Portforwarding Endian-Uplink -> Green Network wird blockiert?

  • Moin,

    ich versuche seit Stunden ein eigentlich banales Port-Forwarding einzurichten. Bei mir läuft Endian in einer ESXi Umgebung mit derzeit einer public-ip/uplink (=RED Network). Zusätzlich habe ich ein VM-Netzwerk Interface als Green-Network eingebunden. Im VM-Net bzw. VSwitch ist der Promiscious-Mode aktiviert. Für das klassische Routing (Internet Zugriff innerhalb VMs im Green-Network) klappt das einwandfrei.


    Da beim Endian ansonsten außer für Internet/NAT keine Dienste laufen würde ich gerne ein paar TCP-Ports auf VM im Green-Network weiterleiten. Hierzu habe ich unter DNat eine Regel erstellt:


    Eingehende IP

    Typ: Zone/VPN/Uplink
    Uplink main - IP: 123.123.123.100 (exemplarisch Internet Public IP)

    Dienst: Benutzerdefiniert, TCP, Port 1234


    Übersetze zu IP/Port

    172.16.0.23 / 1234 per NAT (kein NAT auch getestet)

    Gestattet von ALLE IPs


    und natürlich habe ich die Regel auch aktiviert.



    Ich bekomme aber von außen keinen Zugriff über die Public-IP auf den Port! Per OpenVPN mit Zugriff auf das Green-Network kann ich über 172.16.0.23:1234 auf den Dienst zugreifen.


    Über 123.123.123.100 (Internet IP) und Port 1234 erhalte ich keinen Zugriff:

    $> nc -vz 123.123.123.100 1234

    nc: connect to 123.123.123.100 port 1234 (tcp) failed: Connection timed out


    In der Endian-Firewall taucht im Log dieser Eintrag auf, nachdem ich Logging aktiviert habe in der DNat-Regel:

    PORTFWACCESS:ALLOW:2 TCP (eth1) 92.76.101.92:57390 -> 172.16.0.23:1234 (br0)


    Ich verstehe nicht wieso das Port-Forwarding nicht richtig klappt?

  • Hallo, wenn du im Log siehst " PORTFWACCESS:ALLOW " dann geht das Paket durch, also es passt alles.

    Es muss an deinem Rechner liegen.


    Grüße Sabine



    So sieht es bei mir aus.

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Hallo Sabine ,

    danke für das Feedback. Der Meinung bin ich eigentlich auch ...


    Das Ziel ist in meinem Fall von der Endian-VM (VMware ESXi) eine andere ESXi VM im selben VLAN/Netz. Das Netzwerk zwischen der Endian-VM und der Ziel-VM im Green-Net ist intakt. Via VPN kann ich auch direkt auf die Green-IP der VM auf den Port zugreifen.


    Die UFW-Firewall in der Ziel-VM habe ich ebenfalls schon testweise deaktiviert (obwohl das Subnetz dort white-listed ist).


    Anbei noch mein IP-Tables (nach deaktivierter UFW-Firewall)
    $> iptable -L


    Ich weiß langsam nicht mehr wo es hier noch haken soll - oder übersehe ich da irgendwas?


    Vg
    Gabriel

  • Das ist aus der Ferne immer schwer zu beantworten, besonders wenn das ganze doch etwas komplexer ist. Wenn der PORTFWACCESS : ALLOW ist geht das Paket durch.


    Quote

    Das Netzwerk zwischen der Endian-VM und der Ziel-VM im Green-Net ist intakt


    Ich weiß nicht genau was du damit meinst ?



    Grüße Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Hallo Sabine,

    danke erst mal für deine Hilfe und Rückinfo. Mir ist klar, dass das ganze Setup sicherlich schwer zu überschauen ist. Ich hatte gehofft, dass sich hier andere VMware Nutzer finden, die evtl. Abhilfe wissen.

    Ich weiß nicht genau was du damit meinst ?

    Ich nutze Endian normalerweise vorwiegend innerhalb von VMware als Router für Virtual-Machines, die sonst keine eigene Public-IP zugewiesen haben und Internet Zugriff haben sollen über das interne Green-Network und Endian.


    Ergänzend noch als Hinweis:
    An die Endian Virtual-Machine habe ich zwei VM-Netzwerk-Adapter angeschlossen: Eines für die Public-IP (=Internet physikalische Netzwerkkarte "nach draußen") und der zweite Adapter ist nur ein VSwitch der unabhängig agiert (=keine phys. Netzwerkkarte angeschlossen). Bei letzterem habe ich in VMware ESXi den Promiscious-Mode aktiviert.


