Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 38 subscribers
  • Views 6366 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNat funktioniert nicht

Majer
Hallo an Alle!

Kann mir jemand erklären, was an der angehängten DNAT-Regel falsch ist?

Es handelt sich um eine UTM9, Firmware-Version 9.004-33. 

Ich versuche, den Port beim Zugriff auf einen lokal laufenden Webserver von extern 5001 auf intern 80 zu ändern (Regel 2), was nicht funktioniert.

Regel 1 funktioniert (Port 80 extern unverändert). Außer, dass der Port nicht geändert wird, sind beide Regeln identisch.

Sind beide Regeln an, funktioniert sowohl Port extern 5001 als auch extern 80.

Diverse Neustarts und Regeln löschen und neu anlegen sowie sämtliche andere Services abschalten haben nichts gebracht.

Stundenlanges Lesen in Internet und Forum auch nichts.

Da es sich bei dem nicht funktionierenden Feature um etwas handelt, was jeder Baumarktrouter ab Werk beherrscht, liegt hier bestimmt nur eine Kleinigkeit im Argen...

Zudem hat das Port ändern schon mal funktioniert. Seitdem habe ich lediglich den SSL-Fernzugriff über Androidphones konfiguriert, das kann damit ja nichts zu tun haben.

Bin dankbar um jeden kleinsten Hinweis!


This thread was automatically locked due to age.
Parents
  • 0
    Hallo,

    nach dem bisher sehr verhaltenen Feedback auf mein Problem (Zugriff von extern Port 5001 auf internen Webserver auf Port 80 funktioniert nicht) bin ich über die Webserver Protection gestoßen.

    Dort kann beim virtuellen Webserver ein anderer Port, als beim echten Webserver angegeben werden. Sollte damit eine Portumleitung ohne DNAT-Regel möglich sein?

    Funktionieren tut dies bei mir leider auch nicht, ob ohne oder mit DNAT-Regel.

    Bin um jeden Hinweis dankbar.
  • 0 in reply to Majer
    Kann mir jemand sagen, wie ich hier posten müsste, um Hilfe zu bekommen?

    Ich probiere noch einmal eine andere Fragestellung in etwas einfacheren Worten, bevor ich wieder meinen alten Bauhausrouter in Betrieb nehme:

    Mein Ziel: Den externen Port 5001 auf den HTTP-Port 80 zu ändern.

    Dafür habe ich unter Network Protection/NAT/NAT folgende Regel definiert:

    Rule Type: DNAT
    Matching Condition
    For Traffic from: Any
    Using Service: 5001/TCP
    Action
    Change te destination to: local IP (sth. like 192.168.0.55)
    and the service to: HTTP

    Automatic Firewall rule: checked


    Ergebnis: keine Verbindung

    Wo steckt da der Fehler (ich denke, nirgends), bzw. wo ist der Seiteneffekt zu suchen?

    Danke für die Hilfe.
  • 0 in reply to Majer
    Kann mir jemand sagen, wie ich hier posten müsste, um Hilfe zu bekommen?

    Ich probiere noch einmal eine andere Fragestellung in etwas einfacheren Worten, bevor ich wieder meinen alten Bauhausrouter in Betrieb nehme:

    Mein Ziel: Den externen Port 5001 auf den HTTP-Port 80 zu ändern.

    Dafür habe ich unter Network Protection/NAT/NAT folgende Regel definiert:

    Rule Type: DNAT
    Matching Condition
    For Traffic from: Any
    Using Service: 5001/TCP
    Action
    Change te destination to: local IP (sth. like 192.168.0.55)
    and the service to: HTTP

    Automatic Firewall rule: checked


    Ergebnis: keine Verbindung

    Wo steckt da der Fehler (ich denke, nirgends), bzw. wo ist der Seiteneffekt zu suchen?

    Danke für die Hilfe.

    Hallo Majer

    Deine NAT-Rules sehen eigentlich gut aus. Ich denke nicht, dass die Kommunikationsprobleme daran liegen. Es sieht eher so aus, als ob gar nichts zu der Firewall über Port 5001 gelangt.

