Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RDP Freigabe --> Default DROP

Hallo,

ich habe eine ASG 8.2 hinter einer Firtz!Box (192.168.178.1 (default))

In der Fritz!Box ist der "Exposed Host" auf das externe LAN der ASG (192.168.178.254) freigegeben.

In der ASG habe ich eine Regel
Extern --> Port 93389 --> Terminalserver (93389 ist dann auf den Zielport 3389 geleitet)

eingerichtet.

Leider komme ich aber von extern nicht auf den Terminal-Server.
Im Loggin steht dann 

Default DROP TCP 80.187.96.197:46849 →  192.168.178.254:93389 [SYN]  len=48 ttl=49 tos=0x00 srcmac=0:15:c:57:30:89 dstmac=7a:50:41:49:9f:ac

Hat jemand eine Info für mich, warum der Zugriff nicht klappt?
Auch die anderen Regeln funktionieren nicht.

Ich kann vom Internen LAN aus surfen. Das geht.

Was mich wundert ist "Default Drop". Hier habe ich aber nicht gefunden.

Viele Grüße, Akcent


This thread was automatically locked due to age.
Parents
  • Argh, ich dachte eigentlich, das wäre ausführlich genug gewesen...

    Aus Deinem Log ist zu erkennen, dass Du intern in Deinem LAN private, also nicht öffentliche IP Adressen verwendest (192.168.0.0/16). In diesem Fall musst Du eine DNAT-Regel zur Adressübersetzung einrichten, um einen internen Server von außen erreichbar machen zu können. Das liegt daran, dass private IP-Adressen im Internet nicht eindeutig sind und auch nicht geroutet werden. Das ASG muss daher dafür sorgen, dass im Internet nur mit Deiner öffentlichen Adresse gearbeitet wird und das private Netz maskiert wird. Durch den 'automatic packetfilter' Haken bei der DNAT-Regel wird, wie die Option vermuten lässt, automatisch der entsprechende Paketfilter passend zu dieser DNAT-Regel gleich mit erstellt. Adressen übersetzen ist eine Sache, den Datenverkehr tatsächlich durchlassen, eine ganz andere. Deswegen braucht man beides.

    Je nach Art des Servers (z.B. HTTP) gibt es auch noch andere Möglichkeiten, den Zugriff von Außen zu ermöglichen, z.B. über 'Web Application Security'. Damit kann man mehrere interne Webserver über Port 80 erreichbar machen. Nur die Domains müssen sich dann unterscheiden, damit das ASG den entsprechenden gewünschten Server auswählen kann. DNAT hingegen funktioniert für einen Port nur für einen Server.
  • Hallo Mario,

    danke für die Info. 
    Ich habe bisher nur mit der normalen Fritz!Box die Port-Weiterleitung eingerichtet und kenne mich (sagen wir mal) recht durchschnittlich in der Juniper Firewall aus.

    Daher hätte ich nicht gedacht, daß die ASTAOR beides bednötigt. Wenn ich das nun richtig verstanden habe, richthe man alle eingehenden Regeln im DNAT ein und setzt den Haken 'automatic packetfilter'. Dann sollte unter Regel auch die unter DNAT eingerichtet Regel zu sehen sein.

    Daß man die internen Adressen nicht nach außen gibt ist denke ich doch mal die Regel.

    Ich schau mir das ganze heute Abend nochmal an und melde mich dann nocheinmal. 

    Gruß, Akcent
  • Wenn ich das nun richtig verstanden habe, richthe man alle eingehenden Regeln im DNAT ein und setzt den Haken 'automatic packetfilter'. Dann sollte unter Regel auch die unter DNAT eingerichtet Regel zu sehen sein.


    Automatisch generierte Paketfilterregeln werden im ASG *nicht* angezeigt. Es gibt hierzu im Feature-Request Portal bereits mehrere Anfragen, dies ins Produkt einzubauen.
  • Hallo Mario,

    ich kam leider noch nicht dazu das einzuriochten und zu testen.
    Vorab hätte ich noch ein ganz kleine Frage.

