Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 3237 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DynDns - Externe IP

Bl4ckJok3r
Hallo,

ich habe Astaro in der Version 7.5.

In meinem Netzwerk befinden sich mehrere Server hinter der Firewall. Einige von den Server sollten per RDP erreichbar sein. Aus diesem Grund habe ich die Server über verschiedene Ports erreichbar gemacht.

z.B:
Server1 -> Port: 3389
Server2 -> Port: 33991
Server3 -> Port: 33992
...

Somit kann ich über ****.dyndns.org:3389 auf Server zugreifen. Allerdings ist der Zugriff auf ****.dyndns.org:3389 nur vom WAN aus möglich.

Mit meinem alten Router war auch der interne Zugriff auf die dyndns möglich.
Ist dies auch mit Astaro möglich?

Gruss
Dominik


This thread was automatically locked due to age.
Parents
  • 0
    Das funktioniert prinzipiell schon, aber du musst das korrekt NATten.
    Vermutlich hast du nur eine DNAT Regel für jeden Serverzugriff gemacht.
    ALso, wenn auf die externe (dyndns-)IP der ASG zugrgriffen wird und zwar auf port 3389, dass das Paket dann per DNAT  zu einem Server im LAN weitergereicht wird
    Dasselbe für Poirts 33991 und 22992.

    Soweit so gut, wenn du nun aber aus dem LAN zugreifst, also aus dem selben Netz wie auch deine Server stehen, dann geht das Routing in Eimer.

    Denn dein RDP-Client sendet ein Paket zu ***.dyndns.org - das geht zur ASG - die NATted es korrekt und schickt es zu dem Server im LAN - dieser antwortet (Rückpaket) aber DIREKT zum internen Client, anstelle es zur ASG zurueckzusenden.
    Ergo sendet dein Client Pakete zur Destination ***.dyndns.org, erhaelt aber die Rückantwortpakete von einer anderen IP - naemlich der LAN IP des Servers.
    Da kann keine Kommunikation zustandekommen

    Lösung: statt DNAT eine FULL NAT Regel verwenden. Also nicht nur die DESTINATIOn IP natten, sondern auch die Source IP - am einfachsten als neue Source die LAN IP der ASG verwenden.
    Analog müsste es auch mit einem Generischen Proxy gehen, der macht mehr oder wengier das sselbe wie ein Full NAT
Reply
  • 0
    Das funktioniert prinzipiell schon, aber du musst das korrekt NATten.
    Vermutlich hast du nur eine DNAT Regel für jeden Serverzugriff gemacht.
    ALso, wenn auf die externe (dyndns-)IP der ASG zugrgriffen wird und zwar auf port 3389, dass das Paket dann per DNAT  zu einem Server im LAN weitergereicht wird
    Dasselbe für Poirts 33991 und 22992.

    Soweit so gut, wenn du nun aber aus dem LAN zugreifst, also aus dem selben Netz wie auch deine Server stehen, dann geht das Routing in Eimer.

    Denn dein RDP-Client sendet ein Paket zu ***.dyndns.org - das geht zur ASG - die NATted es korrekt und schickt es zu dem Server im LAN - dieser antwortet (Rückpaket) aber DIREKT zum internen Client, anstelle es zur ASG zurueckzusenden.
    Ergo sendet dein Client Pakete zur Destination ***.dyndns.org, erhaelt aber die Rückantwortpakete von einer anderen IP - naemlich der LAN IP des Servers.
    Da kann keine Kommunikation zustandekommen

    Lösung: statt DNAT eine FULL NAT Regel verwenden. Also nicht nur die DESTINATIOn IP natten, sondern auch die Source IP - am einfachsten als neue Source die LAN IP der ASG verwenden.
    Analog müsste es auch mit einem Generischen Proxy gehen, der macht mehr oder wengier das sselbe wie ein Full NAT
Children
No Data
Unfiltered HTML