Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zywall USG 50 - NAT Loopback - Port 443 (OWA)

Mitglied: sid-vicious

sid-vicious (Level 1) - Jetzt verbinden

15.11.2013, aktualisiert 18:12 Uhr, 9606 Aufrufe, 8 Kommentare

Hallo Kollegen,

habe heute ein kleines Problem bzw. einen Verständnisfehler.
Derzeit habe ich in bei einem Kunden ein NAT Forwarding konfiguriert, welches auf den SBS2011 Server zeigt (Port 443,HTTPS), welches uns nun ermöglicht auch über die öffentliche IP auf Outlook Web Access zuzugreifen.

Nun möchte ich aber auch gerne, dass aus dem internen Netzwerk, über die Remote IP auf OWA zugegriffen werden kann.
Entsprechend habe ich einen NAT Loopback eingerichtet.

Konfiguration habe ich mal in einem Screenshot bereitgestellt. Öffentliche IP habe ich mal sicherheitshalber geschwärzt.

eeb9e90f2705fe86a716aeedca8557f6 - Klicke auf das Bild, um es zu vergrößern

Wo liegt der Fehler?


EDIT:// Achso: Haken bei NAT Loopback habe ich natürlich gesetzt, sieht man leider auf dem Screenshot nicht.
Firewall hatte ich auch schon im Verdacht, aber nach Deaktivierung dieser, trotzdem keine Besserung.



Viele Grüße aus Mittelfranken
Gordon
Mitglied: Pjordorf
15.11.2013, aktualisiert um 18:22 Uhr
Hallo,

Zitat von sid-vicious:
welches uns nun ermöglicht auch über die öffentliche IP auf Outlook Web Access zuzugreifen.
OK.

Nun möchte ich aber auch gerne, dass aus dem internen Netzwerk, über die Remote IP auf OWA zugegriffen werden kann. Entsprechend habe ich einen NAT Loopback eingerichtet.
Warum? Was soll das bringen? Was versprichst du dir davon? Was soll dann besser oder sicherer laufen? Dir ist schon klar das du dazu aus dein internes Netz (ein genattetes Netz?) über deinen Router raus musst um dann wieder am Offentlichen Port in dein Netz rein zugehen (und wieder gatten). Oder versuchst du hier eine Abkürzung zu fahren? Was geht von ausserhalb deines Netzes was intern nicht geht? Dein Router kann kein HairPin Nat? Dein Dyndns zeigt auf deine externe IP wenn aus deinem internen Ntz aufgerufen wird? Oder was soll das? Welche IP sollen denn dann deine Interne Clients als Absender nutzen (die werden doch Maskiert nach aussen hin und deine Internen Clients haben doch drausssen gar keine Überlebens chance weil private IPs)?

EDIT:// Achso: Haken bei NAT Loopback
Das ist also nicht dein Problem warum du diesen komplizierten Weg gehen willst.

Gruß,
Peter
Bitte warten ..
Mitglied: sid-vicious
15.11.2013, aktualisiert um 18:34 Uhr
Den NAT Loopback möchte ich gerne einrichten, weil wir mehrere mobile Geräte im Netzwerk haben (Tablets & Smartphones) welche via Active Sync eben über UMTS sich mit dem OWA synchronisieren. Da der Kunde aber gerne auch wenn er sich auf dem Gelände befindet (Verbindung über WLAN) seine E-Mails usw Synchron halten möchte, war mein erster Gedanke ein NAT Loopback.


Vielleicht gibt es ja auch noch einen anderen Weg. Dieser ist mir aber leider nicht bekannt.

VG
Gordon
Bitte warten ..
Mitglied: sk
15.11.2013, aktualisiert um 18:48 Uhr
Zitat von sid-vicious:

Derzeit habe ich in bei einem Kunden ein NAT Forwarding konfiguriert, welches auf den SBS2011 Server zeigt (Port 443,HTTPS),
welches uns nun ermöglicht auch über die öffentliche IP auf Outlook Web Access zuzugreifen.

Autsch. Aber was reg ich mich auf? Das typische SBS-Szenario halt.


Zitat von sid-vicious:

Nun möchte ich aber auch gerne, dass aus dem internen Netzwerk, über die Remote IP auf OWA zugegriffen werden kann.
Entsprechend habe ich einen NAT Loopback eingerichtet. ... Haken bei NAT Loopback habe ich natürlich gesetzt

Sollte so eigentlich funktionieren.


