Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 2 replies
  • Answers 1 answer
  • Subscribers 27 subscribers
  • Views 3132 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Port Mehrfachnutzung

Alexander Polz

Ich habe den Port 4500 bereits auf Appliance für den Remote Zugang  in Verwendung.

Nun benötigen zwei externe Unternehmen noch je eine Verbindung zu ihren Cisco Routern. Diese sollen beide auch über den Port 4500 von außen erreichbar sein.

Ich habe die beiden Router dafür erstmal in die DMZ gepackt und scheitere nun daran, dass ich so gesehen nun insgesamt 3x den 4500er Port nach außen anbieten muss.

Das Problem: Es gibt nach außen nur eine public IP.

Ist es mittels Konfiguration in der Sophos XG (Alle Lizenzen) möglich dies zu realisieren. Ich habe gelesen NAT-T könnte hier ein Ansatz sein. Wenn ja, wie?



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    Das ist eher ein Network Thema. 

    Wenn du mit DNAT anfängst, kannst du ANY Port 4500 irgendwo hin weiterleiten. 

    Oder du könntest die Source einschränken mit mehreren Port 4500 NATs. (Source IP 1 Port 4500 zu IP1, Source IP 2 Port 4500 zu IP2. etc.)

    Die WAF kann das für HTTP/s anbieten. Diese kann ein Site path Routing machen. Aber Port 4500 hört sich nicht nach HTTP/s an. 

    Das Problem ist nämlich, wie soll die Appliance das unterscheiden? Wann soll welche Ressource weitergeben werden? Das kann Sie nur anhand von Pattern wie Source IP im Internet, Ports oder ähliches. 

    Oder du änderst den Port nach außen ab... 

    Port 4500 für IP1

    Port 4501 für IP2

    Port 4502 für IP3.

    Danach im DNAT kannst du den Port wieder auf Port 4500 umändern. Nach außen sind nur andere Ports veröffentlicht. 

Reply
  • 0

    Hallo,

    Das ist eher ein Network Thema. 

    Wenn du mit DNAT anfängst, kannst du ANY Port 4500 irgendwo hin weiterleiten. 

    Oder du könntest die Source einschränken mit mehreren Port 4500 NATs. (Source IP 1 Port 4500 zu IP1, Source IP 2 Port 4500 zu IP2. etc.)

    Die WAF kann das für HTTP/s anbieten. Diese kann ein Site path Routing machen. Aber Port 4500 hört sich nicht nach HTTP/s an. 

    Das Problem ist nämlich, wie soll die Appliance das unterscheiden? Wann soll welche Ressource weitergeben werden? Das kann Sie nur anhand von Pattern wie Source IP im Internet, Ports oder ähliches. 

    Oder du änderst den Port nach außen ab... 

    Port 4500 für IP1

    Port 4501 für IP2

    Port 4502 für IP3.

    Danach im DNAT kannst du den Port wieder auf Port 4500 umändern. Nach außen sind nur andere Ports veröffentlicht. 

Children
  • 0 in reply to LuCar Toni

    Hallo und vielen Dank für die schnelle Antwort,

    Der UDP Port 4500 wird fest für Cisco VPN benötigt, daher kann ich diesen zwar nach außen hin auf Port 4501 ändern, dies bringt nur der Gegenstelle leider nix. Bei z.B. SSH ist dies kein Problem, bei Cisco Remote Verbindungen scheitert diese Option leider.

    Das mit der IP der Gegenstelle (Source IP) ist eine super Idee. Ich werd das mal probieren.