Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Port mapping für ausgehenden Datenverkehr

Frage Netzwerke Netzwerkprotokolle

Mitglied: frigge

frigge (Level 1) - Jetzt verbinden

29.08.2013 um 10:52 Uhr, 3001 Aufrufe, 23 Kommentare, 4 Danke

Hallo Zusammen,

ich stehe vor einem ziemlich ärgerlichen Problem und hoffe ihr könnt mir ein paar Denkanstöße oder Tipps geben.

Das Szenario in Kürze:
- Ich habe zwei Server A und B.
- Server A steht bei mir, Server B steht bei meinem Kunden.
- Auf meinem Server A läuft eine Anwendungssoftware, welche sich mit einem Prozess auf Server B verbinden soll.
- Bei der Anwendungssoftware kann ich nur die IP-Adresse von Server B angeben. Der Port auf dem sich die Anwendungssoftware verbinden möchte ist fest vorgegeben (23022).
- Der vorgegebene Port (23022) ist auf dem Kundenserver B schon durch einen anderen Prozess belegt. Daher lauscht der von mir benötigte Prozess auf einem anderen Port (54022).

Mein Problem:
- Ich kann weder den ausgehenden Port in der Anwendungssoftware (auf Server A), noch den eingehenden Port des Zielprozesses (auf Server B) ändern.

Mein Lösungsansatz:
- Mit einem Tool (wie iptables) ein Port mapping für ausgehenden Datenverkehr basteln. Beispielweise: Leite sämtlichen Output zu Server B Port 23022 um zu Server B Port 54022.

Deshalb meine Frage an euch: Ist das technisch machbar und wenn ja, welches Tool würdet ihr vorschlagen?

Schöne Grüße
Frigge

P.S.: Ich habe root-Rechte auf Server A und kann mich da auf Betriebssystem-Ebene austoben.
Mitglied: Dobby
29.08.2013 um 11:08 Uhr
Hallo,

wie ist denn die Verbindung zwischen den Servern hergestellt worden?
Direkt oder via VPN an den davor geschalteten Router oder die Firewall?

Wenn die Verbindung per VPN (Router- Router also Site-to-Site) läuft an dem Router oder der Firewall das Umstellen der Ports
Portmapping versuchen umzusetzen.

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
29.08.2013, aktualisiert um 12:09 Uhr
VPN wäre doch die einfachste Lösung:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
oder
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
oder
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
Oder da du von iptables redest auch ein einfaches Tunneling über einen SSH Link der Anwendung:
http://www.administrator.de/contentid/62666
oder
http://www.heise.de/netze/artikel/Dezentrales-VPN-mit-Tinc-785436.html
usw. usw.
Es gibt zig Optionen....

Portmapping meinst du vermutlich nicht wirklich im Ernst denn dann sendest du deine Daten ungeschützt über ein öffentliches Netzwerk ! In Zeiten von NSA ein NoGo....es sei denn es sind nur Bilder von Oma Grete im Schrebergarten ?!
Bitte warten ..
Mitglied: brammer
29.08.2013, aktualisiert um 13:50 Uhr
Hallo,

In Zeiten von NSA ein NoGo....es sei denn es sind nur Bilder für Oma Grete ?!

wobei ich mich auch dann fragen muss was die Bilder von Oma Grete die NSA angehen....

Aber wenn du ein ungeschütztes Port Mapping machen willst sparst du dir natürlich das Backup deiner Daten... Das macht dann die NSA oder jeder x-beliebige Hacker.....

brammer
Bitte warten ..
Mitglied: frigge
29.08.2013 um 12:21 Uhr
Hallo Zusammen,

vielen Dank schon einmal für die ganzen Anregungen. Die zu übertragenden Daten werden von der Anwendung selbst verschlüsselt. Dazu kommt, dass keine ernsthaften Daten über diese Verbindung geschickt werden. Es handelt sich hierbei nur um Testdaten.

Ein VPN kann ich nicht einrichten, weil ich auf Kundenseite keine Rechte dazu habe und auch nicht bekommen werde. Ich muss irgendetwas auf meinem System machen.

Um D.o.b.b.y's Frage noch zu beantworten. Die Verbindung geht erst durch unsere Firewall, dann durchs große böse Internet und dann durch die Firewall des Kundens. Das Portmapping an der Firewall einzurichten, haben meine Kollegen (die die Firewall betreuen) schon versucht und sind, aus welchen Gründen auch immer, gescheitert. Deshalb war meine letzte Idee halt, das Port Mapping auf meinem Systems selbst. Ich habe dazu schon einige Varianten via iptables gesehen, aber keine passte genau zu meiner Situation und leider habe ich von iptables keine Ahnung, sodass mir die ganzen Parameter nichts sagen.

