ueba3ba
Goto Top

App über Externe Ip aus dem LAN erreichen

Hallo allerseits, ich habe mal wieder ein keines Problemchen.

Und zwar:

Es existiert auf einem Tablet eine App die auf einen Server zugreift, der im Internen LAN in der Firma steht.
Der Zugriff funktioniert wunderbar, solange das Tablet über MobileDaten auf den Server zugreift.
Sobald das Tablet aber im WLAN ist, geht das nicht mehr.

Der Server ist in der Tablet-App nur mit IP hinterlegt. Währe ein FQDN Name eingetragen, währe das kein Problem für mich.

Wie löse ich das am besten, ohne die App an allen Tablet auf FQDN umzustellen?

Die App kommuniziert über HTTP/HTTPS

Content-ID: 6649774352

Url: https://administrator.de/forum/app-ueber-externe-ip-aus-dem-lan-erreichen-6649774352.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

6247018886
Lösung 6247018886 05.04.2023 um 09:59:11 Uhr
Goto Top
Stichwort Hairpin/Loopback NAT oder alternativ Split-DNS.

Cheers briggs
Ueba3ba
Ueba3ba 05.04.2023 um 10:00:17 Uhr
Goto Top
Als Firewall ist eine Securepoint UTM im Einsatz.
tech-flare
tech-flare 05.04.2023 um 10:22:00 Uhr
Goto Top
Zitat von @Ueba3ba:

Als Firewall ist eine Securepoint UTM im Einsatz.

Auch damit kann du Split DNS oder Loopback NAT umsetzen.

Die einfachere Variante wäre SPLIT DNS, da ihr sicherlich interne DNS Server nutzt.

Daher in der App wird der DNS Name vom Server hinterlegt, intern löst der interne DNS Server die interne LAN Adresse auf.

Über Mobilfunk wird auf die externe IP Adresse aufgelöst. Natürlich müsst ihr den externen A-Record dann für bei eurer DNS Zone beim Provider oder wo auch immer hinterlegen
Ueba3ba
Ueba3ba 05.04.2023 um 10:28:19 Uhr
Goto Top
Ok danke sehr. Ich schau mir das mal an.
2423392070
2423392070 05.04.2023 um 10:36:54 Uhr
Goto Top
Die nächste Krücke bauen ist attraktiver.als es zu lösen und ordentlich zu arbeiten?
aqui
aqui 05.04.2023 aktualisiert um 10:42:33 Uhr
Goto Top
Die App kommuniziert über HTTP/HTTPS
Die Frage ist ja letztlich auch WIE das Tablet mit dieser IP kommuniziert?
  • Direkt, sprich am Ziel mit einer öffentlichen Server IP (DMZ etc.) oder Port Forwarding an der Firewall auf eine lokale LAN IP. Wenn dann wirklich HTTP zum Einsatz kommen sollte wäre das natürlich höchst naiv und fahrlässig, da massiv unsicher.
  • Über ein VPN. Da stellt sich dann die Frage ob das WLAN IP Netz im VPN Tunnel übertragen wird.
All das ist ja völlig unklar aus der Beschreibung und wenn in der App nur eine nackte Ziel v4 IP definiert ist dann sind DNS Problematiken eigentlich ja raus aus dem Spiel.
Ueba3ba
Ueba3ba 05.04.2023 um 11:17:23 Uhr
Goto Top
Das Tablet kommuniziert über Mobile Daten, der Server wird über die öffentliche IP und Port Forwarding ins lokale LAN erreicht. Es ist eine HTTPS Verbindung.

Es gibt kein VPN.

das Problem konnte mit folgendem Securepoint Artikel gelöst werden:

https://wiki.securepoint.de/UTM/RULE/Portumleitung-Intern


Danke an alle.
Ueba3ba
Ueba3ba 06.04.2023 um 09:23:09 Uhr
Goto Top
Servus, ich nochmal.

Leider ist es so, dass bei fast allen unserer Kunden eine Fritzbox die DSL Einwahl macht.
Die Fritzbox ist leider auch im Router Modus, somit haben wir auch überall doppeltes NAT.

So wie ich das jetzt laut dem Securepoint Wiki eingerichtet habe, funktioniert es leider nicht.
Da kam mir der Gedanke: Könnte es am doppelten NAT liegen??
aqui
aqui 06.04.2023 um 09:33:55 Uhr
Goto Top
Die Fritzbox ist leider auch im Router Modus, somit haben wir auch überall doppeltes NAT.
Wieso leider?? Wo ist denn das Problem? Der Verbindung tut das auch mit dreifachem NAT keinen Abbruch. Was willst du uns also sagen mit dem Hinweis??
funktioniert es leider nicht.
Unverständlich?? Simpes HTTPS Port Forwarding für TCP 443. Was sollte daran denn nicht funktionieren? Das macht jede Firewall in 5 Minuten. face-wink
Ueba3ba
Ueba3ba 06.04.2023 um 09:38:39 Uhr
Goto Top
War nur ein Gedanke. Bei NAT blick ich nicht richtig durch.