    Ich kann sowohl von der Endian VM als auch den angeschlossenen VMs im "Endian Netzwerk" der virtualisierten Umgebungen jeweils Endian bzw. die einzelnen VM im Green-Network anpingen und darauf zugreifen.

    Wie schon erwähnt nutze ich mit Endian auch das OpenVPN und kann von dort aus ebenfalls auf das Green-Network zugreifen und von dort auch auf den Dienst zugreifen, mit dem das Port-Forwarding über die Endian Public-IP nicht funktioniert.


    Das meinte ich mit "ist intakt". Es sind sonst keine anderen Probleme mit dem Setup bekannt - bis auf das mit dem Port-Forwarding, dass irgendwo verschluckt wird.

  • Hi, ich habe hier auch mehrere Server auf den VMWare läuft, kenne also auch Virtuelle Switche und Virtuelle Server, extern habe ich auch eine Endian bei einem Hoster laufen und hinter der Endian etliche Virtuelle Maschinen. Ich weiß also so ungefähr worum es geht . .


    Mein Eindruck ist das der Dienst oder das Programm auf deinem Rechner den du erreichen willst nicht läuft, weil nämlich die Endina ja PORTFWACCESS macht.

    ( Manchmal hilft ein Neustart der Endian wenn da was hängen sollte. )

    Ich würde mal eine anderen Dienst auf dem Rechner testen, z.B. eine Weiterleitung auf Port 80 und auf dem Zeilrechner würde ich mal den Mini-Webserver von AIDeX laufen lassen ( einfach auspacken und starten ) und schauen ob du im Browser von der Externen- Gegenstelle die Seite öffnen kannst.


    Grüße Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Hi,

    danke für deine Rückinfo. Gut zu wissen das du im Bilde bist. Dann muss ich da ja zum Glück nicht so weit ausholen :-)


    Das mit einem anderen Dienst habe ich tatsächlich schon gemacht mit einem simplen Bash-Skript 'test-tcp-serve.sh'


    und aufruf auf der Ziel-VM mittels ./test-tcp-serve.sh 1234 und test, ob der TCP-Port aktiv ist:

    Code
    1. $> lsof -i TCP:1234
    2. COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
    3. nc 17378 root 3u IPv4 2887215 0t0 TCP *:1234 (LISTEN)


    Aufruf von meinem Rechner via VPN auf die interne IP 172.16.0.23 port 1234 klappt einwandfrei!

    Quote

    $ nc -vz 172.16.0.23 1234

    Connection to 172.16.0.23 1234 port [tcp/*] succeeded!


    Mit der Public-IP von Endian auf Port 1234 und aktiver Port-Weiterleitung hängt das ganze dann erst mal ne Weile bis zum Timeout ... egal ob mit oder ohne aktivierter UFW-Firewall auf der Ziel-VM.


    Ich versteh's auch nicht. Das ganze soll natürlich eigentlich für einen anderen Dienst/Port sein...da ist es das selbe.


    Ich werde wirklich mal probieren Endian nachher neu zu starten.

  • Ok, wenn du über VPN kommst bist du ja schon im internen Netz, wenn es dann klappt kann es ja eigentlich auch nicht an dem Rechner liegen. Die Endian lässt aber auch durch, die kann es eigentlich auch nicht sein.


    Da fällt mir auch nichts mehr ein . . .


    Ist auf dem Rechner auf den du willst die Interne IP der Endian als Standard Gateway eingetragen ?


    Das ist das einzige was mir jetzt noch einfällt . .


    Grüße Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Ist auf dem Rechner auf den du willst die Interne IP der Endian als Standard Gateway eingetragen ?

    Hi,

    da könntest du fast recht haben mit ... denn auf der VM sind noch zwei eigene Public-IP direkt ins System eingebunden. Das Standard GW war auf eine der direkt eingebundenen Public-IP gesetzt. Ich habe nun die Endian-IP als GW gesetzt.


    Alles läuft wieder... nur das Port-Forwarding immer noch nicht ...

  • Ui... Sabine nicht zu fassen... die Antwort war wohl zu voreilig... nun klappt es plötzlich :-D


    Es lag tatsächlich daran, dass Endian nicht das Default-GW war. Ich hatte es zwar als GW drin aber nachrangig.


    Vielen Dank für den Tipp!

  • Ja da hast du wohl recht.. ich dachte irgendwie es reicht wenn das GW mit der Metrik für das Green-Network (172.16.0.0/16) als Route drin ist... so kann man sich irren :)


    Ist im Endeffekt aber zum Glück egal über welches GW der Default-Traffic raus geht. Passt nun also so. Danke!