Securepoint Support Forum

bei der v10 klappte das und bei der v11 wird das sicherlich ebenfals gehen.

ich habe die objekte entsprechend angelegt und auch die Portfilter angelegt, extern klappt alles aber intern muß ja einmal die Portweiterleitung sowie das Hidenat eingerichtet werden. Bei der v11 muß das nun über die Regeln gemacht werden. Das bekomme ich irgendwie nicht hin. Ich kann ja nicht beides bei einer Regel eintragen.

Hat das schon jemand eingerichtet ? ... und kann mir bei der Konfig helfen.

Hallo, geht zur Zeit noch nicht und wird in der nächsten Version behoben sein.

Das bedeutet, dass "Portweiterleitung aus internem Netz über externe IP auf internen Server"
(Aus eurer WIKI bei v10) noch nicht geht?

Kurz: Nein geht noch nicht.

Lang:
Geht nur, wenn Sie extern eine feste IP haben. Dann legen Sie ein Netzwerkobjekt an, welches die externe IP, aber die Zone "firewall-internal" enthält und DESTNATten dann über dieses Objekt.

Wie man dennoch vom internen Netz über dyndns Adresse den eigenen Server erreicht kann man in dieser How-to nachlesen:

http://www.mn-computer.de/how-to/item/s ... nt-utm-v11

Vielen Dank an den netten Support von Securepoint die an der "Problemlösung" beteiligt gewesen sind.

Habe es eingerichtet und klappt. (Vielen Dank auch von mir)

Wenn jetzt noch die Administration über eine dyn DNS Adresse möglich gemacht wird.

Ja wird wohl wieder kommen, auch wenn das in der v10 schon nicht zuverlässig geklappt hat

Wenn beispielsweise ein Microsoft DNS-Server für das lokale Netz verantwortlich ist, kann man dort eine neue Zone für die DYNDNS-Domain anlegen. Im A-Eintrag dieser Zone gibt man dann die IP-Adresse des lokalen Servers an, der auch für die externen Zugriffe Ziel der Portweiterleitung ist.

Die DNS-Um-Weiterleitungs-Konfiguration auf der Securepoint UTM kann man sich dann sparen.

Leider funktioniert der DNS-Trick nur, wenn keine Port-Umleitung im Spiel ist. Bei einer Port-Umleitung wird nämlich das Ziel unter richtigem Namen und IP aber über den falschen Port angesprochen.

Schöner wäre deswegen echtes Haarnadel-NAT (schaltbare NAT-Loopback-Funktion). Ist das für die V11 geplant?

Hallo,

irgendwie versteh ich den Zusammenhang gerade nicht.

Natürlich können sie auch auf dem MS-DNS eine Zone anlegen, der Trick war aber das die Anfrage die FW erst gar nicht erreicht, sondern der interne Client die interne IP aufgelöst bekommt und der Extern die externe IP.

Das loopback-NAT wird es wieder in 11.2 geben

Genau so läuft das auch, wenn der interne MS DNS-Server die Anfrage entsprechend beantwortet. Es wird direkt das interne Ziel angesprochen. Extern wird der DYNDNS-Name natürlich von den jeweils zuständigen DNS-Servern in die externe IP aufgelöst.

Zu einem Problem kommt es, wenn die Firewall beim externen Zugriff auf abc.dyndns.org:10443 eine Portumleitung auf die interne Adresse 192.168.1.1:443 macht. Wenn dann intern mit dem DNS-Trick auf die abc.dyndns.org:10443 zugegriffen wird, wird zwar der richtige Server (192.168.1.1) jedoch leider über den falschen Port (10443 statt 443) angesprochen.

Das oben geschilderte Problem hatte ich schon mehrfach. Deswegen kann ich loopback-NAT in einem solchen Fall gut gebrauchen.

Hallo,
ich muss diesen Thread nochmals ausgraben.
Mittlerweile ist ja die V11.4 raus. Leider funktioniert das NAT Loopback noch immer nicht.
Auch eine Einrichtung des Regelwerkes , wie beschrieben, funktioniert nicht.

Wann ist mit einer Funktion zu rechnen?


Vielen Dank und viele Grüße

Christian

Hallo,

was für Regeln haben Sie erstellt? (auf meiner Testmaschine läuft das, Version 11.4.2)
Beachten Sie bitte: Wenn Sie http über ein NAT Loopback ansprechen wollen muss der transparente http Proxy deaktiviert sein

Gruß

Kenneth

Hallo,

genau. Bei uns ist es das Problem, dass wir den transparenten Proxy nutzen und eine Maschine intern auf Port 80 und eine auf Port 81 ansprechen wollen. Für die Ansprache auf Port 80 ist eine extra Konfiguration notwendig.

Hallo Kenneth,
vielen Dank für Ihre Antwort.
Angelegt habe ich die Regeln für Active Sync, wie im Wiki / HowTo unter "http://wiki.securepoint.de/index.php/Ho ... nen_Server".
Ich habe bei den DestNat Regeln jeden Dienst manuell ausgewählt, hier sind ja leider keine Gruppen möglich und eine Hidenat Regel angelegt, hier aber mit der ActiveSync Gruppe gearbeitet, die sämtliche Dienste zusammen fasst.

Für einen Tipp wäre ich dankbar.

Viele Grüße

Christian