*gelöst* Probleme mit Interzone-Traffic und Webserver

1. offizieller Beitrag

    Hallöle, ich habe seit der Umstellung von Endian 2.4.1 auf 2.5.1 ein kleines Problem mit dem Interzone-Traffic.

    Folgendes Szenario ist vorhanden:

    Zone Grün 192.168.1.0
    Zone Blau 192.168.2.0
    In Zone Grün steht ein Webserver, der über die externe Adresse http://blablup.mydomain.com von außen erreichbar ist. (Kommt demnächst aber in die DMZ)
    Um den Webserver von der Zone Grün aus über diese Adresse erreichen zu können musste ich in Endian 2.4.1 eine Source NAT Richtlinie
    festlegen, die vom Netz 192.168.1.0/24 auf die IP des Webservers zeigt und ein NAT auf 192.168.1.1 (Endian Firewall) durchführt.

    Von der Zone Blau kam ich hingegen auch ohne Source NAT Eintrag über die obige URL auf den Webserver in Zone Grün.
    Seit der Umstelung auf Endian 2.5.1, funktioniert dies jedoch nicht mehr!

    Es ist jedoch problemlos möglich den Webserver über die IP-Adresse von Zone grün aus Anzusprechen,
    jedoch nicht über die URL!

    Ich habe in der Interzone Firewall den Traffic von Blau nach Grün erstmal komplett erlaubt und versucht eine Source NAT Regel zu erstellen
    die von 192.168.2.0/24 auf die IP des Webservers verweist und ein NAT auf 192.168.1.1 oder auch .2.1 durchführt, jedoch brachte das keinen
    Erfolg.
    Hat jemand eine Idee, wie ich wieder per externer URL von Zone blau auf den Webserver in Zone grün komme?

    Einmal editiert, zuletzt von X-Dimension (3. Februar 2012 um 14:02)

    Ja, der Webserver ist von außerhalb problemlos erreichbar (von rot nach grün).
    Die Interzone-Firewall erlaubt momentan den kompletten Traffic von blau nach grün und von grün nach blau.

    Das kuriose (was mir bei Endian 2.4.1 schon auffiel) ist allerdings, dass der Webserver von blau nach grün auch über die IP-Adresse erreichbar
    ist, wenn ich in der Interzone-Firewall sämtlichen Traffic von blau nach grün blocke!

    Irgendwie müsste ja eine DNS Anfrage von blau nach rot laufen, die dann wieder zurück nach grün führt.

    Ich sehe gerade dass die Source-NAT Regel, die in der 2.4.1 das Problem mit der Namensauflösung behoben hatte, innerhalb der grünen Zone nun auch nicht mehr funktioniert! Ein Zugriff von grün auf den Webserver ist nur dann möglich, wenn lokal ein DNS Server läuft in dem die URL http://blablup.mydomain.com/ hinterlegt ist.
    Aber ohne lokalen DNS-Server funktioniert die Namensauflösung dieser "externen" URL ebenfalls nicht.

    Das Problem ist eben, dass die Endian-Firewall die Anfragen aus den Zonen erstmal ins WAN leiten muss, dort erfolgt die Namensauflösung, die dann ja wieder auf die eigene IP-Adresse zurück geht. Hier half wie gesagt bei 2.4.1 noch der Source-NAT Eintrag als "Workaround", der bei 2.5.1 offenbar das Problem nicht mehr löst.

    • Offizieller Beitrag

    Also der Port 53 ist auf von Grün nach Rot ?

    Hast du mal versucht eine „ Port forwarding / Destination NAT „ Regel zu machen anstatt eine „ Source-NAT „ ?
    Habe festgestellt das mal die mal die andere Funktioniert . . . . . warum auch immer.
    Machmal hat auch ein Tausch der Netzwerkkarten Zuordnen geholfen . . . . .warum auch immer . . .

    Gruß Sabine

    Ja, UDP+TCP Port 53 von GRÜN/BLAU/ORANGE nach Rot ist in den ausgehenden Firewall-Richtlinien erlaubt.

    Ich habe auch schon mit Port Forwarding / Destination NAT Regeln herum gespielt,
    aber so richtig weiß ich nicht wie ich die Regel hier setzen soll.
    Bisher hat jedenfalls nichts funktioniert was ich versucht hatte.

    In den Firewall Logs schlagen solche Einträge auf:

    PROXIES:HTTP-PROXY:- TCP (br2) lokale-client-IP(blau/grün):46046 -> öffentliche-IP(rot):80
    MAC=aa:bb:cc:dd:00:11:22:33:44:55:66:aa:bb:cc LEN=60 TOS=00 PREC=0x00 TTL=64 ID=33045 DF SEQ=1264416413 ACK=0 WINDOW=5840 SYN URGP=0 MARK=2800

    Aber sonst nichts weiter...

    Hier die einfache Lösung:

    1. Menü Netzwerk -> Hosts bearbeiten -> Host hinzufügen
    2. Eintrag für den Webserver setzen
    IP Adresse: 192.168.1.100
    Hostname: blablup
    Domainname: mydomain.com
    3. Speichern -> FERTIG

    Die ganzen Source NAT Einträge, die unter 2.4.1 als Workaround dienten, kann man getrost löschen!

    Nachdem ich den Webserver in die DMZ gepackt hatte musste ich feststellen, dass die obige "Lösung" wirklich nur
    ein "Workaround" war, denn trotz entsprechendem Host Eintrag, stand ich plötzlich vor dem gleichen Problem!
    Ich konnte lokal meinen Webserver einfach nicht über die externe URL vom Browser aus erreichen!

    Nach diversen nslookups, stellte ich nun folgendes fest:
    Die Namensauflösung von http://blablup.mydomain.com/ aus Zone Grün und Blau heraus funktioniert per default wunderbar, auch
    ohne Host Einträge in der Firewall!
    ABER, gebe ich http://blablup.mydomain.com/ in den Browser ein bekomme ich ein Timeout!

    Zunächst vermutete ich, dass es am Proxy liegen könnte und deaktivierte diesen, allerdings bekam ich weiterhin ein Timeout im Browser,
    während der nslookup die korrekte IP-Adresse anzeigte!
    In der Host Konfiguration setzte ich dann wieder einen Eintrag der von blablup.mydomain.com auf die Interne IP des Webservers in der DMZ verwies
    und siehe da, die Seite wurde nun angezeigt!
    Also schaltete ich den Proxy ein und ich bekam wieder nur ein Timeout im Browser!
    Nachdem ich dann bei "Transparenten Proxy umgehen nach" die lokale IP des Webservers eingetragen hatte,
    klappte endlich alles. Allerdings ist das auch wieder nur eine Notlösung!

    Da ein dnslookup von blablup.mydomain.com korrekt auf die öffentliche IP verweist, müsste Endian es doch irgendwie gebacken kriegen auch die entsprechende Webseite im Browser anzuzeigen!?
    Dieser Umweg über Hosteintrag auf die interne IP und dann nochmal die Interne IP des Webservers im Proxy umgehen, kann ja nicht wirklich
    eine optimale Lösung sein.
    Hat jemand vielleicht noch eine Idee woran ich schrauben könnte, damit es einfacher funktioniert?