n0cturne
Goto Top

Endian Firewall mit 2x WAN und NAT

Hallo zusammen,

ich habe eine endian Community Firewall 3.0, welche über zwei Interfaces im Internet ist: 1x DHCP über ein Kabelmodem (Hauptuplink) und 1x PPPoE über ein VDSL Modem.
Ein drittes Interface ist das Gateway.
Im Netzwerk befinden sich 4 Server, welche über ein Richtlinenbasiertes Routing die VDLS Leitung nutzen (wegen fester IP) und diverse Clients, welche die Kabel Leitung nutzen (wegen Bandbreite).
Diese Aufteilung funktioniert auch soweit.
Die Server stellen diverse Dienste zur Verfügung, welche über die öffentliche IP der VDSL Leitung sowohl von innen als auch von außen erreichbar sein sollen.
Dafür habe ich diverse Portforwardings konfiguriert.
Von außen kann ich auf alle Dienste zugreifen. Wenn ich aber im LAN bin, funktioniert das nicht.

Ich bin mit meinem Latein am Ende und würde mich über Tipps und Anregungen freuen.

Content-ID: 230420

Url: https://administrator.de/forum/endian-firewall-mit-2x-wan-und-nat-230420.html

Ausgedruckt am: 25.12.2024 um 21:12 Uhr

MrNetman
MrNetman 19.02.2014, aktualisiert am 20.02.2014 um 12:09:39 Uhr
Goto Top
Hi nächtlicher Musiker

Wer macht den DNS?
Wo endet tracert oder Pathping?
Welche ALC sind definiert?
Dürfen die Server, die lokal da stehen denn auch lokal angesprochen werden.
Wenn die Server ihre Internetverbindung komplett getrennt haben, dann ist möglicherweise auch kein Routing eingestellt. Die IPs werden wie an einem Switch durch geleitet.
Wenn du nur einen LAN-Port hast, dann musst du ja mit einer VLAN-Konfiguration leben. Wie steht das Routing in der Firewall?

Gruß
Netman
aqui
aqui 20.02.2014 aktualisiert um 11:14:59 Uhr
Goto Top
Ein typischer Klassiker von Hairpin NAT was die Endian vermutlich nicht supportet oder du hast es schlicht und einfach nicht aktiviert:
http://wiki.mikrotik.com/wiki/Hairpin_NAT
bzw.
http://networkingforintegrators.com/2013/02/hairpin-nat-or-how-to-use-y ...
Also: aktivieren, dann klappt das von intern auch sofort oder die Firewall tauschen. Eine pfSense supportet das problemlos face-wink
n0cturne
n0cturne 20.02.2014 um 11:10:42 Uhr
Goto Top
Zitat von @MrNetman:

Hi nächtlicher Musiker

Wer macht den DNS?
Wo endet tracert oder Pathping?
Welche ALC sind definiert?
Dürfen die Server, die lokal da stehen denn auch lokal angesprochen werden.
Wenn die Server ihre Internetverbindung komplett getrennt haben, dann ist möglicherweise auch kein Routing eingestellt. Die
IPs werden wie an einem Switch durch geleitet.
Wenn du nur einen LAN-Port hast, dann musst du ja mit einer VLAN-Konfiguration leben. Wie steht das Routing in der Firewall?

Gruß
Netman


DNS machen 2 Windows DCs welche über die feste IP im Internet sind. Namensauflösung klappt auch.
Wenn ich von außen zugreifen will, mache ich das aber ohnehin über IP.
Der tracert geht sowohl vom Server als auch von den Clients bis zum ende durch.
Jedoch wenn ich einen tracert auf unsere feste IP ausführe, läuft schon der erste Hop bei beiden Systemen (Server/Client) direkt auf der festen IP auf.

Alle Server sollen im LAN auch lolal angesprochen werden - was auch funktioniert.
Ich komme mit allen Systemen ins Internet. Und wenn ich auf wieistmeineip.de gehe, wird mir bei den Servern unsere fixe VDSL IP und auf den Clients die dynamische Kabeldeutschland IP angezeigt - auch das ist so gewollt.

