Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hilfe bei Upload-Server und NAT

Mitglied: niLuxx

niLuxx (Level 1) - Jetzt verbinden

17.01.2019, aktualisiert 13:50 Uhr, 289 Aufrufe, 5 Kommentare

Liebe Community,

ich hätte eine kurze Frage an euch. Wir haben in unserer (sehr) kleinen IT-Umgebung eine Cisco-ASA, den wir als Internet-Router und Firewall verwenden.
Dieser ASA haben wir eine öffentliche IP zugewiesen. Mit Hilfe dieser sollen 3 verschiedene "Services" zur Verfügung gestellt werden:

1. VPN-Verbindungen (via AnyConnect über die ASA)
2. Telefonverbindungen (3 DECT Telefone, die über eine FritzBox verbunden sind => diese wiederum hängt an der ASA)
3. Einen File-Upload Server, der von außen durch Partner erreicht werden soll

Die Punkte 1 und 2 laufen soweit:
Zu Punkt 1: Wir haben einfach das VPN eingerichtet und können uns über die öffentliche IP verbinden
Zu Punkt 2: Wir haben (bzw. wurde uns) NAT eingerichtet vom outside Interface für die spezifischen SIP-UDP Ports (in Richtung FritzBox)

Nur Punkt 3 macht mir etwas Kopfzerbrechen. Später soll die Abfrage einmal so laufen:

PARTNER-Client <=> ASA <=> Reverse-Proxy (innerhalb DMZ) <=> FileUploadServer

Bei unserem ISP haben wir eine Subdomain eingerichtet (subdomainA.domain.de) und dieser über einen A-Entry unsere öffentliche IP zugewiesen.Darüber läuft bisher auch das VPN.

Für den File Upload hätte ich nun folgende 2 Ideen (da wir keine weitere öffentliche IP erhalten werden) <=> Keine Ahnung ob das Sinn macht, das ist Neuland für mich...

1. Ich hätte eine weitere subdomain eingerichtet (e.g. upload.domain.de) und dann eine dauerhafte Weiterleitung in Richtung subdomainA und eines vordefinierten Ports eingerichtet (e.g. subdomainA.domain.de:12345)
=> An der ASA müsste dann eine NAT-Regel eingestellt werden, die einen Request auf diesen Port erkennt und dann einen bestimmten anderen Port am Reverse Proxy anspricht

2. Ich hätte die bestehende subdomain verwendet und den fileupload über einen URL-pattern (subdomainA.domain.de/upload) realisiert
=> Da habe ich keine Ahnung wie ich der ASA sagen soll, dass sie die Anfrage weiterleitet.

Viele Grüße,
niLuxx
Mitglied: aqui
17.01.2019, aktualisiert um 14:08 Uhr
Einen File-Upload Server, der von außen durch Partner erreicht werden soll
Das allerwichtigste was uns allen hier weitergeholfen hätte und auch relevant für die ASA in deren Konfig wäre, wäre die Aussage WELCHES Protokoll verwendet wird bzw. was für ein "Upload Server" das sein soll ?!
Das zu Punkt 1.
Punkt 2 versteht die ASA nur Applikations Ports. Wobei wir dann wieder bei Punkt 1 wären...
Bitte warten ..
Mitglied: niLuxx
17.01.2019, aktualisiert um 15:29 Uhr
Ach, total dämlich, sorry.
Ich verwende "filebrowser" als Open-Source Tool. Daher http(s).

Punkt 2 versteht die ASA nur Applikations Ports. Wobei wir dann wieder bei Punkt 1 wären...

Bräuchte ich dann also nicht NAT, sondern PAT?
Vielleicht so etwas in der Art?

Source-Interface = outside
Desti-Interface = dmz

Original package:
Source = any
Dest = <public ip ASA>
Service tcp <port_1>

Translated package:
Source = Original
Dest = reverseProxy
Service tcp <port_2>

Dann also folgendes NAT statement an der CLI?

nat (outside, dmz) static interface service tcp <port_1> <port_2> ?
Bitte warten ..
Mitglied: niLuxx
18.01.2019 um 08:14 Uhr
Ich bekomme es irgendwie immer noch nicht hin. Ich habe mich heute morgen noch einmal intensiv mit dem Thema beschäftigt und komme aber nicht weiter.

Der Reverse Proxy funktioniert soweit. Rufe ich intern <Rev_Proxy>:80 auf, lande ich bei meinem WebServer dahinter.

Ich habe nun folgendes konfiguriert:

1. NAT:

Manual NAT Policies (Section 1)
[...]