Zitat von sid-vicious:

Firewall hatte ich auch schon im Verdacht, aber nach Deaktivierung dieser, trotzdem keine Besserung

Wie ich das liebe! Wozu hat eine Firewall eigentlich ein Livelog?


Zitat von sid-vicious:
Vielleicht gibt es ja auch noch einen anderen Weg. Dieser ist mir aber leider nicht bekannt.

Der andere (und eigentlich auch bessere) Weg heisst Split-DNS. Intern wird der Name halt in die interne IP-Adresse aufgelöst und extern in die externe IP. Das setzt natürlich voraus, dass an den Clients ein DNS-Name und keine IP-Adresse als Server hinterlegt ist.


Gruß
sk
Bitte warten ..
Mitglied: sid-vicious
15.11.2013 um 18:57 Uhr
Danke erstmal für die Antwort.

Das Autsch vermute ich ist bezogen auf eine fehlende VPN Verbindung, welche das Port Forwarding unnötig machen würde. War aber erstmal die komfortablere Lösung. Ich würde behaupten die meisten Unternehmen mit Zugriff auf OWA haben das so konfiguriert. Sonst müssten ja alle auch privat verwendeten Rechner des Kunden und seiner Mitarbeiter für VPN vorbereitet werden, was mir wiederrum auch wieder Sorgen machen würde.

"Sollte so eigentlich funktionieren"

Dachte ich mir auch, habe mir auch noch einmal eine Anleitung von Zyxel zu dem Thema zu Gemüte geführt, ist auch zu 100% genauso konfiguriert.


" Wie ich sowas liebe"

Hast du natürlich vollkommen Recht, möchte es auch nicht relativieren, aber mal ehrlich. Zwei Sekunden Firewall deaktivieren zu Testzwecken sind nicht wirklich bedenklich. Verstehe zwar die Kritik, aber möchte weiterhin auf das eigentliche Problem hinweisen.

Zum Thema Split DNS werde ich mich mal schlau machen.

Aber danke erstmal.
Bitte warten ..
Mitglied: sid-vicious
15.11.2013, aktualisiert um 20:22 Uhr
OK: Thema Split DNS ist mir nun klar, wäre natürlich eine Alternative.

Aber nichts desto trotz, möchte gerne wissen warum es nicht funktioniert -.-
Irgendwo muss doch der Fehler sein, nach langer Recherche konnte ich leider keinen Fehler in meiner Konfig finden.


Vielleicht kann ja doch noch jemand weiterhelfen?


VG
Gordon
Bitte warten ..
Mitglied: GuentherH
15.11.2013 um 21:10 Uhr
Der andere (und eigentlich auch bessere) Weg heisst Split-DNS. Intern wird der Name halt in die interne IP-Adresse aufgelöst und extern in die externe IP.

Und genau das ist auch die Konfiguration, die bei einem SBS per Standard definiert ist. Schau einmal in den DNS, hier müsste es eigentlich ein Zone remote.deine_firme.de geben.
Wenn nein, dann starte noch einmal den Assistenten für den Internetzugang, und gib hier die richtigen Daten ein.

LG Günther
Bitte warten ..
Mitglied: sk
15.11.2013, aktualisiert 16.11.2013
Zitat von sid-vicious:
Das Autsch vermute ich ist bezogen auf eine fehlende VPN Verbindung, welche das Port Forwarding unnötig machen würde.

Nein das meine ich nicht, sondern den Umstand, dass es einen direkten und ungefilterten Zugriff von WAN nach LAN gibt (und zu allem Überfluss auf diesem Server in der typischen SBS-Konstellation auch noch sämtliche Kronjuwelen des Unternehmens versammelt sind). Normalerweise führt der Weg ausschließlich über ein Application Layer Gateway in der DMZ, welches u.a. dazu dient, unerwünschte Zugriffe und Angriffsmuster herauszufiltern.


Zitat von sid-vicious:
Zwei Sekunden Firewall deaktivieren zu Testzwecken sind nicht wirklich bedenklich. Verstehe zwar die Kritik, aber
möchte weiterhin auf das eigentliche Problem hinweisen.

