Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

2 Web Server über Astaro

Hallo,

ich muss Zugriff für 2 Web Server von Aussen nach Ihnen einrichten. Einzige Möglichkeit das hinzukriegen, anlegen über DNAT Regel. Es klappt auch soweit,
aber nur für der erster Server, der in DNAT steht. Obwohl für zweite Server genauso eingerichtet, es bleibt bei der erste Regel und der zweite Regel wird nicht ausgeführt. Wenn ich die Reihenfolge tausche, es geht auch. Wie kann ich Astaro V7 zwingen, beide Regel zu beachten?


This thread was automatically locked due to age.
  • Hallo,

    was mit DNAT auf jeden Fall nicht geht ist, für beide Regeln den selben Eingangsport zu verwenden.  Es ist also nicht möglich, für beide Server Eingangsport TCP 80 (Standardport für HTTP) zu verwenden. Das hat einen ganz einfachen Grund: Woher soll das Gateway wissen, für welchen der beiden Server die Anfrage gedacht ist? Das ist jedoch keine Einschränkung seitens Astaro, sondern ein generelles Problem.

    Es gibt 2 Lösungen: Entweder Du machst die zweite DNAT-Regel für einen anderen Eingangsport, z.b. TCP 81 (Aufrufe zu diesem Webserver dann in der Form http://xyz:81/) oder Du brauchst 2 öffentliche IP-Adressen zur Unterscheidung.

    Die zwei DNAT Regeln würden also so aussehen:

    #1: Traffic Source: Any, Traffic Service: TCP DPort 80, Traffic Destination: WAN Address, NAT Mode: DNAT, Destination: IP Webserver 1, Destination Service: TCP DPort 80


    #2: Traffic Source: Any, Traffic Service: TCP DPort 81, Traffic Destination: WAN Address, NAT Mode: DNAT, Destination: IP Webserver 2, Destination Service: TCP DPort 80

    Wenn Du intern auf die Server zugreifen willst, musst Du auf die Portangabe im URL verzichten oder Du legst den zweiten Webserver auf Port 81 (Dann müsstest Du auch DNAT-Regel #2 anpassen: Destination Service: TCP DPort 81)
  • Hallo,

    was mit DNAT auf jeden Fall nicht geht ist, für beide Regeln den selben Eingangsport zu verwenden.  Es ist also nicht möglich, für beide Server Eingangsport TCP 80 (Standardport für HTTP) zu verwenden. Das hat einen ganz einfachen Grund: Woher soll das Gateway wissen, für welchen der beiden Server die Anfrage gedacht ist? Das ist jedoch keine Einschränkung seitens Astaro, sondern ein generelles Problem.

    Es gibt 2 Lösungen: Entweder Du machst die zweite DNAT-Regel für einen anderen Eingangsport, z.b. TCP 81 (Aufrufe zu diesem Webserver dann in der Form http://xyz:81/) oder Du brauchst 2 öffentliche IP-Adressen zur Unterscheidung.

    Die zwei DNAT Regeln würden also so aussehen:

    #1: Traffic Source: Any, Traffic Service: TCP DPort 80, Traffic Destination: WAN Address, NAT Mode: DNAT, Destination: IP Webserver 1, Destination Service: TCP DPort 80


    #2: Traffic Source: Any, Traffic Service: TCP DPort 81, Traffic Destination: WAN Address, NAT Mode: DNAT, Destination: IP Webserver 2, Destination Service: TCP DPort 80

    Wenn Du intern auf die Server zugreifen willst, musst Du auf die Portangabe im URL verzichten oder Du legst den zweiten Webserver auf Port 81 (Dann müsstest Du auch DNAT-Regel #2 anpassen: Destination Service: TCP DPort 81)


    Danke, das Sie für mich an so einen sonnigen Tag die Zeit gefunden haben[:)]

    Idee mit Port81 ist nicht schlecht, aber wie soll ich die Anfragen aus Internet
    die über Port 80 kommen auf 81 umleiten? Ich meine der Server wird auf 81 warten, aber da kommt keine Anfragen oder nicht?
  • Die beide Server werden auf 80 warten.  Astaro wartet auf 80 für den ersten, und auf 81 für den zweiten Server. 

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Die beide Server werden auf 80 warten.  Astaro wartet auf 80 für den ersten, und auf 81 für den zweiten Server. 

    MfG - Bob


    Lieder klappt es nicht. Wenn der erste Regel mit Port81 steht, geht es nichts mehr. Wenn es erste Regel mit Port80 steht, landen anfragen für beide Domänen
    bei einem Server. Es klingt so, als ob man über Astaro nur einen WebServer anbinden kann. Schon merkwürdigt.[:(]
  • Das sollte klappen.  Kannst Du wieder alles prüfen?