Ungeachtet der Sicherheit, Verschlüsselung, NSA usw., gibt es eine einfache Lösung dieses Port Mapping auf meinem Server durchzuführen?

Schöne Grüße
Frigge
Bitte warten ..
Mitglied: Dobby
29.08.2013 um 12:43 Uhr
Ungeachtet der Sicherheit, Verschlüsselung, NSA usw., gibt es eine einfache Lösung dieses Port Mapping auf meinem Server durchzuführen?
So wie ich das sehe nein, das heißt eigentlich schon nur es bringt eben herzlich wenig!

Nehmen wir mal an Du willst mit mir kommunizieren und wir beide telefonieren 150 Mal miteinander, dann kannst Du zwar
auf Deiner Seite das verhalten und auch sicherlich die Kommunikationsquelle ändern, also sprich mir ein Fax schicken, nur
wenn ich nicht zu Hause oder am Faxgerät bin ist das eben auch nicht wirklich zweckdienlich, ähnlich sieht es mit Email
aus Du kannst mir 100 Emails schreiben aber wenn ich das nicht weiß und daher auch meine Email nicht prüfe wird
das eine ziemlich einseitige Kommunikation werden!

Also als erstes gilt man schlicht nichts, einfach gar nichts, unverschlüsselt oder gesichert durch das Internet!!!
mit den Testdaten fängt es an und mit normalen Daten hört es auf! Dafür sind eben VPN und dann am besten
via IPSec da um so etwas zu verhindern und Deinem Kunden auch ein gewisses Gefühl von Sicherheit anzubieten und
Professionalität zu vermitteln. Das ist auc heute kein Hexenwerk mehr obwohl auch recht oft gestandene Administratoren
so ihre liebe Not mit dem Thema und vor allen Dingen der Umsetzung von VPN haben!!!

Wenn eine VPN Verbindung erst einmal steht kann man dort und nur dort eben auch die eingehenden Port 23022, der ja
schon in Benutzung ist, auf den Port 54022 umsetzen (Mappen) und damit Dein Kunde keine Sicherheitsbedenken hat
würde ich einmal sagen das das Umsetzen (Mappen) auch gleich mit einer IP Adresse verknüpft wird und zwar der
von dem Server auf dem die Anwendung läuft.

Du selbst hast das bestimmt auch schon herausgefunden und dachtest bestimmt in einem Admin Forum kennen die Leute
eventuell auch noch einen kleinen Trick bzw. eine andere Lösung, ist ja auch nicht schlimm nur dann bitte auch
zuhören wenn so etwas geraten wird wie ;
- Du versuchst das auf der falschen Seite mit dem Umsetzen (Mappen)
- Und dafür nimmt oder nutzt man eine VPN Verbindung!

Gruß
Dobby
Bitte warten ..
Mitglied: frigge
29.08.2013 um 13:02 Uhr
Hallo Dobby,

um dein Beispiel mit dem Ändern der Kommunikationsquelle aufzugreifen. Mir ist klar, dass es nichts bringt, wenn ich auf Fax umsteigen und du Email benutzt. Aber genau deshalb möchte ich ja meinem Fax-Gerät beibringen, dass ich oben ein Fax reinstecke und das ganze dann per Email verschicht wird. Das Mapping Fax-to-Mail finden dann auf meiner Seite statt.

Zum Thema "unverschlüsselte Daten übers Internet": Ich kenne den Grundsatz, dass man das niemals machen sollte. Aber die Daten selbst sind verschlüsselt, auch wenn sie über eine unverschlüsselte Leitung gesendet werden. Da es sich hier nur um einen einmaligen Test mit Testdaten handelt, nehme ich das in Kauf. Das richtige System wird hinterher in einem geschützen Netzwerk aufgebaut, wo es diese Port-Komplikationen nicht mehr gibt.

Ich bin euch sehr Dankbar, dass ich mich so ernst auf das Thema Sicherheit hinweist, aber das ist in diesem Fall wirklich nicht wichtig. Es muss nur einmal diese Verbindung stehen und danach wirds wieder abgebaut. Der Kunde will in diesen Fall nur sehen, dass die Anwendung mit dem Server sprechen kann und dann wird das ganze im internen Netzwerk implementiert.

Ich habe die Ratschläge nicht ignoriert. Nur will der Kunde für diesen Test, weder einen VPN, noch will er irgendwelches Mapping auf seiner Seite realisieren. Sicher wäre VPN die bessere Möglichkeit, aber diese kann ich leider nicht nutzen.

Verstehe ich es richtig, dass es keinerlei Möglichkeiten das Mapping auf meiner Seite zu realisieren?

