Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 29 replies
  • Subscribers 6 subscribers
  • Views 2563 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT zugriff auf Server hinter Fritz box und Sophos

FaM

Hallo zusammen, 

ich bin langsam am verzweifeln und suche seit Stunden nach einer Lösung für die folgende Problematik:

Wir betreiben einen Server hinter einer Sophos XGS116 FW 18.5.

Als Internet AP ist eine FB 7590 installiert.

Wir wollen aus dem Internet über folgende Ports auf unseren Server zugreifen:

https tcp 443 (Dieser funktioniert über DNAT)

ovpn:

udp1194 (keine Rückmeldung)

tcp5443 (keine Rückmeldung)

TCP6220 (keine Rückmeldung)

UDP500

IP Protokoll ESP

auf der Sophos ist noch VPN eingerichtet über den Port 8443.

Diese Ports wurden als dienst angelegt und in der DNAT Regel angegeben.

Bisheriger versuch:

Regeln Richtlinien -> NAT Regeln -> DNAT Regel erstellen die interne IP des Server wählen -> die IP Adresse des Port2 (Port zur FB als Öffentliche IP)-> die Dienste wie angelegt und Quellnetzwerke beliebig.

an welcher stelle mache ich da was falsch?

Wenn ich anstelle der IP Adresse des Port2 die WAN IP der FB mache (unsere öffentliche IP vom Provider) kommt nichts mehr an.

Vielen Dank.



This thread was automatically locked due to age.
Parents
  • 0

    Vielen Dank für die Nachricht,

    über die WAN IP komme ich rein, das klappt der Port 443 ist durch die DNAT Regel auch offen.

    Leider bekomme ich über die restlichen Ports keine Rückmeldung,

    diese sind zwar im Dienst mit angelegt werden jedoch nicht geroutet.

    Kann es sein, dass der SSL VPN Dienst der Sophos an dieser Stelle blockt?

    Muss ich die Ports umlegen und andere nutzen?

    Vielen Dank.

  • 0 in reply to FaM

    Hallo,

    ich verstehe leider immer noch nicht ...

    "Leider bekomme ich über die restlichen Ports keine Rückmeldung," ... sind denn da Dienste, welche Antworten sollten?

    Wenn UDP 1194 für SSL-VPN konfiguriert wurde, wurde das auch in "device access" für die WAN-Zone zugelassen? (und von der FB weitergeleitet?)

    Funktioniert SSL-VPN?

    Der SSL VPN Dienst blockt nix. Sollen die anderen ports "durch" den SSL-VPN-Tunnel erreichbar sein, oder sind in der Sophos Weiterleitungen dafür konfiguriert?

    Warum sind die ganzen Ports in einem Dienst zusammengefasst? Wo wird das verwendet ... und wie? Evtl. hier mal ein paar Screenshots beisteuern.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Also zum einen wollen wir auf der Sophos die SSL VPN Verbindung nutzen,

    hinter der Sophos steht allerdings noch ein Server der über die Ports, welche in einem Dienst zusammengefasst sind erreichbar sein sollen.

    Wir sind von eine Zyxel umgestiegen, mit dieser hat alles noch funktioniert, auf dieser wurde bereits ssl vpn genutzt,

    hier haben wir den Port auf TCP8443 umgestellt in der Sophos, das funktioniert auch.

    Die Weiterleitungen auf der FB wurden angepasst und funktionierten.

    Können die Dienste so zusammengefasst werden?

    Eine Regel in der FW für den Server mit UDP1194 für WAN hat auch keinen Erfolg gebracht.

Reply
  • 0 in reply to dirkkotte

    Also zum einen wollen wir auf der Sophos die SSL VPN Verbindung nutzen,

    hinter der Sophos steht allerdings noch ein Server der über die Ports, welche in einem Dienst zusammengefasst sind erreichbar sein sollen.

    Wir sind von eine Zyxel umgestiegen, mit dieser hat alles noch funktioniert, auf dieser wurde bereits ssl vpn genutzt,

    hier haben wir den Port auf TCP8443 umgestellt in der Sophos, das funktioniert auch.

    Die Weiterleitungen auf der FB wurden angepasst und funktionierten.

    Können die Dienste so zusammengefasst werden?

