[gelöst] Routing von Innen nach Aussen und wieder nach Innen

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • [gelöst] Routing von Innen nach Aussen und wieder nach Innen

      Hallo Gemeinde!

      Als langjähriger IPcop Nutzer, hab ich nun nach einer Firewall mit etwas mehr Funktionen gesucht und bin bei eurer hängen geblieben.
      Die Einrichtung war zwar etwas "ungewohnt", jedoch funktionieren die Sachen schon zu 99%!

      Leider habe ich ein komisches Problem (komisch, weil ich das unterm IPcop nicht kenne)

      Ich habe bei mir im Grünen Lan die IPs 192.168.100.x/24
      Unter meinen Endgeräten gibt es einen Exchange Server mit der IP 192.168.100.11.
      Um die Nutzung von OWA und Sync vom Handy zu ermöglichen, habe ich (wie schon auch beim cop) das Port per Forwarding eingerichtet!
      (Uplink main TCP&UDP/443 auf 192.168.100.11 allow with IPS translate to any)
      Soweit funktioniert das gut, wenn man im roten Bereich (einwahl-usb-stick) ist.

      Am Handy funktionierts auch, solange ich mich im "roten" Bereich befinde. Wenn ich mich nun in mein WLAN (das auch im grünen Netz steht) einklinke, findet er mir den Exchange nicht mehr mit der öffentlichen Adresse (xyz.dyndns.org). Gleiches gilt für Notebook, wenn ich im WLAN bin, kann ich die OWA Adresse auch nicht mehr aufrufen (xyz.dyndns.org/exchange).

      Was muss ich noch zusätzlich einstellen, dass ich von Intern auf eine "externe" Adresse zugreifen kann?

      Outgoing Traffic Firewall ist deaktiviert!

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von dj_jesolo ()

    • Re: Routing von Innen nach Aussen und wieder nach Innen

      Hallo,
      wenn die Rechner im Grünen- Netz ins Internet gehen können und die Seiten angezeigt werden läuft das schon mal mit der DNS Auflösung,
      und wenn das von außen auch geht sollte das Funktionieren.

      Nimmst du Extern und Intern die gleiche dyndns Adresse ?
      Also xyz.dyndns.org oder ein mal xyz.dyndns.org/exchange und xyz.dyndns.org

      Geht das von den Internen Rechner mit der dyndns Adresse ?

      Siehst du was in den Logfiles der Firewall ?

      Gruß Sabine
      EFW Version im Einsatz:
      2 x Endian UTM Enterprise Software Appliance 3.0.5
      1 x Endian Community 3.2.4
      2 x 2.5.1
      8 x 2.2 Final
    • Re: Routing von Innen nach Aussen und wieder nach Innen

      so.. also die Rechner kommen alle ganz normal ins Internet.. Also DNS Auflösungsproblem ist es nicht! (ping auf die xyz.dyndns.org funktioniert!)
      Von aussen funktioniert auch alles. Soweit glaube ich auch, alles richtig eingestellt zu haben :)

      Natürlich verwende ich intern als auch extern die gleichen Adressen (xyz.dyndns.org).
      Auf der Firewall hab ich folgende (mir unschlüssig, weil eigentlich positive) Einträge (Aufruf der xyz.dyndns.org adresse im FF):

      Quellcode

      1. Firewall
      2. 2010-11-23 19:42:23
      3. PORTFWACCESS:ACCEPT:2 TCP (br0) 192.168.100.6:58234 -> 192.168.100.11:443 (br0) -MAC=00:0c:6e:a1:4f:d8:00:02:a5:18:17:7f:08:00 LEN=52 TOS=00 PREC=0x00 TTL=128 ID=18373 DF SEQ=2988864416 ACK=0 WINDOW=8192 SYN URGP=0 MARK=1800
      4. Firewall
      5. 2010-11-23 19:42:26
      6. PORTFWACCESS:ACCEPT:2 TCP (br0) 192.168.100.6:58234 -> 192.168.100.11:443 (br0) -MAC=00:0c:6e:a1:4f:d8:00:02:a5:18:17:7f:08:00 LEN=52 TOS=00 PREC=0x00 TTL=128 ID=18439 DF SEQ=2988864416 ACK=0 WINDOW=8192 SYN URGP=0 MARK=1800
      7. Firewall
      8. 2010-11-23 19:42:32
      9. PORTFWACCESS:ACCEPT:2 TCP (br0) 192.168.100.6:58234 -> 192.168.100.11:443 (br0) -MAC=00:0c:6e:a1:4f:d8:00:02:a5:18:17:7f:08:00 LEN=48 TOS=00 PREC=0x00 TTL=128 ID=18565 DF SEQ=2988864416 ACK=0 WINDOW=8192 SYN URGP=0 MARK=1800