Schöne Grüße
Frigge
Bitte warten ..
Mitglied: Dobby
29.08.2013 um 13:31 Uhr
Das Mapping Fax-to-Mail finden dann auf meiner Seite statt.
Ok noch einmal ganz langsam zum Mitmeißeln und nur für Dich:
Ich persönlich kenne keine andere Lösung als das man auf der Seite des Empfängers die Umsetzung des Ports mittels
"Port mapping" realisiert!


Ich kenne den Grundsatz, dass man das niemals machen sollte. Aber die Daten selbst sind verschlüsselt, auch wenn sie über eine unverschlüsselte Leitung gesendet werden
Mag sein aber ich denke Du solltest nicht nur Deine Seite sehen sondern auch die des Forums, und das sind in der Regel alles
Administratoren und Netzwerker die eben nicht zaubern können nur weil Du Deinen Kunden nicht anrufst und es dort zum
fliegen bekommst!

Ich bin euch sehr Dankbar, dass ich mich so ernst auf das Thema Sicherheit hinweist, aber das ist in diesem Fall wirklich nicht wichtig.
Dir vielleicht nicht, aber aus Sicht des Forums ist es schon wichtig das man Wissen nach best practice vermittelt und
nicht zusieht dass das Internet immer schlechter und unsicherer wird, weil genau die Leute oder sagen wir mal ein großer
Teil der Leute hier im Forum, dann wieder mit den Folgen zu kämpfen haben und zwar in Ihren Netzwerken.

Der Kunde will in diesen Fall nur sehen, dass die Anwendung mit dem Server sprechen kann und dann wird das ganze im internen Netzwerk implementiert.
Und was sollte da nun nicht funktionieren auf seiner Seite?
Da gibt es zwei Möglichkeiten, zumindest so wie ich das sehe:
- Man öffnet an dem Router des Kunden die nötigen Ports und arbeitet dann mit Portweiterleitungen!
- Man öffnet an der Firewall die nötigen Ports und arbeitet dann mit Portweiterleitungen und/oder Port mapping
Ganz ohne VPN und Verschlüsselung!

Verstehe ich es richtig, dass es keinerlei Möglichkeiten das Mapping auf meiner Seite zu realisieren?
Doch nur das bringt eben nichts! Wenn Du auf Deiner Seite sagst nimm auf der Kundenseite den Port 54022 statt 23022
und der Server bei Deinem Kunden horcht nur auf 23022 wie soll das dann funktionieren?

Das Mapping Fax-to-Mail finden dann auf meiner Seite statt.
Du kannst Dein Fax sicherlich an eine Email Adresse senden, nur wenn ich am Telefon sitze und der PC aus ist
wird das nichts mit unserem Gespräch!!!!

Irgend wer muss zwingend an dem Server auf der Seite Deines Kunden doch erst einmal einstellen, dass dieser auf
Port 54022 lauscht, denn der lauscht doch standardmäßig auf 23022 oder? Denn auf der Seite des Kunden, also bei Server B
ist doch der Port 23022 schon in Benutzung und nicht auf Deiner Seite! Also muss dort auch dem Server jemand mitteilen
das er auf Port 54022 lauschen soll.

Auf Deiner Seite könnte man auch;
- mit Portweiterleitung oder Umsetzung arbeiten
- schnell einen kleinen Proxy zur Not aufsetzen und der übernimmt das Port Mapping dann, aber;

dafür muss der Fehler doch auch auf Deiner Seite vorhanden sein.


Gruß
Dobby
Bitte warten ..
Mitglied: brammer
29.08.2013 um 13:53 Uhr
Hallo,

Server B wartet auf eine Antwort auf Port 23022

Der Port ist aber im Kundennetz belegt.

Server A kann auf allen Ports senden.

Server B aber nicht auf anderen Ports lauschen.

Was willst du an Server A ändern , damit Server B Informationen empfangen kann ???????

brammer
Bitte warten ..
Mitglied: frigge
29.08.2013 um 14:20 Uhr
> Das Mapping Fax-to-Mail finden dann auf meiner Seite statt.
Ok noch einmal ganz langsam zum Mitmeißeln und nur für Dich:
Ich persönlich kenne keine andere Lösung als das man auf der Seite des Empfängers die Umsetzung des Ports mittels
"Port mapping" realisiert!

Genau das ist von Anfang an meine Frage gewesen!

> Ich kenne den Grundsatz, dass man das niemals machen sollte. Aber die Daten selbst sind verschlüsselt, auch wenn sie
über eine unverschlüsselte Leitung gesendet werden
Mag sein aber ich denke Du solltest nicht nur Deine Seite sehen sondern auch die des Forums, und das sind in der Regel alles
Administratoren und Netzwerker die eben nicht zaubern können nur weil Du Deinen Kunden nicht anrufst und es dort zum
fliegen bekommst!
Ich weiß nicht, warum du plötzlich persönlich wirst und zu wissen glaubst ob und wie ich mit meinen Kunden kommuniziere?!

