Webserver Problem / NAT Regeln nach DSL reconnect außer Funktion

Hallo allerseits,

ich habe eine Sophos UTM Home Lizenz bei mir im Einsatz. 

Alles funktioniert soweit ganz gut bis auf ein zwei kleinere Probleme. Ich betreibe unter anderem auf meinem Homeserver den Blynkserver für Arduino Gerätschaften.

Diesen habe ich auch Freunden zur Verfügung gestellt.

 

Wo ist nun das Problem:

Blynk selbst braucht für die Verbindung von einem Mobilgerät den Port 9443 und für die Verbindung von Arduinos den 8080 standardmäßig.

Was hab ich schon probiert:

a) DNAT Regeln

=> hier ist das Problem, dass nach dem DSL Reconnect, den ich jetzt als Beispiel einmal auf 3 Uhr nachts gesetzt habe, diese Regeln zwar als aktiviert da stehen, aber leider nicht mehr funktionieren. Symptom: Arduino vom Kumpel meldet: "Offline" und Blynk App findet im externen Netz keine Verbindung mehr zum Server. Schalte ich regel 1 und 2 einmal aus und danach wieder ein, funktionieren alle wieder.
Hier wäre die Frage, sofern es für b) keine Lösung gibt, ob man das Problem derart lösen kann, dass man über nen Cronjob die Regeln einmal aus und anschalten lässt um 03:05 Uhr z.B.?

b) Webserver

und 

Ja ich habs auch vorher mit 443 bei den Virtual Webservern probiert ums für die Beteiligten einfacher zu machen.

Wenn ich das mache, komme ich zwar auf die Weboberfläche über meine dafür eingerichtete dyndns, aber leider geht dann die App nicht mehr, er kann nicht verbinden, timeout etc.

Blynk ist übrigens nen Serverdienst, der mit ner javadatei gestartet werden muss oder eben in einem Dockercontainer. Hatte beides schon probiert, dass geht weder mit dem einen, noch mit dem anderen.

  • Hallo Hans,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    This is a known issue, but it is relatively rare.

    To see the REF_ objects available, do the following as root:

    cc get_objects packetfilter nat|grep \'ref

    You will likely see something like REF_PacNatTCP94FromAny and REF_PacNatTCP80FromAny, but you will know if the following two lines need to be changed when adding them to /etc/crontab-static and /etc/crontab:

    5 3 * * * root /usr/local/bin/confd-client.plx change_object REF_PacNatTCP94FromAny status 0 ; /usr/local/bin/confd-client.plx change_object REF_PacNatTCP94FromAny status 1
    5 3 * * * root /usr/local/bin/confd-client.plx change_object REF_PacNatTCP80FromAny status 0 ; /usr/local/bin/confd-client.plx change_object REF_PacNatTCP80FromAny status 1

    UPDATE 2019-08-14: If you find that you only need to do this after a reboot, replace 5 3 * * * with @reboot.  If you are running in High Availability, you will need to add line(s) in the other nodes, too.

    Hat's geklappt?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hi Bob :)

    danke zunächst. 

    Ich gehe davon aus, dass es dann einfach wie hier aussehen müsste. Für jede Zeile der "cc get_objects packetfilter nat|grep \'ref" sollte es dann so aussehen?

     

    Natürlich passe ich diese dann noch an.

    Nächste Nacht wird es getestet :)

  • In reply to Hans Wurst3:

    Hallo zusammen,

     

    wir haben anfang der Woche unsere FW SG230 Rev.1 durch 2 neue SG im HA Verbund getauscht und auch hier haben von 5 NAT Regeln nur 1 funktioniert.

    So selten scheint das Problem dann wohl nicht zu sein.

    Cron Jobs als Lösung kann nicht wirklich praktikabel sein zumal diese nach jedem FW Update wieder raus fliegen.

    Aus meiner Sicht sollte dieses Problem von Sophos gelöst werden.

     

    VG TheBob

  • In reply to RemoHehlert:

    Hallo Remo,

    That's the reason to also add the lines to /etc/crontab-static.  Every time crontab is reconstituted, the contents of crontab-static are added.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Thanks Bob, everysthing work for me.

    For my home Environment that is absolutly ok. But I can understand people that use it for business and are not "fine" with the cronjob solution.