[gelöst] Routing von Innen nach Aussen und wieder nach Innen

1. offizieller Beitrag

    Hallo Gemeinde!

    Als langjähriger IPcop Nutzer, hab ich nun nach einer Firewall mit etwas mehr Funktionen gesucht und bin bei eurer hängen geblieben.
    Die Einrichtung war zwar etwas "ungewohnt", jedoch funktionieren die Sachen schon zu 99%!

    Leider habe ich ein komisches Problem (komisch, weil ich das unterm IPcop nicht kenne)

    Ich habe bei mir im Grünen Lan die IPs 192.168.100.x/24
    Unter meinen Endgeräten gibt es einen Exchange Server mit der IP 192.168.100.11.
    Um die Nutzung von OWA und Sync vom Handy zu ermöglichen, habe ich (wie schon auch beim cop) das Port per Forwarding eingerichtet!
    (Uplink main TCP&UDP/443 auf 192.168.100.11 allow with IPS translate to any)
    Soweit funktioniert das gut, wenn man im roten Bereich (einwahl-usb-stick) ist.

    Am Handy funktionierts auch, solange ich mich im "roten" Bereich befinde. Wenn ich mich nun in mein WLAN (das auch im grünen Netz steht) einklinke, findet er mir den Exchange nicht mehr mit der öffentlichen Adresse (xyz.dyndns.org). Gleiches gilt für Notebook, wenn ich im WLAN bin, kann ich die OWA Adresse auch nicht mehr aufrufen (https://xyz.dyndns.org/exchange).

    Was muss ich noch zusätzlich einstellen, dass ich von Intern auf eine "externe" Adresse zugreifen kann?

    Outgoing Traffic Firewall ist deaktiviert!

    Einmal editiert, zuletzt von dj_jesolo (24. November 2010 um 14:41)

    • Offizieller Beitrag

    Hallo,
    wenn die Rechner im Grünen- Netz ins Internet gehen können und die Seiten angezeigt werden läuft das schon mal mit der DNS Auflösung,
    und wenn das von außen auch geht sollte das Funktionieren.

    Nimmst du Extern und Intern die gleiche dyndns Adresse ?
    Also xyz.dyndns.org oder ein mal http://xyz.dyndns.org/exchange und xyz.dyndns.org

    Geht das von den Internen Rechner mit der dyndns Adresse ?

    Siehst du was in den Logfiles der Firewall ?

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    so.. also die Rechner kommen alle ganz normal ins Internet.. Also DNS Auflösungsproblem ist es nicht! (ping auf die xyz.dyndns.org funktioniert!)
    Von aussen funktioniert auch alles. Soweit glaube ich auch, alles richtig eingestellt zu haben :)

    Natürlich verwende ich intern als auch extern die gleichen Adressen (xyz.dyndns.org).
    Auf der Firewall hab ich folgende (mir unschlüssig, weil eigentlich positive) Einträge (Aufruf der xyz.dyndns.org adresse im FF):

    Code
    Firewall
2010-11-23 19:42:23
PORTFWACCESS:ACCEPT:2 TCP (br0) 192.168.100.6:58234 -> 192.168.100.11:443 (br0) -MAC=00:0c:6e:a1:4f:d8:00:02:a5:18:17:7f:08:00 LEN=52 TOS=00 PREC=0x00 TTL=128 ID=18373 DF SEQ=2988864416 ACK=0 WINDOW=8192 SYN URGP=0 MARK=1800
Firewall
2010-11-23 19:42:26
PORTFWACCESS:ACCEPT:2 TCP (br0) 192.168.100.6:58234 -> 192.168.100.11:443 (br0) -MAC=00:0c:6e:a1:4f:d8:00:02:a5:18:17:7f:08:00 LEN=52 TOS=00 PREC=0x00 TTL=128 ID=18439 DF SEQ=2988864416 ACK=0 WINDOW=8192 SYN URGP=0 MARK=1800
Firewall
2010-11-23 19:42:32
PORTFWACCESS:ACCEPT:2 TCP (br0) 192.168.100.6:58234 -> 192.168.100.11:443 (br0) -MAC=00:0c:6e:a1:4f:d8:00:02:a5:18:17:7f:08:00 LEN=48 TOS=00 PREC=0x00 TTL=128 ID=18565 DF SEQ=2988864416 ACK=0 WINDOW=8192 SYN URGP=0 MARK=1800