> Ich bin euch sehr Dankbar, dass ich mich so ernst auf das Thema Sicherheit hinweist, aber das ist in diesem Fall wirklich
nicht wichtig.
Dir vielleicht nicht, aber aus Sicht des Forums ist es schon wichtig das man Wissen nach best practice vermittelt und
nicht zusieht dass das Internet immer schlechter und unsicherer wird, weil genau die Leute oder sagen wir mal ein großer
Teil der Leute hier im Forum, dann wieder mit den Folgen zu kämpfen haben und zwar in Ihren Netzwerken.
Was haben die Netzwerke anderer mit meinem Problem zu tun? Warum wird das Internet immer schlechter und schlechter, wenn ich zu Testzwecken eine ungesicherte Verbindung auf- und wieder abbaue?

> Der Kunde will in diesen Fall nur sehen, dass die Anwendung mit dem Server sprechen kann und dann wird das ganze im internen
Netzwerk implementiert.
Und was sollte da nun nicht funktionieren auf seiner Seite?
Da gibt es zwei Möglichkeiten, zumindest so wie ich das sehe:
- Man öffnet an dem Router des Kunden die nötigen Ports und arbeitet dann mit Portweiterleitungen!
- Man öffnet an der Firewall die nötigen Ports und arbeitet dann mit Portweiterleitungen und/oder Port mapping
Ganz ohne VPN und Verschlüsselung!
Mir sind die ganzen Möglichkeiten auf Kundenseite bewusst und die Möglichkeiten wurden hier ja auch schon durchgesprochen, nur leider bringen mich diese Möglichkeiten nicht weiter. Mein Problem hat gewisse Voraussetzungen, welche nicht geändert werden können. D.h. entweder gibt es eine Lösung unter diesen Umständen oder nicht. Und die Umstände ändern ist hier leider keine Lösung. Das ist ein wenig tricky oder evtl. gar nicht möglich, aber genau darum wende ich mich hier an ein breites Publikum erfahrener Admins.

> Verstehe ich es richtig, dass es keinerlei Möglichkeiten das Mapping auf meiner Seite zu realisieren?
Doch nur das bringt eben nichts! Wenn Du auf Deiner Seite sagst nimm auf der Kundenseite den Port 54022 statt 23022
und der Server bei Deinem Kunden horcht nur auf 23022 wie soll das dann funktionieren?
Vielleicht liegt hier das Mißverständnis. Mein Kunde horcht auf 54022! Und meine Anwendung kann nur Anfragen an Port 23022 stellen!

> Das Mapping Fax-to-Mail finden dann auf meiner Seite statt.
Du kannst Dein Fax sicherlich an eine Email Adresse senden, nur wenn ich am Telefon sitze und der PC aus ist
wird das nichts mit unserem Gespräch!!!!

Irgend wer muss zwingend an dem Server auf der Seite Deines Kunden doch erst einmal einstellen, dass dieser auf
Port 54022 lauscht, denn der lauscht doch standardmäßig auf 23022 oder? Denn auf der Seite des Kunden, also bei Server
B
ist doch der Port 23022 schon in Benutzung und nicht auf Deiner Seite! Also muss dort auch dem Server jemand mitteilen
das er auf Port 54022 lauschen soll.
Wie gesagt, der Kunde lauscht bereits auf 54022. Das ist schon so eingestellt. Wie im Beispiel: Mein Kunde sitzt am Telefon und wartet und ich schicke Emails. Daher brauche ich ein Mapping von Email auf Telefon auf meiner Seite (wenn technisch realisierbar).

Auf Deiner Seite könnte man auch;
- mit Portweiterleitung oder Umsetzung arbeiten
- schnell einen kleinen Proxy zur Not aufsetzen und der übernimmt das Port Mapping dann, aber;

dafür muss der Fehler doch auch auf Deiner Seite vorhanden sein.
Genau so etwas möchte ich haben! Portweiterleitung oder Proxy installieren oder ähnliches. Und dafür suche ich Lösungsansätze. Wie realisiere ich die Portweiterleitung? Mit welchem Tool kann man einen Proxy einrichten und wie kann ich den am einfachsten konfigurieren?

Gruß
Frigge
Bitte warten ..
Mitglied: frigge
29.08.2013 um 14:25 Uhr
Hallo,
Server B wartet auf eine Antwort auf Port 23022
Wie in meiner Frage beschrieben, wartet Server B auf eine Antwort auf Port 54022!

Der Port ist aber im Kundennetz belegt.
Port 23022 wäre der Standardport für diese Applikation, ist aber schon durch eine andere Applikation belegt. Sonst gäbe es mein Problem nicht.

