[jayzee]

Hej alla glada,

nu har jag ett problem med min Zyxel USG-200 som jag hoppas någon vänlig själ kan hjälpa mig mig.
Jag har ett kontor med en del arbetsstationer samt en staging-webserver. Webservern kör på vlan medan resten av kontoret kör på lan1, båda är medlemmar av LAN1 interface där "Block Intra-zone Traffic" är satt pga. säkerhetsskäl.

Nu är saken den att att vill skapa NAT Loopback så när man från en arbetsstation som är medlem i båda näten (lan1 & vlan) anger domännamnet i webbläsaren att det ser ut som requesten kommer "utifrån". Detta eftersom jag vill testa några IP-specifika features som förutsätter att man kommer utifrån (WAN interface). Problemet är att när jag skapar en sådan regel så droppas paketen eftersom requesten kommer från lan1 (intra-zone blocking on LAN1, REJECT) , tar jag bort "Block Intra-zone Traffic" så fungerar det.

Hur löser jag denna dilemma?

Min NAT Loopback regel:

[KristianE]

Använder du alla andra zoner så det är därför du lagt båda i LAN1?
Annars skulle man kanske lagt VLAN:et i LAN2, eller nåt liknande.
Då styr man all trafik via brandväggsreglerna i stället. Inom zonen
är det normalt fritt blås, om man nu inte väljer att blocka denna trafik.

Ett tips är att ringa ZyXELs support och snacka med Johan där. Han
är The Man på USG.

Blir det någon skillnad på om du lägger en specifik Allow-regel i Firewall:
LAN1->LAN1, HTTP, Allow?

[jayzee]

Citat:

Ursprungligen postat av KristianE

Använder du alla andra zoner så det är därför du lagt båda i LAN1?

Nej, jag använder enbart LAN1 zonen. Anledningen till att jag inte kan ha VLAN i LAN2 är hur jag har dragit kablage. Kabeln går från en port i brandväggen (LAN 1 zone) till en switch som i sin tur är kopplad till arbetsstationerna och till den andra switchen som server är kopplad till.

Jag provar att lägga till en specifik regel och rapporterar sen.

[jayzee]

Har lagt till en firewall regel nu och jag får fram sidan på servern från arbetsstationen när jag anger www.testdomän.com. Dock oversätts inte arbetsstationens IP nummer till den publika utan den skickar den interna? NAT loopback regeln har inte ändrats.

EDIT: Löste det genom att ändra type till auto i Next-Hop - varför det fungerar har jag ingen aning om(!?) Jag provade sätta next-hop till allt annat möjligt men det fungerade inte, source ip var alltid densamma.

[KristianE]

Hehe, bra att du löste det. Ja, Next-Hop under Routing är inte
dum att köra så mycket auto det går. Själv brukar jag bara
specificera Next-Hop när jag vill tvinga trafik en riktigt speciell
väg, t.ex. över en av WAN-länkarna, VPN-tunnel, etc. Vill man
bara få "ut" skiten så är det enklast att köra auto.