Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zywall USG 50 - NAT Loopback - Port 443 (OWA)

Mitglied: sid-vicious

sid-vicious (Level 1) - Jetzt verbinden

15.11.2013, aktualisiert 18:12 Uhr, 9176 Aufrufe, 8 Kommentare

Hallo Kollegen,

habe heute ein kleines Problem bzw. einen Verständnisfehler.
Derzeit habe ich in bei einem Kunden ein NAT Forwarding konfiguriert, welches auf den SBS2011 Server zeigt (Port 443,HTTPS), welches uns nun ermöglicht auch über die öffentliche IP auf Outlook Web Access zuzugreifen.

Nun möchte ich aber auch gerne, dass aus dem internen Netzwerk, über die Remote IP auf OWA zugegriffen werden kann.
Entsprechend habe ich einen NAT Loopback eingerichtet.

Konfiguration habe ich mal in einem Screenshot bereitgestellt. Öffentliche IP habe ich mal sicherheitshalber geschwärzt.

eeb9e90f2705fe86a716aeedca8557f6 - Klicke auf das Bild, um es zu vergrößern

Wo liegt der Fehler?


EDIT:// Achso: Haken bei NAT Loopback habe ich natürlich gesetzt, sieht man leider auf dem Screenshot nicht.
Firewall hatte ich auch schon im Verdacht, aber nach Deaktivierung dieser, trotzdem keine Besserung.



Viele Grüße aus Mittelfranken
Gordon
Mitglied: Pjordorf
15.11.2013, aktualisiert um 18:22 Uhr
Hallo,

Zitat von sid-vicious:
welches uns nun ermöglicht auch über die öffentliche IP auf Outlook Web Access zuzugreifen.
OK.

Nun möchte ich aber auch gerne, dass aus dem internen Netzwerk, über die Remote IP auf OWA zugegriffen werden kann. Entsprechend habe ich einen NAT Loopback eingerichtet.
Warum? Was soll das bringen? Was versprichst du dir davon? Was soll dann besser oder sicherer laufen? Dir ist schon klar das du dazu aus dein internes Netz (ein genattetes Netz?) über deinen Router raus musst um dann wieder am Offentlichen Port in dein Netz rein zugehen (und wieder gatten). Oder versuchst du hier eine Abkürzung zu fahren? Was geht von ausserhalb deines Netzes was intern nicht geht? Dein Router kann kein HairPin Nat? Dein Dyndns zeigt auf deine externe IP wenn aus deinem internen Ntz aufgerufen wird? Oder was soll das? Welche IP sollen denn dann deine Interne Clients als Absender nutzen (die werden doch Maskiert nach aussen hin und deine Internen Clients haben doch drausssen gar keine Überlebens chance weil private IPs)?

EDIT:// Achso: Haken bei NAT Loopback
Das ist also nicht dein Problem warum du diesen komplizierten Weg gehen willst.

Gruß,
Peter
Bitte warten ..
Mitglied: sid-vicious
15.11.2013, aktualisiert um 18:34 Uhr
Den NAT Loopback möchte ich gerne einrichten, weil wir mehrere mobile Geräte im Netzwerk haben (Tablets & Smartphones) welche via Active Sync eben über UMTS sich mit dem OWA synchronisieren. Da der Kunde aber gerne auch wenn er sich auf dem Gelände befindet (Verbindung über WLAN) seine E-Mails usw Synchron halten möchte, war mein erster Gedanke ein NAT Loopback.


Vielleicht gibt es ja auch noch einen anderen Weg. Dieser ist mir aber leider nicht bekannt.

VG
Gordon
Bitte warten ..
Mitglied: sk
15.11.2013, aktualisiert um 18:48 Uhr
Zitat von sid-vicious:

Derzeit habe ich in bei einem Kunden ein NAT Forwarding konfiguriert, welches auf den SBS2011 Server zeigt (Port 443,HTTPS),
welches uns nun ermöglicht auch über die öffentliche IP auf Outlook Web Access zuzugreifen.

Autsch. Aber was reg ich mich auf? Das typische SBS-Szenario halt.


Zitat von sid-vicious:

Nun möchte ich aber auch gerne, dass aus dem internen Netzwerk, über die Remote IP auf OWA zugegriffen werden kann.
Entsprechend habe ich einen NAT Loopback eingerichtet. ... Haken bei NAT Loopback habe ich natürlich gesetzt

Sollte so eigentlich funktionieren.


