Port forwarding med flera publika ip-adresser

Permalänk
Medlem

Port forwarding med flera publika ip-adresser

Hej,

Vi har två internetanslutningar till vårt kontor: En anslutning med en dynamisk publik ip för kontorsnätet och en anslutning med fem statiska publika adresser för servrar o. dyl. Dessa två anslutningar går in i vår router som WAN1 resp. WAN2 och routas sedan vidare till två olika VLAN (kontorsnät + servernät). De servrar som behöver komma åt båda nät ligger med i båda VLAN.
Det jag nu vill å stadkomma är att öppna en port på en av de fasta ip-adresserna till min dator (på kontorsnätet). Problemet är att jag använder kontorsnätets gateway och det innebär att trafiken inte går tillbaka samma väg som den kom in, mao. det funkar inte.
Öppnar jag porten för den dynamiska ip:n (kontorsnätets gateway) så funkar det, men jag vill ha det på e n av de statiska.
En lösning är så klart att sätta in ett extra nätverkskort i min dator och patcha till andra VLANet men det känns inte som det skall vara nödvändigt.

Några tips?

Bilden nedan är en något förenklad översikt över nätverksstrukturen.
Jag har gjort en forward på port 8080 (WAN1) till min PC och det funkar fint. När jag gör motsvarande med port 8081 från WAN2 fungerar det inte.

Konfig på routern enligt följande:

Service: 8080
Send to LAN Server: 192.168.1.101
WAN Destination IP: WAN1
WAN Users: Any

Service: 8081
Send to LAN Server: 192.168.1.101
WAN Destination IP: WAN2
WAN Users: Any

Visa signatur

"Don't argue with stupid people. They will drag you down to their level, and then beat you with experience."
- Mark Twain

Permalänk
Hedersmedlem

Bara så att jag förstår: till vilka VLAN är klienten taggad? Eller VLAN är inte konfigurerad på klientdatorn?

Permalänk
Medlem

@KimTjik: Sorry, fel formulerat av mig. Kör inte taggade VLAN till klienterna utan har en switch som delar upp VLANen på otaggade portar, och servrarna har två nätverkskort anslutna till respektive otaggad port i switchen.

Visa signatur

"Don't argue with stupid people. They will drag you down to their level, and then beat you with experience."
- Mark Twain

Permalänk
Hedersmedlem

Har du en multilayer switch som klarar av att routa mellan VLAN:en?

Permalänk
Medlem

Det har jag inte, men jag tror inte det är problemet. Jag går ju inte mellan VLANen, jag vill bara använda den "andra" publika ip:n på en specifik port.
Har kommit så långt att det har med "Outbound services" att göra. Där är definerat att 192.168.1.0/24 skall använda WAN1 som outbound IP och 192.168.2.0/24 skall använda WAN2. Testade tillfälligt att disabla standardpolicyn och lägga en på bara min IP till WAN2 och det fungerade, men det blir totalhaveri om båda policys är aktiverade samtidigt.

Visa signatur

"Don't argue with stupid people. They will drag you down to their level, and then beat you with experience."
- Mark Twain

Permalänk
Medlem

Inte säker, men eftersom SRX5308 är en brandvägg och du pratar om outbound policies, är det inte så att du definierar att en standard policy skall appliceras på båda WAN interfacen? Och i sådant fall finns det en regel som blockerar den port du vill använda? Som t.ex 8080 & 8081. Om jag uppfattar det rätt så verkar det nästan så och varför det fungerar när du tar bort den vanliga.

Sedan så blir jag lite fundersam, om ni har serverar och får 5st statiska publika adresser för dem, varför kör ni NAT? Eller skrev du bara så för att inte ge ut vilka adresser ni får, vilket inte skulle vara så konstigt.

Permalänk
Medlem

Vi kör NAT för servrarna, ja. Om det är bra eller dåligt är en annan diskussion. Med NAT har vi möjlighet att lägga fler servrar bakom med få ip-adresser, och så känns det säkrare med NAT.

Det verkar som jag löst problemet nu iallafall.
Det låg två outbound policies i brandväggen:

------------------------------
Service: Any
Action: Allow always
LAN users: 192.168.1.1 - 192.168.1.254
NAT IP: WAN1
------------------------------

------------------------------
Service: Any
Action Allow Always
LAN Users: 192.168.2.1 - 192.168.2.254
NAT IP: WAN2
------------------------------

Ändrade NAT IP på första policyn (den för 192.168.1.1) till "Auto" istället för "WAN1".
Antar att den känner av var trafiken kommer ifrån med Auto, annars tvingar den till WAN1.

Nu kan jag ansluta utifrån på port 8080 från WAN1 och 8081 från WAN2, och båda går till 192.168.1.101. Awesome!

Tack Sweclockers, ni har gjort det igen!

Visa signatur

"Don't argue with stupid people. They will drag you down to their level, and then beat you with experience."
- Mark Twain