    Ich kenne die Topologie deines Netzwerks nicht, aber ich gehe davon aus, dass diese etwa so aussieht:

    Internet  >  DSL-Router  >  Firewall  >  Webserver

    Wenn meine Annahme stimmt, stellt sich die Frage, ob eine Port Weiterleitung für den Port 5001 auf dem DSL-Router vorhanden ist. Ist das nicht der Fall, dann wird jede Anfrage aus dem Internet über Port 5001 von DSL-Router geblockt. Massnahme: Port Weiterleitung einrichten.

    In zusammenhang mit Webservern würde ich davon abraten, NAT zu verwenden. Mit Webserver Protection kannst du flexiblere Zugriffregel erstellen und gleichzeitig deinen Server vor Angriffe wie XSS oder SQL-Injection schützen... [:)]

    Ich hoffe, dass ich dir mit diesen Angabe helfen konnte

    Grüsse
  • 0 in reply to belegnor
    Nicht ganz, statt DSL-Router ist hier ein Kabelmodem angeschlossen, bei dem sich die Astaro per DHPC bedient. Geblockt wird hier nichts, das Ganze hat ja auch schon mal funktioniert.

    Sollte man eine Portweiterleitung dieser Art ausschließlich über die Web Application Firewall einrichten ohne jede NAT-Regel?

    Das hatte ich eigentlich schon versucht und war im Ergebnis genauso erfolglos wie alle anderen Versuche, aber ich teste das noch mal.

    Vielen Dank erstmal.
Reply
  • 0 in reply to belegnor
    Nicht ganz, statt DSL-Router ist hier ein Kabelmodem angeschlossen, bei dem sich die Astaro per DHPC bedient. Geblockt wird hier nichts, das Ganze hat ja auch schon mal funktioniert.

    Sollte man eine Portweiterleitung dieser Art ausschließlich über die Web Application Firewall einrichten ohne jede NAT-Regel?

    Das hatte ich eigentlich schon versucht und war im Ergebnis genauso erfolglos wie alle anderen Versuche, aber ich teste das noch mal.

    Vielen Dank erstmal.
Children
  • 0 in reply to Majer
    Nicht ganz, statt DSL-Router ist hier ein Kabelmodem angeschlossen, bei dem sich die Astaro per DHPC bedient. Geblockt wird hier nichts, das Ganze hat ja auch schon mal funktioniert.

    Sollte man eine Portweiterleitung dieser Art ausschließlich über die Web Application Firewall einrichten ohne jede NAT-Regel?

    Das hatte ich eigentlich schon versucht und war im Ergebnis genauso erfolglos wie alle anderen Versuche, aber ich teste das noch mal.

    Vielen Dank erstmal.


    Hallo nochmals

    Eine Firewall mit DHCP-Adresse ... ? Eine fixe IP wäre sinvoller ... mehr, um gewissen Problemen aus dem Weg zu gehen ... vor allem, wenn Weiterleitungen im Spiel sind ... [;)]

    Wenn du sagst, dass es schon mal funktioniert hat, meinst du ohne ASG, etwa so...

    Internet > Kabelmodem > Webserver
    Port Forwarding 5001 --> Webserver:80 ... ?

    Damit die ASG Verkehr über Port 5001 empfängt, müsste die Weiterleitung auf dem Modem wie folgt aussehen:

    any --> Kabelmodem:5001 --> ASG:5001

    Wenn meine Annahme nicht zutrifft, wäre vielleicht hilfreich, wenn du eine schematische Zeichnung deines Netzwerks senden würdest, damit wir vom Gleichen reden/schreiben können... [:)]

    Zu deiner Frage über WAF und NAT: wenn du WAF verwendest, brauchst du keine NAT-Rules für diese Verbindungen zu erstellen.

    Grüsse
  • 0 in reply to belegnor
    Vielen Dank für die Info. bzg. WAF statt NAT, das war mir nicht ganz klar.

    Nein, die DNAT-Regel hat auf der Astaro genau so funktioniert und dann nicht mehr.

    Mein Netzwerk sieht so aus (vereinfacht):

    Internet  Kabelmodem des Providers  Astaro  Interner Webserver

    Die öffentliche IP ist quasi statisch, d. h. ändert sich nur, wenn ich statt der Astaro was anderes an das Kabelmodem hängen würde, also MAC-abhänigig. Extern ist die Astaro ansonsten über eine DynDNS-IP erreichbar. Ich möchte halt gerne die Webserveranfragen auf Port 5001 und nicht auf Port 80 annehmen, das ist alles.

