Interne Clients können externe IP's die ins interne Netz geroutet werden nicht erreichen.

1. offizieller Beitrag

    Hallo,

    ich muss zur Problembeschreibung leider etwas weiter ausholen.
    Ich habe aktuell einen Server bei Hetzner stehen auf dem Citrix XEN-Server installiert ist, hierrauf läuft auch die Endian Firewall.
    Hetzner hat mir Subnetz zur Verfügung gestellt (123.123.123.88/29) wobei ich hier im Forum die ersten 3 Blöcke durch 123 ersetze.
    In der EFW habe ich im Uplink als IP die 123.123.123.90 und als Gateway die 123.123.123.89 eingetragen die wiederrum auf dem Xenserver registriert ist.
    Jede VM hat jeweils eine Interne IP die durch NAT von extern erreichbar ist z.B. 123.123.123.91 -> 192.168.200.5, das klappt soweit.
    Das ausgehende Routing funktioniert auch bei der Abfrage meiner aktuellen IP von der VM aus wird mir auch die IP 123.123.123.91 angezeigt.
    Was jedoch leider nicht funktioniert ist das erreichen der Subnetzips von den VM's aus. Wenn ich von der VM die IP 123.123.123.92 sollte ich die 2. VM erreichen aber es kommt keinerlei Ausgabe beim Pingversuch.
    Ich hab schon diverse Routingeinstellungen probiert manche bestimmt schon 3 oder 4 mal aber ich schaffe es einfach nicht die VM's per externer IP untereinander erreichbar zu machen.
    Mir ist klar das ich auch die internen IP's verwenden kann aber wenn ich ein Zertifikat für z.B. SSL habe und möchte eine Seite auf VM 2 erreichen wird ja die externe IP die beim Domainhoster hinterlegt ist verwendet.
    Ich wäre für jeden Tipp dankbar.

    Gruß Michael

    • Offizieller Beitrag

    Moin, ich verstehe nicht ganz was du meinst . . .

    Du hast die Endian Virtuell mit zwei Servern bei einem Hoster laufen ?

    Die sind in einer DMZ ?

    Und können sich gegenseitig nicht erreichen ?

    Grüße Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Hi Sabine,

    danke für die Rückmeldung. Die Server sind zur Zeit alle in der grünen Zone und haben eine interne IP 192.168.200.X
    Über NAT und SNAT wird jeweils eine externe IP auf einen Server in der grünen Zone geleitet und umgekehrt hat der Server nach Extern auch die IP die eingehend geroutet wurde.
    Also Server A mit interner IP 192.168.200.10 hat z.B. extern die IP 123.123.123.91, Server B hat die IP 192.168.200.11 und extern 123.123.123.92.
    Wenn ich von meinem PC zuhause die externe IP aufrufe lande ich auch auf dem Server A bzw. B nur wenn ich von Server A die externe IP von Server B aufrufe erhalte ich keinerlei Antwort.

    Gruß Michael

    Einmal editiert, zuletzt von Mik3 (1. Januar 2017 um 18:08)

    • Offizieller Beitrag

    Aha . . . . die willst also von Intern über die Externe IP wieder nach Intern auf den anderen Server . . .

    Das ist einfach . . . :D . . das geht nicht, du bleibst in der Firewall hängen ! Und das ist schon RICHTIG so !! =O

    Grüße Sabine

    Hallo, die Thematik ist immer noch aktuell. Es gibt verschiedene Informationen anderer Hersteller-Foren, die "Hairpin-NAT" verwenden. Ich konnte zu Endian bisher nichts finden zu dem Thema.

    Jemand ne Idee? Das kommt ja mittlerweile häufig vor - in einfachen Umgebungen - wenn Du irgendeinen Server im Home-Netz hast, auf den Du mit Notebook von außen zugreifst (zB nextcloud) und Du dann nach Hause kommst und plötzlich Dein Zugriff auf die externe IP mit Weiterleitung ins interne Netz nicht mehr funktioniert.

    Einmal editiert, zuletzt von p.mueller (29. Mai 2018 um 19:19)