Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 5 replies
  • Subscribers 4 subscribers
  • Views 340 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT Regel - Probleme bei der Definiton

ITkbr

Hi,

ich bräuchte Hilfe bei der Definition einer NAT Regel. Ich möchte mit einem Stromspeicher über Modbus TCP (E3DC Speicher) kommunizieren. Im internen Netz funktioniert das auch alles einwandfrei - allerdings verwirft der Speicher jede Kommunikation aus einem anderen Subnetz. Das wird auch in anderen Foren diskutiert ob das ein Sicherheitsmerkmal ist oder ein Bug (?). Wie auch immer. Das Ziel soll sein eben mit dem Gerät ausgehend aus einem anderen Netz kommunizieren zu können. Allerdings scheitere ich daran die Regel entsprechend zu setzen.

Wir haben eine Sophos XG310.
(Modbus)-Client (via VPN): 192.168.121.1 => E3DC Storage: 192.168.180.50

Wenn ich es richtig verstanden habe muss ich die Quell-Adresse (192.168.121.1) in das 180-Netzzwerk quasi umschreiben und eine entsprechende Regel setzen ? Ist jetzt nicht mein täglich Brot bzw. bin ich relativ neu in der Thematik und deshalb über jeden Tipp dankbar



This thread was automatically locked due to age.
Parents
  • 0

    Das nennt sich maskieren oder SNAT. 

    Für das Maskieren gibt es die default-Rule, von welcher sich eine passende neue ableiten lassen sollte. 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,
    danke für die Antwort und Schützenhilfe

    Ich hab da echt ein Verständnisproblem. Bei der default-Rule ist es mir ja noch klar - das private Netz wird nach außen hin geschützt bzw. die privaten Adressen gegen eine öffentliche umgeschrieben.

    Aber in meinem Fall muss ich doch quasi die Quell-Adresse (welche aus dem anderen Subnetz kommt) maskieren. Das der olle Speicher denkt das die Anfrage eben aus dem selben Subnetz kommt und diese dann auch brav beantwortet. 

    Im fhem Forum hat das einer ebenfalls so beschrieben und in einem Mikrotik Router konfiguriert.
    https://forum.fhem.de/index.php/topic,114177.msg1084848.html#msg1084848

    Ich kann es aber nicht ableiten. Ich versuche es nochmal aufzudröseln ...

    Quelle: 192.168.121.1 (Client via VPN)
    Ziel: 192.168.180.50 (Speicher im LAN)
    Ziel-GW: 192.168.180.254 (LAN-Gateway)

    Ich verstehe es so das die Quell-Adresse (192.168.121.1)  ersetzt werden muss gegen die Gateway-Adresse aus dem LAN (in welchem der Speicher steht) - also der 192.168.180.254. Somit versendet der Speicher seine Antwort eben an das Gateway. Und dann ? Dann muss doch eine weitere Regel her die bestimmt das der ausgehende Verkehr vom Speicher wieder zurück an den Client geleitet wird.

    Holzweg ?

  • +1 in reply to ITkbr

    Du machst genau das Gleiche wie hier, nur mit dem passenden Interface, welches ins Netz vom Stromspeicher zeigt.

    "Bei der default-Rule .... wird .... die privaten Adressen gegen eine öffentliche umgeschrieben."

    Dieses Interface ist ja im "richtigen" Netz


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Funktioniert. Die Werte sprudeln jetzt via MODBUS aus dem Speicher.

    Im folgenden Beitrag wird mein Szenario genau beschrieben:

    https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/124204/sophos-firewall-how-to-source-nat-incoming-ipsec-traffic-on-v18

    Aber: warum ich immer gedacht habe das meine Änderungen sich nicht auswirken bzw. ich bis jetzt nicht verstehe: 
    Wieso bleibt der "Usage-Zähler" auch nach mehrmaligem aktualisieren immer auf 0. ?

  • 0 in reply to ITkbr

    Guck dir mal das Log an.

    Wenn das Logging bei den Regeln aktiviert ist, sollte dort auch stehen, welche NAT-Regel angewandt wird.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0 in reply to ITkbr

    Guck dir mal das Log an.

    Wenn das Logging bei den Regeln aktiviert ist, sollte dort auch stehen, welche NAT-Regel angewandt wird.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
No Data
Unfiltered HTML