Was genau meinst du mit dem Routing in der Firewall? Es handelt sich eben um ein richtlinienbasiertes Routing für ausgewählte Ziel IPs, welche dann über den "Telekom Uplink" geleitet werden.
Auch mit ALC kann ich gerade nichts anfangen.
MrNetman
MrNetman 20.02.2014 um 12:11:48 Uhr
Goto Top
Wenn ich es richtig verstehe:
Die Verbindung steht, die Routen sind ok und getestet.
Also wird nur der Applikationszugriff vom lokalen Netz geblockt.
ACL (sorry nicht ALC sind Access Control Listen)

Netman
n0cturne
n0cturne 20.02.2014 um 12:24:13 Uhr
Goto Top
Lokaler Zugriff über die Lokalen IPs funktioniert. Aber wenn ich aus dem LAN über die öffentliche IP gehe, funktionerts nicht.
Und die Portforwardings für die ganzen Dienste sind richtig (ist ja auch kein Hexenwerk ;))
claas30926
claas30926 21.02.2014 um 14:03:44 Uhr
Goto Top
Moinsen,

kann es vielleicht sein, dass der Endian beim NATing Probleme hat...
Wenn ich das richtig verstanden habe, dann hast du beim Tracert ja nur den einen Hop auf deine feste IP!?!

vG
MrNetman
MrNetman 21.02.2014 um 15:03:08 Uhr
Goto Top
Zitat von @n0cturne:
Lokaler Zugriff über die Lokalen IPs funktioniert. Aber wenn ich aus dem LAN über die öffentliche IP gehe, funktionerts nicht.
Und die Portforwardings für die ganzen Dienste sind richtig (ist ja auch kein Hexenwerk ;) )
Das ist jetzt auch nicht die Antwort auf die Frage.
Du hast zwei WAN Interfaces und ein LAN-Interface, an dem du zwei Adressbereiche betreibst.
Wie trennst du die Netze?
Wie greifst du auf die Server zu? Mit einer oder zwei IPs? Auf ein oder zwei Interfaces?

Gruß
Netman
n0cturne
n0cturne 21.02.2014 um 17:56:14 Uhr
Goto Top
Ich habe zwei WAN Interfaces und EIN LAN Interface mit EINER IP.
Lokal wird dort nicht getrennt - sprich alles ein Netz.
Bei endian habe ich aber für ausgehenden Datenverkehr ein Routing konfiguriert,
welches den Traffic von bestimmten IPs (Server) über den VDSL Uplink leitet.
Alle anderen Hosts im Netz gehen standardmäßig über das Kabel WAN Interface ins Internet.
aqui
aqui 21.02.2014 aktualisiert um 18:40:50 Uhr
Goto Top
Klassisches Policy Based Routing.
Vermutung ist aber trotzdem das das ein Haipin NAT Problem ist....
108012
108012 21.02.2014 um 21:57:24 Uhr
Goto Top
Hallo,

Alle anderen Hosts im Netz gehen standardmäßig über
das Kabel WAN Interface ins Internet.
Also nimm mir das bitte nicht übel aber ich denke man
kann vieles machen nur wenn es dann zu Problemen
kommt und einige Sachen nicht funktionieren sollte
man zumindest einmal darüber nachdenken ob man
das nicht lieber nach der Methode "best practice"
löst bzw. aussetzt, so wird das nichts.

Es wäre auch einmal an der Zeit über die von Dir
verwendete Hardware zu sprechen. Kannst Du uns
da bitte einmal etwas mehr drüber erzählen?

Ich würde Dir zu folgendem raten wollen,
- Noch einen LAN Port installieren (Netzwerkkarte)
Dann hast Du zwei WAN Ports, einen LAN und einen DMZ Port
- DUAL WAN mit Loadbalancing
Policy based Routing einsetzen wie@aqui es geraten hat
- Einmal nach einer anderen Software suchen die Hairpin NAT anbietet
Da kann Dir @aqui aber bestimmt mehr zu sagen

Ich habe zwei WAN Interfaces und EIN LAN Interface mit EINER IP.
Also sprich Du hast insgesamt drei LAN Ports an der Firewall
so wie ich das verstanden habe, ist das richtig?

Das mag zwar alles nicht so prall sein und vor allem auch
nicht so wie Du Dir das alles vorgestellt hast aber es funktioniert
dann wenigstens alles wie Du es benötigst bzw. möchtest!

Gruß
Dobby