NAT Problem

[Robocop 10]

sobald ich an meinem Router NAT einschalte, ist mein Web- und EMailserver (feste IP) nicht mehr erreichbar. Woran könnte das liegen? DMZ Portmapping Port 25, 53 ... ist eingerichtet auf den Server.

 

An der Firewall liegt es nicht, hab sie schon mal deaktiviert.

 

traceroute kommt erst gar nicht bis zum Webserver.

 

Für Hilfe bin ich echt dankbar.

[IThome 10]

Wäre nicht schlecht und würde sehr helfen, wenn Du ein wenig mehr über die Konfiguration Deines Netzwerkes schreiben würdest. :)

[Robocop 10]

so siehts bei mir aus: :-)

 

lokales netzwerk -> firewall 1 -> dmz -> firewall 2-> internet

 

wenn ich bei firewall 2 NAT Aktiviere, ist wie gesagt die dmz nicht mehr erreichbar, internetzugang und soweiter geht alles. An der Firewall liegt es nicht, da deaktiviert.

 

Die DMZ ist eingerichtet

 

Bei Firewall 1 ist schon NAT aktiviert.

 

Ohne NAT komme ich mit einem Traceroute von draussen auf meinen DNS-Server.

 

Mit NAT komme ich mit einem Traceroute von draussen nur bis zur WAN-IP des Routers.

EMail, DNS-Auflösung funktionieren dann auch nicht mehr. Offensichtlich weiss der Router nicht, was er machen soll wenn er eine DNS anfrage erhält (obwohl ich ein portforward 53 auf den entsprechenden server gemacht habe).

 

Vielleicht der Router kaputt? Ansonsten geht aber alles

 

verzweifel hier langsam :-((((

[Aktaion 10]

Ist dein IP Adressbereich in der DMZ öffentlich oder privat?

 

Poste am besten mal ne Ausgabe von

ipconfig /all

 

Wenn es dir aus sicherheitstechnischen Gründen nicht möglich ist, ersetze eben die IP-Adressen durch Gleichwertiges ...(aber nicht aus privaten öffentliche machen und umgekehrt)

[Robocop 10]

in der DMZ steht eine öffentliche IP

[Das Urmel 10]

Du must der Firewall beibringen, die von dir gewünschten Ports zu deinen Servern durchzulassen.

[Robocop 10]

ich habe portforwards eingerichtet: 53, 25, 110, 80, ....

 

trotzdem zeigen externe tests, dass mein dns-server und mailserver nicht mehr erreichbar sind

[Aktaion 10]

Dein Router kann aber auch NAT zwischen öffentlichen und öffentlichen Adressen? Weil afaik ist NAT zum umsetzen von privaten in öffentliche gedacht - eventuell liegt da dein Problem.

 

EDIT: Stimmt das Routing auf dem Webserver? D.h. default gateway auf den externen Router?

[edv-olaf 10]

ich habe portforwards eingerichtet: 53, 25, 110, 80, ....

 

trotzdem zeigen externe tests, dass mein dns-server und mailserver nicht mehr erreichbar sind

Eine ganz bescheidene Frage: WO genau stehen deine Server? Ich vermute sinnigerweise in der DMZ mit einer offiziellen IP.

 

Wenn dem so ist, darfst du kein DNAT auf FW2 einrichten, da es Null Sinn macht.

Was du benötigst, ist ein erlaubtes Routing auf die IP und Ports der Server. Dann jedoch dürfen Server und FW2 nicht dieselben IP-Adresskreise besitzen, da sonst der Router in FW2 nicht weiss, wohin mit den Paketen. Klappt also nicht, egal, wie rum man es betrachtet.

 

Deine Beschreibung ist zwar noch immer nicht eindeutig, aber ich vermute mal Folgendes:

Du hast einen Denkfehler im Aufbau! In der DMZ benötigst du einen anderen IP-Adresskreis, als FW2 zum Internet hat. Sinnigerweise ist dies bereits ein privater Adresskreis, womit FW2 auch SNAT (von DMZ zum INet) und DNAT (vom INet zur DMZ) durchführt.

 

Im inneren Netz benötigst du ebenfalls einen anderen IP-Adresskreis (sinnigerweise ebenfalls privat). FW1 macht dann ausschließlich SNAT (von Innen zur DMZ).

 

Der Aufbau wäre also etwa Folgendermaßen:

 

Netz_Innen: IP-Adresskreis 192.168.0.x

IP FW1_Innen: 192.168.0.1

IP FW1_DMZ: 192.168.100.1

Netz_DMZ: IP-Adresskreis 192.168.100.x

IP Server (DNS usw.): 192.168.100.2

IP FW2_DMZ: 192.168.100.254

IP FW2_INet: Deine_offizielle_IP

 

FW1 macht SNAT von 192.168.0.x auf 192.168.100.1

FW2 macht SNAT von 192.168.100.x auf Deine_offizielle_IP

FW2 macht DNAT von Deine_offizielle_IP:Port auf 192.168.100.2 (Server, freigegebene Ports)

 

Damit klappt dein Vorhaben! (Zumindest hat es bei den letzten 20 Kunden so funktioniert ;))

 

Grüße

Olaf