matthe 10 Posted June 26, 2009 Report Posted June 26, 2009 Hallo zusammen Ich habe zwei 2003 Server, einer ist ein DC inkl. IIS und der andere ist normal in der Domäne eingebunden, auch mit IIS. Auf dem DC ist zusätzlich Exchange 2003 installiert und über SSL erreichbar. Nun sollte ich vom WAN aus zusätzlich per SSL auf den zweiten Server auf eine Web-Applikation zugreifen können. Ich habe aber nur eine Fixe IP, jedoch in der Firewall kein NAT. (Firewallseitig müsste es also gehen, Zyxel USG 200) Wenn ich Exchange über Port 443 und Applikation über Port 8443 konfiguriere ist das kein Problem, wie mache ich dies mit dem selben Port? Habe zwei verschiedene Host (A Record) erstellt. Z. Bsp. test1.domain.ch und test2.domain.ch, die aber auf die gleiche IP verweisen. Muss ich was mit den Hostheaderwerten machen? Danke zum voraus. Quote
nobex 10 Posted June 29, 2009 Report Posted June 29, 2009 Hostheader oder zus. IP sollten Dir helfen. Quote
Stephan Betken 43 Posted June 29, 2009 Report Posted June 29, 2009 Eventuell kann man im IIS mit der Inhaltsweiterleitung arbeiten. Quote
matthe 10 Posted July 2, 2009 Author Report Posted July 2, 2009 Hallo zusammen Danke für eure Antworten. Habe das Ganze nun gelöst: Mit Hostheaderwerten funktioniert das schon, jedoch entweder oder. (Server1 oder Server2) Die Firewall hat zwar kein reines NAT, und ich kann SSL auf beide Server umleiten, die Firewall nimmt dann jedoch einfach den zuerst konfigurierten Weg. Schlussendlich bin ich aber nicht um eine 2. öffentliche IP herumgekommen. So funktioniert das ganze natürlich einwandfrei. Quote
s.k. 11 Posted July 2, 2009 Report Posted July 2, 2009 (edited) Hallo matthe, Ich habe aber nur eine Fixe IP, jedoch in der Firewall kein NAT.Wenn Du an der Firewall keine Adressübersetzung machst, dann müssten doch alle Server öffentliche IP-Adressen haben und das ganze Problem würde gar nicht existieren. Mit "nur eine Fixe IP" meinst Du vermutlich, dass Du bisher nur eine (feste) _öffentliche_ IP-Adresse hattest. Deine Aussage bzgl. NAT scheint also nicht zu stimmen. Mit Hostheaderwerten funktioniert das schon, jedoch entweder oder. (Server1 oder Server2) Die Firewall hat zwar kein reines NAT, und ich kann SSL auf beide Server umleiten, die Firewall nimmt dann jedoch einfach den zuerst konfigurierten Weg.Wieder so eine Aussage, die die Vermutung nahe legt, dass Du weder die grundlegenden Konzepte noch die konkrete Funktionalität der USG wirklich verstanden hast.1) Was ist denn für Dich "reines NAT"? 2) Ganz offenkundig hast Du auf der USG versuchsweise mehrere sich inhaltlich überschneidende sog. "virtuelle Server" angelegt. Mit vServern macht man auf der USG sog. Destination-NAT (und ggf. Porttranslation). Die USG macht an dieser Stelle aber keine Hostheader Inspection! Du kannst hier zwar zuvor definierte Objekte verwenden, die wie FQDNs aussehen, jedoch sind dies lediglich "Stellvertreter" für die objektorientierte Konfiguration. Der Umstand, dass die Firewall "einfach den zuerst konfigurierten Weg" nimmt, ist darin begründet, dass der zweite vServer nicht korrekt initialisiert werden kann, weil der zuvor angelegte vServer bereits das Socket belegt. Im Logfile der USG sollte eine entsprechende Fehlermeldung zu finden sein. Leider erfolgt keine Prüfung auf Konflikte beim Anlegen oder Modifizieren eines vServers. Gruß s.k. Edited July 2, 2009 by s.k. Quote
Dukel 461 Posted July 3, 2009 Report Posted July 3, 2009 Als Alternative ISA (oder ein anderer beliebiger Reverse Proxy) mit Server bekanntmachung. Quote
matthe 10 Posted July 6, 2009 Author Report Posted July 6, 2009 hallo s.k. Du hast natürlich recht, habe mich ziemlich doof ausgedrückt. 1. Zitat von matthe Ich habe aber nur eine Fixe IP, jedoch in der Firewall kein NAT. Wenn Du an der Firewall keine Adressübersetzung machst, dann müssten doch alle Server öffentliche IP-Adressen haben und das ganze Problem würde gar nicht existieren. Mit "nur eine Fixe IP" meinst Du vermutlich, dass Du bisher nur eine (feste) _öffentliche_ IP-Adresse hattest. Deine Aussage bzgl. NAT scheint also nicht zu stimmen. Ja, 1 fixe öffentliche IP 2. 1) Was ist denn für Dich "reines NAT"? Meinte damit eigentlich wie man es auf älteren resp. nicht OO Firewalls kannte. SUA/NAT; Many to One, Many to Many, usw 3. 2) Ganz offenkundig hast Du auf der USG versuchsweise mehrere sich inhaltlich überschneidende sog. "virtuelle Server" angelegt. Mit vServern macht man auf der USG sog. Destination-NAT (und ggf. Porttranslation).Die USG macht an dieser Stelle aber keine Hostheader Inspection! Du kannst hier zwar zuvor definierte Objekte verwenden, die wie FQDNs aussehen, jedoch sind dies lediglich "Stellvertreter" für die objektorientierte Konfiguration. Der Umstand, dass die Firewall "einfach den zuerst konfigurierten Weg" nimmt, ist darin begründet, dass der zweite vServer nicht korrekt initialisiert werden kann, weil der zuvor angelegte vServer bereits das Socket belegt. Jup, so hab ichs gemacht. Und kein reines NAT wäre dann des DNAT. Ich weiss, im Nachhinein sehr unprofessionell geschrieben. Und das mit den Hostheader wäre eigentlich auch klar, dass das nicht geht. Da ja Firewalls den Inhalt nicht prüfen. Hatte mich da beirren lassen, als ich jeweils nur einer der zwei vServer im DNAT aktiv hatte. Danke für die Richtigstellung! lg matthe Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.