This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Access local werbservers

I've read the following guide: Accessing Internal or DMZ Webserver from Internal network (Astaro Security Gateway)

However, I haven't been able to get it to work. First, I have a number of HTTP devices locally (Web server, IP Cameras, etc..), but the guide seems to look for forwarding to a specific IP address. Is there a way to configure UTM9 to forward multiple Domain names (I have multiple) to multiple devices on the local network?


This thread was automatically locked due to age.
  • Hi, 

    Depending on how you have DNS set up in your network, creating static DNS entries in the firewall is usually a good solution.
    How do you have DNS set up internally?

    Also, are you using the http proxy or not?

    Barry
  • Thanks for the reply. As for DNS, I'm not sure what you mean. I have a cable modem, and get DNS servers from my ISP. I'm not running a DNS server.
    I currently don't use any http proxies (I assume you mean for Snort/IDS?), but would like to enable webserver protection in the future.
  • UTM has a DNS Service under Network Services. To clear what Barry mentioned and suggested. One day studying  about DNS will be kids game! and has nothing to do with Webserver Protection
  • Hi RChadwick,

    Assuming everything is http based, if you want to have multiple domains (hostnames?) DNAT'd to different internal servers, you either have to use different ports, (with DNAT) or the Web Application Firewall.

    So if your webserver is at http://www.mydomain.com/ (internal IP 192.168.1.200) and you want to access a webcam from http://webcam.mydomain.com/ (Internal IP: 192.168.1.210), you'd have to specify an alternate port in the DNAT entries and reference that port in the url's of each device, so http://webcam.mydomain.com/ would become http://webcam.mydomain.com:8080/ (assuming the alternate port was 8080).

    Clear as mud?[:)]
  • Thanks for the response. I wasn't able to get it to work. I'm not bothering with 'www.mydomain.com' vs 'webcam.mydomain.com'. As an example, let's say I have junk.gotdns.com. If I want to access a webcam remotely, I'd go to junk.gotdns.com:100, which forwards to the internal IP address 192.168.1.55, port 80. With the exception of the web server, everything is accessed by a different port.

    I went to Network Services, DNS, Static Entries, created a new Static DNS Mapping.
    For hostname, I put junk.gotdns.com:100
    for IPv4 Address, I put 192.168.1.55

    Am I missing something?

    Thanks!
  • Thanks for the response. I wasn't able to get it to work. I'm not bothering with 'www.mydomain.com' vs 'webcam.mydomain.com'. As an example, let's say I have junk.gotdns.com. If I want to access a webcam remotely, I'd go to junk.gotdns.com:100, which forwards to the internal IP address 192.168.1.55, port 80. With the exception of the web server, everything is accessed by a different port.

    I went to Network Services, DNS, Static Entries, created a new Static DNS Mapping.
    For hostname, I put junk.gotdns.com:100
    for IPv4 Address, I put 192.168.1.55

    Am I missing something?

    Thanks!


    Internal static DNS definitions won't do anything. The problem is you need to forward nonstandard ports across the UTM and that has to be done through NAT.

    Sounds like you're using one of DynDNS' free/cheap dns host names (gotdns.com belongs to DynDNS). So for a specific device you want to type junk.gotdns.com:100 (or whatever port you want for that device) and it goes to the internal IP @ port 80. I'm assuming you've already setup the DynDNS client in the UTM under Network Services >> DNS >> DynDNS so that the host junk.gotdns.com maps to your UTM's external IP.

    What you need to do is a variation of the "No HTTP Proxy Enabled" section of the Sophos KB entry you mentioned in your first post.

    Name: Webserver Full NAT for internal redirect
    
    Traffic Source: Internal(network)
    Traffic Service: HTTP
    Traffic Destination: External(Address)
    NAT mode: Full NAT
    Destination: Internal Server address
    Destination: Service: leave blank
    Source: ASG Internal(address)
    Source Service: Leave blank
    Automatic packet filter rule: Check 


    You need to modify two things in this NAT config for each device.

    Traffic Service: This is the port number you want to use. You'll need to create definitions for each port number.
    Destination Service: This should be set to HTTP (port 80)
  • Drew's solution is the right one to work with your present DNS configuration.  Barry's suggestion was to have DHCP configured so that the clients get DNS from the UTM first, thus making your local Static Entries work.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • I'm a little confused. I didn't specifically go out of my way to configure anything with the DNS, but I assumed the default was, and checking seems to verify, that computers on the network get the IP address of the UTM as their DNS server. So, shouldn't the static entries work? 

    Also, am I asking the right questions? I'm assuming the kind of thing I'm doing isn't unique. Does everyone go through all this configuration, or is there a better way of configuring the network to make doing this easier? It's just that, until Astaro, every router I ever dealt with handled this with, at most, a single check in a box.

    Thanks!

  • I went to Network Services, DNS, Static Entries, created a new Static DNS Mapping.
    For hostname, I put junk.gotdns.com:100
    for IPv4 Address, I put 192.168.1.55


    Hi,
    You do not put a port in a DNS definition.
    Use junk.gotdns.com

    and put junk.gotdns.com:100 in the browser, if the device is listening on port 100 internally. If it's on port 80 internally, you should not specify a port in the browser.

    Barry
  • Barry,

    He's trying to allow multiple devices behind his firewall to be accessible through one host definition. Essentially he want's to be able to type http://junk.gotdns.com:[portnum]/ and based on the port number reach different devices. So for example, http://junk.gotdns.com:100/ forwards to port 80 @ 192.168.1.100 whereas http://junk.gotdns.com:110/ reaches port 80 @192.168.1.110.

    You can't do that with static definitions AFAIK.