Unabhängig von der Frage, ob dies gefährlich sein kann oder nicht, hilft so ein Livelog ungemein bei der Eingrenzung des Problems. Auch deshalb ist diese Vorgehensweise m.E. nicht sonderlich professionell.


Zitat von sid-vicious:
Irgendwo muss doch der Fehler sein, nach langer Recherche konnte ich leider keinen Fehler in meiner Konfig finden.
Vielleicht kann ja doch noch jemand weiterhelfen?

Wie immer hilft eine systematische Herangehensweise:
- Stimmt die IP-Konfiguration der Mobilgeräte?
- Wie ist der Zielserver auf den Mobilgeräten hinterlegt? Als IP-Adresse oder DNS-Name?
- Wird der DNS-Name ggf. korrekt aufgelöst?
- Kommt auf der Firewall überhaupt Traffic der Mobilgeräte an? Hierzu ggf. entsprechende Loggingregeln auf der Firewall konfigurieren oder noch besser: unter Maintenance>Diagnostic>Packet-Capture den Traffic mitschneiden und per Wireshark auswerten!


Gruß
sk
Bitte warten ..
Mitglied: Flatcher
13.03.2014 um 21:12 Uhr
Hallo,

Rätsel schon gelöst?
Probier folgendes:
Zusätzliche Regel - Gleich wie die oben - Nur bei "Incoming Interface" wähle das "Lan1" (Dein Lanbereich) aus.

mfG
Bitte warten ..
Ähnliche Inhalte
Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing42 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Router & Routing

OpenVpn Verbindung Synology NAS hinter Zywall USG 40

Frage von TirgelRouter & Routing2 Kommentare

Hi Leute, Ich bin momment kurz vor der Verzweiflung. Ich habe das folgende Setup installiert: Zywall USG40 Firewall: Virtuelles ...

Firewall

Zyxel ZyWall USG 20 Firmware Update bleibt stehen

gelöst Frage von lmediciFirewall5 Kommentare

Hallo Ich habe ein Firmwareupdate der Firewall ZyWall USG 20 hochgeladen und initiiert. Es gibt hierfür ein Video auf ...

Router & Routing

PFsense Port Forward und NAT

gelöst Frage von ITAllrounderRouter & Routing11 Kommentare

Hallo, folgendes Problem bei einer PFSense 2.3.4_1. Die PFsense ist eine VM auf einem Hyper-V Host. Der Hyper-V Host ...

Neue Wissensbeiträge
Sicherheit

Eine ungepatchte Sicherheitslücke in der Windows Druckerwarteschlange ermöglicht das Ausführen von Malware mit Adminrechten

Information von transocean vor 1 TagSicherheit

Moin, eigentlich sollte die Sicherheitslücke schon seit Mai 2020 geschlossen sein. Aber lest selbst. Grüße Uwe

Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 3 TagenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Windows 10

Windows Defender verhindert Telemetrieblocking via hosts-Datei

Information von BirdyB vor 3 TagenWindows 102 Kommentare

Für diejenigen, die keine Daten an MS senden wollten, war die hosts-Datei manchmal eine Option.

Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 6 TagenMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Heiß diskutierte Inhalte
Windows Server
GPO Programme an User verteilen
Frage von ILeonardWindows Server13 Kommentare

Hallo, ich möchte über GPO Programme an User verteilen allerdings funktioniert das nicht, um gleich ein paar Dinge zu ...

CPU, RAM, Mainboards
LED Lüfter und LED LEiste dunkel beim einloggen
Frage von uridium69CPU, RAM, Mainboards12 Kommentare

Moin Ich habe einen PC mit einem ASUS RGB tauglichen Board, dort habe ich einerseits einen CPU Lüfter mit ...

Batch & Shell
Dateinamen vorne abschneiden
Frage von JoeKnapeBatch & Shell8 Kommentare

wer kann mir helfen ich habe auf einem synology NAS ein script, was mir alle möglichen dateitypen in einem ...

Batch & Shell
Mit Powershell zwei Prozesse mit gleichem Prozessname und unterschiedlichen Parameter überprüfen und ggf. erneut starten
Frage von DarkFireBatch & Shell6 Kommentare

Hallo Zusammen, ich versuche seit Stunden zwei Prozesse mit gleichem Prozessname, gleichen Verzeichnis in WIn10 mittles Powershell zu überprüfen ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...