    #1:

    Traffic Source: Any
    Traffic Service: HTTP
    Traffic Destination: External (Address)

    NAT Mode: DNAT

    Destination: [IP Webserver 1]
    Destination Service: [leer lassen]


    #2:

    Traffic Source: Any
    Traffic Service: [Neue Definiton für TCP Port 81]
    Traffic Destination: External (Address)

    NAT Mode: DNAT

    Destination: [IP Webserver 2]
    Destination Service: HTTP



    Und, in beiden Fällen, 'Auto packet filter' klicken.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Das sollte klappen.  Kannst Du wieder alles prüfen?

    #1:

    Traffic Source: Any
    Traffic Service: HTTP
    Traffic Destination: External (Address)

    NAT Mode: DNAT

    Destination: [IP Webserver 1]
    Destination Service: [leer lassen]


    #2:

    Traffic Source: Any
    Traffic Service: [Neue Definiton für TCP Port 81]
    Traffic Destination: External (Address)

    NAT Mode: DNAT

    Destination: [IP Webserver 2]
    Destination Service: HTTP



    Und, in beiden Fällen, 'Auto packet filter' klicken.

    MfG - Bob


    Nein, keine Chance. Wie machen den sowas die Firmen? Nicht jede hat Luxus
    eine öffentliche IP Adresse pro jede Server, oder?
    Kann ich das ohne DNAT überhaupt nichts machen?
  • Damit braucht man keine zusätzlichen öffentliche IP Adressen! [IP Webserver 1] und [IP Webserver 2] sind doch innerhalb 'Internal (Network)'.

    MfG - Bob
    PS Wenn Astaro eine "Reverse HTTP Proxy" hätte, dann dürfte es die URL erkennen, damit alles auf Port 80 hereinkommen könnte.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Leider wertet die Astaro den Hostheader-Wert (noch) nicht aus.
    Vielleicht erlefdigt sich das Thema irgendwann, wenn der Feature-Request nach einem Reverse-Proxy durchkommt.....

    Du hast also nur zwei Möglichkeiten:
    1. Der von Bob beschriebene Weg. Wenn Du genauso vorgehst wie von ihm beschrieben, wird es funktionieren. Achte nur darauf, dass sich der Port-Aufruf im Browser für den anderen Server natürlich ändert (http://url:81)

    2. Eine zweite offizielle IP-Adresse kostet nicht die Welt. Welchen Provider hast Du? 

    Übrigens: Ohne DNAT geht es sowieso nicht. Das hat aber nichts mit der Astaro zu tun, sondern mit RFC 1597. 

    Beste Grüsse aus Essen,
    Thomas
  • Leider wertet die Astaro den Hostheader-Wert (noch) nicht aus.
    Vielleicht erlefdigt sich das Thema irgendwann, wenn der Feature-Request nach einem Reverse-Proxy durchkommt.....

    Du hast also nur zwei Möglichkeiten:
    1. Der von Bob beschriebene Weg. Wenn Du genauso vorgehst wie von ihm beschrieben, wird es funktionieren. Achte nur darauf, dass sich der Port-Aufruf im Browser für den anderen Server natürlich ändert (http://url:81)

    2. Eine zweite offizielle IP-Adresse kostet nicht die Welt. Welchen Provider hast Du? 

    Übrigens: Ohne DNAT geht es sowieso nicht. Das hat aber nichts mit der Astaro zu tun, sondern mit RFC 1597. 

    Beste Grüsse aus Essen,
    Thomas


    Eigentlich sprechen wir nicht über Konfiguration für einen Campus. Es geht um Internet. Und hier wird generell nur port 80 genutzt. Wie soll ich die Server im Internet beibringen, das sie bei mir nur über port 81 kommen? Ich muss doch noch irgendwo einen Übersetzer setzen, der sagen wird: Ja, es klar das sie alle port80 braucht, aber bei uns bitte schön alle nehmen port 81 und weiter gehts in diese Richtung... Welche Dienst soll das machen? Ich kann doch bei DNS Server nicht eingeben: www.domäne.com:81, oder doch?
  • Nein, aber Du kannst dafür sorgen, dass alle URLs des Servers entsprechend lauten. Sollte mit einem CMS oder anständiger Webseitenprogrammierung kein Problem sein das umzustellen.

    Du könntest aber z.B. auch einen simplen Redirector für Webserver 2 auf Webserver 1 einrichten (Stichwort Frame-Weiterleitung), um so auf Port 81 für Webserver 2 zu landen, ohne überall den Port 81 in den URLs zu publizieren. Nachteil: Suchmaschinen scheitern daran möglicherweise, den Inhalt zu indizieren.