Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 5 replies
  • Answers 1 answer
  • Subscribers 6 subscribers
  • Views 530 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Backup Routing XGS

XGS-Checker

Hi Leute,

wir haben ein XGS 4300 Cluster im Einsatz und möchten folgendes realisieren:
1. Regelweg für Internet / Azure ist eine Ethernetconnect von der Telekom. Das funktioniert auch gut.
2. Der Backuprouter ist ein LANCOM von der Telekom, der ein VPN ins Rechenzentrum des ISPs herstellt.
Es gibt zwischen Backuprouter und Firewall ein Transfernetz (z. B. 192.168.178.1 hat die Firewall und 192.168.178.2 hat der LANCOM Router). Der Tunnel auf dem LANCOM Router verbindet z. B. 172.16.0.0/16 zu any. Jetzt kommen die Pakete auf dem LANCOM Router mit 192.168.172.1 an und werden natürlich nicht in den Tunnel weitergeleitet. Ich habe dann eine NAT Regel erstellt, in der die "original source" das Interface der Firewall zum LANCOM Router ist und als "translated source (SNAT)" ein Host aus dem 172.16.er Netz testweise erstellt. Die NAT Regal wird nicht angewendet. Was mache ich falsch?

Vielen Dank im Voraus!



This thread was automatically locked due to age.
  • 0

    Hallo,

    wenn die Pakete am LANCOM Router mit 192.168.178.1 als Source-Adresse ankommen, dann ist offenbar ein MASQuerading auf dem Uplink Port der XGS zum LANCOM hin aktiv. Das würde ich abschalten, anstatt danach mit NAT zu versuchen, dass wieder gerade zu biegen.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0

    In SFOS ist Route und NAT unterschiedliche Geschichten. Die Firewall trifft erst eine Routing Entscheidung und danach eine NAT Entscheidung.

    Dir fehlt wahrscheinlich eine Route (SD-WAN Route oder statische Route).

    __________________________________________________________________________________________________________________

  • 0 in reply to jprusch

    Danke für deine Antwort. Ich wüsste nicht, wie man MASQ für eine Schnittstelle abschalten kann.

  • 0 in reply to LuCar Toni

    Danke für deine Antwort. Das habe ich mir auch sofort gedacht, aber ich kann ja keine SD-WAN Route anlegen, da ich sonst nur im Fehlerfall testen kann, ob der Traffic über das Backup-VPN läuft. Verstehst du wie ich meine? Slight smile

  • 0 in reply to LuCar Toni

    Toni, also das kann ich so nicht stehen lassen: er hat geschrieben, dass die Pakete mit "192.168.178.1 am Router ankommen" (ok, er hat sich verschrieben und 192.168.172.1 hin geschrieben), ich interpretiere das, so, dass er die Source-IP meint. Dann wäre es so, dass die Routing Entscheidung schon getroffen wurde (sonst würden die Pakete ja nicht zum LANCOM Router geschickt) und dann die IP durch die IP des Uplinks ersetzt wurde (MASQ). Oder habe ich was verpasst?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Unfiltered HTML