Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Dateizugriff auf/in ein anderes Netz

Hi,

gegeben ist ein Testnetz (Astaro SA mit 2 NICs, 1 Client). Aus diesem Netz möchte ich in einem anderen Netz auf Windowsfreigaben zugreifen.

Generell baut die Astaro ja schon eine Defaultroute. HTTP(S) und DNS habe ich hinbekommen aber mit dem Dateizugriff hapert es noch.

"External" ist ein 16er Netz, "Internal" ein 24er. Die NICs sind nicht gebrückt, und es sind noch keine Einträge für NAT, Masquerading bzw. Routing angelegt. Einzig Paketfilterregeln von Internal an External.

Könnt ihr mir bitte auf die Sprünge helfen?
-- 
TIA & MfG, Steffen


This thread was automatically locked due to age.
Parents
  • Bin ein Stückchen weiter. Habe eine NAT-Regel eingestellt, damit kann ich mit dem lokalen Client-User direkt auf Shares zugreifen:

    Name: Int2Ext - Dateizugriff
    Match Parameters: Internal (Network) -> External (Network) / Dateizugriff
    SRC Translation: External (Adress)
    DST Translation: None

    Jetzt fehlt mir nur noch, dass auch die Domänendaten (User, Passwort) durch können.

    Hat da noch einer 'nen Tipp?
    -- 
    MfG, Steffen
Reply
  • Bin ein Stückchen weiter. Habe eine NAT-Regel eingestellt, damit kann ich mit dem lokalen Client-User direkt auf Shares zugreifen:

    Name: Int2Ext - Dateizugriff
    Match Parameters: Internal (Network) -> External (Network) / Dateizugriff
    SRC Translation: External (Adress)
    DST Translation: None

    Jetzt fehlt mir nur noch, dass auch die Domänendaten (User, Passwort) durch können.

    Hat da noch einer 'nen Tipp?
    -- 
    MfG, Steffen
Children
  • In einer AD-Domäne ist hierfür das Kerberos Protokoll zuständig. Das kannst Du in Deiner Testumgebung der Servicegruppe Dateizugriff hinzufügen. Oder Du mußt eine zusätzliche NAT-Regel hierfür erstellen.
  • Hallo Alfred,

    ja, nein, ich will mich nicht mit dem Internet verbinden, sondern zwei eigene Netze, die hinter einem weiteren SG liegen. *g*

    Ich habe mir das mit Kerberos - Danke für den Tipp - angeguckt. Die Ports (88, 4444) hat mir Google geliefert. Damit habe ich dann eine Servicegruppe "Kerberos" gebildet und diese sowohl im Paketfilter und auch als NAT-Regel (analog der für den Dateizugriff) angelegt. Leider erfolglos...

    Nebenbei habe ich mal das NAT-Ziel von External (Network) nur auf die beiden relavanten PCs umgestellt.

    Hat noch jemand einn Tipp? Im englischen Part des Forums gibt es auch einen Thread zum Thema (https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/26433) aber ich werde nicht recht schlau darus...
    -- 
    TIA & MfG, Steffen
  • Hallo Steffen,

    folgende Ports sollten in der Gruppe enthalten sein, um Kerberos/AD-Authentifizierung zu ermöglichen:

    88     TCP/UDP         Kerberos-Auth.
    389    TCP/UDP        LDAP-Verzeichnisdienst
    3268  TCP               LDAP-glob. Katalogserver
  • Servus Alfred,

    [V] 88 Kerberos
    [V] 389 LDAP
    [  ] 3268 LDAP global

    Den letzten habe ich noch dazugefügt, Kerberos und LDAP hatte ich bereits aber eben ohne Erfolg.

    Jetzt funzts. Besten Dank.
    -- 
    MfG Steffen