dyndns Adresse von LAN intern erreichen

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
netsys
Beiträge: 30
Registriert: Di 11.10.2011, 00:37

dyndns Adresse von LAN intern erreichen

Beitrag von netsys »

bei der v10 klappte das und bei der v11 wird das sicherlich ebenfals gehen.

ich habe die objekte entsprechend angelegt und auch die Portfilter angelegt, extern klappt alles aber intern muß ja einmal die Portweiterleitung sowie das Hidenat eingerichtet werden. Bei der v11 muß das nun über die Regeln gemacht werden. Das bekomme ich irgendwie nicht hin. Ich kann ja nicht beides bei einer Regel eintragen.

Hat das schon jemand eingerichtet ? ... und kann mir bei der Konfig helfen.

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Hallo, geht zur Zeit noch nicht und wird in der nächsten Version behoben sein.
There are 10 types of people in the world... those who understand binary and those who don\'t.

ostsys
Beiträge: 2
Registriert: Mi 09.05.2012, 14:39

Beitrag von ostsys »

Das bedeutet, dass "Portweiterleitung aus internem Netz über externe IP auf internen Server"
(Aus eurer WIKI bei v10) noch nicht geht?

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Kurz: Nein geht noch nicht.

Lang:
Geht nur, wenn Sie extern eine feste IP haben. Dann legen Sie ein Netzwerkobjekt an, welches die externe IP, aber die Zone "firewall-internal" enthält und DESTNATten dann über dieses Objekt.

Fosphatic
Beiträge: 5
Registriert: Fr 03.08.2012, 02:09
Kontaktdaten:

Beitrag von Fosphatic »

Wie man dennoch vom internen Netz über dyndns Adresse den eigenen Server erreicht kann man in dieser How-to nachlesen:

http://www.mn-computer.de/how-to/item/s ... nt-utm-v11

Vielen Dank an den netten Support von Securepoint die an der "Problemlösung" beteiligt gewesen sind.

netsys
Beiträge: 30
Registriert: Di 11.10.2011, 00:37

Beitrag von netsys »

Habe es eingerichtet und klappt. (Vielen Dank auch von mir)

Wenn jetzt noch die Administration über eine dyn DNS Adresse möglich gemacht wird.
Zuletzt geändert von netsys am Di 18.12.2012, 18:15, insgesamt 1-mal geändert.

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Ja wird wohl wieder kommen, auch wenn das in der v10 schon nicht zuverlässig geklappt hat
There are 10 types of people in the world... those who understand binary and those who don\'t.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Wenn beispielsweise ein Microsoft DNS-Server für das lokale Netz verantwortlich ist, kann man dort eine neue Zone für die DYNDNS-Domain anlegen. Im A-Eintrag dieser Zone gibt man dann die IP-Adresse des lokalen Servers an, der auch für die externen Zugriffe Ziel der Portweiterleitung ist.

Die DNS-Um-Weiterleitungs-Konfiguration auf der Securepoint UTM kann man sich dann sparen.

Leider funktioniert der DNS-Trick nur, wenn keine Port-Umleitung im Spiel ist. Bei einer Port-Umleitung wird nämlich das Ziel unter richtigem Namen und IP aber über den falschen Port angesprochen.

Schöner wäre deswegen echtes Haarnadel-NAT (schaltbare NAT-Loopback-Funktion). Ist das für die V11 geplant?

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Hallo,

irgendwie versteh ich den Zusammenhang gerade nicht.

Natürlich können sie auch auf dem MS-DNS eine Zone anlegen, der Trick war aber das die Anfrage die FW erst gar nicht erreicht, sondern der interne Client die interne IP aufgelöst bekommt und der Extern die externe IP.

Das loopback-NAT wird es wieder in 11.2 geben
There are 10 types of people in the world... those who understand binary and those who don\'t.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Genau so läuft das auch, wenn der interne MS DNS-Server die Anfrage entsprechend beantwortet. Es wird direkt das interne Ziel angesprochen. Extern wird der DYNDNS-Name natürlich von den jeweils zuständigen DNS-Servern in die externe IP aufgelöst.

Zu einem Problem kommt es, wenn die Firewall beim externen Zugriff auf abc.dyndns.org:10443 eine Portumleitung auf die interne Adresse 192.168.1.1:443 macht. Wenn dann intern mit dem DNS-Trick auf die abc.dyndns.org:10443 zugegriffen wird, wird zwar der richtige Server (192.168.1.1) jedoch leider über den falschen Port (10443 statt 443) angesprochen.

Das oben geschilderte Problem hatte ich schon mehrfach. Deswegen kann ich loopback-NAT in einem solchen Fall gut gebrauchen.

cnachtigall
Beiträge: 15
Registriert: Di 08.01.2008, 22:42

Beitrag von cnachtigall »

Hallo,
ich muss diesen Thread nochmals ausgraben.
Mittlerweile ist ja die V11.4 raus. Leider funktioniert das NAT Loopback noch immer nicht.
Auch eine Einrichtung des Regelwerkes , wie beschrieben, funktioniert nicht.

Wann ist mit einer Funktion zu rechnen?


Vielen Dank und viele Grüße

Christian

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo,

was für Regeln haben Sie erstellt? (auf meiner Testmaschine läuft das, Version 11.4.2)
Beachten Sie bitte: Wenn Sie http über ein NAT Loopback ansprechen wollen muss der transparente http Proxy deaktiviert sein

Gruß

Kenneth

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Hallo,

genau. Bei uns ist es das Problem, dass wir den transparenten Proxy nutzen und eine Maschine intern auf Port 80 und eine auf Port 81 ansprechen wollen. Für die Ansprache auf Port 80 ist eine extra Konfiguration notwendig.

cnachtigall
Beiträge: 15
Registriert: Di 08.01.2008, 22:42

Beitrag von cnachtigall »

Hallo Kenneth,
vielen Dank für Ihre Antwort.
Angelegt habe ich die Regeln für Active Sync, wie im Wiki / HowTo unter "http://wiki.securepoint.de/index.php/Ho ... nen_Server".
Ich habe bei den DestNat Regeln jeden Dienst manuell ausgewählt, hier sind ja leider keine Gruppen möglich und eine Hidenat Regel angelegt, hier aber mit der ActiveSync Gruppe gearbeitet, die sämtliche Dienste zusammen fasst.

Für einen Tipp wäre ich dankbar.

Viele Grüße

Christian

Antworten