vom internen LAN auf externe public IP (WAN IF) zuggreifen

Du brauchst eine NAT Regel, die auch MASQ für die interne IP macht.

Das bedeutet, die NAT Regel muss SNAT --> MASQ machen und zusätzlich musst du eine Firewall Regel haben, die LAN to LAN erlaubt. 

LuCar,
kannst du das bitte an einem Beispiel fest machen.

Public IP z.B. (WAN IF)
11.11.11.10 Port 2:6 Service https

Private IP (LAN)
10.10.10.10

Danke für die Hilfe
Stefan

keine Chance.
Wenn ich in der FW DMZ Regel auf WAN IP stelle und die NAT an erster Stelle, selber Effekt.
Per DMZ IP komme ich ran, jedoch per WAN IP nicht.

Können wir von beiden Interfaces noch die Interface Einstellung sehen? 

Wenn keine Firewall Regel greift, wird der Traffic mit der Default drop verworfen - Default drop wird nicht protokolliert im Logviewer.

Funktioniert denn LAN - ANY - DMZ - WAN IP? 

Nein Funktioniert auch nicht:

DMZ

VLAN

LAN

Wieso kommt von Port1 eine IP Adresse mit einem anderen Subnetz? 

Also eine LAN to DMZ Rule mit ANY objects greift auch nicht?

Die Core Switches dahinter machen L3 mit der 172.16 Range
>>Also eine LAN to DMZ Rule mit ANY objects greift auch nicht?
leider nein

Kannst du beide Pakete nochmal schicken? Also eingehend und das verworfene aus dem Paket Capture? Der Packet Capture oben zeigt nur das verworfene. Da drunter müsste noch ein Paket sein. 

hab mal neu gestartet, so wirklich viel sieht man nicht.

werde mal so langsam Feierabend machen
Sollte man hier ev. ein Ticket auf machen wollen ?

Was ist deine WAN IP? Was rufst du im Client auf? Weil die DMZ IP scheint nicht deine WAN IP zu sein. 

doch direkt WAN IP 185.7.209.201 direkt im Browser.
Bis morgen Luca ...

Hab es gefunden wegen deiner Frage, unter besagten DMZ Rule gab es noch ein durch die diese Traffic durchging.

doch direkt WAN IP 185.7.209.201 direkt im Browser.
Bis morgen Luca ...

Hab es gefunden wegen deiner Frage, unter besagten DMZ Rule gab es noch ein durch die diese Traffic durchging.

Was ich noch nicht verstehe: Du solltest diesen Traffic sehen: 172.16.33.104 to 185.7.209.201

Daraus sollte mit der NAT Regel gemacht werden: 172.16.66.1 to 172.16.66.170. Darauf sollte die .170 dann antworten. 

Warum du direkt einen Zugriff auf 172.16.66.170 siehst, spricht darüber, das etwas anderes ein NAT vor der Firewall macht. 

gerade aktuell, dierekt auf die WAN IP, NAT 3 ist die besagte NAT ganz am Anfang

Filterst du nach etwas? Wo ist die WAN IP, die du im Browser eingibst? Wer macht das NAT? Wieso sieht dieser Traffic so aus? Hier sind einige Fragezeichen, die so nicht zu beantworten sind. 

tja schon spät.
Wäre gut wen jemand von euch mal drauf schauen könnte, bin jetzt wirklich weg.

Ich würde einen Sophos Partner empfehlen, der sich auch den Network Flow anschaut. Hier scheint etwas im Flow nicht zu stimmen. 

LuCar Toni Moin Luca,
also hab noch mal alles überprüft und ein Capture angestoßen. Neues Glück neues Spiel :)
Man sieht das die 172.16.33.104 (LAN IP) zur WAN IP 185.7.209.201 geht, Aber die NAT Regel 3 dann verworfen wird.
Out Interface ist ja 3:400 (VLan DMZ), wie erstelle ich für so ein verworfenes Paket ein passende Regel ?

Also es ist auf jeden Fall etwas mit der Firewall Regel nicht in Ordnung.

Wenn du nun eine LAN to DMZ Regel aufbaust, sonst nichts, müsste die Regel greifen.

Wenn sie nicht greift, stimmt etwas mit dem Rendering der Policy nicht und die Firewall hat ein grundsätzliches Problem. Dann am besten einen Support Case eröffnen.