination: 192.168.5.21
POrt any
Bitte warten ..
Mitglied: TheOnlyOne
16.11.2013, aktualisiert um 20:56 Uhr
7e74765fa385ade7d8cabbbceca35e3f - Klicke auf das Bild, um es zu vergrößern

6755bc31c56bb158bf1e6b19db4d092c - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: TheOnlyOne
17.11.2013 um 10:12 Uhr
Soweit ich gelesen habe unterstützt die monowall keine Multi WAN IP Adressen?

Das kann nur die pfsense?

Weil genau das habe ich ja. Mehrere WAN IP Adressen die auf verschiedene LAN IP Adressen genatet werden müssen?
Bitte warten ..
Mitglied: aqui
17.11.2013 um 15:56 Uhr
Ja richtig. Was hindert dich daran das Flash schnell mit einem pfSense Image zu flashen ?
Bitte warten ..
Mitglied: TheOnlyOne
02.12.2013 um 19:07 Uhr
Sodala habe es auf eine PFsense geflasht und die Sache läuft....

Habe nun hinter der Pfsense eine Plesk laufen. Da gehen die Probleme aber schon los.

Ich habe die entsprechenden Port Forwarding Regelen erstellt, ebenso die Firewall Rules.

Funktioniert alles soweit einwandfrei. Nachdem jetzt aber das PLESK eine interne IP adresse hat 192.168.6.4 haut das mit der Namensauflösung nicht mehr hin.
Da ich mir nicht sicher war habe ich TCP/UDP Port 53 freigeschalten, ohne Verbesserung.

Nach Anleitung von Plesk muss man DNS Zonen ändern, was ich bereits ausgeführt habe.... ohne Erfolg.

ftp://download1.swsoft.com/Plesk/PPP9/Doc/de-DE/plesk-9.0-administrato ...

Jetzt frag ich mich ob jemand noch einen heissen Tipp hat?.

Komme über die IP Adresse sauber auf das Plesk drauf. Nur die Namensauflösung scheint nicht zu mögen.

Nameserver ist ein externer Server
Bitte warten ..
Mitglied: aqui
03.12.2013 um 09:28 Uhr
Das ist dann kein direktes NAT Problem mehr. DNS liefert dir sicher zu URLs die externe IP obwohl du eigentlich die geNATtete benötigst. Die Freigabe vom DNS Port 53 ist natürlich Unsinn, denn die kann das Problem der falschen IP Antwort nicht lösen, denn sie lässt ja nur das Protokoll passieren.
Das ist jetzt reine eine Konfiguration des DNS Servers die richtigen Antworten zu liefern.
Den DNS hast du neu gestartet nachdem du die Zonen verändert hast ??
Bitte warten ..
Mitglied: TheOnlyOne
03.12.2013 um 09:30 Uhr
Hallo,

der Neustart vom PLESK hat es letzt endlich gebracht. Port 53 DNS habe ich wieder zu gemacht...
Bitte warten ..
Mitglied: aqui
03.12.2013 um 09:35 Uhr
Das hört sich ja dann nach einer finalen Lösung an

Bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Mitglied: TheOnlyOne
03.12.2013 um 09:36 Uhr
Erledigt und Danke für die Hilfe
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
Sonicwall NAT-Problem

Frage von SuperAggy zum Thema Router & Routing ...

Router & Routing
gelöst Problem mit 2 NAT (5)

Frage von mzda1234 zum Thema Router & Routing ...

Windows Netzwerk
Problem mit PSexec64 von Sysinternals (2)

Frage von MaxMoritz6 zum Thema Windows Netzwerk ...

Windows Server
gelöst Problem nach DC-Installation unter Server 2012 R2 (9)

Frage von manuel1985 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...