Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 3221 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DynDns - Externe IP

Bl4ckJok3r
Hallo,

ich habe Astaro in der Version 7.5.

In meinem Netzwerk befinden sich mehrere Server hinter der Firewall. Einige von den Server sollten per RDP erreichbar sein. Aus diesem Grund habe ich die Server über verschiedene Ports erreichbar gemacht.

z.B:
Server1 -> Port: 3389
Server2 -> Port: 33991
Server3 -> Port: 33992
...

Somit kann ich über ****.dyndns.org:3389 auf Server zugreifen. Allerdings ist der Zugriff auf ****.dyndns.org:3389 nur vom WAN aus möglich.

Mit meinem alten Router war auch der interne Zugriff auf die dyndns möglich.
Ist dies auch mit Astaro möglich?

Gruss
Dominik


This thread was automatically locked due to age.
  • 0
    Das funktioniert prinzipiell schon, aber du musst das korrekt NATten.
    Vermutlich hast du nur eine DNAT Regel für jeden Serverzugriff gemacht.
    ALso, wenn auf die externe (dyndns-)IP der ASG zugrgriffen wird und zwar auf port 3389, dass das Paket dann per DNAT  zu einem Server im LAN weitergereicht wird
    Dasselbe für Poirts 33991 und 22992.

    Soweit so gut, wenn du nun aber aus dem LAN zugreifst, also aus dem selben Netz wie auch deine Server stehen, dann geht das Routing in Eimer.

    Denn dein RDP-Client sendet ein Paket zu ***.dyndns.org - das geht zur ASG - die NATted es korrekt und schickt es zu dem Server im LAN - dieser antwortet (Rückpaket) aber DIREKT zum internen Client, anstelle es zur ASG zurueckzusenden.
    Ergo sendet dein Client Pakete zur Destination ***.dyndns.org, erhaelt aber die Rückantwortpakete von einer anderen IP - naemlich der LAN IP des Servers.
    Da kann keine Kommunikation zustandekommen

    Lösung: statt DNAT eine FULL NAT Regel verwenden. Also nicht nur die DESTINATIOn IP natten, sondern auch die Source IP - am einfachsten als neue Source die LAN IP der ASG verwenden.
    Analog müsste es auch mit einem Generischen Proxy gehen, der macht mehr oder wengier das sselbe wie ein Full NAT
  • 0
    Super ... Danke [;)]

    Das hat soweit geklappt.
    Jetzt habe ich noch eine Frage.

    Ist es möglich die Dienste wie folgt weiterzuleiten:

    DYNDNS:3389 -> SERVER1:3389
    DYNDNS:33891 -> SERVER2:3389
    DYNDNS:33892 -> SERVER3:3389

    Gruss
    Dominik
  • 0 in reply to Bl4ckJok3r

    Das hat soweit geklappt.
    Jetzt habe ich noch eine Frage.

    Ist es möglich die Dienste wie folgt weiterzuleiten:

    DYNDNS:3389 -> SERVER1:3389
    DYNDNS:33891 -> SERVER2:3389
    DYNDNS:33892 -> SERVER3:3389


    Also jetzt verwirrst du mich. HAT es nun geklappt oder nicht ? Wenn du schreibst "das hat geklappt", aber tortzdem fragst, ob man eine DIensteweiterleitung einrichten kann, dann hats doch nicht so ganz geklappt oder wie oder was?! 
    Oder hat es nur für den Zugriff auf den ersten Rechner geklappt aber nicht auf die Server 2 und 3? Falls es so ist, dann musst du in deiner NAT rule einfach auch den "translated service" angeben 
    Also z. B. so:
    traffic source: any
    traffic service: 33891
    traffic destination: dyndns-wan-adresse
    NAT MOde: full nat
    destination: interner server2
    destination service: rdp (3389)
    source: internal Interface (Adress)
    source service: leer lassen


    *leicht verwirrt*
  • 0
    Okay war vielleicht etwas verwirrend [:)]

    Mein erstes Problem war, dass intern die DYNDNS-Domain aufgelöst wurde aber ich darüber nicht verbinden konnte.
    Das zweite Problem war dass ich die Ports nicht 'umwandeln' konnte also EXTERN 33891 -> INTERN 3389.

    Doch Dank deiner super hilfe klappt das jetzt alles perfekt.

    Danke.
Unfiltered HTML