Zugriff auf external Interface aus fremden Subnetzen

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
mm-lab
Beiträge: 4
Registriert: Fr 06.07.2018, 15:23

Zugriff auf external Interface aus fremden Subnetzen

Beitrag von mm-lab »

Hallo,

wir versuchen, auf dem Black Dwarf NAT einzurichten:
Device eth1 ist in Zone "external". Dort sind neben der externen IP des Black Dwarf (192.168.2.30) die IP-Adressen 192.168.2.X/23 konfiguriert.
Device eth2 ist in Zone "internal" mit der internen IP-Adresse des Black Dwarf. In der internen Zone hängen die Server 192.168.8.X.
Es gibt passende Portfilter mit
SOURCE = internet
DESTINATION = <network object für 192.168.8.X> (internal)
SERVICE = any
NAT TYPE = DESTNAT
NODE = <network object für 192.168.2.X> (external)
SERVICE = any

Damit ist es möglich, aus der externen Zone den Server 192.168.2.X (z.B. mit URL https://192.168.2.X) anzusprechen, und die Pakete werden im Black Dwarf nach 192.168.8.X in der internen Zone ins interne Subnetz korrekt weitergeroutet, die Anworten umgekehrt ebenfalls. tcpdump zeigt, dass die Pakete an eth1 ankommen, und richtig eth2 weitergegeben werden.

Es ist aber nicht möglich, von externen IP-Adressen, die nicht im Subnetz 192.168.2.* sind, auf diese Server/URLs zuzugreifen. tcpdump zeigt, dass die Pakete an eth1 ankommen, aber nichts nach eth2 weitergegeben wird. Welche Konfigurationseinstellungen haben wir übersehen?

Vielen Dank
mm-lab

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo mm-lab,

die Weiterleitung wird nur funktionieren, wenn jemand die NODE = <network object für 192.168.2.X> (external) anspricht.
Da aber (hoffentlich) niemand aus dem Internet deine private IP ansprechen kann, wird die Regel niemals greifen.

Wenn die Weiterleitung auch für IPs aus dem Internet gelten soll, dann brauchst du eine weitere Regel, die als Node die externe IP deiner UTM beinhaltet.

Grüße
Svenja

mm-lab
Beiträge: 4
Registriert: Fr 06.07.2018, 15:23

Beitrag von mm-lab »

Hallo Svenja,

danke für die Antwort. Der Black Dwarf hängt mit dem externen Interface nicht direkt im Internet, sondern im Firmennetz (192.168....), sieht also unser Intranet als Internet. Deshalb möchten wir von allen Intranet-Hosts auf die 192.168.2.X zugreifen. Black Drwaft soll sie in seinem internen Netz auf die 192.168.8.X weiterleiten. Das funktioniert für Clients aus dem Netz 192.16.8.2.*, aber leider nicht für Clients aus dem Netz 192.168.0.*.
Die Eingabe einer weiteren Regel hat nichts verändert.

Viele Grüße
mm-lab

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo mm-lab,

ich fasse mal kurz zusammen:
eth1 -> intranet -> 192.168.0.0/23 -> Zone external
eth2 -> dmz -> 192.168.8.0/24 -> Zone internal

und es soll ein Portweiterleitung geben: 
Quelle external -> Ziel Server-x -> Dienst any -> Destnat -> external-interface

Da die Weiterleitung von 192.168.2.0/24 zu funktionieren scheint, ist wahrscheinlich auf dem eth1 Interface oder im entsprechenden Netzwerkobjekt /24 anstelle von /23 gesetzt.

Was steht denn im Log, wenn eine 192.168.0.* Adresse die Weiterleitung benutzen möchte?
Default Drop würde darauf hinweisen, dass etwas mit der Regel nicht stimmt.

Grüße
Svenja

Antworten