Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 3875 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Externer Zugriff auf Webserver in DMZ

bitter
Hallo,

ich möchte auf einer ASG eine zweite, vom Internetprovider zugewiesene, WAN-IP-Adresse via DNAT auf einen Webserver (separater Reverse Proxy) in der DMZ führen. Es ist nicht der Astaro-interne Reverse Proxy gemeint! Das entsprechende Kundenprojekt gibt dies so vor. Dies ganz kurz zum Rahmen.

Der Reverse Proxy soll externe Anfragen auf Port tcp 80 und 443 annehmen. Anfragen werden dann von diesem Reverse Proxy an den eigentlichen Web-Applikationsserver im geschützten Produktionsnetzwerk geleitet. Hierzu existiert eine Paketfilterregel für die Ports tcp 80 und 443 vom DMZ-Reverse-Proxy zum Produktionsserver. Hier nochmal der Kommunikationsfluß (Quelle->Senke) zur besseren Übersicht:

Web-User via FQDN-URL-Aufruf  -> Zweite Internetadresse auf ASG für Applikationszugang -> DNAT –> Reverse Proxy in DMZ -> Paketfilter -> Produktionsmaschine (Web-Applikation)

Ich habe dies nun via DNAT konfiguriert und komme aktuell nicht zum Reverse Proxy (Linux-Maschine mit Apache) durch. Im Livelog werden meine Anfragen auf den Ports tcp 80 und 443 mit SYN beantwortet und per default gedropped. Irgendwie habe ich den Eindruck, daß die Assoziation der WAN-IP-Adresse nicht richtig via DNAT auf die IP-Adresse in der DMZ funktioniert.

Habe es mit der Option „automatic packet filter rules“, als auch mit einer dedizierten Paketfilterregel probiert. Beides geht nicht.

Anbei die DNAT-Konfiguration:

Regel 1:
Traffic Source: Any
Traffic Service: HTTP
Traffic Destination: WAN-Schnittstelle mit der zweiten IP-Adresse

NAT Mode: DNAT

Destination: Reverse-Proxy (Webserver in DMZ)
Destination Service: leer

Regel 2:
Traffic Source: Any
Traffic Service: HTTPS
Traffic Destination: WAN-Schnittstelle mit der zweiten IP-Adresse

NAT Mode: DNAT

Destination: Reverse-Proxy (Webserver in DMZ)
Destination Service: leer

Zusätzlich manuelle Paketfilterregel für Kommunikation Reverse Proxy nach Produktionsmaschine.

Besten Dank für Ratschläge.

Grüße


This thread was automatically locked due to age.
  • 0
    Hallo Bitter,

    hast ein 2. WAN Interface oder arbeitest du mit Alias Adressen?

    Die Regeln sehen soweit ok aus. Was macht der Reverse Proxy in der DMZ mit den durch die ASG genatteten Paketen? Hat der die ASG als GW oder versucht er vielleicht einen anderen zurück?

    Monthy
  • 0
    Kannst Du uns bitte ein Bild von der 'DNAT/SNAT' Lasche zeigen?

    Und auch die Linien vom Paketfilterlogfile.

    Zusätzlich manuelle Paketfilterregel für Kommunikation Reverse Proxy nach Produktionsmaschine.

    Wenn die Beide innerhalb eines Netzes auf einer Astaro Schnittstelle sind, sollte das nicht gebraucht werden.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to monthyburns
    Hallo Bitter,

    hast ein 2. WAN Interface oder arbeitest du mit Alias Adressen?

    Die Regeln sehen soweit ok aus. Was macht der Reverse Proxy in der DMZ mit den durch die ASG genatteten Paketen? Hat der die ASG als GW oder versucht er vielleicht einen anderen zurück?

    Monthy

    Hallo,

    ich arbeite mit einer zweiten Aliasadresse unter Netzwerk->Schnittstellen->Zusätzliche Adressen.

    Habe bei mir deutsch als Sprache eingestellt.

    Der Reverse Proxy schickt die Pakete über ein anderes Default Gateway (Layer3-Switching-Infrastruktur) weiter an ein separates Produktionsnetzwerk (Serverfarm) und dort an die entsprechende Applikationsmaschine. Diese verarbeitet die via Web-Session eingegeben Daten weiter und schiebt diese dann in ein ERP-System. Die ASG hängt "nur" in einem Transfernetzwerk und dient nur dem Zugang am Edge. Geroutet werden die internen Netzwerke und Ressoucen über ein eigene Layer3-Infrastruktur im internen Corprate Network des Kunden.

    Grüße
  • 0 in reply to BAlfson
    Kannst Du uns bitte ein Bild von der 'DNAT/SNAT' Lasche zeigen?

    Und auch die Linien vom Paketfilterlogfile.


    Wenn die Beide innerhalb eines Netzes auf einer Astaro Schnittstelle sind, sollte das nicht gebraucht werden.

    MfG - Bob

    Hallo Bob,

    anbei ein Überblick zu den Interfaces und Netzen an unserer ASG320:

    Int WAN: primäre und sekundäre IP vom Provider (letztere als Alias und für den Reverse Proxy zu nutzen)
    Int DMZ: Web-Server (Reverse Proxy)
    Int Transfer: Link ins interne Corporate Network des Kunden (wenn die ASG die zentrale Unit wäre, stünde hier "internal")

    Wie zu sehen ist, sind alle Netzwerke an separaten Interfaces konnektiert.

    Screenshot/Bild von der DNAT-Lasche folgt.

    Grüße
Unfiltered HTML