      Es hat auch alles bis zum Wechsel zu Endian funktioniert :mrgreen: :ugeek:

      gruss Martin :)
    • Re: Routing von Innen nach Aussen und wieder nach Innen

      Geht das ganze auch von Rechner über die dyndns- Afresse die im Grünen- Netz hängen ?
      Wenn ja, hat dein WLan Access Point ein Problem.

      Hast da nur einen WLan Access Point oder mehrere ?

      Gruß Sabine
      EFW Version im Einsatz:
      2 x Endian UTM Enterprise Software Appliance 3.0.5
      1 x Endian Community 3.2.4
      2 x 2.5.1
      8 x 2.2 Final
    • Re: Routing von Innen nach Aussen und wieder nach Innen

      Hallo!

      Der Firewall Log Auszug ist von einem Rechner, der normal am Netz hängt, also nicht im Wlan.
      Eigentlich ist es egal, ob aus Wlan (Obwohl ich deinen Ansatz verstehe :) ) oder verkabelt. Es geht prinzipiell nicht von innen nach aussen.
      Warum auch immer :(

      Danke, dass du dir das ansiehst!

      lg Martin
    • Re: Routing von Innen nach Aussen und wieder nach Innen

      Moin,
      das ganze läuft ja über HTTPS, gehen aus dem Netz HTTPS- Seiten ?
      Also kannst du dich auf z.B. web.de oder gmx einloggen ?

      Wenn es von außen funktioniert muss es von innen ja erst recht gehen.
      Gehst du über den Proxy raus ?

      Hast du auf der Firewall ausgehend den Port 443 für den Exchange aufgemacht ?

      Gruß Sabine
      EFW Version im Einsatz:
      2 x Endian UTM Enterprise Software Appliance 3.0.5
      1 x Endian Community 3.2.4
      2 x 2.5.1
      8 x 2.2 Final
    • Re: Routing von Innen nach Aussen und wieder nach Innen

      Hi!

      Die ausgehende Firewall ist deaktiviert. von daher muss eigentlich alles nach aussen gehen. Habs aber dennoch nochmals kontrolliert und ich kann die gmx.at adresse aufrufen.
      Derzeitig sind auch alle Proxy ausgeschaltet. das einzige, was wirklich läuft ist die Firewall von aussen nach innen und der openvpn server.

      Irgendwie verstehe ich das Ganze nicht. Wie du sagst, muss es funktionieren, tut es aber nicht. Ich hab mir auch schon die IPTables angesehen und da ist auch alles korrekt eingetragen:

      Quellcode

      1. NFLOG tcp -- anywhere 192.168.100.11 tcp dpt:https nflog-prefix "PORTFWACCESS:ACCEPT:2"
      2. ACCEPT tcp -- anywhere 192.168.100.11 tcp dpt:https
      3. NFLOG udp -- anywhere 192.168.100.11 udp dpt:https nflog-prefix "PORTFWACCESS:ACCEPT:2"
      4. ACCEPT udp -- anywhere 192.168.100.11 udp dpt:https
    • Re: Routing von Innen nach Aussen und wieder nach Innen

      Das selbe "Problem" habe ich hier auch.

