Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Portweiterleitung auf mehrere Webserver

Hallo,

ich habe hier im interen Netz mehrer Webserver (Videorecorder, Homeserver) deren Weboberfläche alle über den Port 80 erreichbar sind.

Bevor ich UTM9 eingesetzt habe, hatte ich eine Fritzbox und habe dort Portweiterleitungsregeln erstellt wie folgt:

Port 8001 -> IP 192.168.0.100, Port 80 (Videorekorder 1)
Port 8002 -> IP 192.168.0.110, Port 80 (Videorekorder 2)
Port 8003 -> IP 192.168.0.120, Port 80 (Homeserver)

Ich konnte also z.B. von unterwegs mit http://xyz.meineip.org:8003 den Homeserver erreichen.

Wie realisiere ich diese Portweiterleitung jetzt in der UTM9? Die mit der Suchfunktion gefundene Threads verstehe ich nicht (bin neu auf dem Gebiet).

Vielen Dank im voraus.

MfG
Christoph


This thread was automatically locked due to age.
Parents
  • Hallo Christoph,

    die Funktion nennt sich DNAT auf der ASG. Wenn du dort in die Onlinehilfe schaustist das schon recht gut erklärt.

    Viele Grüße
    Manfred
  • Hallo Manfred,

    ich habe mal in die Online-Hilfe geschaut und eben mal hier in der Firma (ist zwar noch die V8) ein Screenshot gemacht, wenn ich "new NAT" drücke.

    Traffic Source würde ich bei "Any" belassen, da die Anfrage aus dem Internet kommt.
    Traffic Service würde ich auf "HTTP" stellen, da die Server per HTTP abgefragt werden.
    Traffic Destination wäre die WAN-Netzwerkkarte.

    NAT-Mode: DNAT

    Destination wäre dann die IP eines Servers, z.B. 192.168.0.120

    Destination lasse ich leer.

    Aber wo kann ich den Port 8003 einstellen, damit ich den an den Port 80 des Homeservers weiterleite?

    Gruß
    Christoph
  • Hi Christoph,

    Du bist auf der richtigen Spur.

    Du musst Dir nur klar machen, dass bei TrafficService http steht und der Service http per Definition Port 80 ist.
    Wenn Du von aussen Port 8003 ansprechen willst, musst Du einen TrafficService für Port 8003 definieren und dann in der DNAT-Regel eingeben. 
    Der DestinationService ist dann http=Port80.
  • Hallo Walter,

    danke für den Schubs in die richtige Richtung. Das werde ich dann glatt heute abend zu Hause mal ausprobieren.

    Kommt man eigentlich auf den Web-Admin von der Astaro auch von aussen drauf?

    MfG
    Christoph
  • In der default Config ja, ansonsten kommt's darauf an, was bei Management -> WebAdmin in den Allowed Networks steht...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Reply
  • In der default Config ja, ansonsten kommt's darauf an, was bei Management -> WebAdmin in den Allowed Networks steht...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Children
  • Hallo Walter,

    ich habe jetzt folgendes gemacht (bitte nochmal querlesen ob so korrekt):

    a) eine Dienstedefiniton mit folgender Einstellung:

    Name: HTTP an Port 8003
    Definitionstyp: TCP
    Zielport: 8003
    Quellport: 1:65535

    b) eine neue DNAT-Regel:

    Datenverkehrsquelle: Any
    Datenverkehrsdienst: HTTP an Port 8003
    Datenverkehrsdienst: External (WAN) (Adress) - IP-Adresse der WAN-Schnittstelle

    Ziel: 192.168.0.120 IP-Adresse des Webservers
    Zieldienst: HTTP (der definierte Dienst aus der Standard-Config)


    ... weiter in Teil 2
  • Teil 2...

    Ich verstehe das so:

    zu a) Alles was an Anfragen auf den Ports 1-65535 reinkommt wird auf Port 8003 umgeleitet. Da stellt sich mir die Frage, ob man statt 1:65535 nicht auch dort 8003 schreiben sollte, da ich ja auch noch eine Dienstedefinition für die anderen Webserver der Videorekorder benötige. Ich könnte mir vorstellen, daß sich dann eine weitere Definition mit 1:65535 -> 8002 mit der ersten Definition beißt, oder?

    zu b) im oberen Teil:
    Alles aus dem externen Netz (Internet) wird per Definiton von Port 1-65535 auf Port 8003 der WAN-Netzwerkkarte umgeleitet.

    im unteren Teil:
    Ziel ist der Webserver des Homeservers mit dem Port 80

    Stimmt das so?

    MfG
    Christoph