    Es hat auch alles bis zum Wechsel zu Endian funktioniert :mrgreen::ugeek:

    gruss Martin :)

    • Offizieller Beitrag

    Geht das ganze auch von Rechner über die dyndns- Afresse die im Grünen- Netz hängen ?
    Wenn ja, hat dein WLan Access Point ein Problem.

    Hast da nur einen WLan Access Point oder mehrere ?

    Gruß Sabine

    Hallo!

    Der Firewall Log Auszug ist von einem Rechner, der normal am Netz hängt, also nicht im Wlan.
    Eigentlich ist es egal, ob aus Wlan (Obwohl ich deinen Ansatz verstehe :) ) oder verkabelt. Es geht prinzipiell nicht von innen nach aussen.
    Warum auch immer :(

    Danke, dass du dir das ansiehst!

    lg Martin

    • Offizieller Beitrag

    Moin,
    das ganze läuft ja über HTTPS, gehen aus dem Netz HTTPS- Seiten ?
    Also kannst du dich auf z.B. web.de oder gmx einloggen ?

    Wenn es von außen funktioniert muss es von innen ja erst recht gehen.
    Gehst du über den Proxy raus ?

    Hast du auf der Firewall ausgehend den Port 443 für den Exchange aufgemacht ?

    Gruß Sabine

    Hi!

    Die ausgehende Firewall ist deaktiviert. von daher muss eigentlich alles nach aussen gehen. Habs aber dennoch nochmals kontrolliert und ich kann die https://www.gmx.at adresse aufrufen.
    Derzeitig sind auch alle Proxy ausgeschaltet. das einzige, was wirklich läuft ist die Firewall von aussen nach innen und der openvpn server.

    Irgendwie verstehe ich das Ganze nicht. Wie du sagst, muss es funktionieren, tut es aber nicht. Ich hab mir auch schon die IPTables angesehen und da ist auch alles korrekt eingetragen:

    Code
    NFLOG      tcp  --  anywhere             192.168.100.11      tcp dpt:https nflog-prefix "PORTFWACCESS:ACCEPT:2"
ACCEPT     tcp  --  anywhere             192.168.100.11      tcp dpt:https
NFLOG      udp  --  anywhere             192.168.100.11      udp dpt:https nflog-prefix "PORTFWACCESS:ACCEPT:2"
ACCEPT     udp  --  anywhere             192.168.100.11      udp dpt:https

    Das selbe "Problem" habe ich hier auch.

    EFW in der firma hat eine dyndns adresse hintendran der exchange. extern also von zu Hause oder per iphone kann ich auf den exchange zugreifen.
    wenn ich aber das iphone in der firma ins wlan bringe, habe ich keinen zugriff auf den exchange.
    Man kann dies auch nachverfolgen, weil ich intern die http://xxx.dyndns.info/tsweb adresse nicht aufrufen kann. dies sollte auf webrdp (Terminalserver) geleitet werden
    irgendwie kann intern die dyndns adresse nicht aufgelöst werden oder so ähnlich.

    theoretsich müsste man aus dem wlan aufs rote interface und dann zurück ins grüne auf den ex.

    Also aufgelöst wird sie. Soviel steht fest. Laut Firewall-Log kommt die Anfrage auch an. Ich werd mal versuchen, am exchange ein windump mitlaufen zu lassen, um zu sehen, ob das Paket überhaupt ankommt.