Server A kann auf allen Ports senden.
Das Tool auf Server A kann nur auf Port 23022 raus senden.

Server B aber nicht auf anderen Ports lauschen.
Das ist mir klar. Daher lauscht Server B auf Port 54022.

Was willst du an Server A ändern , damit Server B Informationen empfangen kann ???????
Ich will an Server A ändern, dass er alle Anfrage, welche über Port 23022 raus gehen auf Port 54022 umlenkt, damit die auf Server B am richtigen Port ankommen!

Gruß
Frigge
Bitte warten ..
Mitglied: Dobby
29.08.2013 um 14:47 Uhr
Zitat von brammer:
Hallo,

Server B wartet auf eine Antwort auf Port 23022

Der Port ist aber im Kundennetz belegt.

Server A kann auf allen Ports senden.

Server B aber nicht auf anderen Ports lauschen.

Was willst du an Server A ändern , damit Server B Informationen empfangen kann ???????

brammer

Puh, glück gehabt ich dachte langsam schon der Denkfehler liegt auf meiner Seite

Gruß
Dobby
Bitte warten ..
Mitglied: frigge
29.08.2013 um 14:52 Uhr
Puh, glück gehabt ich dachte langsam schon der Denkfehler liegt auf meiner Seite
Mhh, hast du evtl. meine Antworten gelesen? Ihr geht leider beide von falschen Voraussetzungen aus! Wie in meiner Eingangsfrage erwähnt, lauscht der Kundenserver bereits auf Port 54022.
Bitte warten ..
Mitglied: aqui
29.08.2013, aktualisiert um 14:54 Uhr
Du schreibst aber oben (Zitat): "Das Portmapping an der Firewall (wo Server B ist) einzurichten, haben meine Kollegen (die die Firewall betreuen) schon versucht und sind, aus welchen Gründen auch immer, gescheitert..."

Wenn das der Fall ist kannst du ja auf dem Server B den Port wo immer hinlegen wo du willst.
Sofern die Kollegen dort das Port Forwarding auf diesem Port an der Firewall NICHT hinbekommen wirst du logischerwesie ja immer und ewig scheitern !! Egal welchen Port du verwendest auf dem Server.
Ohne das PFW kann doch Daten die du von A sendest nie und nimmer nicht den Server erreichen ?!
Das ist dir doch hoffentlich klar ?!

Jede Firewall der Welt und sogar die billigsten Consumer DSL Router vom Blödmarkt supporten ein Port Translation.
Dort kannst du eingeben: Eingehender Traffic Port TCP 23022 -> ausgehender Traffic Port TCP 54022, lokale IP <Server B>
Fertig ist der Lack !
Das ist normalerweise in nicht mal 3 Minuten auf jeglicher Firewall eingerichtet.

Wenn, dann hast du doch gar kein Netzwerk Problem sondern ein Problem mit deinen Kollegen das die das entsprechende Fachwissen nicht haben wenn sie schon daran scheitern so eine popelige NAT Regel auf der Firewall umzusetzen !
Dein Szenario ist doch eigentlich ein Kindergarten Setup um das zum Fliegen zu bringen...
Bitte warten ..
Mitglied: brammer
29.08.2013 um 14:55 Uhr
Hallo,

wer hat den eine Software so programmiert das man beim Senden den Port nicht ändern kann?

brammer
Bitte warten ..
Mitglied: frigge
29.08.2013 um 15:14 Uhr
Hallo aqui,
du zitierst mich leider falsch.
Du schreibst aber oben (Zitat): "Das Portmapping an der Firewall (wo Server B ist) einzurichten, haben meine Kollegen (die
die Firewall betreuen) schon versucht und sind, aus welchen Gründen auch immer, gescheitert..."

Ich habe nirgendwo geschrieben, dass die Firewall bei Server B gemeint war. Meine Kollegen haben natürlich versucht die Firewall auf unserer Seite zu konfigurieren (da wo Server A steht).

Wenn das der Fall ist kannst du ja auf dem Server B den Port wo immer hinlegen wo du willst.
Sofern die Kollegen dort das Port Forwarding auf diesem Port an der Firewall NICHT hinbekommen wirst du logischerwesie ja
immer und ewig scheitern !! Egal welchen Port du verwendest auf dem Server.
Ohne das PFW kann doch Daten die du von A sendest nie und nimmer nicht den Server erreichen ?!
Das ist dir doch hoffentlich klar ?!
Meine Kollegen haben es geschafft der Port 54022 zu öffnen. Das ist der Port auf den mein Zielserver lauscht. Doch leider kann Server A immer noch keine Anfragen an Port 54022 stellen, sondern nur an Port 23022. Deshalb die Idee mit dem Mapping. Und da die Kollegen das in der Firewall nicht hinbekommen, wollte ich das vor der Firewall lösen.

