136423
Jan 17, 2019, updated at 12:50:44 (UTC)
1038
5
0
Hilfe bei Upload-Server und NAT
Liebe Community,
ich hätte eine kurze Frage an euch. Wir haben in unserer (sehr) kleinen IT-Umgebung eine Cisco-ASA, den wir als Internet-Router und Firewall verwenden.
Dieser ASA haben wir eine öffentliche IP zugewiesen. Mit Hilfe dieser sollen 3 verschiedene "Services" zur Verfügung gestellt werden:
1. VPN-Verbindungen (via AnyConnect über die ASA)
2. Telefonverbindungen (3 DECT Telefone, die über eine FritzBox verbunden sind => diese wiederum hängt an der ASA)
3. Einen File-Upload Server, der von außen durch Partner erreicht werden soll
Die Punkte 1 und 2 laufen soweit:
Zu Punkt 1: Wir haben einfach das VPN eingerichtet und können uns über die öffentliche IP verbinden
Zu Punkt 2: Wir haben (bzw. wurde uns) NAT eingerichtet vom outside Interface für die spezifischen SIP-UDP Ports (in Richtung FritzBox)
Nur Punkt 3 macht mir etwas Kopfzerbrechen. Später soll die Abfrage einmal so laufen:
PARTNER-Client <=> ASA <=> Reverse-Proxy (innerhalb DMZ) <=> FileUploadServer
Bei unserem ISP haben wir eine Subdomain eingerichtet (subdomainA.domain.de) und dieser über einen A-Entry unsere öffentliche IP zugewiesen.Darüber läuft bisher auch das VPN.
Für den File Upload hätte ich nun folgende 2 Ideen (da wir keine weitere öffentliche IP erhalten werden) <=> Keine Ahnung ob das Sinn macht, das ist Neuland für mich...
1. Ich hätte eine weitere subdomain eingerichtet (e.g. upload.domain.de) und dann eine dauerhafte Weiterleitung in Richtung subdomainA und eines vordefinierten Ports eingerichtet (e.g. subdomainA.domain.de:12345)
=> An der ASA müsste dann eine NAT-Regel eingestellt werden, die einen Request auf diesen Port erkennt und dann einen bestimmten anderen Port am Reverse Proxy anspricht
2. Ich hätte die bestehende subdomain verwendet und den fileupload über einen URL-pattern (subdomainA.domain.de/upload) realisiert
=> Da habe ich keine Ahnung wie ich der ASA sagen soll, dass sie die Anfrage weiterleitet.
Viele Grüße,
niLuxx
ich hätte eine kurze Frage an euch. Wir haben in unserer (sehr) kleinen IT-Umgebung eine Cisco-ASA, den wir als Internet-Router und Firewall verwenden.
Dieser ASA haben wir eine öffentliche IP zugewiesen. Mit Hilfe dieser sollen 3 verschiedene "Services" zur Verfügung gestellt werden:
1. VPN-Verbindungen (via AnyConnect über die ASA)
2. Telefonverbindungen (3 DECT Telefone, die über eine FritzBox verbunden sind => diese wiederum hängt an der ASA)
3. Einen File-Upload Server, der von außen durch Partner erreicht werden soll
Die Punkte 1 und 2 laufen soweit:
Zu Punkt 1: Wir haben einfach das VPN eingerichtet und können uns über die öffentliche IP verbinden
Zu Punkt 2: Wir haben (bzw. wurde uns) NAT eingerichtet vom outside Interface für die spezifischen SIP-UDP Ports (in Richtung FritzBox)
Nur Punkt 3 macht mir etwas Kopfzerbrechen. Später soll die Abfrage einmal so laufen:
PARTNER-Client <=> ASA <=> Reverse-Proxy (innerhalb DMZ) <=> FileUploadServer
Bei unserem ISP haben wir eine Subdomain eingerichtet (subdomainA.domain.de) und dieser über einen A-Entry unsere öffentliche IP zugewiesen.Darüber läuft bisher auch das VPN.
Für den File Upload hätte ich nun folgende 2 Ideen (da wir keine weitere öffentliche IP erhalten werden) <=> Keine Ahnung ob das Sinn macht, das ist Neuland für mich...
1. Ich hätte eine weitere subdomain eingerichtet (e.g. upload.domain.de) und dann eine dauerhafte Weiterleitung in Richtung subdomainA und eines vordefinierten Ports eingerichtet (e.g. subdomainA.domain.de:12345)
=> An der ASA müsste dann eine NAT-Regel eingestellt werden, die einen Request auf diesen Port erkennt und dann einen bestimmten anderen Port am Reverse Proxy anspricht
2. Ich hätte die bestehende subdomain verwendet und den fileupload über einen URL-pattern (subdomainA.domain.de/upload) realisiert
=> Da habe ich keine Ahnung wie ich der ASA sagen soll, dass sie die Anfrage weiterleitet.
Viele Grüße,
niLuxx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 398538
Url: https://administrator.de/contentid/398538
Printed on: April 24, 2024 at 00:04 o'clock
5 Comments
Latest comment
Einen File-Upload Server, der von außen durch Partner erreicht werden soll
Das allerwichtigste was uns allen hier weitergeholfen hätte und auch relevant für die ASA in deren Konfig wäre, wäre die Aussage WELCHES Protokoll verwendet wird bzw. was für ein "Upload Server" das sein soll ?!Das zu Punkt 1.
Punkt 2 versteht die ASA nur Applikations Ports. Wobei wir dann wieder bei Punkt 1 wären...