    Eine Regel in der FW für den Server mit UDP1194 für WAN hat auch keinen Erfolg gebracht.

Children
  • 0 in reply to FaM

    So weit habe ich es verstanden... am besten die einzelnen punkte einzeln behandeln ...

    SSL VPN zur SophosFW mit port  TCP8443 .... funktioniert nicht?
    - ist an der Sophos FW Port TCP8443 konfiguriert? ist der Client auch auf 8443 umkonfiguriert? Was sagt das Log? Wie weit kommt der Client?

    Die restlichen Ports sollen via DNAT an einen Server weitergeleitet werden, also nicht "durch" den VPN Tunnel?
    - wurde hier der DNAT-Assistent verwendet? Dann funktioniert es meistens. Was sagt das Log? Wie sieht die NAT regel aus?
    Die Regeln von Hand zu bauen ist nicht leicht oder logisch. Vgl. meine Regel (erstellt mit Wizzard) ... da ist als Ziel-IP der WAN-Port (PortA.2) angegeben. Wenn die Regel nicht matcht, würde man das aber auch im Log sehen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    So weit funktioniert das meiste, 

    leider kommt in der Sophos immer wieder die Meldung: 

    2022-04-05 08:48:02
    Invalid Traffic
    Denied
    N/A
    0
    Port2
    31451
    5445
    TCP
    0
    01001
    Open PCAP
    Invalid packet.

    obwohl der Port in der Nat und in der Regel geregelt ist.

    Wie kann ich das erschlagen?

    Vielen Dank.

    Fabian

  • 0 in reply to FaM

    Hi FaM

    Please check the traffic flow under Packet Capture Go to MONITOR AND ANALYZE --->Diagnostics --->Packet Capture 

    Add destination string like host <destination IP address > and port <port number>

    From CLI check drop packet capture for destination IP with port number

    Thanks and Regards

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Bharat J

    Hi Bharat,

    i checked the Packets now, it seems, some Packets are going to the firewall on the destination port and the firewall will not Route it to the server.

    Ive changed the ports, 5445 is now my https port for the Server,

    but no changes.

    The Analyze below:

    IPv4 HeaderIP-Adresse d. Quelle: XXX IP-Adresse d. Ziels:XXX Protokoll: TCPHeader:20 BytesType of Service: 0Gesamte Länge: 40 BytesIdentifikation:0Fragmentverschiebung:16384Time-to-live: 52Prüfsumme: 41174 TCP Header:Quellport: 31753Zielport: 5445Flags: RSTSequenznummer: 1935821163Quittierungsnummer: 0Fenster: 0Prüfsumme: 48074

    Thanks and Regards

    Fabian

  • 0 in reply to FaM

    Das ist ein TCP-RESET Paket. Das TCP-flag RST ist gesetzt.

    mag der Server sich evtl. nicht von der Aussenwelt ansprechen lassen?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to FaM

    Hi Fam

    can you share the snapshot?

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to dirkkotte

    Das sollte funktionieren, wie gesagt hinter der zyxel hat das funktioniert, dort wurde das mit einer Policy Route eingerichtet.

    Diese möglichkeit finde ich auf der Sophos nur als DNAT und dieser ist eingerichtet.

    Ich vermute das die Sophos die TLS Pakete für OVPN nicht durchlässt, egal auf welchem Port die liegen?

    Auf dem Server folgende Meldung:

    ovpn[98929]: IPXXX:29098 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

  • 0 in reply to Bharat J

    Hi Bharat,

    which Infos you need?

    2022-04-05 11:52:09
    Port2
    Port1
    IPv4
    TCP
    31753,5445
    1
    1
    Forwarded
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Eingehend
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Verstöße
    INVALID_TRAFFIC
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Eingehend
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Verstöße
    INVALID_TRAFFIC
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Eingehend
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Verstöße
    INVALID_TRAFFIC
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Eingehend
    2022-04-05 11:52:09
    Port2
    Port1
    IPv4
    TCP
    31753,5445
    1
    1
    Forwarded
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Eingehend
    Thanks and Regards
  • 0 in reply to FaM

    Hi FaM

    Can you see firewall rule from LAN to LAN on packet capture while accessing service hosted outside?

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to FaM

    Hi FaM 

    Can you share the snapshot I’m suspecting you are not getting proper rule

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

Cookie Information Banner