2x Internet - 1x LAN - Weiterleitung interner Dienste
Verfasst: Do 05.08.2010, 18:07
Hallo!
Wir haben eine Securepoint 2009nx mit folgender Topologie:
A-DSL via ppp0 - Zone external (default route)
S-DSL via ppp11 - Zone dmz1
Über ppp11 ist mittels Destination Routing ein IPsec-VPN geroutet (dies mußte eingerichtet werden, damit Anfragen durch den VPN-Tunnel über S-DSL rausgehen und die Default-Route für sonstigen Internet-Verkehr weiter über ppp0 geht. Funktioniert auch wunderbar.
Auf ppp0 bieten wir mittels NAT folgende Dienste auf dem SBS-Windows-Server an: SMTP, HTTPS, Remote Desktop, Windows-PPTP
Auf dem ppp11 wollen wir jetzt folgende Dienste anbieten: Windows-PPTP (und vom ppp0 wegziehen), VMware ESXi-Konsole (benötigt HTTPS, VMware-VCI 902-903, SSH).
Leider klappt das nicht: Der HTTPS-Port für die VMware ist z.B. nicht erreichbar. Das Durchleiten der Ports scheint nicht zu klappen - ich vermute, daß die Antwortpakete über das falsche Interface rausgehen - denn beide Interfaces sind ja an 0.0.0.0/0 angeschlossen (wobei wir das any-Netzwerk-Objekt extra schon in beiden Zonen definiert haben: extern und dmz1). Ich habe deshalb auch noch nicht den PPTP-Tunnel umgezogen.
Da die Firewall stateful arbeitet, ging ich eigentlich davon aus, daß eine einfache NAT-Regel ausreicht, um die Pakete zum LAN durchzureichen und die Antwort-Pakete automatisch den richtigen Rückweg nehmen. Vermutlich könnte ich ein umgekehrtes Hide-NAT bauen, um das gesamte Internet hinter dem ppp11 zu verstecken, allerdings würden die LAN-Teilnehmer bei ppp11-Traffic dann nicht mehr die richtigen extern zugreifenden Quell-IPs sehen - das ist weder gut noch erwünscht. Die SNAT-Regeln sehen alle gut aus. Die Theorie mit den falsch gerouteten Antwort-Paketen kann ich momentan nicht belegen (ich wüßte nicht wie, im Log ist irgendwie wenig zu sehen dazu).
Also: Wie dann?
Wir haben eine Securepoint 2009nx mit folgender Topologie:
A-DSL via ppp0 - Zone external (default route)
S-DSL via ppp11 - Zone dmz1
Über ppp11 ist mittels Destination Routing ein IPsec-VPN geroutet (dies mußte eingerichtet werden, damit Anfragen durch den VPN-Tunnel über S-DSL rausgehen und die Default-Route für sonstigen Internet-Verkehr weiter über ppp0 geht. Funktioniert auch wunderbar.
Auf ppp0 bieten wir mittels NAT folgende Dienste auf dem SBS-Windows-Server an: SMTP, HTTPS, Remote Desktop, Windows-PPTP
Auf dem ppp11 wollen wir jetzt folgende Dienste anbieten: Windows-PPTP (und vom ppp0 wegziehen), VMware ESXi-Konsole (benötigt HTTPS, VMware-VCI 902-903, SSH).
Leider klappt das nicht: Der HTTPS-Port für die VMware ist z.B. nicht erreichbar. Das Durchleiten der Ports scheint nicht zu klappen - ich vermute, daß die Antwortpakete über das falsche Interface rausgehen - denn beide Interfaces sind ja an 0.0.0.0/0 angeschlossen (wobei wir das any-Netzwerk-Objekt extra schon in beiden Zonen definiert haben: extern und dmz1). Ich habe deshalb auch noch nicht den PPTP-Tunnel umgezogen.
Da die Firewall stateful arbeitet, ging ich eigentlich davon aus, daß eine einfache NAT-Regel ausreicht, um die Pakete zum LAN durchzureichen und die Antwort-Pakete automatisch den richtigen Rückweg nehmen. Vermutlich könnte ich ein umgekehrtes Hide-NAT bauen, um das gesamte Internet hinter dem ppp11 zu verstecken, allerdings würden die LAN-Teilnehmer bei ppp11-Traffic dann nicht mehr die richtigen extern zugreifenden Quell-IPs sehen - das ist weder gut noch erwünscht. Die SNAT-Regeln sehen alle gut aus. Die Theorie mit den falsch gerouteten Antwort-Paketen kann ich momentan nicht belegen (ich wüßte nicht wie, im Log ist irgendwie wenig zu sehen dazu).
Also: Wie dann?