Öffentliche Domains zu internen Addressen auflösen

Ein Forum für Leitfäden rund um Securepoint und verwandte Themen. Beachten Sie, dass dies kein Support-Forum ist.

Moderator: Securepoint

Antworten
Benutzeravatar
Erik
Securepoint
Beiträge: 1469
Registriert: Fr 07.11.2008, 11:50

Öffentliche Domains zu internen Addressen auflösen

Beitrag von Erik »

Folgendes Szenario:
- Im internen Netz steht ein Webserver mit der IP 10.0.0.1/24
- Dieser Webserver wird aus dem Internet über die öffentliche IP Firewall per Portforwarding/DNAT erreicht
- Die öffentliche IP der Firewall ist 192.0.2.254
- Die interne IP der Firewall ist 10.0.0.254/24
- Ein Nameserver im Internet löst "www.example.com" zu 192.0.2.254 auf
- die Clients des internen Netzes verwenden die Securepoint als Nameserver

Jetzt möchten die Mitarbeiter ihre gehosteten Projekte sowohl von extern, als auch von intern über "www.example.com" erreichen.

Um den entsprechenden Eintrag im BIND vorzunehmen, melden Sie sich also per SSH an der Firewall an (ein admin-Account genügt) und führen dann folgende Befehle aus:

Code: Alles auswählen

add domain www.example.com
add ns www.example.com 127.0.0.1
add subdomain www.example.com www.example.com. 10.0.0.1
restart application SERVICE_DNS
Die Befehle sind soweit selbsterklärend. Beachten Sie in Zeile 3 den Punkt hinter dem zweiten "www.example.com."


Passen Sie jetzt das Template der /etc/resolv.conf an, damit die Firewall zuerst sich selber nach DNS-Einträgen fragt:
Allgemeine Hinweise zum Bearbeiten von Templates finden Sie hier

Anmerkung: Dies kann auch über die GUI gesetzt werden "Netzwerk -> Server Eigenschaften"

Code: Alles auswählen

change extc_template /etc/resolv.conf
Hier fügen Sie folgenden Inhalt ein:

Code: Alles auswählen

nameserver 127.0.0.1
#IF ${NAMESERVER1}
nameserver ${NAMESERVER1}
#ENDIF
#IF ${NAMESERVER2}
nameserver ${NAMESERVER2}
#ENDIF
Bestätigen Sie die Eingabe mit **

Zuletzt setzen Sie die tcp_outgoing_addr des Proxys auf die interne IP der Firewall...
Anmerkung: Dies kann auch über die GUI gesetzt werden "Anwendungen-> Http-Proxy"

Code: Alles auswählen

change extc_value http_proxy OUTGOING_ADDR 10.0.0.254
..., speichern die Config und setzen sie als Startkonfiguration:

Code: Alles auswählen

config save bindconfig
config set bindconfig
Ob die Auflösung zur internen IP funktioniert können Sie testen, indem Sie sich per root anmelden und folgenden Befehl ausführen:

Code: Alles auswählen

nslookup www.example.com 127.0.0.1
Die Ausgabe sollte ungefähr so aussehen:

Code: Alles auswählen

Server:         localhost
Address:        127.0.0.1#53

Name:   www.example.com
Address: 10.0.0.1
Damit die korrekte Auflösung auch von den Clients funktioniert, müssen Sie die Firewall nur noch rebooten.
Zuletzt geändert von Erik am Fr 28.01.2011, 17:38, insgesamt 1-mal geändert.

ristridin
Beiträge: 32
Registriert: So 17.01.2010, 16:09
Wohnort: Lübeck

Beitrag von ristridin »

Hey Erik,

wie sieht das denn in der aktuellen 10er Version aus? Was hat sich dort verändert in Bezug auf Deine Anleitung?
Gruß,
Boris

Benutzeravatar
Erik
Securepoint
Beiträge: 1469
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Nixx hat sich geändert

mmoeller
Beiträge: 37
Registriert: Mo 03.05.2010, 13:35

Beitrag von mmoeller »

Hallo,

wie verhält sich das ganze wenn der Webserver in einem eigenen DMZ Netz eingebunden ist?

sagen wir der Webserver steht in 10.1.0.1
Internes Netz dann 10.0.0.0
Firewall hat 10.0.0.254 und 10.1.0.254

Welche IP ist dann bei "change extc_value http_proxy OUTGOING_ADDR" zu verwenden?

Weiterhin bekomme ich beim nslookup noch folgende Fehlermeldung:

Got SERVFAIL reply from 127.0.0.1, trying next server.

mmoeller
Beiträge: 37
Registriert: Mo 03.05.2010, 13:35

Beitrag von mmoeller »

Die Fehlermeldung "Got SERVFAIL reply from 127.0.0.1, trying next server." konnte ich beheben.
Ich hatte noch eine Einstellung die meine Domain an einen anderen Domainserver weiterleiten sollte.

mmoeller
Beiträge: 37
Registriert: Mo 03.05.2010, 13:35

Beitrag von mmoeller »

Es funktioniert übrigens mit der IP im internen Netz
Danke!

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Gilt das auch für die 11er Version oder geht das da anders?

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo solox,

auf der 11er Version lassen sich die DNS Zonen auch über das Webinterface konfigurieren. (Anwendungen => Nameserver)

Dort fügen Sie eine "Relay Zone" hinzu. Gebendort die Domain und die IP - Addresse des Servers an.

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Hallo,

vielen Dank für die schnelle Anwort. Mit Domain ist die spdns.de Adresse gemeint oder? Mit IP-Adresse ist die interne IP-Adresse meines Servers gemeint oder? Von außen klappt das prima, aber eben von intern auf Grund des transparenten Proxys nicht.

Gruß
Patrick

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Genau

Wenn Ihr Server auf Http also Port 80 angesprochen wird, müssen Sie noch eine Ausnahme Regel für den transparenten Proxy hinzufügen.

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Sonst hier noch mal reinschauen.

Dieses Wiki hat ein Kunde diesbezüglich geschrieben.

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Die Anleitung ist prima. Nur leider bekomme ich es nicht hin. Wir sprechen mit unserer spdns.de Adresse verschiedene Server an. Kommt was auf Port 80 rein, geht es an den Server A. Kommt was auf Port 8081 rein, geht es an einen anderen Server auf Port 443. Bei der 10er Version hatten die Jungs von Securepoint in der Firewall direkt was konfiguriert und es ging. Wie soll denn die Ausnahme für den transparenten Proxy aussehen? Einzugeben unter Regeln für Transparenter Proxy oder?

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Seit dem Update auf 11.1.1 scheint es zu funktionieren. Aber wie kann ich denn mit der öffentlichen DynDNS Adresse von intern verschiedene Server adressieren. Wo gebe ich den Port mit an?

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Wie lange brauchen eigentlich die Einträge bei den Nameservern bis diese aktiv sind? Den Dienst starte ich gleich neu, aber irgendwie habe ich das Gefühl, dass es trotzdem eine Weile dauert.

dirkg
Securepoint
Beiträge: 26
Registriert: Mo 18.06.2012, 10:12

Beitrag von dirkg »

Hallo Herr Fischer,

in der Firewall ist die Namensauflösung sofort aktiv, alles weitere hängt in der Regel vom Browser und dessen Cache ab.

Ich gehe davon aus, dass sie eine dynamische IP haben, die als spdns.de aufgelöst wird. Hierfür wird es in der Version 11.2 (Termin steht noch nicht fest) eine Lösung geben um die Server mit veschiedenen Ports anzusprechen.

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Sehr cool! Vielen Dank für die Antwort.

Antworten