sophos nat to synology help

Hello all
Hope this in the right place
What I have is a Synology nas box behind a Sophos Home install
I am new to Sophos coming from pfsense
I have internet access working
I use this NAS for various web access apps and SMTP mail server.

1 Definitions & Users>Service Definitions>made a group of ports to forward
2 Went to Network Protection>NAT>New NAT Rule to forward this group of ports to my NAS box at 192.168.1.4 I have searched the internet and youtube for 2 weeks and no go 

Is there a simple guide on how to setup NAT that actually works?
I have tried so many combinations and so far nothing works email sits in UTM que forever, firewall log says everything is being blocked. I wish sophos nat worked like pfsense
  • I would recommend for the web portion (50,443,5001) to use the "Webserver Protection" and for mail use the "Email Protection". If you use both there is no need to setup NAT rules and you will have better control of SPAM and Web Attacks against your Synology.

    The Help screens help with the setup.
  • I agree for smtp you probably want to use "Email Protection" and use webserver protection for the other services that are applicable. You mention the UTM queue so it sounds like you want to use Email protection so make sure you do not have a NAT rule for smtp as it will then bypass the smtp proxy. See https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065 for some things to check in your setup

    As for DNAT rule an example to forward http would be:

    Matching condition:
    For traffic from: "Internet" or "Any"
    Using service: http
    Going to: External Address

    Action
    Change destination to:192.168.1.4
    And service to: 

    Check Automatic firewall rule

    If you want help troubleshooting your DNAT rules please post screenshots of the rules and any services you created.
  • In reply to rrosson:

    I need to forward ports
    80
    5000, 5001
    5005.5006
    6690
    443
    I'm not seeing how to use all these ports to my internal server using webserver protection.
  • As far as I know webserver protection only supports html requests What kind of applications does the Web Application firewall support?

    For other services you will need to configure DNAT rules.
  • OK 
    I am still using my pfsense box till I get Sophos debugged.
    I am getting system notification emails from Sophos UTM so that is working, I expect it will also forward incoming emails as well.

    I made a DNAT rule as described forwarding necessary ports to NAS box. for the time being the UTM responds to pings to see if ports are open for troubleshooting purposes.
    X Gateway is Ping visible
    X Ping from Gateway
    X Gateway forwards Pings
    I will test everything when I get home from work.
    So far Sophos seems to be a very powerfull feature rich home firewall with a small learning curve. 
    Thanks for all the help so far. using the email server protection together with a DNAT rule was messing things up for mail server.
  • OH 
    one more thing, should I check Automatic Firewall rule for DNAT or does DNAT override firewall rules
    Thanks
  • As this is for home use I will make the jump that you have no business case to have all of those ports open. Especially with the growing number of viruses targeting Synology boxes. 

    With that said, have you considered using VPN access to your Synology apps off site? No ports need be opened, filtered or otherwise.
  • I think I will give the VPN a try
    Thanks
  • Why don't you use the Quick connect from Synology. No need to open any ports. The performance is a little bit less, but not that bad.
  • In reply to Roger:

    Why don't you use the Quick connect from Synology. No need to open any ports. The performance is a little bit less, but not that bad.


    Although the Synology boxes are fantastic I would leverage the UTM for the firewall tasks as it is in a word, unified. This gives you a lot better access security and logging insight in to your connections. 

    What I would use the Synology box for is DOMAIN functions. Radius / LDAP for example. That way you could connect your Sophos UTM to it and have access to both boxes via one account! #greatestdayever... 

    The only failure in both devices is a the lack of a true two factor subsystem. Yubikey / DUO / LastPass, etc.
  • In reply to dserratt:

    OH 
    one more thing, should I check Automatic Firewall rule for DNAT or does DNAT override firewall rules
    Thanks


    You need both a DNAT to forward the traffic and a Firewall rule to allow the traffic. Checking Automatic firewall rule while creating the DNAT is a quicker option then having to go and create a manual Firewall rule.
  • In reply to dilandau:

    DNAT:

    Traffic from: Any
    using service: 5000,5001
    Going to: WAN interface

    Change destination to: Private IP of Synology
    Services: (you specify)

    I once did a similar configuration as yours to allow remote access to my Synology NAS from home. Please let me know if it works.
  • NAT:

    DNAT
    Verkehrskennzeichner:
    Any → "Synology2211rp+" → YOUR INTERNET (Address)
    Zielübersetzung: Server Synology 2211rp+
    Automatische Firewallregel:  none (set it manually)
    Die Initialisierungspakete werden protokolliert: yes

    Services  "Synology 2211rp+" include:

    Cloud: 6690 TCP
    FTP: 21 TCP (if used)
    HTTPS: 7001 TCP (webinterface)
    HTTPS: 5001 TCP (admin interface)
    webdav: 5006 TCP