Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 29 replies
  • Subscribers 6 subscribers
  • Views 2566 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT zugriff auf Server hinter Fritz box und Sophos

FaM

Hallo zusammen, 

ich bin langsam am verzweifeln und suche seit Stunden nach einer Lösung für die folgende Problematik:

Wir betreiben einen Server hinter einer Sophos XGS116 FW 18.5.

Als Internet AP ist eine FB 7590 installiert.

Wir wollen aus dem Internet über folgende Ports auf unseren Server zugreifen:

https tcp 443 (Dieser funktioniert über DNAT)

ovpn:

udp1194 (keine Rückmeldung)

tcp5443 (keine Rückmeldung)

TCP6220 (keine Rückmeldung)

UDP500

IP Protokoll ESP

auf der Sophos ist noch VPN eingerichtet über den Port 8443.

Diese Ports wurden als dienst angelegt und in der DNAT Regel angegeben.

Bisheriger versuch:

Regeln Richtlinien -> NAT Regeln -> DNAT Regel erstellen die interne IP des Server wählen -> die IP Adresse des Port2 (Port zur FB als Öffentliche IP)-> die Dienste wie angelegt und Quellnetzwerke beliebig.

an welcher stelle mache ich da was falsch?

Wenn ich anstelle der IP Adresse des Port2 die WAN IP der FB mache (unsere öffentliche IP vom Provider) kommt nichts mehr an.

Vielen Dank.



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    ich habe aktuell ein ähnliches Problem, welches ich mit einem "Workaround" lösen konnte: Ich musste in meiner Firewall Konfiguration alle TCP Ports als Quellports öffnen, da die eingehenden Requests nicht auf Source-Port ankamen, den ich erwartet und freigegeben habe habe. Mein Szenario ist analog zu dem was oben skizziert ist, bei mir ergab sich folgendes:

    Request von Extern  -> FritzBox -> Forwarding an Sophos -> Forwarding an Server / Endgerät.

    Mit IPs und Ports folgendermaßen:

    IP1:Port1 -> FritzBox PublicIP:Port1 ->  Forwarding an SophosIP:RandomSourcePort -> FirewallCheck -> InternerServer:Port1
    Den zugehörigen Eintrag aus dem Firewall Log habe ich beigefügt.

    Mein Problem konnte ich wie gesagt dadurch lösen, dass ich alle TCP Ports in NAT und Firewall-Regal als erlaubte Quellports hinterlegt habe, die Source Ports machen damit daher die eigentliche Regel aus.

    Die Tatsache, dass es als Source-Port andere Ports als erwartet gibt, kann ich jedoch noch nicht nachvollziehen. Hat hier jemand vielleicht eine Antwort?

Reply
  • 0

    Hallo,

    ich habe aktuell ein ähnliches Problem, welches ich mit einem "Workaround" lösen konnte: Ich musste in meiner Firewall Konfiguration alle TCP Ports als Quellports öffnen, da die eingehenden Requests nicht auf Source-Port ankamen, den ich erwartet und freigegeben habe habe. Mein Szenario ist analog zu dem was oben skizziert ist, bei mir ergab sich folgendes:

    Request von Extern  -> FritzBox -> Forwarding an Sophos -> Forwarding an Server / Endgerät.

    Mit IPs und Ports folgendermaßen:

    IP1:Port1 -> FritzBox PublicIP:Port1 ->  Forwarding an SophosIP:RandomSourcePort -> FirewallCheck -> InternerServer:Port1
    Den zugehörigen Eintrag aus dem Firewall Log habe ich beigefügt.

    Mein Problem konnte ich wie gesagt dadurch lösen, dass ich alle TCP Ports in NAT und Firewall-Regal als erlaubte Quellports hinterlegt habe, die Source Ports machen damit daher die eigentliche Regel aus.

    Die Tatsache, dass es als Source-Port andere Ports als erwartet gibt, kann ich jedoch noch nicht nachvollziehen. Hat hier jemand vielleicht eine Antwort?

Children
  • 0 in reply to Fabian Linnebacher

    Hallo,

    so funktioniert TCP. Es gibt ganz, ganz, ganz wenig Traffic, bei welcher Quellport=Zielport ist. Meist ist der Quellport dynamisch.

    Kurzer Erklärungsversuch ..

    Einfaches Szenario ... ohne Router, Firewall, Internet ... Webserver und PC im gleichen Netz.

    Dein Browser möchte eine Webseite öffnen. Nach initialem Laden der ersten Seitenbestandteile sollen 5 Bilder vom gleichen Server nachgeladen werden. Der Browser mach 5 Verbindungen zum Server mit Port 80 als Ziel auf. Wäre die Quelle auch Port 80, wüsste keiner, zu welcher Verbindung ein Antwortpaket gehört.

    Wird aber Verbindung 1 mit Quellport 10001 und Verbindung 5 mit Quellport 10005 aufgebaut, sind die Antwortpakete (die dann z.B. 10005 als Zielport und 80 als Quellport haben) genau zuzuordnen.

    Als dynamische Ports kommt alles ab 1024 in Frage.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo,

    vielen Dank für die Erläuterung. In der Detaillierung habe ich mich noch nicht damit auseinandergesetzt. Somit gibt es dann i.d.R. tatsächlich kaum Fälle, in denen man den Quellport steuern sollte, sondern die Filterung wird über den Zielport erreicht. Bei uns so eingestellt und jetzt auch verstanden. Vielen Dank dafür!

Cookie Information Banner