Auto NAT Policies (Section 2)
1 (dmz) to (outside) source static reverse_proxy interface service tcp www www
translate_hits = 0, untranslate_hits = 0
2 (dmz) to (outside) source dynamic network_dmz interface
translate_hits = 2, untranslate_hits = 0
3 (any) to (outside) source dynamic obj_any interface
translate_hits = 1661, untranslate_hits = 3

Und auch die ACL:
access-list outside-inbound; 6 elements; name hash: 0x493b324d
[...]
access-list outside-inbound line 6 extended permit tcp any object reverse_proxy eq www (hitcnt=0) 0x9c24c3b7
access-list outside-inbound line 6 extended permit tcp any host 192.168.5.2 eq www (hitcnt=0) 0x9c24c3b7

Was ich allerdings nicht verstehe...
Die IP meines WebServers ist ja nach außen nicht bekannt, aus diesem Grund rufe ich die öffentliche IP meines WebServers auf (WWW.XXX.YYY.ZZZ)/80. Diese NAT-Regel
1 (dmz) to (outside) source static reverse_proxy interface service tcp www www
translate_hits = 0, untranslate_hits = 0

sollte alles was auf Port 80 kommt, ja dann in Richtung reverse_proxy NATten. Wenn ich das allerdings probiere, erhalte ich am Log der ASA einen "Port:80 denied" an der öffentlichen IP der ASA.
Ich habe gelesen, dass ACE ein NAT verhindern kann. Aber was muss ich denn da machen? Ich kann ja keine ACE definieren, wenn die interne IP nicht angesteuert werden kann
Bitte warten ..
Mitglied: aqui
18.01.2019 um 11:33 Uhr
Kann das sein das du ein Problem mit Hairpin NAT hast ??
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Das passiert wenn du von intern einen externen Dienst ansprichst der dann wieder intern liegt.
Bitte warten ..
Mitglied: niLuxx
18.01.2019 um 11:57 Uhr
Das dachte ich auch schon (selbst wenn mir der Begriff nicht geläufig war). Das ist der Grund weshalb ich die Verbindung mittels Handy teste
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Brauche hilf bei einer batch Datei
gelöst Frage von PilllllleBatch & Shell7 Kommentare

hallo, ich versuche mit Hilfe von einer batch- Datei eine bestimmt Zeile aus einer txt- Datei in eine neue ...

Netzwerkmanagement
Virtualbox NAT
Frage von TechTobiNetzwerkmanagement8 Kommentare

Hallo Leute, ich habe mal eine Netzwerkfrage mit der Verbindung im Bereich virtualbox. Laut diesem Blog wird der Host ...

LAN, WAN, Wireless
Verständnisproblem NAT
Frage von BytedreherLAN, WAN, Wireless1 Kommentar

Hallo zusammen, ich habe eine ZyWALL USG 50 und ein "Problem", was ich mir leider nicht selbst erklären kann. ...

Router & Routing

Lancom Router macht NAT trotz deaktiviertem NAT

gelöst Frage von Evil2000Router & Routing10 Kommentare

Hallo Leute. Kennt sich jemand mit o.g. Lancom 1781VAW Router (LCOS 9.10.0629/05.04.2016) aus und kann mir erklären warum der ...

Neue Wissensbeiträge
Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Tipp von ChriBo vor 9 StundenFirewall

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 1 TagInternet

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 1 TagGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Google Android
Facebooks unsichtbare Datensammlung
Information von AnkhMorpork vor 1 TagGoogle Android2 Kommentare

Rund 30 Prozent aller Apps im Play-Store nehmen Kontakt zu Facebook auf, sobald man sie startet. So erfährt der ...

Heiß diskutierte Inhalte
Linux Userverwaltung
LogIn Versuche beschränken auf EINEN Versuch
gelöst Frage von GarroshLinux Userverwaltung21 Kommentare

Folgendes Problem Ich habe einen dezidierten Server beim Hoster gemietet, installiert ist Ubuntu 18.04.2 LTS‬ und als Webinterface Plesk. ...

DSL, VDSL
Neuer Glasfaser Anschluss - IPv4-Adressraum
Frage von norre2000DSL, VDSL12 Kommentare

Hallo Zusammen, ich werde meinen Glasfaser Anschluss wechseln und bin beim Ausfüllen des Antrags auf Fragen gestoßen bei denen ...

Internet
Aktuell HP-Support-Seite kaputt?
gelöst Frage von LochkartenstanzerInternet12 Kommentare

Hallo Kollegen, Weiß einer von euch, seit wann die HP-Support-Seite kaputt ist? ) Wollte heute morgen Druckertreiber runterladen und ...

Ubuntu
Exchange Alternative auf Ubuntu
Frage von TELLOUbuntu11 Kommentare

Hi NG, wir müssen für unsere Kleine Firma (5 User) das Email / Kalendersystem neu einrichten. Ich könnte jetzt ...