UTM 9 Portfreigabe funktioniert nicht

Hallo Pierre,

Ist überhaupt ein Masquerading-Regel (Internal -> External) aktiv? Die Firewall-Regel alleine ist (in dem Fall) zu wenig.

Hallo Josef,

ja dort habe ich auch schon probiert, von Außen auf den Port zu kommen. Klappt allerdings auch nicht... auch im Zusammenhang mit DNAt nicht...

NAT-Markierung: Netzwerk (NAS-Server) -> Schnittstelle (WAN) -> benutzte Adresse (<<Erste Adresse>>)

DNAT: Datenverkehrsquelle (any) -> Datenverkehrsdienst (5151) -> Datenverkehrsziel (WAN) ; Aktion: Ziel ändern in (NAS-Server) -> Dienst ändern in (5151)

Unter Dienstdefinition habe ich beim 5151 Port den Quell- sowie Zielport auf 5151 stehen / vorher war als Quellort 1:65535 eingetragen.

LG

Pierre

Als Quellport jedenfalls 1:65535 lassen, sonst wird das nicht gehen.

Das DNAT kannst weglassen. Mach einfach mal eine Masquerading-Regel und die eine Firewall-Policy.

Habe ich auch probiert, leider noch immer ohne Erfolg...

Ok zurück zum Start, wo steht die NAS (welche IP) und wer soll darauf Zugriff haben?

ok, also das NAS hat die IP-Adresse: 192.168.0.115

Zugriff soll quasi jeder von überall aus dem Internet über den Port 5151 haben.

Einen DynDNS Dienst habe ich in der Sophos eingerichtet, wen Extern kann man die auch schonmal erreichen.

Externer Zugriff auf die NAS sollte so aussehen: hostname.selfhost.bz:5151

Danke dir

LG

Pierre

Dann benötigst im Prinzip nur eine DNAT-Regel:

For traffic from Any using service NAS (1:65535 -> 5151) Going to External (WAN Address) Change the destination to INT_NAS (192.168.0.115)
enable Automatic firewall rule
enable Log initial packets

Wenn die Regel angesprungen wird, siehst einen Eintrag im Firewall Log. Wenn das trotz Zugriff von extern nicht passiert, liegt das Problem davor (Fritzbox, Provider, DynDNS, ...)

Die FritzBox muss den Traffic an Ihrem WAN-Interface jedenfalls auf das WAN der Sophos durchleitet.

Dann benötigst im Prinzip nur eine DNAT-Regel:

For traffic from Any using service NAS (1:65535 -> 5151) Going to External (WAN Address) Change the destination to INT_NAS (192.168.0.115)
enable Automatic firewall rule
enable Log initial packets

Wenn die Regel angesprungen wird, siehst einen Eintrag im Firewall Log. Wenn das trotz Zugriff von extern nicht passiert, liegt das Problem davor (Fritzbox, Provider, DynDNS, ...)

Die FritzBox muss den Traffic an Ihrem WAN-Interface jedenfalls auf das WAN der Sophos durchleitet.

 So, habe dies so durchgeführt.

Danke dir für deine Hilfe, aber ich habe leider noch immer ein kleines Problemchen:

Den Port kann man nun auch von aussen erreichen (Portscanner: www.dnstools.ch/port-scanner.html), nur baut sich leider über das Internet per öffentlichen IP bzw. DynDNS + Port die Loginseite des NAS nicht auf...

Woran kann das noch liegen?

Hallo Pierre,

ich habe schon anderweitig im Forum diesen Hinweis zur Fritzbox gegeben:

ich habe vor kurzem bei einem Kunden auf FritzOS 7.12 aktualisiert und danach ging die Funktion "exposed host" nicht mehr richtig. Also eigentlich gar nicht. Ich habe einen Moment gebraucht, um darauf zu kommen, aber kann es mittlerweile mit einer zweiten Installation an einem andern Ort bestätigen. Der Workaround besteht dann darin, einzelne "Port-Freigaben" (im AVM-Jargon) einzurichten (die heißen "DNAT-Regeln" im Rest der Welt). Bei AVM scheint das Problem noch nicht angekommen zu sein.

Hallo Pierre,

siehst du den Portscan von extern im Firewall-Log der Sophos? Wenn nein liegt das Problem sicher extern (Fritzbox, ...).

Ansonsten gibt es vielleicht ein Problem in der NAS (Zugangsbeschränkung nur von lokalen IPs, Redirect, ...).

Du könntest mit einem Chrome auf die externe Adresse gehen und mit den Entwicklertools (Sources) schauen ob Redirects/fremde Ressourcen/anderes Ports benötigt werden).

Guten Abend,

danke für eure Antworten ;)

Ich habe (glaube ich) den Fehler gemacht, in der DNAT Regel der Sophos nur einen hinweg freizugeben. Habe den "Rückweg" nun auch eingetragen und es funktioniert.

Dies funktioniert bei meiner 7590 nun auch "nur" per exposed Host ohne weitere Ports hinzuzufügen.

Habe aber ein weiteres Problem:

Ich habe ein Lag angelegt, welches die 4 Ports zum Switch bündeln soll. Die Sophos zeigt auf einmal im Dashboard unter dem Punkt: lag0 -> Link "Fehler" an.

Kann ich dies auch irgendwie herausfinden, woran dies liegt?

Danke nochmal und schönen Sonntagabend

Pierre 

Hallo Pierre,

die Sophos UTM ist wie praktisch alle Firewalls stateful, d.h. Regeln für "Rückwege" sind nicht notwendig.

Ich vermute aus deinen Beschreibungen nun mittlerweile andere Probleme (asymmetrisches Routing, LAG Fehlkonfiguration, ???).

Hallo Josef,

meine Konfiguration des LAG:

Internes Netzwerk:

Switch (Sophos ist LAG1):

Danke dir

Lg Pierre

Hallo Pierre,

was zeigt Support > Advanced > Interfaces Table

Achtung der LAG am Switch muss mit LACP konfiguriert sein.

Moin Josef,

sorry für meine verspätete Rückmeldung.

Ich weiß nun, das mein Switch kein LACP unterstützt.

Danke dir und euch

Lg

Pierre