*gelöst* Probleme mit Interzone-Traffic und Webserver

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • *gelöst* Probleme mit Interzone-Traffic und Webserver

      Hallöle, ich habe seit der Umstellung von Endian 2.4.1 auf 2.5.1 ein kleines Problem mit dem Interzone-Traffic.

      Folgendes Szenario ist vorhanden:

      Zone Grün 192.168.1.0
      Zone Blau 192.168.2.0
      In Zone Grün steht ein Webserver, der über die externe Adresse blablup.mydomain.com von außen erreichbar ist. (Kommt demnächst aber in die DMZ)
      Um den Webserver von der Zone Grün aus über diese Adresse erreichen zu können musste ich in Endian 2.4.1 eine Source NAT Richtlinie
      festlegen, die vom Netz 192.168.1.0/24 auf die IP des Webservers zeigt und ein NAT auf 192.168.1.1 (Endian Firewall) durchführt.

      Von der Zone Blau kam ich hingegen auch ohne Source NAT Eintrag über die obige URL auf den Webserver in Zone Grün.
      Seit der Umstelung auf Endian 2.5.1, funktioniert dies jedoch nicht mehr!

      Es ist jedoch problemlos möglich den Webserver über die IP-Adresse von Zone grün aus Anzusprechen,
      jedoch nicht über die URL!

      Ich habe in der Interzone Firewall den Traffic von Blau nach Grün erstmal komplett erlaubt und versucht eine Source NAT Regel zu erstellen
      die von 192.168.2.0/24 auf die IP des Webservers verweist und ein NAT auf 192.168.1.1 oder auch .2.1 durchführt, jedoch brachte das keinen
      Erfolg.
      Hat jemand eine Idee, wie ich wieder per externer URL von Zone blau auf den Webserver in Zone grün komme?

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von X-Dimension ()

    • Re: Probleme mit Interzone-Traffic und Webserver in Zone grü

      Ist der Webserver von Rot nach Grün zu erreichen ?

      Wie sieht es mit dem Internen Datenverkehr auf Port 53 aus ?

      Das ganze liegt ja wohl an der DNS Auflösung . . .

      Gruß Sabine
      EFW Version im Einsatz:
      2 x Endian UTM Enterprise Software Appliance 3.0.5
      1 x Endian Community 3.2.4
      2 x 2.5.1
      8 x 2.2 Final
    • Re: Probleme mit Interzone-Traffic und Webserver in Zone grü

      Ja, der Webserver ist von außerhalb problemlos erreichbar (von rot nach grün).
      Die Interzone-Firewall erlaubt momentan den kompletten Traffic von blau nach grün und von grün nach blau.

      Das kuriose (was mir bei Endian 2.4.1 schon auffiel) ist allerdings, dass der Webserver von blau nach grün auch über die IP-Adresse erreichbar
      ist, wenn ich in der Interzone-Firewall sämtlichen Traffic von blau nach grün blocke!

      Irgendwie müsste ja eine DNS Anfrage von blau nach rot laufen, die dann wieder zurück nach grün führt.
    • Re: Probleme mit Interzone-Traffic und Webserver in Zone grü

      Ich sehe gerade dass die Source-NAT Regel, die in der 2.4.1 das Problem mit der Namensauflösung behoben hatte, innerhalb der grünen Zone nun auch nicht mehr funktioniert! Ein Zugriff von grün auf den Webserver ist nur dann möglich, wenn lokal ein DNS Server läuft in dem die URL blablup.mydomain.com/ hinterlegt ist.
      Aber ohne lokalen DNS-Server funktioniert die Namensauflösung dieser "externen" URL ebenfalls nicht.

      Das Problem ist eben, dass die Endian-Firewall die Anfragen aus den Zonen erstmal ins WAN leiten muss, dort erfolgt die Namensauflösung, die dann ja wieder auf die eigene IP-Adresse zurück geht. Hier half wie gesagt bei 2.4.1 noch der Source-NAT Eintrag als "Workaround", der bei 2.5.1 offenbar das Problem nicht mehr löst.
    • Re: Probleme mit Interzone-Traffic und Webserver in Zone grü

      Also der Port 53 ist auf von Grün nach Rot ?

      Hast du mal versucht eine „ Port forwarding / Destination NAT „ Regel zu machen anstatt eine „ Source-NAT „ ?
      Habe festgestellt das mal die mal die andere Funktioniert . . . . . warum auch immer.
      Machmal hat auch ein Tausch der Netzwerkkarten Zuordnen geholfen . . . . .warum auch immer . . .

      Gruß Sabine
      EFW Version im Einsatz:
      2 x Endian UTM Enterprise Software Appliance 3.0.5
      1 x Endian Community 3.2.4
      2 x 2.5.1
      8 x 2.2 Final
    • Re: *gelöst* Probleme mit Interzone-Traffic und Webserver

      Nachdem ich den Webserver in die DMZ gepackt hatte musste ich feststellen, dass die obige "Lösung" wirklich nur
      ein "Workaround" war, denn trotz entsprechendem Host Eintrag, stand ich plötzlich vor dem gleichen Problem!
      Ich konnte lokal meinen Webserver einfach nicht über die externe URL vom Browser aus erreichen!

      Nach diversen nslookups, stellte ich nun folgendes fest:
      Die Namensauflösung von blablup.mydomain.com/ aus Zone Grün und Blau heraus funktioniert per default wunderbar, auch
      ohne Host Einträge in der Firewall!
      ABER, gebe ich blablup.mydomain.com/ in den Browser ein bekomme ich ein Timeout!

      Zunächst vermutete ich, dass es am Proxy liegen könnte und deaktivierte diesen, allerdings bekam ich weiterhin ein Timeout im Browser,
      während der nslookup die korrekte IP-Adresse anzeigte!
      In der Host Konfiguration setzte ich dann wieder einen Eintrag der von blablup.mydomain.com auf die Interne IP des Webservers in der DMZ verwies
      und siehe da, die Seite wurde nun angezeigt!
      Also schaltete ich den Proxy ein und ich bekam wieder nur ein Timeout im Browser!
      Nachdem ich dann bei "Transparenten Proxy umgehen nach" die lokale IP des Webservers eingetragen hatte,
      klappte endlich alles. Allerdings ist das auch wieder nur eine Notlösung!

      Da ein dnslookup von blablup.mydomain.com korrekt auf die öffentliche IP verweist, müsste Endian es doch irgendwie gebacken kriegen auch die entsprechende Webseite im Browser anzuzeigen!?
      Dieser Umweg über Hosteintrag auf die interne IP und dann nochmal die Interne IP des Webservers im Proxy umgehen, kann ja nicht wirklich
      eine optimale Lösung sein.
      Hat jemand vielleicht noch eine Idee woran ich schrauben könnte, damit es einfacher funktioniert?