DNAT zugriff auf Server hinter Fritz box und Sophos

Vielen Dank für die Nachricht,

über die WAN IP komme ich rein, das klappt der Port 443 ist durch die DNAT Regel auch offen.

Leider bekomme ich über die restlichen Ports keine Rückmeldung,

diese sind zwar im Dienst mit angelegt werden jedoch nicht geroutet.

Kann es sein, dass der SSL VPN Dienst der Sophos an dieser Stelle blockt?

Muss ich die Ports umlegen und andere nutzen?

Vielen Dank.

Hallo,

ich verstehe leider immer noch nicht ...

"Leider bekomme ich über die restlichen Ports keine Rückmeldung," ... sind denn da Dienste, welche Antworten sollten?

Wenn UDP 1194 für SSL-VPN konfiguriert wurde, wurde das auch in "device access" für die WAN-Zone zugelassen? (und von der FB weitergeleitet?)

Funktioniert SSL-VPN?

Der SSL VPN Dienst blockt nix. Sollen die anderen ports "durch" den SSL-VPN-Tunnel erreichbar sein, oder sind in der Sophos Weiterleitungen dafür konfiguriert?

Warum sind die ganzen Ports in einem Dienst zusammengefasst? Wo wird das verwendet ... und wie? Evtl. hier mal ein paar Screenshots beisteuern.

Also zum einen wollen wir auf der Sophos die SSL VPN Verbindung nutzen,

hinter der Sophos steht allerdings noch ein Server der über die Ports, welche in einem Dienst zusammengefasst sind erreichbar sein sollen.

Wir sind von eine Zyxel umgestiegen, mit dieser hat alles noch funktioniert, auf dieser wurde bereits ssl vpn genutzt,

hier haben wir den Port auf TCP8443 umgestellt in der Sophos, das funktioniert auch.

Die Weiterleitungen auf der FB wurden angepasst und funktionierten.

Können die Dienste so zusammengefasst werden?

Eine Regel in der FW für den Server mit UDP1194 für WAN hat auch keinen Erfolg gebracht.

So weit habe ich es verstanden... am besten die einzelnen punkte einzeln behandeln ...

SSL VPN zur SophosFW mit port  TCP8443 .... funktioniert nicht?
- ist an der Sophos FW Port TCP8443 konfiguriert? ist der Client auch auf 8443 umkonfiguriert? Was sagt das Log? Wie weit kommt der Client?

Die restlichen Ports sollen via DNAT an einen Server weitergeleitet werden, also nicht "durch" den VPN Tunnel?
- wurde hier der DNAT-Assistent verwendet? Dann funktioniert es meistens. Was sagt das Log? Wie sieht die NAT regel aus?
Die Regeln von Hand zu bauen ist nicht leicht oder logisch. Vgl. meine Regel (erstellt mit Wizzard) ... da ist als Ziel-IP der WAN-Port (PortA.2) angegeben. Wenn die Regel nicht matcht, würde man das aber auch im Log sehen.

So weit habe ich es verstanden... am besten die einzelnen punkte einzeln behandeln ...

SSL VPN zur SophosFW mit port  TCP8443 .... funktioniert nicht?
- ist an der Sophos FW Port TCP8443 konfiguriert? ist der Client auch auf 8443 umkonfiguriert? Was sagt das Log? Wie weit kommt der Client?

Die restlichen Ports sollen via DNAT an einen Server weitergeleitet werden, also nicht "durch" den VPN Tunnel?
- wurde hier der DNAT-Assistent verwendet? Dann funktioniert es meistens. Was sagt das Log? Wie sieht die NAT regel aus?
Die Regeln von Hand zu bauen ist nicht leicht oder logisch. Vgl. meine Regel (erstellt mit Wizzard) ... da ist als Ziel-IP der WAN-Port (PortA.2) angegeben. Wenn die Regel nicht matcht, würde man das aber auch im Log sehen.

So weit funktioniert das meiste, 

leider kommt in der Sophos immer wieder die Meldung: 

obwohl der Port in der Nat und in der Regel geregelt ist.

Wie kann ich das erschlagen?

Vielen Dank.

Fabian

Hi FaM

Please check the traffic flow under Packet Capture Go to MONITOR AND ANALYZE --->Diagnostics --->Packet Capture 

Add destination string like host <destination IP address > and port <port number>

From CLI check drop packet capture for destination IP with port number

Thanks and Regards

Hi Bharat,

i checked the Packets now, it seems, some Packets are going to the firewall on the destination port and the firewall will not Route it to the server.

Ive changed the ports, 5445 is now my https port for the Server,

but no changes.

The Analyze below:

IPv4 HeaderIP-Adresse d. Quelle: XXX IP-Adresse d. Ziels:XXX Protokoll: TCPHeader:20 BytesType of Service: 0Gesamte Länge: 40 BytesIdentifikation:0Fragmentverschiebung:16384Time-to-live: 52Prüfsumme: 41174 TCP Header:Quellport: 31753Zielport: 5445Flags: RSTSequenznummer: 1935821163Quittierungsnummer: 0Fenster: 0Prüfsumme: 48074

Thanks and Regards

Fabian

Das ist ein TCP-RESET Paket. Das TCP-flag RST ist gesetzt.

mag der Server sich evtl. nicht von der Aussenwelt ansprechen lassen?

Hi Fam

can you share the snapshot?

Das sollte funktionieren, wie gesagt hinter der zyxel hat das funktioniert, dort wurde das mit einer Policy Route eingerichtet.

Diese möglichkeit finde ich auf der Sophos nur als DNAT und dieser ist eingerichtet.

Ich vermute das die Sophos die TLS Pakete für OVPN nicht durchlässt, egal auf welchem Port die liegen?

Auf dem Server folgende Meldung:

ovpn[98929]: IPXXX:29098 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Hi Bharat,

which Infos you need?

Hi FaM

Can you see firewall rule from LAN to LAN on packet capture while accessing service hosted outside?

Hi FaM 

Can you share the snapshot I’m suspecting you are not getting proper rule

Ich würde die TLS-decryption für diese SSL-VPN Verbindungen deaktivieren.

Da ist eh nix, was die Firewall scannen könnte.