This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Zugriff auf das Adminwebinterface über IPsec mit Nat

Hallo zusammen,

ich habe Probleme mit dem Zugriff auf die Webadminoberfäche über einen Ipsec-Tunnel mit Nat.

Die Tunnelverbindung ist soweit aufgebaut, eine 1:1 NAT-Regel für jede Richtungen ist eingetragen. Verbindungen vom Remotenetz in das Lokale gehen Ping, VNC und RDP wurden getestet, wenn ich aber den Zugriff via Https auf die Webadminoberfäche versuche schlägt das fehl.

Kann mir jemand weiterhelfen, vielen Dank im Voraus.



This thread was automatically locked due to age.
  • Hallo Markus,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Are you trying to reach WebAdmin at the IP of the other side's "Internal (Address)" ?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Nein die Situation ist wie folgt:

    SiteA

    Tunnel

    172.16.124.0/24 1:1 NAT to >

    SiteB

    Sophos IP 10.0.0.7

    10.0.0.0/24

     

    Ich möchte von SiteA über 172.16.124.7 auf die Webadmin Oberfläche zugreifen, im Live Protokoll wird der Zugriff als erlaubt angezeigt. Im Browser bekomme ich einen Timeout.

    MfG Markus

  • It seems to be a routing problem.  Please show pictures of the Edits of the IPsec Connection and Remote Gateway in SiteB.  Also of the Edits of the 1:1 NAT rules as I don't understand why they might be necessary.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo Bob, wie gewünscht die Bilder von der Konfiguration des Tunnels, zu der Frage in deiner Antwort es geht mir nicht darum ob ein NAT an dieser Stelle notwendig ist. Es geht darum das die WebAdmin Oberfläche nicht erreichbar ist, von SiteA sobald es über ein NAT geht.

    MfG Markus

  • Hi Markus,

    I've never tried to 1-to-1 NAT a Network Group to a CIDR subnet, but it might work if the same number of IPs is in each object - have you confirmed elsewhere that this is possible?

    Why two objects "10.77.77.0" and "10.77.77.0/24" ?

    Do you also have two 1-to-1 NAT rules in the other site?  If not, do you have Static Routes?

    What does using NAT accomplish?  When I've used NAT with IPsec tunnels, it's been SNAT with 'Rule applies to IPsec packets' selected in 'Advanced', and the new Source IP was in the tunnel.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo Bob,

    Aus den Zwei Objekte habe ich eines gemacht hat aber keine Änderung gebracht.

    Auf SiteA sind statische Routen vorhanden, auf SiteA ist das 10.77.77.0/24 schon in Verwendung dann muss ich ein 1 to 1 Nat machen. Das Funktioniert ohne Probleme für alle Anwendung, auf die UTM kann ein Ping gemacht werden das Funktioniert. Alles andere geht nicht SNMP, Https ….

    Das ist bei anderen Herstellern ohne zusätzlich Einstellungen möglich.

    Danke soweit schon mal für deine Unterstützung

  • Hallo Markus,

    Well I think we're getting closer, but I still can't "see" what's happening.  Based on your later posts, shouldn't your second post have shown 10.77.77.0/24 instead of 10.0.0.0/24 in Site B?  When I've done this in the past, I've done it like How to tunnel between two UTMs which use the same LAN network range which I diagrammed in More VPN between same subnets.  Is this what you're doing?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo Markus,

    weil ich es bisher noch nicht gelesen habe hier mal ein Schuss ins blaue.

    Ist Dein NAT Netzwerk in den zugelassen Netzwerken für den Webadmin eingetragen?

    Gruß
    DKKDG