Firewall ist, wie im Wiki beschrieben konfiguriert worden.

Das komplette Netzwerk Design ist mehr als grusselig.

Ich behaupte nicht die meiste Ahnung zu haben. Nur kommen dann Leute, die Netzwerktechnisch
nicht auf dem laufendem sind an, und verwirren einfach nur.

Am liebsten würde ich die Finger davon lassen und das komplette Netz neu designen.
Da stoß ich auf taube Ohren.
aqui
aqui 06.04.2023 um 09:44:32 Uhr
Goto Top
Bei NAT blick ich nicht richtig durch.
Warum nicht, ist doch kinderleicht. Alles was an RFC1918 IP Netzen hinter dem Router/Firewall liegt wird als Absender IP per Source NAT auf die WAN IP übersetzt. So "denken" Endgeräte im Internet deine lokalen Absender haben eine öffentliche Internet IP. face-wink
https://de.wikipedia.org/wiki/Netzwerkadressübersetzung
Das ist kein Hexenwerk...
Das komplette Netzwerk Design ist mehr als grusselig.
Du meinst sicher gruselig, aber das können wir leider ja nicht wirklich beurteilen weil du leider keine Topologieskizze mitgeliefert hast.
Leute, die Netzwerktechnisch nicht auf dem laufendem sind an, und verwirren einfach nur.
Das ist leider häufig richtig aber die darf man halt nicht an sich ranlassen. Das ist aber kein technisches sondern ein politisches Problem. face-wink
Am liebsten würde ich die Finger davon lassen
Dann halte dich auch besser daran. Oder wenn du dennoch nicht davon lassen kannst... schicke mal eine kleine Toposkizze damit alle hier wissen worum es wirklich geht. face-wink
Schöne Ostern!
Ueba3ba
Ueba3ba 06.04.2023 um 10:04:35 Uhr
Goto Top
Ohne zu übertreiben. So schaut es aus.

Alle Mobilen Geräte rufen ihre Mails vom David Server(192.168.100.10) ab.
Als Server IP ist in den Mobilen Geräten die Externe IP(als Beispiel hier die 217.217.217.217) eingetragen. Funktioniert, solange das Mobile Gerät sich nicht im internen LAN befindet.

Sobald sich die Mobilen Geräte ins Wlan einloggen, funktioniert es nicht mehr.

Daraufhin wurde Hairpinning NAT wie im Wiki von Securepoint beschrieben eingerichtet.
Leider ohne Erfolg. Es muss ich natürlich Troubleshooten.
topo01
2423392070
2423392070 06.04.2023 um 10:12:45 Uhr
Goto Top
Warum werden IPs in dieser Ebene in konfigs eingetragen?
Suche dir doch einfach Hilfe.
aqui
aqui 06.04.2023 aktualisiert um 10:18:35 Uhr
Goto Top
Externe IP(als Beispiel hier die 217.217.217.217)
OK, und diese macht dann ein TCP 443 Port Forwarding auf die 192.168.100.10, richtig?
Sprich Emails werden dann nur per HTTPS, TCP 443 abgefragt

Wenn die Ziel IP immer auf die externen IP zeigt rennst du beim Zugriff von einem internen IP Netz immer in ein Hairpin NAT Problem, weil du dann aus einem internen LAN auf die externe IP gehst und die dann wieder nach intern muss. An diesem NAT Hairpinning scheitern die meisten Router oder Firewalls wenn man das nicht explizit customized im Setup das sowas erlaubt!
Du musst dann also mit dem o.g. "Split-DNS" arbeiten oder Hairpinnig erlauben.

Du kannst das ja ganz einfach mal testen mit einem Gerät.
Setze dort den Zielserver der App oder Browser auf die 192.168.100.10. Dann sollte es auch immer aus dem WLAN klappen.
Ueba3ba
Ueba3ba 06.04.2023 um 10:16:17 Uhr
Goto Top
@2423392070

Was meinst du mit "IPs in dieser Eben in Configs eingetragen"?

Meinst du die öffentliche IP?
2423392070
2423392070 06.04.2023 um 10:18:28 Uhr
Goto Top
Oberhalb von Layer2/3 muss man gute Gründe haben... eine App gehört nicht dazu.
Folgen sieht man ja.
Ueba3ba
Ueba3ba 06.04.2023 um 11:08:48 Uhr
Goto Top
Viel Rauch um nichts.

Nach langem hin und her wurde endlich entschieden DNS Namen zu verwenden.

Ein Glück für mich. Kinderspiel.
2423392070
2423392070 06.04.2023 um 11:11:08 Uhr
Goto Top
Sehr gut. Problemlösung für IT-Pros.