Port Forwarding auf Windows Network Load Balancing Webserver / OCSP-Responder

Moderator: Securepoint

Gesperrt
LSassl
Beiträge: 97
Registriert: Sa 23.06.2012, 22:43
Kontaktdaten:

Port Forwarding auf Windows Network Load Balancing Webserver / OCSP-Responder

Beitrag von LSassl »

Hallo!
Wir haben zwei OCSP-Responder im Einsatz. Auf beiden Respondern ist das Windows Network Load Balancing Feature installiert und konfiguriert, so dass die Responder über die dem WNLB zugewiesene IP-Adresse angesprochen werden können.
Die OCSP-Responder müssen nun auch von extern erreichbar sein. Port Forwarding auf einen einzelnden OCSP-Responder funktioniert (genutzt wird Port 80). Ein Port Forwarding auf die WNLB IP-Adresse läuft jedoch (scheinbar) in einen Timeout.
Im Log kann ich auch absolut keine Einträge zu einem Verbindungsversuch oder verworfenen Paketen finden.
Gibt es bei Verwendung von WNLB etwas zu beachten (z.B. beim Port Forwarding)?
Hmm, wo ist denn die Any-Key-Taste? Naja, ich bestell mir ersteinmal ein Bier! - Homer Simpson

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Melden Sie sich mit einen root-Benutzer an der Firewall und starten tcpdump auf dem Interface, welches zu den Servern zeigt:

Code: Alles auswählen

# tcpdump -i ethX -np host CLUSTERIP or host IP1 or host IP2
Wenn Sie jetzt von außen versuchen, eine Verbindung auf Port 80 aufzubauen sollten Sie in der Konsole mindestens ein Paket sehen, welches als Ziel die CLUSTERIP hat.
Ist das nicht der Fall, haben Sie einen Fehler beim Einrichten der Portweiterleitung/Firewall-Regel gemacht.
Sehen Sie zwar ein Paket hingehen, aber es kommt keins zurück, liegt das Problem irgendwo im internen Netz.

Möglichkeit 3:
Das eingehende Paket hat als Ziel die CLUSTERIP, aber dann antwortet entweder IP1 oder IP2. Das... wäre mies.
Zuletzt geändert von Erik am Mo 15.10.2012, 10:17, insgesamt 1-mal geändert.

LSassl
Beiträge: 97
Registriert: Sa 23.06.2012, 22:43
Kontaktdaten:

Beitrag von LSassl »

Hallo Erik,

danke für deine Hilfe. Obwohl ich mir sicher bin, dass ich es mindestens drei mal kontrolliert hab -- es hat sich ein Zahlendreher beim Port Forwarding eingeschlichen. :roll: Jetzt funktioniert es problemlos!
Die Antwort erfolgt übrigens ebenfalls mit der CLUSTERIP.
Hmm, wo ist denn die Any-Key-Taste? Naja, ich bestell mir ersteinmal ein Bier! - Homer Simpson

Gesperrt