matthe 10 Geschrieben 26. Juni 2009 Melden Teilen Geschrieben 26. Juni 2009 Hallo zusammen Ich habe zwei 2003 Server, einer ist ein DC inkl. IIS und der andere ist normal in der Domäne eingebunden, auch mit IIS. Auf dem DC ist zusätzlich Exchange 2003 installiert und über SSL erreichbar. Nun sollte ich vom WAN aus zusätzlich per SSL auf den zweiten Server auf eine Web-Applikation zugreifen können. Ich habe aber nur eine Fixe IP, jedoch in der Firewall kein NAT. (Firewallseitig müsste es also gehen, Zyxel USG 200) Wenn ich Exchange über Port 443 und Applikation über Port 8443 konfiguriere ist das kein Problem, wie mache ich dies mit dem selben Port? Habe zwei verschiedene Host (A Record) erstellt. Z. Bsp. test1.domain.ch und test2.domain.ch, die aber auf die gleiche IP verweisen. Muss ich was mit den Hostheaderwerten machen? Danke zum voraus. Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 29. Juni 2009 Melden Teilen Geschrieben 29. Juni 2009 Hostheader oder zus. IP sollten Dir helfen. Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 29. Juni 2009 Melden Teilen Geschrieben 29. Juni 2009 Eventuell kann man im IIS mit der Inhaltsweiterleitung arbeiten. Zitieren Link zu diesem Kommentar
matthe 10 Geschrieben 2. Juli 2009 Autor Melden Teilen Geschrieben 2. Juli 2009 Hallo zusammen Danke für eure Antworten. Habe das Ganze nun gelöst: Mit Hostheaderwerten funktioniert das schon, jedoch entweder oder. (Server1 oder Server2) Die Firewall hat zwar kein reines NAT, und ich kann SSL auf beide Server umleiten, die Firewall nimmt dann jedoch einfach den zuerst konfigurierten Weg. Schlussendlich bin ich aber nicht um eine 2. öffentliche IP herumgekommen. So funktioniert das ganze natürlich einwandfrei. Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 2. Juli 2009 Melden Teilen Geschrieben 2. Juli 2009 (bearbeitet) Hallo matthe, Ich habe aber nur eine Fixe IP, jedoch in der Firewall kein NAT.Wenn Du an der Firewall keine Adressübersetzung machst, dann müssten doch alle Server öffentliche IP-Adressen haben und das ganze Problem würde gar nicht existieren. Mit "nur eine Fixe IP" meinst Du vermutlich, dass Du bisher nur eine (feste) _öffentliche_ IP-Adresse hattest. Deine Aussage bzgl. NAT scheint also nicht zu stimmen. Mit Hostheaderwerten funktioniert das schon, jedoch entweder oder. (Server1 oder Server2) Die Firewall hat zwar kein reines NAT, und ich kann SSL auf beide Server umleiten, die Firewall nimmt dann jedoch einfach den zuerst konfigurierten Weg.Wieder so eine Aussage, die die Vermutung nahe legt, dass Du weder die grundlegenden Konzepte noch die konkrete Funktionalität der USG wirklich verstanden hast.1) Was ist denn für Dich "reines NAT"? 2) Ganz offenkundig hast Du auf der USG versuchsweise mehrere sich inhaltlich überschneidende sog. "virtuelle Server" angelegt. Mit vServern macht man auf der USG sog. Destination-NAT (und ggf. Porttranslation). Die USG macht an dieser Stelle aber keine Hostheader Inspection! Du kannst hier zwar zuvor definierte Objekte verwenden, die wie FQDNs aussehen, jedoch sind dies lediglich "Stellvertreter" für die objektorientierte Konfiguration. Der Umstand, dass die Firewall "einfach den zuerst konfigurierten Weg" nimmt, ist darin begründet, dass der zweite vServer nicht korrekt initialisiert werden kann, weil der zuvor angelegte vServer bereits das Socket belegt. Im Logfile der USG sollte eine entsprechende Fehlermeldung zu finden sein. Leider erfolgt keine Prüfung auf Konflikte beim Anlegen oder Modifizieren eines vServers. Gruß s.k. bearbeitet 2. Juli 2009 von s.k. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 3. Juli 2009 Melden Teilen Geschrieben 3. Juli 2009 Als Alternative ISA (oder ein anderer beliebiger Reverse Proxy) mit Server bekanntmachung. Zitieren Link zu diesem Kommentar
matthe 10 Geschrieben 6. Juli 2009 Autor Melden Teilen Geschrieben 6. Juli 2009 hallo s.k. Du hast natürlich recht, habe mich ziemlich doof ausgedrückt. 1. Zitat von matthe Ich habe aber nur eine Fixe IP, jedoch in der Firewall kein NAT. Wenn Du an der Firewall keine Adressübersetzung machst, dann müssten doch alle Server öffentliche IP-Adressen haben und das ganze Problem würde gar nicht existieren. Mit "nur eine Fixe IP" meinst Du vermutlich, dass Du bisher nur eine (feste) _öffentliche_ IP-Adresse hattest. Deine Aussage bzgl. NAT scheint also nicht zu stimmen. Ja, 1 fixe öffentliche IP 2. 1) Was ist denn für Dich "reines NAT"? Meinte damit eigentlich wie man es auf älteren resp. nicht OO Firewalls kannte. SUA/NAT; Many to One, Many to Many, usw 3. 2) Ganz offenkundig hast Du auf der USG versuchsweise mehrere sich inhaltlich überschneidende sog. "virtuelle Server" angelegt. Mit vServern macht man auf der USG sog. Destination-NAT (und ggf. Porttranslation).Die USG macht an dieser Stelle aber keine Hostheader Inspection! Du kannst hier zwar zuvor definierte Objekte verwenden, die wie FQDNs aussehen, jedoch sind dies lediglich "Stellvertreter" für die objektorientierte Konfiguration. Der Umstand, dass die Firewall "einfach den zuerst konfigurierten Weg" nimmt, ist darin begründet, dass der zweite vServer nicht korrekt initialisiert werden kann, weil der zuvor angelegte vServer bereits das Socket belegt. Jup, so hab ichs gemacht. Und kein reines NAT wäre dann des DNAT. Ich weiss, im Nachhinein sehr unprofessionell geschrieben. Und das mit den Hostheader wäre eigentlich auch klar, dass das nicht geht. Da ja Firewalls den Inhalt nicht prüfen. Hatte mich da beirren lassen, als ich jeweils nur einer der zwei vServer im DNAT aktiv hatte. Danke für die Richtigstellung! lg matthe Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.