136423
Jan 17, 2019, updated at 12:50:44 (UTC)
1042
5
0
Hilfe bei Upload-Server und NAT
Liebe Community,
ich hätte eine kurze Frage an euch. Wir haben in unserer (sehr) kleinen IT-Umgebung eine Cisco-ASA, den wir als Internet-Router und Firewall verwenden.
Dieser ASA haben wir eine öffentliche IP zugewiesen. Mit Hilfe dieser sollen 3 verschiedene "Services" zur Verfügung gestellt werden:
1. VPN-Verbindungen (via AnyConnect über die ASA)
2. Telefonverbindungen (3 DECT Telefone, die über eine FritzBox verbunden sind => diese wiederum hängt an der ASA)
3. Einen File-Upload Server, der von außen durch Partner erreicht werden soll
Die Punkte 1 und 2 laufen soweit:
Zu Punkt 1: Wir haben einfach das VPN eingerichtet und können uns über die öffentliche IP verbinden
Zu Punkt 2: Wir haben (bzw. wurde uns) NAT eingerichtet vom outside Interface für die spezifischen SIP-UDP Ports (in Richtung FritzBox)
Nur Punkt 3 macht mir etwas Kopfzerbrechen. Später soll die Abfrage einmal so laufen:
PARTNER-Client <=> ASA <=> Reverse-Proxy (innerhalb DMZ) <=> FileUploadServer
Bei unserem ISP haben wir eine Subdomain eingerichtet (subdomainA.domain.de) und dieser über einen A-Entry unsere öffentliche IP zugewiesen.Darüber läuft bisher auch das VPN.
Für den File Upload hätte ich nun folgende 2 Ideen (da wir keine weitere öffentliche IP erhalten werden) <=> Keine Ahnung ob das Sinn macht, das ist Neuland für mich...
1. Ich hätte eine weitere subdomain eingerichtet (e.g. upload.domain.de) und dann eine dauerhafte Weiterleitung in Richtung subdomainA und eines vordefinierten Ports eingerichtet (e.g. subdomainA.domain.de:12345)
=> An der ASA müsste dann eine NAT-Regel eingestellt werden, die einen Request auf diesen Port erkennt und dann einen bestimmten anderen Port am Reverse Proxy anspricht
2. Ich hätte die bestehende subdomain verwendet und den fileupload über einen URL-pattern (subdomainA.domain.de/upload) realisiert
=> Da habe ich keine Ahnung wie ich der ASA sagen soll, dass sie die Anfrage weiterleitet.
Viele Grüße,
niLuxx
ich hätte eine kurze Frage an euch. Wir haben in unserer (sehr) kleinen IT-Umgebung eine Cisco-ASA, den wir als Internet-Router und Firewall verwenden.
Dieser ASA haben wir eine öffentliche IP zugewiesen. Mit Hilfe dieser sollen 3 verschiedene "Services" zur Verfügung gestellt werden:
1. VPN-Verbindungen (via AnyConnect über die ASA)
2. Telefonverbindungen (3 DECT Telefone, die über eine FritzBox verbunden sind => diese wiederum hängt an der ASA)
3. Einen File-Upload Server, der von außen durch Partner erreicht werden soll
Die Punkte 1 und 2 laufen soweit:
Zu Punkt 1: Wir haben einfach das VPN eingerichtet und können uns über die öffentliche IP verbinden
Zu Punkt 2: Wir haben (bzw. wurde uns) NAT eingerichtet vom outside Interface für die spezifischen SIP-UDP Ports (in Richtung FritzBox)
Nur Punkt 3 macht mir etwas Kopfzerbrechen. Später soll die Abfrage einmal so laufen:
PARTNER-Client <=> ASA <=> Reverse-Proxy (innerhalb DMZ) <=> FileUploadServer
Bei unserem ISP haben wir eine Subdomain eingerichtet (subdomainA.domain.de) und dieser über einen A-Entry unsere öffentliche IP zugewiesen.Darüber läuft bisher auch das VPN.
Für den File Upload hätte ich nun folgende 2 Ideen (da wir keine weitere öffentliche IP erhalten werden) <=> Keine Ahnung ob das Sinn macht, das ist Neuland für mich...
1. Ich hätte eine weitere subdomain eingerichtet (e.g. upload.domain.de) und dann eine dauerhafte Weiterleitung in Richtung subdomainA und eines vordefinierten Ports eingerichtet (e.g. subdomainA.domain.de:12345)
=> An der ASA müsste dann eine NAT-Regel eingestellt werden, die einen Request auf diesen Port erkennt und dann einen bestimmten anderen Port am Reverse Proxy anspricht
2. Ich hätte die bestehende subdomain verwendet und den fileupload über einen URL-pattern (subdomainA.domain.de/upload) realisiert
=> Da habe ich keine Ahnung wie ich der ASA sagen soll, dass sie die Anfrage weiterleitet.
Viele Grüße,
niLuxx
Please also mark the comments that contributed to the solution of the article
Content-Key: 398538
Url: https://administrator.de/contentid/398538
Printed on: May 6, 2024 at 00:05 o'clock
5 Comments
Latest comment
Einen File-Upload Server, der von außen durch Partner erreicht werden soll
Das allerwichtigste was uns allen hier weitergeholfen hätte und auch relevant für die ASA in deren Konfig wäre, wäre die Aussage WELCHES Protokoll verwendet wird bzw. was für ein "Upload Server" das sein soll ?!Das zu Punkt 1.
Punkt 2 versteht die ASA nur Applikations Ports. Wobei wir dann wieder bei Punkt 1 wären...
Kann das sein das du ein Problem mit Hairpin NAT hast ??
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Das passiert wenn du von intern einen externen Dienst ansprichst der dann wieder intern liegt.
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Das passiert wenn du von intern einen externen Dienst ansprichst der dann wieder intern liegt.