Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 29 replies
  • Subscribers 6 subscribers
  • Views 2583 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT zugriff auf Server hinter Fritz box und Sophos

FaM

Hallo zusammen, 

ich bin langsam am verzweifeln und suche seit Stunden nach einer Lösung für die folgende Problematik:

Wir betreiben einen Server hinter einer Sophos XGS116 FW 18.5.

Als Internet AP ist eine FB 7590 installiert.

Wir wollen aus dem Internet über folgende Ports auf unseren Server zugreifen:

https tcp 443 (Dieser funktioniert über DNAT)

ovpn:

udp1194 (keine Rückmeldung)

tcp5443 (keine Rückmeldung)

TCP6220 (keine Rückmeldung)

UDP500

IP Protokoll ESP

auf der Sophos ist noch VPN eingerichtet über den Port 8443.

Diese Ports wurden als dienst angelegt und in der DNAT Regel angegeben.

Bisheriger versuch:

Regeln Richtlinien -> NAT Regeln -> DNAT Regel erstellen die interne IP des Server wählen -> die IP Adresse des Port2 (Port zur FB als Öffentliche IP)-> die Dienste wie angelegt und Quellnetzwerke beliebig.

an welcher stelle mache ich da was falsch?

Wenn ich anstelle der IP Adresse des Port2 die WAN IP der FB mache (unsere öffentliche IP vom Provider) kommt nichts mehr an.

Vielen Dank.



This thread was automatically locked due to age.
  • 0

    Mir ist nich ganz klar, was "Wenn ich anstelle der IP Adresse des Port2 die WAN IP der FB mache (unsere öffentliche IP vom Provider) kommt nichts mehr an." bedeutet, wenn sonst auch nichts funktioniert.

    Als Erstes muss aus dem Internet natürlich die WAN-IP (die öffentliche IP vom Provider) angesprochen werden.

    Die FB muss die nötigen Ports an die IP (.2) der Sophos weiterleiten.

    Dann sollte OVPN auch schon funktionieren, wenn es eingerichtet ist.

    Als nächstes den DNAT-Assistent verwenden, oder eine ServerVeröffentlichung (WAF) bauen.

    Das ist nicht so schnell erklärt. Bitte spezifische Fragen und Screenshots, wenn etwas nicht geht.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0

    Vielen Dank für die Nachricht,

    über die WAN IP komme ich rein, das klappt der Port 443 ist durch die DNAT Regel auch offen.

    Leider bekomme ich über die restlichen Ports keine Rückmeldung,

    diese sind zwar im Dienst mit angelegt werden jedoch nicht geroutet.

    Kann es sein, dass der SSL VPN Dienst der Sophos an dieser Stelle blockt?

    Muss ich die Ports umlegen und andere nutzen?

    Vielen Dank.

  • 0 in reply to FaM

    Hallo,

    ich verstehe leider immer noch nicht ...

    "Leider bekomme ich über die restlichen Ports keine Rückmeldung," ... sind denn da Dienste, welche Antworten sollten?

    Wenn UDP 1194 für SSL-VPN konfiguriert wurde, wurde das auch in "device access" für die WAN-Zone zugelassen? (und von der FB weitergeleitet?)

    Funktioniert SSL-VPN?

    Der SSL VPN Dienst blockt nix. Sollen die anderen ports "durch" den SSL-VPN-Tunnel erreichbar sein, oder sind in der Sophos Weiterleitungen dafür konfiguriert?

    Warum sind die ganzen Ports in einem Dienst zusammengefasst? Wo wird das verwendet ... und wie? Evtl. hier mal ein paar Screenshots beisteuern.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Also zum einen wollen wir auf der Sophos die SSL VPN Verbindung nutzen,

    hinter der Sophos steht allerdings noch ein Server der über die Ports, welche in einem Dienst zusammengefasst sind erreichbar sein sollen.

    Wir sind von eine Zyxel umgestiegen, mit dieser hat alles noch funktioniert, auf dieser wurde bereits ssl vpn genutzt,

    hier haben wir den Port auf TCP8443 umgestellt in der Sophos, das funktioniert auch.

    Die Weiterleitungen auf der FB wurden angepasst und funktionierten.

    Können die Dienste so zusammengefasst werden?

    Eine Regel in der FW für den Server mit UDP1194 für WAN hat auch keinen Erfolg gebracht.

  • 0 in reply to FaM

    So weit habe ich es verstanden... am besten die einzelnen punkte einzeln behandeln ...

    SSL VPN zur SophosFW mit port  TCP8443 .... funktioniert nicht?
    - ist an der Sophos FW Port TCP8443 konfiguriert? ist der Client auch auf 8443 umkonfiguriert? Was sagt das Log? Wie weit kommt der Client?

    Die restlichen Ports sollen via DNAT an einen Server weitergeleitet werden, also nicht "durch" den VPN Tunnel?
    - wurde hier der DNAT-Assistent verwendet? Dann funktioniert es meistens. Was sagt das Log? Wie sieht die NAT regel aus?
    Die Regeln von Hand zu bauen ist nicht leicht oder logisch. Vgl. meine Regel (erstellt mit Wizzard) ... da ist als Ziel-IP der WAN-Port (PortA.2) angegeben. Wenn die Regel nicht matcht, würde man das aber auch im Log sehen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    So weit funktioniert das meiste, 

    leider kommt in der Sophos immer wieder die Meldung: 

    2022-04-05 08:48:02
    Invalid Traffic
    Denied
    N/A
    0
    Port2
    31451
    5445
    TCP
    0
    01001
    Open PCAP
    Invalid packet.

    obwohl der Port in der Nat und in der Regel geregelt ist.

    Wie kann ich das erschlagen?

    Vielen Dank.

    Fabian

  • 0 in reply to FaM

    Hi FaM

    Please check the traffic flow under Packet Capture Go to MONITOR AND ANALYZE --->Diagnostics --->Packet Capture 

    Add destination string like host <destination IP address > and port <port number>

    From CLI check drop packet capture for destination IP with port number

    Thanks and Regards

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to FaM

    Hi FaM,

    Can you update Quellport to * instead of 443  and keep Zielport as it is  check?

    Thanks and Regards

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Bharat J

    This update was allready done. 

    Thanks and Regards.

  • 0 in reply to Bharat J

    Hi Bharat,

    i checked the Packets now, it seems, some Packets are going to the firewall on the destination port and the firewall will not Route it to the server.

    Ive changed the ports, 5445 is now my https port for the Server,

    but no changes.

    The Analyze below:

    IPv4 HeaderIP-Adresse d. Quelle: XXX IP-Adresse d. Ziels:XXX Protokoll: TCPHeader:20 BytesType of Service: 0Gesamte Länge: 40 BytesIdentifikation:0Fragmentverschiebung:16384Time-to-live: 52Prüfsumme: 41174 TCP Header:Quellport: 31753Zielport: 5445Flags: RSTSequenznummer: 1935821163Quittierungsnummer: 0Fenster: 0Prüfsumme: 48074

    Thanks and Regards

    Fabian

Cookie Information Banner