Portfreigabe mit FritzBox dahinter eine weitere Firewall

[RalphT]

Moin,

ich habe hier ein Scenario mit einer Fritzbox, hinter der noch eine weitere Firewall sitzt. Ein Webserver sitzt hinter der zweiten Firewall. Diesen möchte ich gerne von außerhalb erreichbar machen. Hinter der Fritzbox ist direkt eine zweite Firewall installliert. Jetzt habe ich in der Fritzbox eine Freigabe eingerichtet. Als Zieladresse habe ich die IP-Adresse der zweiten Firewall verwendet. Der Zugriff von außen funktioniert nicht.
Jetzt gibt es ja 2 Möglichkeiten, warum das nicht funktioniert. Entweder ist in der zweiten Firewall noch etwas falsch konfiguriert oder das Problem liegt in der Fritzbox. Daher hatte ich versucht bei der Freigabe des Webservers nicht die IP-Adresse des Ethernetports der zweiten Firewall zu verwenden, sondern die IP-Adresse des Webservers. Das lässt die Fritzbox nicht zu. Dort steht dann sinngemäß: Nicht möglich, da das Netz unbekannt ist.
Das stimmt. Die Fritzbox kennt das Netz hinter der zweiten Firewall auch nicht.
Meine Frage:
Muss in diesem Fall die IP-Adresse der zweiten Firewall als Freigabe eingetragen werden oder ist das so mit dieser Kombination nicht möglich?

 

[blurrrr]

Das kommt wohl auf die Firewall-Konfiguration an:

Variante 1) Firewall hat noch NAT aktiv
Variante 2) Firewall hat kein NAT aktiv, für die Netze hinter der Firewall sind statische Routen bei der Fritz!Box hinterlegt, da diese ansonsten auch garnicht ins Internet kommen.

Ich bin mir jetzt nicht sicher, ob die Fritz!Box auch in Netze hinter der Firewall weiterleiten kann, aber theoretisch solltest Du bei der Weiterleitung direkt die IP des Webservers angeben. Ist NAT aktiv, musst Du auf der Firewall ebenfalls eine Portweiterleitung (DNAT/Destination-NAT/Ziel-NAT) auf den Webserver vornehmen und in der Fritz!Box als Weiterleitungsziel die WAN-IP der Firewall eintragen.

Zum testen könntest Du Dich - von einem Netz hinter der Firewall - an der Fritz!Box anmelden und schauen, mit welcher IP die Fritz!Box Deinen Login registriert hat. Ist es die WAN-IP der Firewall, läuft dort NAT (SNAT/Source-NAT/Quell-NAT). Ist kein NAT aktiv und sind keine Routen auf der Fritz!Box für die Netze hinter der Firewall gesetzt, kannst Du schon garnicht auf die Fritz!Box zugreifen, da Du mit einer IP aus dem Netz hinter der Firewall anrückst, die Fritz!Box weiss aber nicht, wohin mit der Antwort, da sie den Weg in dieses Netz nicht kennt, wird die Pakete an ihr Standard-Gateway schicken (also Richtung Internet), wo die Pakete für private Netzwerke dann sowieso verworfen werden - ergo bekommt der Client einfach gar keine Antwort.

 

[the other]

Moinsen,
und nicht die passende Regel am WAN Interface vergessen für den Zugriff...
BTW: was für eine Firewall ist denn am Start?

 

[RalphT]

Moinsen,
und nicht die passende Regel am WAN Interface vergessen für den Zugriff...
BTW: was für eine Firewall ist denn am Start?

Als Firewall ist dort eine Watchguard. Früher, also ohne Fritzbox, wurde die Watchguard direkt vom DSL-Router vom Provider versorgt. Es lagen also die öffentlich IP-Adressen an der Watchguard an. Der Webserver war zu dieser Zeit von außen erreichbar. Also war/ist natürlich die Regel am WAN-Port eingerichtet und auch NAT.
Jetzt wurde statt dem DSL-Router vom Provider eine Fritzbox eingesetzt. Daher meine Frage.
Ich meine auch, dass man bei der Fritzbox bei der Internetfreigabe die IP-Adresse vom Webserver verwenden muss. Aber für mich ist das auch Neuland, da ich bisher diese Kombination noch nicht kannte.

 

[blurrrr]

Jetzt wurde statt dem DSL-Router vom Provider eine Fritzbox eingesetzt.

Naja, wenn es ein "Router" war, war dort vllt ein 1:1-NAT aktiv (oder "exposed host" -> WAN-IP der Firewall). Andernfalls war es ggf. auch einfach nur ein Modem, mit welchen sich die Firewall eingewählt hat? Irgendwas bei der Umstellung bei der Watchguard-Firewall umkonfiguriert, oder einfach nur Geräte gewechselt und lief?

EDIT: Btw könntest Du auch einfach die Reverse-Proxy-Funktion der Firewall nutzen (sofern diese sowas unterstützt, scheint aber so).