Jede Firewall der Welt und sogar die billigsten Consumer DSL Router vom Blödmarkt supporten ein Port Translation.
Dort kannst du eingeben: Eingehender Traffic Port TCP 23022 -> ausgehender Traffic Port TCP 54022, lokale IP <Server B>

Fertig ist der Lack !
Das ist normalerweise in nicht mal 3 Minuten auf jeglicher Firewall eingerichtet.

Wenn, dann hast du doch gar kein Netzwerk Problem sondern ein Problem mit deinen Kollegen das die das entsprechende Fachwissen
nicht haben wenn sie schon daran scheitern so eine popelige NAT Regel auf der Firewall umzusetzen !
Dein Szenario ist doch eigentlich ein Kindergarten Setup um das zum Fliegen zu bringen...
Ich habe nie behauptet das ich ein reines Netzwerkproblem habe :-P
Ich kämpfe hier mit mehreren Problemen. Nicht-fähige Kollegen sind nur wenige dieser Probleme. Und da ich meine Kollegen nicht zwingen kann sich weiterzubilden, versuche ich das Problem auf andere Weise zu lösen, auch wenn diese nicht schön ist.

Gruß
Frigge
Bitte warten ..
Mitglied: frigge
29.08.2013 um 15:17 Uhr
Hallo brammer,
wer hat den eine Software so programmiert das man beim Senden den Port nicht ändern kann?
Inwiefern hilft das bei der Lösung des Problems? Dass die Software schlecht programmiert ist, weiß ich selbst Ich habe mit dem Hersteller geredet und er ist sich jetzt auch bewusst, dass das Mist ist und wird es irgendwann im nächsten Release ändern. Aber das kann noch dauern.

Gruß
Frigge
Bitte warten ..
Mitglied: brammer
29.08.2013 um 15:38 Uhr
Hallo,

nun, man kann Druck auf den Hersteller ausübern.
Und wie man sieht, wenn das schon in der Update Pipeline ist, dann hat das ja schon gefruchtet.

Das Problem was sich langsam heraus kristallisiert, ist doch folgendes:
Du hast ein Netzwerk Problem. dessen Ursache darin liegt das die Kollegen die für die Firewall verantwortlich sind.

Du wills eine Lösung die das Netzwerk Problem umgeht....

Die richtige Lösung ist, stelle deinen Kollegen die Anforderung klar und erkläre denen das du bis zum Termin xx.xx.xx eine Lösung brauchst.
Wenn die Kollegen dazu nicht in der Lage sidn, teile deinem Vorgesetzten mit, das du deine Aufgabe nicht umsetzen kannst, da die Kollegen nicht in der Lage sind ein Problem zu lösen, ein Problem dessen Lösunf @aqui oben bereits beschrieben hat...

Dort kannst du eingeben: Eingehender Traffic Port TCP 23022 -> ausgehender Traffic Port TCP 54022, lokale IP <Server B>

brammer
Bitte warten ..
Mitglied: Dobby
29.08.2013, aktualisiert um 15:47 Uhr
@frigge
Also nehmt es mir alle bitte nicht übel aber ich sehe hier zwei unterschiedliche Aussagen von einer Person und das ist eben
@frigge, korrigiert mich bitte falls ich es falsch sehe, aber guckt doch noch einmal alle über folgende Aussagen drüber!

1. Aus dem Eröffnungsbeitrag oben
- Der vorgegebene Port (23022) ist auf dem Kundenserver B schon durch einen anderen Prozess belegt. Daher lauscht der von mir benötigte Prozess auf einem anderen Port (54022).
2. Aus dem Beitrag Nummer 12 von oben
Mhh, hast du evtl. meine Antworten gelesen? Ihr geht leider beide von falschen Voraussetzungen aus! Wie in meiner Eingangsfrage erwähnt, lauscht der Kundenserver bereits auf Port 54022.

Also nach meinem Dafürhalten muss doch jetzt folgendes passieren:
- Man sagt auf der Seite A (Firma Frigge) Applikation X bitte nimm Kontakt zu der IP Adresse des Routers
(Firma Kunde) auf Port 23022 auf, da man ja an der Software oder Applikation selber nicht den Port verändern kann.

- Und am Router der Seite B (Firma Kunde) sagt man dem Router einfach, dass die Eingehende IP Adresse (Source)
von Seite A wird auf interne Ziel IP Adresse des Servers (Destination) aber auf Port 54022 umgesetzt (gemapped) wird
da der ursprüngliche Port 23022 schon durch einen anderen Prozess belegt ist.

Würde denn nicht auch folgendes funktionieren?

