Maskierung VPN Tunnel

Moin Max,

hier kannst du mit einem SNAT arbeiten, sofern du auf der UTM kein striktes Routing im VPN eingeschaltet hast.

Die SNAT Regel sollte in etwa so aussehen:

Quelle: Netzwerk StandortB
Dienst: RDP oder eine Gruppe mit benötigten Diensten
Ziel: RDP Server
SNAT Quelle: IP Adresse aus Netzwerk A
SNAT Dienst: leer lassen

Wenn du automatische Firewall Regel nicht aktiviert hast, musst du diese noch erstellen.

Gruß
DKKDG

Hallo DKKDG,

zunächst einmal Danke für die Unterstützung, muss allerdings sagen, dass ich nicht weiter gekommen bin.

Wie oben im Text geschrieben ist RDP nur zur Erklärung da, dass der Kunde sowohl von Standort A und Standort B (hier per RDP) arbeitet.
RDP an sich, ist hier nicht das Entscheidende, da die Box für eine Webseite zusätindig ist. D.h. wird diese Webseite aufgerufen, muss der Traffic durch diese Box gehen (dies wird mit der Route auf dem PC´s in Standort A und B realisiert). Aber die Box lässt nur IP-Adressen aus dem eigenen Netzwerk (Standort A) zu.

Ich habe trozdem versucht dass anhand deiner Anleitung einzurichten, aber Erfolglos:

An der Sophos im Standort B habe ich folgende NAT-Regel Erstellt:

Regeltyp: SNAT (Quelle)
Datenverkehrsquelle: =Netzwerk Standort B
Datenverkehrsdienst: =Any (hätte aber auch hier eigentlich HTTP bzw, HTTPS machen können aber hab sicherheitshalber Any genommen)
Datenverkehrsziel: IP-Adresse der Box aus Standort A

Quelle ändern in: IP-Adresse der Sophos aus Standort A (hier war ich mir nicht sicher, was ich da eintragen soll)
Dienst ändern in: habe ich leer gelassen

An der Sophos im Standort A habe ich nichts verändert.

Wie gesagt hat dies leider nicht funktioniert und ich komme nicht weiter.

So hab ich es mir vorgestellt:

Hinweg
<Client aus Standort B fragt die spezielle Webseite an und durch die Route am PC soll es an die Box gehen>-<Sophos Standort B>-<Sophos Standort A>-<Box Standort A>-<Spezielle Webseite im www>

Rückweg
<spezielle Webseite>-<Sophos Standort A>-<Sophos Standort B>-<Client aus Standort B>

Beim Hinweg muss dann nur Sophos A oder B oder beide? die IP-Adresse dann maskieren in eine IP-Adresse aus Standort A aber auch so, dass die Daten auf den Rückweg zum Client aus Standort B wiederkommen.

Wenn die Seite nur über Netzwerk A erreichbar ist, muss das SNAT auf der Sophos in Standort A stattfinden und nicht auf Standort B.
Dort soll das Paket nicht verändert werden.

Wenn ich das Routing technisch sehen soll, sollte dies wie folgt aussehen.
- Client aus Netzwerk B Default Gateway zur Sophos und keine Route am PC bzw. wenn eine Route am PC sein soll, da die Sophos kein Default Gateway, zeigt diese zur Sophos B
- Das Routing über den VPN machen die Sophos selbständig, solange der Tunnel nicht am Interface gebunden ist.
- Da die Sophos A vermutlich eine Adresse im selben Netzwerk hat wie die Box A, braucht es hier kein Routing.

Gruß
DKKDG

Hallo DKKDG,

okay, ich hab das Prinzip verstanden aber an der Umsetzung scheitert es leider.

Standort A:
Sophos A: 192.168.1.1
Box: 192.168.1.2
Client A: 192.168.1.3

Standort B:
Sophos B: 192.168.2.1
Client B: 192.168.2.3

Webseite die über die Box aus Standort A geroutet werden muss:
77.77.77.0/23

Standort A habe ich glaube ich hinbekommen, da nachdem ich dort auf dem Client A die Route entfernt habe und der Login auf der Webseite funktioniert hat.

Bei Standort B scheitert es allerdings grade.
Dort habe ich eine DNAT Regel angelegt:
Datenverkehrsquelle = 192.168.2.0/24
Datenverkehrsdienst = Any
Datenverkehrsziel = 77.77.77.0/23
Ziel ändern in = 192.168.1.1 (Sophos Standort A)

Das Ergebnis ist, dass ich beim Aufruf der Webseite nicht im Login der Webseite lande sondern auf der Sophos im Standort A.

Hallo Max,

wie gesagt, das NAT muss auf der Sophos A gemacht werden.

Über welche IP wird den die Webseite von Standort B aufgerufen?
Wenn es die 77er IP ist muss diese auch am Tunnel hängen, damit diese von Standort B nach Standort A kommt.

Gruß
DKKDG

Hallo DKKDG,

wie gesagt habe ich die NAT Regel im Standort A angelegt und sehe dort auch nicht das Problem, da der Client aus Standort A nun auch ohne Route sich Problemlos auf der Webseite anmelden kann.

