10
Portfreigabe Astaro Firewall
Hallo Liebe Admins,
zu Beginn erstmal mein Netzwerkaufbau:
Clients und Fritzbox als AP---Switch----AstaroFirewall----Web Server, TS Server etc.----Router----WWW
192.168.0.X 192.168.0.1 192.168.178.x 192.168.178.1
Ich habe ein Problem meinem TS-Server, welcher in einer DMZ genutzt werden soll. Der TS-Server soll von außen über DynDNS erreichbar sein.
DynDNS ist auf dem Router eingerichtet und der Zugriff ist z.B. auf dem Web Server von außen auch möglich.
Auf dem Router wurden für den TS-Server nötige Ports wie 9987, 30033, 10011 eingetragen, sodass der Zugriff von außen möglich seien sollte.
Clients die in der DMZ angeklemmt sind können sich auch über die DynDNS url auf den TS-Server verbinden.
Nun möchte ich natürlich auch den Clients hinter der DMZ den Zugriff auf den TS-Server ermöglichen, sodass ich die genannten Ports auch auf der Astaro Firewall öffnen müsste. Nach Recherchen im Internet habe ich erfahren, dass die Portfreigabe in der Astaro über DNAT geschieht. Somit habe ich auch dort die Einträge versucht vorzunehmen, allerdings können sich die Clients (192.168.0.X) trotz der Portfreigaben auf der Astaro weiterhin nicht auf den TS-Server verbinden.
Könnt Ihr mir bei meinem kleinen Problem vielleicht weiterhelfen?
Vielen Dank!
zu Beginn erstmal mein Netzwerkaufbau:
Clients und Fritzbox als AP---Switch----AstaroFirewall----Web Server, TS Server etc.----Router----WWW
192.168.0.X 192.168.0.1 192.168.178.x 192.168.178.1
Ich habe ein Problem meinem TS-Server, welcher in einer DMZ genutzt werden soll. Der TS-Server soll von außen über DynDNS erreichbar sein.
DynDNS ist auf dem Router eingerichtet und der Zugriff ist z.B. auf dem Web Server von außen auch möglich.
Auf dem Router wurden für den TS-Server nötige Ports wie 9987, 30033, 10011 eingetragen, sodass der Zugriff von außen möglich seien sollte.
Clients die in der DMZ angeklemmt sind können sich auch über die DynDNS url auf den TS-Server verbinden.
Nun möchte ich natürlich auch den Clients hinter der DMZ den Zugriff auf den TS-Server ermöglichen, sodass ich die genannten Ports auch auf der Astaro Firewall öffnen müsste. Nach Recherchen im Internet habe ich erfahren, dass die Portfreigabe in der Astaro über DNAT geschieht. Somit habe ich auch dort die Einträge versucht vorzunehmen, allerdings können sich die Clients (192.168.0.X) trotz der Portfreigaben auf der Astaro weiterhin nicht auf den TS-Server verbinden.
Könnt Ihr mir bei meinem kleinen Problem vielleicht weiterhelfen?
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 211502
Url: https://administrator.de/contentid/211502
Ausgedruckt am: 05.11.2024 um 10:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
komisch, meines Wissens nach war für TS von außen immernoch nur 3389 zu nutzen, aber das kann sich mittlerweile geändert haben.
Grüße,
Christian
PS: OK, falsches Protokoll, TS = Terminalserver.
komisch, meines Wissens nach war für TS von außen immernoch nur 3389 zu nutzen, aber das kann sich mittlerweile geändert haben.
Grüße,
Christian
PS: OK, falsches Protokoll, TS = Terminalserver.
Nee, mit TS meine ich Teamspeak Server...
Mahlzeit,
darf ich fragen, warum dieser umständliche Netzwerkaufbau?
Mit der Astaro als zentraler Router hättest du dir den "Hauptrouter" sparen können und 1a dein internes Netzwerk sowie DMZ verwalten können...
Nun zu deinem Problem,
hier sollte es helfen in der Astaro unter "Network Protection --> Firewall" einen neuen Eintrag zu erstellen, in dem du als Quelle dein internes Netzwerk definierst, die entsprechenden Ports als Dienste einträgst und als Ziel dein DMZ-Netzwerk angibst.
Den TS-Server solltest du dann über die interne IP-Adresse anprechen können!
viel Spaß beim basteln
grinsebert
darf ich fragen, warum dieser umständliche Netzwerkaufbau?
Mit der Astaro als zentraler Router hättest du dir den "Hauptrouter" sparen können und 1a dein internes Netzwerk sowie DMZ verwalten können...
Nun zu deinem Problem,
hier sollte es helfen in der Astaro unter "Network Protection --> Firewall" einen neuen Eintrag zu erstellen, in dem du als Quelle dein internes Netzwerk definierst, die entsprechenden Ports als Dienste einträgst und als Ziel dein DMZ-Netzwerk angibst.
Den TS-Server solltest du dann über die interne IP-Adresse anprechen können!
viel Spaß beim basteln
grinsebert
Hallo,
Welche Version? Was steht in deinem Handbuch drin? Was hast du überhaupt an Module am laufen? Wie sind dort deine Schnittstellen eingericht und wir dort auch NAT gemacht?
Gruß,
Peter
Welche Version? Was steht in deinem Handbuch drin? Was hast du überhaupt an Module am laufen? Wie sind dort deine Schnittstellen eingericht und wir dort auch NAT gemacht?
