Interne Hosts über externe IP erreichbar machen

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
JBC-service
Beiträge: 17
Registriert: Fr 11.01.2013, 15:27

Interne Hosts über externe IP erreichbar machen

Beitrag von JBC-service »

Hallo,

ich habe im intenren Netz 2 Web- und Mailserver die sich auch gegenseitig Mails zustellen müssen. Schön wäre es, wenn man auch die Webseiten gegenseitig erreichen kann. Von auserhalb funktioniert alles einwandfrei, von intern leider nicht.
Die Firewall hat auf der externen Schnittstelle mehrere IPs und im Regelwerk werden mittels destnat die benötigten Ports auf die jeweiligen Hosts geleitet.
Da die Regeln ja nur für zugriffe aus dem Internet gelten, habe ich die Regeln noch einmal für die internen Hosts angelegt. das funktiniert leider nicht...
Die Firewall meckert nu zwar nichts mehr an, doch funktionieren tut es auch nicht.
zur Veranschaulichung:
Server1 interne IP 192.168.144.1 soll über externe IP 1.2.3.4 erreichbar sein
Server2 interne IP 192.168.144.2 soll über externe IP 4.3.2.1 erreichbar sein
in Firewall Schnittstelle ext-interface 1.2.3.4 und 4.3.2.1 angelegt

Regeln:
internet darf auf server 1 smtp destnat auf smtp über schnittstelle ext-interface 1.2.3.4
internet darf auf server 2 smtp destnat auf smtp über schnittstelle ext-interface 4.3.2.1
Server1 darf auf internet smtp hidenat über schnittstelle ext-interface 1.2.3.4
Server2 darf auf internet smtp hidenat über schnittstelle ext-interface 4.3.2.1
Die gleichen Regeln für die Dienste http, https
Diese Regeln funktionieren.

Für Intern habe ich die Regeln:
Server2 darf auf server 1 smtp destnat auf smtp über schnittstelle ext-interface 1.2.3.4
Server1 darf auf server 2 smtp destnat auf smtp über schnittstelle ext-interface 4.3.2.1
Das funktioniert leider nicht so ganz, ich vermute wegen des nating ins gleiche IP-Netz.

Gibt es eine Möglichkeit wie ich es hin bekomen kann, dass die Mailserver sich gegenseitig finden?

Gruß

Jürgen

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Möglichkeit 1: Sie fügen noch ein HideNAT hinzu:
Internal Network -> Internal Network -> smtp -> ACCEPT -> HideNAT: Internal Interface

Für SMTP wird das funktionieren, bei HTTP nicht - sofern Sie den transparenten HTTP-Proxy verwenden.

Möglichkeit 2: Sie konfigurieren den internen DNS-Server so, dass beim Zugriff auf die Server direkt die interne IP zurückgegeben wird.

Antworten