Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 2001 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Frage zu RDP via NAT

ralf

Hallo Community,

 

ich habe mich nun schon eine Weile mit den Seiten der Community und mit Google beschäftigt finde aber nicht was ich suche oder habe einen Fehler in meinen Überlegungen / stehe auf dem Schlauch...

 

Es gibt zwei Subnetze:

- Subnetz A 10.0.1.0/24

- Subnetz B 10.0.2.0/24

 

Die Netze sind nicht mit einer Routing-Instanz verbunden. Beide haben aber ein Beinchen an einer Sophos UTM (Subnetz A hat dort ein Interface mit der IP 10.0.1.254; Subnetz B hat dort ein Interface mit der IP 10.0.2.254).

 

Im Subnetz A befindet sich ein Client (wechselnde IP-Adresse vom DHCP-Server) der via RDP (TCP 1:65565 => 3389) an einen Server in Subnetz B (Server IP: 10.0.2.10) kommen soll.

 

Mein Ansatz war eine DNAT Rule mit

Traffic from 10.0.1.0/24

Using Service RDP

Going to: 10.0.1.254

Change Destination to: 10.0.2.10

And the Service to <LEER>

 

Ich sehe, dass die NAT Rule im Firewall Live Log angesprochen wird ("Log inital packes") es kommt aber keine RDP-Verbindung zu Stande.

 

Könnt ihr mir helfen wo mein Denkfehler liegt?

 

Danke & Viele Grüße

Ralf

 

 



This thread was automatically locked due to age.
Parents
  • 0

    Da die beiden Netze sich wohl nicht kennen (sollen), muss neben dem DNAT auch noch ein SNAT auf 10.0.2.254 gemacht werden

  • 0 in reply to papa_

    Hallo papa_,

    vielen Dank für Deine Hilfe.

    Es stimmt, die Netze sollen sich nicht kennen.

    Ich habe eine SNAT Regel gemacht (Traffic Selector wie in der DNAT Regel). Auch wenn ich die Regeln von der Positionierung switche zieht die UTM immer nur die DNAT Regel heran (sehe ich über das "Log inital packet"). Die SNAT Regel wird von der UTM nicht angesprochen.

    14:05:55    NAT rule #2    TCP         10.0.1.10    :    59481    →    10.0.1.254    :    3389    
    14:08:12    NAT rule #2    TCP         10.0.1.10    :    59544     →    10.0.1.254    :    3389    

    (NAT rule #2 = DNAT Regel)

    Selbst wenn ich die DNAT regel komplett deaktiviere zieht er die SNAT Regel nicht (dann sehe ich im Firewall Live Log, dass die (selbsterstellte) Paket Filter Regel der Firewall angesprochen wird).

    14:08:36    Packet filter rule #2    TCP         10.0.1.10    :    59555    →    10.0.1.254    :    3389    
    14:08:39    Packet filter rule #2    TCP         10.0.1.10    :    59555    →    10.0.1.254    :    3389

    Viele Grüße

    Ralf

     

     

  • 0 in reply to ralf

    DNAT wird vor SNAT ausgeführt, du musst also den trafic selector anpassen.

     

    Ich würde aber ein full NAT empfehlen, das erschlägt gleich beides

Reply Children
No Data
Unfiltered HTML