Gruß,
Peter
Hallo nochmal,
die Astaro Firewall ist nur eine Appliance, welche virtuell auf einem ESXI-Server läuft. Ich wollte nämlich damals keinen zweiten physikalischen Router einsetzen, damit ich die DMZ aufbauen konnte.
Ich wollte mein privates Netz physikatisch vom Internet trennen und durch die anschaffung des ESXI, dachte ich mir das die Astaro das auch virtuell für mich erledigen kann...
Ich hoffe das klärt das Warum umständlich
Die Firewall hat die Version 8. Module mäßig läuft auf der Firewall eigentlich nur die Firewallfunktionen.
Übrigens sind die restlichen Server wie Webserver, TS-Server auch nur virtuell, welche aber phsikalisch jeweil über eine Netzwerkkarte angeschlossen sind.
die Astaro Firewall ist nur eine Appliance, welche virtuell auf einem ESXI-Server läuft. Ich wollte nämlich damals keinen zweiten physikalischen Router einsetzen, damit ich die DMZ aufbauen konnte.
Ich wollte mein privates Netz physikatisch vom Internet trennen und durch die anschaffung des ESXI, dachte ich mir das die Astaro das auch virtuell für mich erledigen kann...
Ich hoffe das klärt das Warum umständlich
Die Firewall hat die Version 8. Module mäßig läuft auf der Firewall eigentlich nur die Firewallfunktionen.
Übrigens sind die restlichen Server wie Webserver, TS-Server auch nur virtuell, welche aber phsikalisch jeweil über eine Netzwerkkarte angeschlossen sind.
Hallo,
OK. Aktuell ist Version 9.xxx
Eine Firewallregel neben der DNAT hats du auch gemacht?
Und dies hast du schon mal durchgearbeitet? http://www.sophos.com/de-de/support/knowledgebase/115145.aspx oder http://www.stephenwagner.com/?p=80
Gruß,
Peter
OK. Aktuell ist Version 9.xxx
Eine Firewallregel neben der DNAT hats du auch gemacht?
Und dies hast du schon mal durchgearbeitet? http://www.sophos.com/de-de/support/knowledgebase/115145.aspx oder http://www.stephenwagner.com/?p=80
Gruß,
Peter
So, folgendes habe ich konfiguriert gehabt:
als Service:
Typ: UDP
Zielport: 9989
Quellport: 1:65535
und das gleiche habe ich für die restlichen Ports auch konfiguriert.
als NAT-Regel:
Quelle: Internal (Network) 192.168.0.x
Ziel: IP Adresse des TS-Servers
NAT-Modus: DNAT (Ziel)
Zieldienst: den definierten Service
Haken bei Automatische Firewallregel
Unter Network-->Firewall habe ich natürlich auch die Regel erstellt:
Quelle: Internal (Network) 192.168.0.x
Dienst: den definierten Service
Ziel: IP Adresse des TS-Servers
als Service:
Typ: UDP
Zielport: 9989
Quellport: 1:65535
und das gleiche habe ich für die restlichen Ports auch konfiguriert.
als NAT-Regel:
Quelle: Internal (Network) 192.168.0.x
Ziel: IP Adresse des TS-Servers
NAT-Modus: DNAT (Ziel)
Zieldienst: den definierten Service
Haken bei Automatische Firewallregel
Unter Network-->Firewall habe ich natürlich auch die Regel erstellt:
Quelle: Internal (Network) 192.168.0.x
Dienst: den definierten Service
Ziel: IP Adresse des TS-Servers
Hallo,
Wenn Antwort Ja dann
- Bitte noch ein Wie kann ich einen Beitrag als gelöst markieren? dran pappen
Sonst
- Was geht nicht?
Ende Antwort
Gruß,
Peter
Zitat von @Diamond72:
So, folgendes habe ich konfiguriert gehabt:
und das gleiche habe ich für die restlichen Ports auch konfiguriert.
Unter Network-->Firewall habe ich natürlich auch die Regel erstellt:
Und? Geht es jetzt oder immer noch nicht?So, folgendes habe ich konfiguriert gehabt:
und das gleiche habe ich für die restlichen Ports auch konfiguriert.
Unter Network-->Firewall habe ich natürlich auch die Regel erstellt:
Wenn Antwort Ja dann
- Bitte noch ein Wie kann ich einen Beitrag als gelöst markieren? dran pappen
Sonst
- Was geht nicht?
Ende Antwort
Gruß,
Peter
Morgen,
Es geht leider immer noch nicht. Ich kann mich weiterhin nicht mit dem TS Client hinter der DMZ auf die lokale IP Adresse des TS Servers in der DMZ anmelden.
Wie gesagt eine Anmeldung von außen auf den TS Server ist möglich.
Es geht leider immer noch nicht. Ich kann mich weiterhin nicht mit dem TS Client hinter der DMZ auf die lokale IP Adresse des TS Servers in der DMZ anmelden.
Wie gesagt eine Anmeldung von außen auf den TS Server ist möglich.
Mir ist nochwas aufgefallen. Im LAN 192.168.0.x kann ich den Server nicht anpingen. Auf dem TS-Server läuft auch ein Webserver. Gebe ich nun die IP Adresse des Servers im LAN in einem Browser ein habe ich Zugriff.
Der TS Server ist ein Debian System. Kann das vlt. daran liegen?
Der TS Server ist ein Debian System. Kann das vlt. daran liegen?
