This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9 Portfreigabe funktioniert nicht

Hallo zusammen,

ich bin seit mehreren Tagen am verzweifeln...

Für mein NAS möchte ich Ports freigeben. Diese habe ich auch in der Firewall angelegt, aber irgendwie sind diese nicht offen.

Folgende Konfiguration habe ich:

Fritz!Box 7590 im 192.168.178.0 Netz, feste IP-Adresse der Sophos am WAN: 192.168.178.2/24 (In der Fritz habe ich die Sophos als Exposed Host freigegeben)

Sophos LAN-seitig 192.168.0.1 mit DHCP Server (dort als GW und DNS-Server die interne IP-Adresse der Sophos eingetragen).

 

Unter Dienstdefinition habe ich den Port 5151 (TCP) angelegt (Ziel- und Quellort 5151; auch schon 1:65535 als Quellort/Zielport ausprobiert)

Firewall Regel erstellt; Quelle: any -> Dienste: 5151 -> Ziel: any --> Kein Erfolg (ausprobiert habe ich auch schon den WAN als Quelle; NAS (Host angelegt) als Ziel und auch anders herum --> Kein Erfolg...

 

Welche Einstellungen habe ich übersehen bzw. falsch gemacht? Kann mir da jemand helfen?

 

Freundliche Grüße und danke vorab

Pierre

 

P.S. Auch mit NAT-Maskierung und DNAT (so in einigen Foren gelesen) habe ich versucht, so die Ports zu öffnen, aber auch leider ohne Erfolg.

 



This thread was automatically locked due to age.
Parents
  • Hallo Pierre,

    Ist überhaupt ein Masquerading-Regel (Internal -> External) aktiv? Die Firewall-Regel alleine ist (in dem Fall) zu wenig.

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria

  • Hallo Josef,

     

    ja dort habe ich auch schon probiert, von Außen auf den Port zu kommen. Klappt allerdings auch nicht... auch im Zusammenhang mit DNAt nicht...

     

    NAT-Markierung: Netzwerk (NAS-Server) -> Schnittstelle (WAN) -> benutzte Adresse (<<Erste Adresse>>)

    DNAT: Datenverkehrsquelle (any) -> Datenverkehrsdienst (5151) -> Datenverkehrsziel (WAN) ; Aktion: Ziel ändern in (NAS-Server) -> Dienst ändern in (5151)

     

    Unter Dienstdefinition habe ich beim 5151 Port den Quell- sowie Zielport auf 5151 stehen / vorher war als Quellort 1:65535 eingetragen.

    LG

    Pierre

  • Als Quellport jedenfalls 1:65535 lassen, sonst wird das nicht gehen.

    Das DNAT kannst weglassen. Mach einfach mal eine Masquerading-Regel und die eine Firewall-Policy.

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria

  • Habe ich auch probiert, leider noch immer ohne Erfolg...

  • Ok zurück zum Start, wo steht die NAS (welche IP) und wer soll darauf Zugriff haben?

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria

  • ok, also das NAS hat die IP-Adresse: 192.168.0.115

    Zugriff soll quasi jeder von überall aus dem Internet über den Port 5151 haben.

    Einen DynDNS Dienst habe ich in der Sophos eingerichtet, wen Extern kann man die auch schonmal erreichen.

    Externer Zugriff auf die NAS sollte so aussehen: hostname.selfhost.bz:5151

     

    Danke dir

    LG

    Pierre

  • Dann benötigst im Prinzip nur eine DNAT-Regel:

    For traffic from Any using service NAS (1:65535 -> 5151) Going to External (WAN Address) Change the destination to INT_NAS (192.168.0.115)
    enable Automatic firewall rule
    enable Log initial packets

    Wenn die Regel angesprungen wird, siehst einen Eintrag im Firewall Log. Wenn das trotz Zugriff von extern nicht passiert, liegt das Problem davor (Fritzbox, Provider, DynDNS, ...)

    Die FritzBox muss den Traffic an Ihrem WAN-Interface jedenfalls auf das WAN der Sophos durchleitet.

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria

  •  So, habe dies so durchgeführt.

    Danke dir für deine Hilfe, aber ich habe leider noch immer ein kleines Problemchen:

    Den Port kann man nun auch von aussen erreichen (Portscanner: www.dnstools.ch/port-scanner.html), nur baut sich leider über das Internet per öffentlichen IP bzw. DynDNS + Port die Loginseite des NAS nicht auf...

    Woran kann das noch liegen?

  • Hallo Pierre,

    ich habe schon anderweitig im Forum diesen Hinweis zur Fritzbox gegeben:

    ich habe vor kurzem bei einem Kunden auf FritzOS 7.12 aktualisiert und danach ging die Funktion "exposed host" nicht mehr richtig. Also eigentlich gar nicht. Ich habe einen Moment gebraucht, um darauf zu kommen, aber kann es mittlerweile mit einer zweiten Installation an einem andern Ort bestätigen. Der Workaround besteht dann darin, einzelne "Port-Freigaben" (im AVM-Jargon) einzurichten (die heißen "DNAT-Regeln" im Rest der Welt). Bei AVM scheint das Problem noch nicht angekommen zu sein.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo Pierre,

    siehst du den Portscan von extern im Firewall-Log der Sophos? Wenn nein liegt das Problem sicher extern (Fritzbox, ...).

    Ansonsten gibt es vielleicht ein Problem in der NAS (Zugangsbeschränkung nur von lokalen IPs, Redirect, ...).

    Du könntest mit einem Chrome auf die externe Adresse gehen und mit den Entwicklertools (Sources) schauen ob Redirects/fremde Ressourcen/anderes Ports benötigt werden).

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria

  • Guten Abend,

     

    danke für eure Antworten ;)

    Ich habe (glaube ich) den Fehler gemacht, in der DNAT Regel der Sophos nur einen hinweg freizugeben. Habe den "Rückweg" nun auch eingetragen und es funktioniert.

    Dies funktioniert bei meiner 7590 nun auch "nur" per exposed Host ohne weitere Ports hinzuzufügen.

     

    Habe aber ein weiteres Problem:

    Ich habe ein Lag angelegt, welches die 4 Ports zum Switch bündeln soll. Die Sophos zeigt auf einmal im Dashboard unter dem Punkt: lag0 -> Link "Fehler" an.

    Kann ich dies auch irgendwie herausfinden, woran dies liegt?

     

    Danke nochmal und schönen Sonntagabend

    Pierre 

  • Hallo Pierre,

    die Sophos UTM ist wie praktisch alle Firewalls stateful, d.h. Regeln für "Rückwege" sind nicht notwendig.

    Ich vermute aus deinen Beschreibungen nun mittlerweile andere Probleme (asymmetrisches Routing, LAG Fehlkonfiguration, ???).

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria

Reply Children