Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 29 replies
  • Subscribers 6 subscribers
  • Views 2566 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT zugriff auf Server hinter Fritz box und Sophos

FaM

Hallo zusammen, 

ich bin langsam am verzweifeln und suche seit Stunden nach einer Lösung für die folgende Problematik:

Wir betreiben einen Server hinter einer Sophos XGS116 FW 18.5.

Als Internet AP ist eine FB 7590 installiert.

Wir wollen aus dem Internet über folgende Ports auf unseren Server zugreifen:

https tcp 443 (Dieser funktioniert über DNAT)

ovpn:

udp1194 (keine Rückmeldung)

tcp5443 (keine Rückmeldung)

TCP6220 (keine Rückmeldung)

UDP500

IP Protokoll ESP

auf der Sophos ist noch VPN eingerichtet über den Port 8443.

Diese Ports wurden als dienst angelegt und in der DNAT Regel angegeben.

Bisheriger versuch:

Regeln Richtlinien -> NAT Regeln -> DNAT Regel erstellen die interne IP des Server wählen -> die IP Adresse des Port2 (Port zur FB als Öffentliche IP)-> die Dienste wie angelegt und Quellnetzwerke beliebig.

an welcher stelle mache ich da was falsch?

Wenn ich anstelle der IP Adresse des Port2 die WAN IP der FB mache (unsere öffentliche IP vom Provider) kommt nichts mehr an.

Vielen Dank.



This thread was automatically locked due to age.
Parents
  • 0

    Vielen Dank für die Nachricht,

    über die WAN IP komme ich rein, das klappt der Port 443 ist durch die DNAT Regel auch offen.

    Leider bekomme ich über die restlichen Ports keine Rückmeldung,

    diese sind zwar im Dienst mit angelegt werden jedoch nicht geroutet.

    Kann es sein, dass der SSL VPN Dienst der Sophos an dieser Stelle blockt?

    Muss ich die Ports umlegen und andere nutzen?

    Vielen Dank.

  • 0 in reply to FaM

    Hi FaM,

    Can you update Quellport to * instead of 443  and keep Zielport as it is  check?

    Thanks and Regards

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Bharat J

    This update was allready done. 

    Thanks and Regards.

Reply Children
  • 0 in reply to FaM

    Hallo,

    nur zum gegenchecken, hast du beim Quellport 1:65535 eingetragen?

    Kannst du nochmal einen Screenshot von den Services machen?

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 19.5 GA

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

    Hallo Thomas,

    ich sehe, dass Sie ähnliches für den Quellport vorschlagen wie das, was mein Problem löste. Warum sollte / müsste das aber so sein?

    Danke für eine Antwort.

  • 0 in reply to Fabian Linnebacher

    Hallo Fabian,

    das Paket kommt (anhand deines Postings unten, vermutlich) an der Sophos mit einem zufälligen Port (NAT) an - solltest du auf der Sophos auch genau so sehen - der zufällige Port wird im Service beim Quellport dadurch definiert und der Zielport gibt dann den tatsächlichen Port an, welcher am Ziel erlaubt wird.

    Bei deinem Log-Auszug nehme ich jetzt mal Port 443 (HTTPS) als Beispiel:

    Fritzbox (1.2.3.4) schickt die Anfrage mit einem zufälligen Port (54321) an die Sophos (5.6.7.8) weiter -> Sophos bekommt das Paket mit 1.2.3.4:54321 - löst es auf und weiß es muss an den Server 10.11.12.13 als 443 (HTTPS) weitergereicht werden.

    Die Service-Definition bei HTTPS ist somit Quellport 1:65535 (zufälliger Port 54321) / Zielport 443

    Würde deine Service-Definition Quellport 443 / Zielport 443 sein, nimmt die Sophos das Paket nicht an, weil der Port 54321 nicht im Quellport enthalten ist und wird somit korrekterweise geblockt, weil nur ausschließlich Port 443 als Quellport zugelassen wird.

    Wenn du 1:65535 / 1:65535 machen würdest, würde die Sophos JEDEN Port an den Server weiterreichen. mit 1:65535 / 443 eben nur HTTPS.

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 19.5 GA

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

    Hallo Thomas,

    besten Dank für die Antwort, genau so ist es. Aber: Warum? Ich habe kein Setting gefunden, dass ich hierzu eingestellt habe oder derart korrigieren könnte. Quelle Any -> Destination bestimmter Port ist so umgesetzt und funktioniert, der Grund ist mir aber unklar.

  • 0 in reply to Fabian Linnebacher

    Schau bei der Fritzbox den Port des Requests an, der beim WAN reinkommt. Ich nehme an, die Fritzbox reicht diesen Port 1:1 weiter an die Sophos.

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 19.5 GA

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

    Davon gehe ich auch aus. Für mich stellt sich nur die Frage, woher die Port-Maskierung kommt... Die "Random Ports" (Üblicherweise > 50.000 nachdem was ich sehe) gibt es sowohl bei externen anfragen als auch bei internen... Maskiert die Fritz da was?

  • 0 in reply to Fabian Linnebacher

    Ich kenne dein Setup und deine Konfiguration nicht, deshalb kann ich dir hier keine konkrete Antwort geben.

    Aber wenn die Fritzbox den Request nur weiterreicht (original IP, original Service), ist das Verhalten korrekt und die Sophos löst den Request dann erst auf.

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 19.5 GA

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

    Danke für die Antwort. Ich denke ich werde dann einen Support aufsuchen, der sich in meiner Umgebung kurz umschauen kann, sodass ich die Probleme auch korrekt identifizieren kann. Zwischenfrage vorab noch kurz: Kann es ein dazwischenhängender Switch sein, der die Ports verändert?

Cookie Information Banner