      EFW in der firma hat eine dyndns adresse hintendran der exchange. extern also von zu Hause oder per iphone kann ich auf den exchange zugreifen.
      wenn ich aber das iphone in der firma ins wlan bringe, habe ich keinen zugriff auf den exchange.
      Man kann dies auch nachverfolgen, weil ich intern die xxx.dyndns.info/tsweb adresse nicht aufrufen kann. dies sollte auf webrdp (Terminalserver) geleitet werden
      irgendwie kann intern die dyndns adresse nicht aufgelöst werden oder so ähnlich.

      theoretsich müsste man aus dem wlan aufs rote interface und dann zurück ins grüne auf den ex.
    • Re: Routing von Innen nach Aussen und wieder nach Innen

      Wenn die ausgehende Firwall deaktiviert ist, verstehe ich es auch nicht !
      Wenn es von außen geht muss es von innen auch gehen.
      Den Port hast du ja Weitergeleitet und ohne Interne Firewall darf ja sowieso alles raus.
      Hast du mal nur die xyz.dyndns.org von Intern aufgerufen ohne /exchange ? Dann muss es gehen !

      Gruß Sabine
      EFW Version im Einsatz:
      2 x Endian UTM Enterprise Software Appliance 3.0.5
      1 x Endian Community 3.2.4
      2 x 2.5.1
      8 x 2.2 Final
    • Re: Routing von Innen nach Aussen und wieder nach Innen

      So.. eine neue Erkenntnis... Habe Wincap und Windump am Exchange installiert. Die Anfrage kommt definitiv am Exchange an. Soweit ich den Dump richtig interpretiere, kommt er aber nur an und er kann nicht antworten.

      Quellcode

      1. 14:03:07.607805 IP thor.home.ad.local.62354 > homedc.home.ad.local.443: S2187831848:2187831848(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
      2. 14:03:07.607846 IP homedc.home.ad.local.443 > thor.home.ad.local.62354: S1786729468:1786729468(0) ack 2187831849 win 16384 <mss 1460,nop,wscale 0,nop,nop,sackOK>
      3. 14:03:07.607943 IP thor.home.ad.local.62354 > homedc.home.ad.local.443: R2187831849:2187831849(0) win 0
      4. 14:03:10.613409 IP thor.home.ad.local.62354 > homedc.home.ad.local.443: S2187831848:2187831848(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
      5. 14:03:10.613480 IP homedc.home.ad.local.443 > thor.home.ad.local.62354: S1787535214:1787535214(0) ack 2187831849 win 16384 <mss 1460,nop,wscale 0,nop,nop,sackOK>


      Zugriff übers Handy im Providernetz:

      Quellcode

      1. 14:09:28.420490 IP mk093111001254.a1.net.49297 > homedc.home.ad.local.443: P87:269(182) ack 1534 win 31354 <nop,nop,timestamp 1489175 3314520>
      2. [i]14:09:28.426362 IP homedc.home.ad.local.443 > mk093111001254.a1.net.49297: P1534:1577(43) ack 269 win 65267 <nop,nop,timestamp 3314525 1489175>[/i]
      3. 14:09:28.737388 IP mk093111001254.a1.net.49297 > homedc.home.ad.local.443: .ack 1577 win 31333 <nop,nop,timestamp 1489213 3314525>

      In der zweiten Line sieht man auch, dass der Webserver/Exchangeserver antwortet bei einem externen Zugriff, was man von einem Internen Zugriff nicht sieht

      Zugriff übers Handy im Wlan:

      Quellcode

      1. 14:10:14.129571 IP 192.168.100.38.41083 > homedc.home.ad.local.443: R 3363658319:3363658319(0) win 0
      2. 14:10:19.994254 IP 192.168.100.38.41083 > homedc.home.ad.local.443: S 3363658318:3363658318(0) win 64240 <mss 1460,sackOK,timestamp 1494351 0,nop,wscale 2>
      3. 14:10:19.994326 IP homedc.home.ad.local.443 > 192.168.100.38.41083: S 1598903540:1598903540(0) ack 3363658319 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
      4. 14:10:20.058805 IP 192.168.100.38.41083 > homedc.home.ad.local.443: R 3363658319:3363658319(0) win 0


      jetzt wird das ganze noch verrückter :shock:
    • Re: Routing von Innen nach Aussen und wieder nach Innen

      Es funktioniert!!!

      Ich weiss zwar nicht, warum man das braucht, aber ich hab jetzt einfach mal was probiert und jetzt klappts:

      SNAT Regel:

      Source: 192.168.100.0/24 (grünes Netz)
      Destination: 192.168.100.11 (Exchange)
      Service: https
      NAT to Zone Green: IP:Auto

      Jetzt spricht auch nicht mehr der Client mit dem Exchange, sondern der Endian lt. Windump