Zitat von sid-vicious:

Firewall hatte ich auch schon im Verdacht, aber nach Deaktivierung dieser, trotzdem keine Besserung

Wie ich das liebe! Wozu hat eine Firewall eigentlich ein Livelog?


Zitat von sid-vicious:
Vielleicht gibt es ja auch noch einen anderen Weg. Dieser ist mir aber leider nicht bekannt.

Der andere (und eigentlich auch bessere) Weg heisst Split-DNS. Intern wird der Name halt in die interne IP-Adresse aufgelöst und extern in die externe IP. Das setzt natürlich voraus, dass an den Clients ein DNS-Name und keine IP-Adresse als Server hinterlegt ist.


Gruß
sk
Bitte warten ..
Mitglied: sid-vicious
15.11.2013 um 18:57 Uhr
Danke erstmal für die Antwort.

Das Autsch vermute ich ist bezogen auf eine fehlende VPN Verbindung, welche das Port Forwarding unnötig machen würde. War aber erstmal die komfortablere Lösung. Ich würde behaupten die meisten Unternehmen mit Zugriff auf OWA haben das so konfiguriert. Sonst müssten ja alle auch privat verwendeten Rechner des Kunden und seiner Mitarbeiter für VPN vorbereitet werden, was mir wiederrum auch wieder Sorgen machen würde.

"Sollte so eigentlich funktionieren"

Dachte ich mir auch, habe mir auch noch einmal eine Anleitung von Zyxel zu dem Thema zu Gemüte geführt, ist auch zu 100% genauso konfiguriert.


" Wie ich sowas liebe"

Hast du natürlich vollkommen Recht, möchte es auch nicht relativieren, aber mal ehrlich. Zwei Sekunden Firewall deaktivieren zu Testzwecken sind nicht wirklich bedenklich. Verstehe zwar die Kritik, aber möchte weiterhin auf das eigentliche Problem hinweisen.

Zum Thema Split DNS werde ich mich mal schlau machen.

Aber danke erstmal.
Bitte warten ..
Mitglied: sid-vicious
15.11.2013, aktualisiert um 20:22 Uhr
OK: Thema Split DNS ist mir nun klar, wäre natürlich eine Alternative.

Aber nichts desto trotz, möchte gerne wissen warum es nicht funktioniert -.-
Irgendwo muss doch der Fehler sein, nach langer Recherche konnte ich leider keinen Fehler in meiner Konfig finden.


Vielleicht kann ja doch noch jemand weiterhelfen?


VG
Gordon
Bitte warten ..
Mitglied: GuentherH
15.11.2013 um 21:10 Uhr
Der andere (und eigentlich auch bessere) Weg heisst Split-DNS. Intern wird der Name halt in die interne IP-Adresse aufgelöst und extern in die externe IP.

Und genau das ist auch die Konfiguration, die bei einem SBS per Standard definiert ist. Schau einmal in den DNS, hier müsste es eigentlich ein Zone remote.deine_firme.de geben.
Wenn nein, dann starte noch einmal den Assistenten für den Internetzugang, und gib hier die richtigen Daten ein.

LG Günther
Bitte warten ..
Mitglied: sk
15.11.2013, aktualisiert 16.11.2013
Zitat von sid-vicious:
Das Autsch vermute ich ist bezogen auf eine fehlende VPN Verbindung, welche das Port Forwarding unnötig machen würde.

Nein das meine ich nicht, sondern den Umstand, dass es einen direkten und ungefilterten Zugriff von WAN nach LAN gibt (und zu allem Überfluss auf diesem Server in der typischen SBS-Konstellation auch noch sämtliche Kronjuwelen des Unternehmens versammelt sind). Normalerweise führt der Weg ausschließlich über ein Application Layer Gateway in der DMZ, welches u.a. dazu dient, unerwünschte Zugriffe und Angriffsmuster herauszufiltern.


Zitat von sid-vicious:
Zwei Sekunden Firewall deaktivieren zu Testzwecken sind nicht wirklich bedenklich. Verstehe zwar die Kritik, aber
möchte weiterhin auf das eigentliche Problem hinweisen.