    • Offizieller Beitrag

    Wenn die ausgehende Firwall deaktiviert ist, verstehe ich es auch nicht !
    Wenn es von außen geht muss es von innen auch gehen.
    Den Port hast du ja Weitergeleitet und ohne Interne Firewall darf ja sowieso alles raus.
    Hast du mal nur die xyz.dyndns.org von Intern aufgerufen ohne /exchange ? Dann muss es gehen !

    Gruß Sabine

    Zitat von "Sabine"


    Hast du mal nur die xyz.dyndns.org von Intern aufgerufen ohne /exchange ? Dann muss es gehen !

    Gruß Sabine

    das geht bei mir nicht. deswegen auch kein kontakt zum ex

    So.. eine neue Erkenntnis... Habe Wincap und Windump am Exchange installiert. Die Anfrage kommt definitiv am Exchange an. Soweit ich den Dump richtig interpretiere, kommt er aber nur an und er kann nicht antworten.

    Code
    14:03:07.607805 IP thor.home.ad.local.62354 > homedc.home.ad.local.443: S2187831848:2187831848(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
14:03:07.607846 IP homedc.home.ad.local.443 > thor.home.ad.local.62354: S1786729468:1786729468(0) ack 2187831849 win 16384 <mss 1460,nop,wscale 0,nop,nop,sackOK>
14:03:07.607943 IP thor.home.ad.local.62354 > homedc.home.ad.local.443: R2187831849:2187831849(0) win 0
14:03:10.613409 IP thor.home.ad.local.62354 > homedc.home.ad.local.443: S2187831848:2187831848(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
14:03:10.613480 IP homedc.home.ad.local.443 > thor.home.ad.local.62354: S1787535214:1787535214(0) ack 2187831849 win 16384 <mss 1460,nop,wscale 0,nop,nop,sackOK>

    Zugriff übers Handy im Providernetz:

    Code
    14:09:28.420490 IP mk093111001254.a1.net.49297 > homedc.home.ad.local.443: P87:269(182) ack 1534 win 31354 <nop,nop,timestamp 1489175 3314520>
[i]14:09:28.426362 IP homedc.home.ad.local.443 > mk093111001254.a1.net.49297: P1534:1577(43) ack 269 win 65267 <nop,nop,timestamp 3314525 1489175>[/i]
14:09:28.737388 IP mk093111001254.a1.net.49297 > homedc.home.ad.local.443: .ack 1577 win 31333 <nop,nop,timestamp 1489213 3314525>


    In der zweiten Line sieht man auch, dass der Webserver/Exchangeserver antwortet bei einem externen Zugriff, was man von einem Internen Zugriff nicht sieht

    Zugriff übers Handy im Wlan:

    Code
    14:10:14.129571 IP 192.168.100.38.41083 > homedc.home.ad.local.443: R 3363658319:3363658319(0) win 0
14:10:19.994254 IP 192.168.100.38.41083 > homedc.home.ad.local.443: S 3363658318:3363658318(0) win 64240 <mss 1460,sackOK,timestamp 1494351 0,nop,wscale 2>
14:10:19.994326 IP homedc.home.ad.local.443 > 192.168.100.38.41083: S 1598903540:1598903540(0) ack 3363658319 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
14:10:20.058805 IP 192.168.100.38.41083 > homedc.home.ad.local.443: R 3363658319:3363658319(0) win 0

    jetzt wird das ganze noch verrückter :shock:

    Nochwas fällt mir ein... Ich habe die Regel so eingestellt, das er NATen soll... Sollte die Anfrage dann nicht von meiner öffentlichen IP kommen und nicht von der internen????

    Es funktioniert!!!

    Ich weiss zwar nicht, warum man das braucht, aber ich hab jetzt einfach mal was probiert und jetzt klappts:

    SNAT Regel:

    Source: 192.168.100.0/24 (grünes Netz)
    Destination: 192.168.100.11 (Exchange)
    Service: https
    NAT to Zone Green: IP:Auto

    Jetzt spricht auch nicht mehr der Client mit dem Exchange, sondern der Endian lt. Windump