Meddelande

Minska
No announcement yet.

Kan inte pinga server om 1:1 NAT är aktiverat i brandväggen

Minska
X
 
  • Filter
  • Klockan
  • Show
Clear All
new posts

  • Kan inte pinga server om 1:1 NAT är aktiverat i brandväggen

    Hej,
    När jag aktiverar 1:1 NAT i brandväggen (Zyxel USG 200) till en server vi har så kan jag inte längre pinga serverns lokala IP från min dator som är uppkopplad till nätverket via VPN.

    Det är precis som om serverns lokala IP blir låst/göms när 1:1 NAT aktiveras.
    Avaktiverar jag 1:1 mappningen så går det bra att pinga serverns lokala IP.

    Någon som har en idé var jag ska börja felsöka?
    Är det en brandväggsregel som ska till?
    Eller någon form av routing?

  • #2
    Vad menar du med 1:1 NAT? Är det nåt Zyxel proprietärt meck?
    -Wix

    Kommentera


    • #3
      One to One NAT. Dvs. vi har vidarebefordrat ett fast externt IP till ett lokalt IP.

      Kommentera


      • #4
        Aha okej, så "basic NAT" med andra ord då?

        I vanliga fall funkar basic NAT så att routern enbart byter ut ip-adresserna i paketen till den lokala, och inte ändrar nån annan information, så kan tänka mig att information på högre nivå (VPN t.ex.) inte ändras, men om du kör PAT istället så fungerar det.

        Är det viktigt att det är 1:1 mappning, eller är problemet att du får dålig prestanda när du kör Port Address Translation istället?

        Annars kan jag tänka mig att det kan vara ett lokalt routingproblem på din dator, där den inte vet vilken väg den ska ta till servern, ligger VPNts IP inom samma range som serverns NATade adress?
        -Wix

        Kommentera


        • #5
          vad kör du för VPN, är det IPSec, L2TP eller PPTP?
          -Wix

          Kommentera


          • #6
            Ja, Basic kanske det också kallas!

            Det står inte och faller med att det är 1:1 mappning idag då vi bara har en webbserver. Så vi skulle kunna vidarebefordra all port 80 trafik till den servern.
            Värre blir det väl då om vi t.ex. skaffar en till server som behöver lyssna på port 80 antar jag.

            VPN IP-serien ligger inte inom samma som serverns.

            Något jag också märkte nu är att loggen i brandväggen säger "access forward" på min pingbegäran även fast 1:1 är aktiverat.
            Så det känns inte som om det är någon regel i brandväggen som stoppar iaf.

            VPNn är IPSec via Zyxels egna klientprogramvara.

            Kommentera


            • #7
              Alltså det normala är ju att inte mappa 1:1. Generellt så funkar NAT och VPN bäst med PPTP
              -Wix

              Kommentera


              • #8
                Jag har fått för mig att det måste vara 1:1 eftersom det är en webbserver!?
                Dvs. ex. domän1.se pekar på webbserverns externa (fasta) IP.
                Och domän2.se kan i framtiden peka på webbserver2:s externa IP (om vi skaffar en till webbserver).
                I brandväggen kan jag välja mellan: Virtual server, 1:1 NAT samt 1:Many NAT.
                Men jag tror som sagt att det måste vara 1:1?

                Kommentera


                • #9
                  1: Many NAT borde vara detsamma som PAT skulle jag tro, vilket är det vanligaste sättet att göra det hela på. Kan du sätta upp port forwarding också?
                  -Wix

                  Kommentera


                  • #10
                    Hmm, jag provade att ändra till Virtual Server och det ser faktiskt ut som om det fungerar nu!
                    Jag får göra lite fler tester bara för att vara säker på att allt lirar som det ska.
                    Tack så länge Niklas för att du ledde mig i rätt riktning!

                    Kommentera

                    Working...
                    X