- Man stellt temporär einen Proxy Server auf Seite A (Firma Frigge) hin, zwischen dem Router auf Seite A und
dem PC mit der Applikation und die Applikation nimmt dann mit der IP Adresse des Proxy Servers Kontakt auf
und zwar an Port 23022 da dieser ja nicht verstellt werden kann, aber auf der anderen Seite des Proxy Servers
leitet dieser dann ausgehend die Anfrage an die IP des Servers auf Seite B und an den Port 54022 (Firma Kunde),
wo der Server ja schon drauf lauscht, weil doch Port 23022 dort schon belegt ist, klar der Server muss schon über
das Internet bzw. über geöffnete Ports am Router oder der Firewall aus dem Internet erreichbar sein sonst wird es
eben nichts mit dem Kontakt. Denn wenn der Server hinter einem Router oder einer Firewall steht und diese(r) machen
NAT, wovon auszugehen ist dann müssen dort mindestens die Ports geöffnet sein um den Server eben erreichen zu können.

Gruß
Dobby


Wobei ich auch wirklich sagen muss ein simples DropDown Menü zum auswählen der Ports oder ein freies Feld
zum eintragen eines alternativen Ports wäre hier wirklich Gold wert!!!! Und die Lösung verkaufen wollt ja Ihr (Firma Frigge)
also da würde ich mir noch einmal einen "Kopf" machen wollen, denn das Problem kommt mit konstanter Boshaftigkeit
wieder auf Euch zu!!!!!!!!
Bitte warten ..
Mitglied: frigge
29.08.2013, aktualisiert um 16:05 Uhr
Hallo brammer,

Die richtige Lösung ist, stelle deinen Kollegen die Anforderung klar und erkläre denen das du bis zum Termin xx.xx.xx
eine Lösung brauchst.
Wenn die Kollegen dazu nicht in der Lage sidn, teile deinem Vorgesetzten mit, das du deine Aufgabe nicht umsetzen kannst, da die
Kollegen nicht in der Lage sind ein Problem zu lösen, ein Problem dessen Lösunf @aqui oben bereits beschrieben hat...
So leicht ist das Problem leider nicht zu beheben. Den Firewall-Kollegen und meinem Vorgesetzten sind die Deadlines egal, weil man Änderungen an der Firewall rechtzeitig beantragen muss und das nicht geschehen ist. Der Kollege der das verbockt hat, ist jetzt im Urlaub. Daher arbeiten die Firewall-Jungs uns nur aus "good will" zu. Ich habe das ganze jetzt übertragen bekommen, um noch zu retten was zu retten ist.

Ich hoffe wir haben die Rahmenbedingungen, mit denen ich zu kämpfen habe, langsam geklärt und können uns vielleicht noch einmal dem Technischen widmen?

Es gibt momentan nur die Möglichkeit, dass ich auf meinem Server A bei ausgehendem Datenverkehr, welcher als Zielport 23022 hat, den Zielport auf 54022 ändere. Die Ideen dazu, die ich hier mittlerweile gelesen habe, wären auf Server A eine Regel mit iptables erstellen, die das macht oder einen proxy zu installieren, der diese Aufgabe übernimmt. Hat jemand zu diesen beiden Möglichkeiten detailliertere Informationen? Zum Beispiel wie ich iptables konfigurieren müsste damit das klappt? Oder welche Proxy-Software ihr empfehlen würdet und wie diese einzustellen ist? etc.

Gruß
Frigge
Bitte warten ..
Mitglied: frigge
29.08.2013, aktualisiert um 16:05 Uhr
Hallo dobby,

Würde denn nicht auch folgendes funktionieren?

- Man stellt temporär einen Proxy Server auf Seite A (Firma Frigge) hin, zwischen dem Router auf Seite A und
dem PC mit der Applikation und die Applikation nimmt dann mit der IP Adresse des Proxy Servers Kontakt auf
und zwar an Port 23022 da dieser ja nicht verstellt werden kann, aber auf der anderen Seite des Proxy Servers
leitet dieser dann ausgehend die Anfrage an die IP des Servers auf Seite B und an den Port 54022 (Firma Kunde),
wo der Server ja schon drauf lauscht, weil doch Port 23022 dort schon belegt ist, klar der Server muss schon über
das Internet bzw. über geöffnete Ports am Router oder der Firewall aus dem Internet erreichbar sein sonst wird es
eben nichts mit dem Kontakt. Denn wenn der Server hinter einem Router oder einer Firewall steht und diese(r) machen
NAT, wovon auszugehen ist dann müssen dort mindestens die Ports geöffnet sein um den Server eben erreichen zu
können.
Ich glaube hier liegt meine Lösung. Nur kann ich keinen Router aufbauen. Gibt es nicht die Möglichkeit das Softwaretechnisch zu lösen? Auf meinem Server ist RHEL, da gibt es doch sicherlich eine Routersoftware für?! (Das ist nun echt nicht mehr mein Themenbereich, darum rate ich :-P ) Oder muss zwingend eine Hardware-Maschine dazwischen?