Ach, total dämlich, sorry.
Ich verwende "filebrowser" als Open-Source Tool. Daher http(s).
Bräuchte ich dann also nicht NAT, sondern PAT?
Vielleicht so etwas in der Art?
Source-Interface = outside
Desti-Interface = dmz
Original package:
Source = any
Dest = <public ip ASA>
Service tcp <port_1>
Translated package:
Source = Original
Dest = reverseProxy
Service tcp <port_2>
Dann also folgendes NAT statement an der CLI?
nat (outside, dmz) static interface service tcp <port_1> <port_2> ?
Ich verwende "filebrowser" als Open-Source Tool. Daher http(s).
Punkt 2 versteht die ASA nur Applikations Ports. Wobei wir dann wieder bei Punkt 1 wären...
Bräuchte ich dann also nicht NAT, sondern PAT?
Vielleicht so etwas in der Art?
Source-Interface = outside
Desti-Interface = dmz
Original package:
Source = any
Dest = <public ip ASA>
Service tcp <port_1>
Translated package:
Source = Original
Dest = reverseProxy
Service tcp <port_2>
Dann also folgendes NAT statement an der CLI?
nat (outside, dmz) static interface service tcp <port_1> <port_2> ?
Ich bekomme es irgendwie immer noch nicht hin. Ich habe mich heute morgen noch einmal intensiv mit dem Thema beschäftigt und komme aber nicht weiter.
Der Reverse Proxy funktioniert soweit. Rufe ich intern <Rev_Proxy>:80 auf, lande ich bei meinem WebServer dahinter.
Ich habe nun folgendes konfiguriert:
1. NAT:
Manual NAT Policies (Section 1)
[...]
Auto NAT Policies (Section 2)
1 (dmz) to (outside) source static reverse_proxy interface service tcp www www
translate_hits = 0, untranslate_hits = 0
2 (dmz) to (outside) source dynamic network_dmz interface
translate_hits = 2, untranslate_hits = 0
3 (any) to (outside) source dynamic obj_any interface
translate_hits = 1661, untranslate_hits = 3
Und auch die ACL:
access-list outside-inbound; 6 elements; name hash: 0x493b324d
[...]
access-list outside-inbound line 6 extended permit tcp any object reverse_proxy eq www (hitcnt=0) 0x9c24c3b7
access-list outside-inbound line 6 extended permit tcp any host 192.168.5.2 eq www (hitcnt=0) 0x9c24c3b7
Was ich allerdings nicht verstehe...
Die IP meines WebServers ist ja nach außen nicht bekannt, aus diesem Grund rufe ich die öffentliche IP meines WebServers auf (WWW.XXX.YYY.ZZZ)/80. Diese NAT-Regel
1 (dmz) to (outside) source static reverse_proxy interface service tcp www www
translate_hits = 0, untranslate_hits = 0
sollte alles was auf Port 80 kommt, ja dann in Richtung reverse_proxy NATten. Wenn ich das allerdings probiere, erhalte ich am Log der ASA einen "Port:80 denied" an der öffentlichen IP der ASA.
Ich habe gelesen, dass ACE ein NAT verhindern kann. Aber was muss ich denn da machen? Ich kann ja keine ACE definieren, wenn die interne IP nicht angesteuert werden kann
Der Reverse Proxy funktioniert soweit. Rufe ich intern <Rev_Proxy>:80 auf, lande ich bei meinem WebServer dahinter.
Ich habe nun folgendes konfiguriert:
1. NAT:
Manual NAT Policies (Section 1)
[...]
Auto NAT Policies (Section 2)
1 (dmz) to (outside) source static reverse_proxy interface service tcp www www
translate_hits = 0, untranslate_hits = 0
2 (dmz) to (outside) source dynamic network_dmz interface
translate_hits = 2, untranslate_hits = 0
3 (any) to (outside) source dynamic obj_any interface
translate_hits = 1661, untranslate_hits = 3
Und auch die ACL:
access-list outside-inbound; 6 elements; name hash: 0x493b324d
[...]
access-list outside-inbound line 6 extended permit tcp any object reverse_proxy eq www (hitcnt=0) 0x9c24c3b7
access-list outside-inbound line 6 extended permit tcp any host 192.168.5.2 eq www (hitcnt=0) 0x9c24c3b7
Was ich allerdings nicht verstehe...
Die IP meines WebServers ist ja nach außen nicht bekannt, aus diesem Grund rufe ich die öffentliche IP meines WebServers auf (WWW.XXX.YYY.ZZZ)/80. Diese NAT-Regel
1 (dmz) to (outside) source static reverse_proxy interface service tcp www www
translate_hits = 0, untranslate_hits = 0
sollte alles was auf Port 80 kommt, ja dann in Richtung reverse_proxy NATten. Wenn ich das allerdings probiere, erhalte ich am Log der ASA einen "Port:80 denied" an der öffentlichen IP der ASA.
Ich habe gelesen, dass ACE ein NAT verhindern kann. Aber was muss ich denn da machen? Ich kann ja keine ACE definieren, wenn die interne IP nicht angesteuert werden kann
Kann das sein das du ein Problem mit Hairpin NAT hast ??
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Das passiert wenn du von intern einen externen Dienst ansprichst der dann wieder intern liegt.
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Das passiert wenn du von intern einen externen Dienst ansprichst der dann wieder intern liegt.
Das dachte ich auch schon (selbst wenn mir der Begriff nicht geläufig war). Das ist der Grund weshalb ich die Verbindung mittels Handy teste 