    Habe ich das richtig verstanden, daß man dann

    - ausgehenden Datenverkehr über die Regeln steuert 
    - eingehenden Datenverkehr über DNAT steuert

    Viele Grüße, Akcent
Reply
  • Hallo Mario,

    ich kam leider noch nicht dazu das einzuriochten und zu testen.
    Vorab hätte ich noch ein ganz kleine Frage.

    Habe ich das richtig verstanden, daß man dann

    - ausgehenden Datenverkehr über die Regeln steuert 
    - eingehenden Datenverkehr über DNAT steuert

    Viele Grüße, Akcent
Children
  • Habe ich das richtig verstanden, daß man dann

    - ausgehenden Datenverkehr über die Regeln steuert 
    - eingehenden Datenverkehr über DNAT steuert


    Äh. Nö.

    1. Was verstehst Du unter 'Regeln'? Resultieren nicht ganz generell irgendwie alle Einstellungen in irgendwelchen 'Regeln'? Bitte lass uns von 'Paketfilter-Regeln', 'NAT-Regeln' usw. sprechen, damit auch wirklich jeder versteht, was denn gemeint ist.

    2. Paketfilter haben nichts mit NAT zu tun. Das sind einfach zwei paar Schuhe.

    Mit Hilfe von Paketfiltern steuert man, welcher Netzverkehr von wo (und ggf. wann) kommend, mit welchen Port(s), wohin darf oder eben nicht. Wobei man verbotenen Verkehr einfach transparent wegwerfen (DROP) oder mittels einer Antwort verweigern (REJECT) kann.

    Mit Hilfe von NAT lassen sich IP-Adressen in einzelnen Paketen übersetzen, d.h. vertauschen. Bei DNAT wird die Zieladdresse übersetzt, also meist von öffentlich auf privat. Bei SNAT wird die Quelladresse übersetzt, also meist von privat auf öffentlich. Bei FNAT geschieht beides auf einmal.


    Eigentlich ist es ganz einfach: Wenn man einen internen Server von außen erreichbar machen will, braucht man DNAT. DNAT ist nichts anderes als der von billigen SOHO-Routern (Fritz!Box und wie sie alle heißen) bekannte Begriff 'Port-Weiterleitung'. Und damit überhaupt irgendwas funktionieren kann, muss man eben noch den Datenverkehr via Paketfilter erlauben, da standardmäßig alles verworfen wird.
  • Hallo,

    irgendwie steht ich mit beiden Füßen auf der Leitung.

    Folgendes habe ich eingerichtet:

    Unter Network Security --> Firewall --> Regeln:
    1. 
    Quell: Internal (Network) (192.168.2.0/24)
    Dienst: RDP 3389
    Ziel: Any

    2. 
    Quelle: External (WAN) (192.168.178.254)
    Dienst: RDP 43389
    Ziel: Terminal-Server (192.168.2.1)

    Unter NAT --> DNAT

    1. 
    Datenverkehrsquell:  External (WAN) (192.168.178.254)
    Datenverkehrsdienst: RDP 43389
    Datenverkehrsziel: Terminal-Server (192.168.2.1)
    NAT-Modus: DNAT (Ziel)
    Ziel: Terminal-Server (192.168.2.1)
    Zieldienst: RDP 3389
    Autom. Firewallregel = aktiviert

    2. 
    Datenverkehrsquell:  Any
    Datenverkehrsdienst: RDP 3389
    Datenverkehrsziel: External (WAN) (192.168.178.254)
    NAT-Modus: DNAT (Ziel)
    Ziel: External (WAN) (192.168.178.254)
    Zieldienst: RDP 3389
    Autom. Firewallregel = aktiviert

    Was mache ich falsch ?
    Ich weiß ... alles.

    Viele Grüße,
    Akcent
  • Fehler gefunden:

    Gleich 2x

    1. die Service-Definition war falsch
    2. DNAT so eingestellt:
    Datenverkehrsquell: Any
    Datenverkehrsdienst: RDP 43389
    Datenverkehrsziel: External (WAN) (192.168.178.254)
    NAT-Modus: DNAT (Ziel)
    Ziel: Terminal-Server (192.168.2.1)
    Zieldienst: RDP 3389