Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 29 replies
  • Subscribers 6 subscribers
  • Views 2566 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT zugriff auf Server hinter Fritz box und Sophos

FaM

Hallo zusammen, 

ich bin langsam am verzweifeln und suche seit Stunden nach einer Lösung für die folgende Problematik:

Wir betreiben einen Server hinter einer Sophos XGS116 FW 18.5.

Als Internet AP ist eine FB 7590 installiert.

Wir wollen aus dem Internet über folgende Ports auf unseren Server zugreifen:

https tcp 443 (Dieser funktioniert über DNAT)

ovpn:

udp1194 (keine Rückmeldung)

tcp5443 (keine Rückmeldung)

TCP6220 (keine Rückmeldung)

UDP500

IP Protokoll ESP

auf der Sophos ist noch VPN eingerichtet über den Port 8443.

Diese Ports wurden als dienst angelegt und in der DNAT Regel angegeben.

Bisheriger versuch:

Regeln Richtlinien -> NAT Regeln -> DNAT Regel erstellen die interne IP des Server wählen -> die IP Adresse des Port2 (Port zur FB als Öffentliche IP)-> die Dienste wie angelegt und Quellnetzwerke beliebig.

an welcher stelle mache ich da was falsch?

Wenn ich anstelle der IP Adresse des Port2 die WAN IP der FB mache (unsere öffentliche IP vom Provider) kommt nichts mehr an.

Vielen Dank.



This thread was automatically locked due to age.
  • 0 in reply to FaM

    Das ist ein TCP-RESET Paket. Das TCP-flag RST ist gesetzt.

    mag der Server sich evtl. nicht von der Aussenwelt ansprechen lassen?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to FaM

    Hi Fam

    can you share the snapshot?

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to dirkkotte

    Das sollte funktionieren, wie gesagt hinter der zyxel hat das funktioniert, dort wurde das mit einer Policy Route eingerichtet.

    Diese möglichkeit finde ich auf der Sophos nur als DNAT und dieser ist eingerichtet.

    Ich vermute das die Sophos die TLS Pakete für OVPN nicht durchlässt, egal auf welchem Port die liegen?

    Auf dem Server folgende Meldung:

    ovpn[98929]: IPXXX:29098 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

  • 0 in reply to Bharat J

    Hi Bharat,

    which Infos you need?

    2022-04-05 11:52:09
    Port2
    Port1
    IPv4
    TCP
    31753,5445
    1
    1
    Forwarded
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Eingehend
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Verstöße
    INVALID_TRAFFIC
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Eingehend
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Verstöße
    INVALID_TRAFFIC
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Eingehend
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Verstöße
    INVALID_TRAFFIC
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Eingehend
    2022-04-05 11:52:09
    Port2
    Port1
    IPv4
    TCP
    31753,5445
    1
    1
    Forwarded
    2022-04-05 11:52:09
    Port2
    IPv4
    TCP
    31753,5445
    0
    0
    Eingehend
    Thanks and Regards
  • 0 in reply to FaM

    Hi FaM

    Can you see firewall rule from LAN to LAN on packet capture while accessing service hosted outside?

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to FaM

    Hi FaM 

    Can you share the snapshot I’m suspecting you are not getting proper rule

    "Sophos Partner: Infrassist Technologies Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • +1 in reply to FaM

    Ich würde die TLS-decryption für diese SSL-VPN Verbindungen deaktivieren.

    Da ist eh nix, was die Firewall scannen könnte.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to FaM

    Hallo,

    nur zum gegenchecken, hast du beim Quellport 1:65535 eingetragen?

    Kannst du nochmal einen Screenshot von den Services machen?

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 19.5 GA

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to dirkkotte

    Super, das hat geholfen.

    Vielen Dank.

  • 0

    Hallo,

    ich habe aktuell ein ähnliches Problem, welches ich mit einem "Workaround" lösen konnte: Ich musste in meiner Firewall Konfiguration alle TCP Ports als Quellports öffnen, da die eingehenden Requests nicht auf Source-Port ankamen, den ich erwartet und freigegeben habe habe. Mein Szenario ist analog zu dem was oben skizziert ist, bei mir ergab sich folgendes:

    Request von Extern  -> FritzBox -> Forwarding an Sophos -> Forwarding an Server / Endgerät.

    Mit IPs und Ports folgendermaßen:

    IP1:Port1 -> FritzBox PublicIP:Port1 ->  Forwarding an SophosIP:RandomSourcePort -> FirewallCheck -> InternerServer:Port1
    Den zugehörigen Eintrag aus dem Firewall Log habe ich beigefügt.

    Mein Problem konnte ich wie gesagt dadurch lösen, dass ich alle TCP Ports in NAT und Firewall-Regal als erlaubte Quellports hinterlegt habe, die Source Ports machen damit daher die eigentliche Regel aus.

    Die Tatsache, dass es als Source-Port andere Ports als erwartet gibt, kann ich jedoch noch nicht nachvollziehen. Hat hier jemand vielleicht eine Antwort?

Cookie Information Banner