Unabhängig von der Frage, ob dies gefährlich sein kann oder nicht, hilft so ein Livelog ungemein bei der Eingrenzung des Problems. Auch deshalb ist diese Vorgehensweise m.E. nicht sonderlich professionell.


Zitat von sid-vicious:
Irgendwo muss doch der Fehler sein, nach langer Recherche konnte ich leider keinen Fehler in meiner Konfig finden.
Vielleicht kann ja doch noch jemand weiterhelfen?

Wie immer hilft eine systematische Herangehensweise:
- Stimmt die IP-Konfiguration der Mobilgeräte?
- Wie ist der Zielserver auf den Mobilgeräten hinterlegt? Als IP-Adresse oder DNS-Name?
- Wird der DNS-Name ggf. korrekt aufgelöst?
- Kommt auf der Firewall überhaupt Traffic der Mobilgeräte an? Hierzu ggf. entsprechende Loggingregeln auf der Firewall konfigurieren oder noch besser: unter Maintenance>Diagnostic>Packet-Capture den Traffic mitschneiden und per Wireshark auswerten!


Gruß
sk
Bitte warten ..
Mitglied: Flatcher
13.03.2014 um 21:12 Uhr
Hallo,

Rätsel schon gelöst?
Probier folgendes:
Zusätzliche Regel - Gleich wie die oben - Nur bei "Incoming Interface" wähle das "Lan1" (Dein Lanbereich) aus.

mfG
Bitte warten ..
Ähnliche Inhalte
Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing42 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Firewall

ZyXEL ZyWALL USG 100 - Multinat möglich ?

Frage von uridium69Firewall6 Kommentare

Ich plane eine ZyXEL ZyWALL USG 100 zu erwerben, gebraucht, für mich ist es ein MUSS dass ich mehrere ...

Linux Netzwerk

Port 443 gemeinsam nutzen

Frage von otto66Linux Netzwerk6 Kommentare

Guten Abend, Ich betreibe Hobby mäßig einen Virtuellen Server den ich gemietet habe! Auf diesem Server läuft ein Apache ...

Server

OpenVPN Fritzbox Port weiterleitung TCP 443

Frage von D46505PlServer6 Kommentare

Hallo Zusammen, um von unterwegs auf das Netzwerk zuzugreifen, habe ich mir einen Openvpn eingerichtet auf Linuxbasis und lasse ...

Neue Wissensbeiträge
Hyper-V
Setup VM W2016 startet nicht in Hyper-V 2016
Erfahrungsbericht von keine-ahnung vor 1 TagHyper-V4 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Server-Hardware

HPE Proliant ML350P Gen8 Probleme mit Zugriff auf Raid-Volumes

Erfahrungsbericht von goscho vor 1 TagServer-Hardware1 Kommentar

Hallo Leute, das Problemgerät: HPE ML350P G8 Windows Server 2012R2 HyperV-Host 8 x 300 GB 10K SAS HDD (1 ...

Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Information von Snowbird vor 3 TagenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Linux

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 3 TagenLinux13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Heiß diskutierte Inhalte
Microsoft
Windows 10 - Kombination von lokalen Benutzerkonten und Benutzern aus einer Domäne
Frage von PappnaseVxVVMicrosoft21 Kommentare

Hi, würde gerne folgendes realisieren, von dem ich gern wüsste, ob es geht. Ich habe einen Raum mit 3 ...

Grafikkarten & Monitore
Grafikkarten Angebot auf Amazon
gelöst Frage von NudellordGrafikkarten & Monitore21 Kommentare

Hallo Community, ich suche eine neue Grafikkarte und bin auf die Nvidea Gforce GTX 1080 ti gestoßen. Und dabei ...

Hyper-V
Keine Netzwerkverbindung W2016 VM
gelöst Frage von keine-ahnungHyper-V19 Kommentare

Moin, ich verliere gleich meine contenance ;-). Ich versuche gerade, auf einem Hyper-V 2016 GUI eine W2016-VM (Generation 2 ...

Batch & Shell
Powershell - Webseite auslesen und Abspeichern ein paar Probleme
gelöst Frage von kime203Batch & Shell18 Kommentare

Hallo alle miteinander, ich hab die Aufgabe eine Webseite auszulesen um Einsatzdaten der Feuerwehr daraus zu gewinnen. Das habe ...