    Ansonsten scheint WAF für meine Zwecke besser geeignet zu sein als NAT, allerdings erhalte ich dabei eine redirect-Schleife (Too many Redirectons-Meldung vom externen Browser).

    Gibt es außer dem Sophoshandbuch für WAF irgendwo noch was zum Nachlesen bzw. Vertiefen?
  • 0 in reply to Majer
    Vielen Dank für die Info. bzg. WAF statt NAT, das war mir nicht ganz klar.

    Nein, die DNAT-Regel hat auf der Astaro genau so funktioniert und dann nicht mehr.

    Mein Netzwerk sieht so aus (vereinfacht):

    Internet  Kabelmodem des Providers  Astaro  Interner Webserver

    Die öffentliche IP ist quasi statisch, d. h. ändert sich nur, wenn ich statt der Astaro was anderes an das Kabelmodem hängen würde, also MAC-abhänigig. Extern ist die Astaro ansonsten über eine DynDNS-IP erreichbar. Ich möchte halt gerne die Webserveranfragen auf Port 5001 und nicht auf Port 80 annehmen, das ist alles.

    Ansonsten scheint WAF für meine Zwecke besser geeignet zu sein als NAT, allerdings erhalte ich dabei eine redirect-Schleife (Too many Redirectons-Meldung vom externen Browser).

    Gibt es außer dem Sophoshandbuch für WAF irgendwo noch was zum Nachlesen bzw. Vertiefen?


    Wenn ich dich richtig verstehe, dann betreibst du das Modem in Bridging-Mode, so dass die Firewall die Routingfunktion übernimmt. In diesem Fall sollten die Anfragen durchkommen, sei es via NAT oder WAF, da die ASG auf beide Ports hört. 

    Stimmt deine Aussage, nämlich dass Anfragen via Port 80 ankommen aber via Port 5001 nicht, dann sieht es, meiner Meinung nach, eher so aus, als ob der Port 5001 geblockt wird, so dass die ASG nichts über diesen Port bekommt.

    Ist es möglich, dass der Provider des Modems einen Firmware Upgrade eingespielt hat? Dadurch könnten die Modemeinstellungen verstellt worden sein. Hast du das Modem überprüft?

    Wenn es nicht daran liegt, dann wird langsam schwierig, ohne genauere Angaben eine Diagnose zu erstellen...[:S]

    Grüsse
  • 0 in reply to belegnor
    Im Firewall-Live-Log kommt die Anfrage an Port 5001 an und wird mit action="log" aufgeführt. Direkt danach kommen mit Port 80 6 weitere Päckchen mit der gleichen externen IP, die dann je nachdem ob meine zweite Regel an oder aus ist geloggt oder gedropped werden.

    Zum Webserver komme ich wie gesagt nur, wenn Port 80 auch gednatted wird.

    Ich werde als nächstes mal den Apache auf einem anderen port lauschen lassen, vielleicht gibt das ja neue Erkenntnisse.

    Vielen Dank für die Hilfe bisher. 

    Sorry GMF, ich dachte, crossposting über Sprachgrenzen hinweg sei eher unproblematisch und nachdem hier zunächst keinerlei Feedback kam, habe ich mich halt an meine Englischkenntnisse erinnert und dort nochmals angefragt.

    Falls das untolerabel ist, bitte den englischen Thread löschen.
  • 0 in reply to Majer
    Gehen die Anfragen von extern denn überhaupt auf Port 5001?
    D.h.: jemand gibt z.B. im Browser die Adresse Deines webservers ein und stellt ein :5001 dahinter?
    Ansonsten gehen http Anfragen immer an Port 80. Der Anfrager muss schon explizit Port 5001 anfragen.
    Ich verstehe im Moment nicht was genau da von extern an Port 5001 gehen soll?
  • 0 in reply to kbe
    Ja das funktioniert genau so. Der Anfrager soll explizit http://domainname:5001 eingeben, um eine auf meinem internen Webserver laufende Applikation zu erreichen. Ich möchte den Port 80 für andere Zwecke freihalten.

    Es kommt jeweils genau ein Paket mit dem Port 5001 an extern an und wird in den Logfiles vermerkt. Nur an den internen Webserver wird es nicht weitergeleitet. Eine Astaro ist halt schon ein bisschen komplizierter zu administrieren...
Unfiltered HTML