Weil ich es nicht besser wusste, habe ich dann auf der Sophos in Standort B eine DNAT Regel angelegt, die aber nicht geklappt hatte.

Die Webseite wird über einen Namen aufgerufen, der dann in die IP-Adresse 77.77.77.X aufgelöst wird. (Es klappt aber auch nicht über die IP)

Ich habe die 77-Adresse in die Sophos am Standort B (zu dem Standort A) gepackt, aber das hat nicht viel gebracht. Die Sophos B zeigt mir nun in der Übersicht an, dass es zu 77.X keine Verbindung aufbauen kann.

Hallo Max,

wenn das Ziel nur über die 77er Adresse und die Quelle Netzwerk A sein soll, ist hier kein DNAT notwendig sondern ein SNAT.

Hier die Abfolge:

- Client B will die Webseite über 77er IP erreichen. Dieser schickt die Anfrage zum Default Gateway (Sophos B)
- Sophos B bekommt das Paket von Client B und sieht, dass das Ziel ist eine 77er IP Adresse und schickt diese über den Tunnel zu Sophos A
- Sophos A bekommt das Paket und sieht, dass das Ziel einer 77er IP Adresse ist und schickt dies zu deiner Box, die anscheinend die 77er IP Adressen hält
- Die Box sieht das Ziel mit der 77er IP Adresse und schickt dies nun an den Webserver
- Der Webserver bekommt das Paket und will antworten, kennt aber nicht die IP-Adresse von Netzwerk B und schickt dies zu seinem Default Gateway (Box A)
- Die Box A kennt auch nicht die IP Adresse von Client B und schickt dies zu seinem Default Gateway (?) oder es gibt eine Route zur Sophos für das Netzwerk B, dann wäre gar kein NAT nötig.

So da die Box aber nur Anfragen aus dem Netzwerk A entgegen nimmt, muss ein SNAT auf der Sophos A geschehen, da hier das Netzwerk A beginnt bzw. die Sophos selbst ein.

SNAT Regel dazu:

Quelle: Netzwerk B
Service: HTTP/HTTPS
Ziel: 77er IP Adresse
NAT Quelle: IP aus Netzwerk A der Sophos A (Objekt Schnittstellen Adresse aus Netzwerk A)
NAT Service: leer

Dann sieht die Abfolge gekürzt so aus:

- Sophos A bekommt das Paket und sieht, dass das Ziel einer 77er IP Adresse ist und die Quelle aus Netzwerk B kommt, hier wird das Paket in der Quelle nun auf die IP Adresse der Sophos A aus Netzwerk A gestellt. Routingtechnisch geht dies wieder zur Box A.
- Die Box sieht das Ziel mit der 77er IP Adresse und schickt dies nun an den Webserver
- Der Webserver bekommt das Paket und will antworten, sieht die IP Adresse aus Netzwerk A und schickt dies zu seinem Default Gateway (Box A)
- Die Box A sieht die Anfrage von der Sophos A aus Netzwerk A kommen und schickt diese wieder zur Sophos
- Die Sophos A weiß, dass dies ein genattes Paket war und wandelt dieses wieder um und schickt die Anfrage wieder über Sophos B zu Client B

Gruß
DKKDG

Hallo Max,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. )

I haven't read the rest of this discussion - I'm just responding to your post with IPs.

I assume that your IPsec tunnel connects 192.168.1.0/24 with 192.168.2.0/24.

1. Add 77.77.77.0/23 to the IPsec tunnel.  Put it in 'Local Networks' in A and 'Remote Networks' in B.
2. In B, make sure that the HTTP Proxy is skipped for traffic to 77.77.77.0/23.
3. In A, you have two choices:
   1. Add 192.168.2.0/24 to 'Allowed Networks' in Web Filtering.
   2. Or, add a masq rule for 192.168.2.0/24.  You might need to add a firewall rule like '{192.168.2.0/24} -> Web Surfing -> {77.77.77.0/23} : Allow'.

If both sides of the tunnel use 'Automatic firewall rules', you shouldn't need to add the firewall rule.  Please let us know your result.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Max,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. )

I haven't read the rest of this discussion - I'm just responding to your post with IPs.

I assume that your IPsec tunnel connects 192.168.1.0/24 with 192.168.2.0/24.

1. Add 77.77.77.0/23 to the IPsec tunnel.  Put it in 'Local Networks' in A and 'Remote Networks' in B.
2. In B, make sure that the HTTP Proxy is skipped for traffic to 77.77.77.0/23.
3. In A, you have two choices:
   1. Add 192.168.2.0/24 to 'Allowed Networks' in Web Filtering.
   2. Or, add a masq rule for 192.168.2.0/24.  You might need to add a firewall rule like '{192.168.2.0/24} -> Web Surfing -> {77.77.77.0/23} : Allow'.

If both sides of the tunnel use 'Automatic firewall rules', you shouldn't need to add the firewall rule.  Please let us know your result.

MfG - Bob (Bitte auf Deutsch weiterhin.)