Wobei ich auch wirklich sagen muss ein simples DropDown Menü zum auswählen der Ports oder ein freies Feld
zum eintragen eines alternativen Ports wäre hier wirklich Gold wert!!!! Und die Lösung verkaufen wollt ja Ihr (Firma
Frigge)
also da würde ich mir noch einmal einen "Kopf" machen wollen, denn das Problem kommt mit konstanter Boshaftigkeit
wieder auf Euch zu!!!!!!!!
Das sehe ich auch so und das ist auch kommuniziert, nur kann das etwas dauern bis das ins Produkt aufgenommen wird. Die tun sich leider etwas schwer

Gruß
Frigge
Bitte warten ..
Mitglied: Dobby
29.08.2013 um 16:08 Uhr
Oder welche Proxy-Software ihr empfehlen würdet und wie diese einzustellen ist? etc.
Squid mit SquidGuard installieren und wenn es schnell gehen muss sogar in einer VM!

Aber damit der Server auf Seite B, der ja nun schon auf Port 54022 lauscht, auch von außen erreichbar ist für Eure
Applikation auf Seite A, die ja auf Port 23022 versucht Kontakt aufzunehmen, muss zwingend auf der Seite B, da wo der
Server lauscht, jemand einen Port öffnen und zwar an de, Router oder der Firewall auf Seite B, damit der Server der ja
sicherlich hinter einem Router oder einer Firewall steht auch von außen erreichbar ist, für eben diese Anfrage von Seite A.

Es sei denn Du hast uns bis dato und zum jetzigen Zeitpunkt verschwiegen, dass der Server eine öffentliche und auch statische (public) IP Adresse besitzt, ergo direkt im Internet steht oder auch "nackt" im Internet steht, was ich aber beim besten willen
nicht heraus lesen konnte.


Gruß
Dobby
Bitte warten ..
Mitglied: frigge
29.08.2013 um 16:19 Uhr
Hi Dobby,

das der Port auch auf der Kundenfirewall offen sein muss, ist mir schon klar
Und der Port 54022 an der Kundenfirewall ist auch offen.

Ich glaube das nächste Mal zeichne ich erstmal eine Netzwerk-Skizze und lad die hoch. Ich glaube das beugt Missverständnisse vor.

Ich werde mir dann mal squid anschauen.

Schöne Grüße
Frigge
Bitte warten ..
Mitglied: Dobby
29.08.2013 um 17:30 Uhr
Oder muss zwingend eine Hardware-Maschine dazwischen?
Normaler weise nicht, es würde ja auch schon eine Linux + Squid + SquidGuard Installation in einer VM reichen, aber
so wie ich das sehe wirst Du früher oder später, also so oder so wieder das gleiche oder ein ähnlich gelagertes Problem
bekommen und wer möchte dann nicht schon wieder von vorne anfangen?

Also ich würde mir wenn es dann nicht anders geht einen Squid Proxy aufsetzen ob nun auf Hardware oder in einer VM
ist erst einmal sekundär und dann eben auf Deiner Seite die Ports "verbiegen" bzw. umsetzen lassen direkt am Proxy.

Ansonsten wenn es wirklich schnell gehen muss und Du noch irgend wo einen Windowsserver herum stehen hast,
könnte man auch aufgrund des Zeitdrucks die Software Wingate nehmen, das lässt sich auf die
"Schnelle" einfacher konfigurieren und der macht auch was der Squid macht und bis zu drei Anwender ist der glaube ich auch kostenlos, allerdings weiß ich nicht ob das auch für die geschäftliche Benutzung gilt.

Der sollte das auch umsetzten können! Ist eventuell einfacher für Dich zu konfigurieren.

Ich glaube das nächste Mal zeichne ich erstmal eine Netzwerk-Skizze und lad die hoch. Ich glaube das beugt Missverständnisse vor.
Das so oder so ist das immer besser! Denn ein Bild sagt ja mehr als tausend Worte.

Viel Erfolg und Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Firewall
Sophos Utm 9 Port 3000 für ProfiCash freigeben (4)

Frage von Floh21 zum Thema Firewall ...

Drucker und Scanner
USB-Drucker über virtuellen COM LPT- Port ansteuern (27)

Frage von magicman zum Thema Drucker und Scanner ...

Erkennung und -Abwehr
Port 7547 SOAP Remote Code Execution Attack Against DSL Modems Internet Storm Center (5)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Netzwerke
VPN nur für bestimmte Port(s) verwenden unter Win10 (1)

Frage von Bluebrain zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...