Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 38 subscribers
  • Views 11794 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RDP Freigabe --> Default DROP

Akcent
Hallo,

ich habe eine ASG 8.2 hinter einer Firtz!Box (192.168.178.1 (default))

In der Fritz!Box ist der "Exposed Host" auf das externe LAN der ASG (192.168.178.254) freigegeben.

In der ASG habe ich eine Regel
Extern --> Port 93389 --> Terminalserver (93389 ist dann auf den Zielport 3389 geleitet)

eingerichtet.

Leider komme ich aber von extern nicht auf den Terminal-Server.
Im Loggin steht dann 

Default DROP TCP 80.187.96.197:46849 →  192.168.178.254:93389 [SYN]  len=48 ttl=49 tos=0x00 srcmac=0:15:c:57:30:89 dstmac=7a:50:41:49:9f:ac

Hat jemand eine Info für mich, warum der Zugriff nicht klappt?
Auch die anderen Regeln funktionieren nicht.

Ich kann vom Internen LAN aus surfen. Das geht.

Was mich wundert ist "Default Drop". Hier habe ich aber nicht gefunden.

Viele Grüße, Akcent


This thread was automatically locked due to age.
  • 0
    Wie viele Ports gibt es bei dir ?  [;)]
  • 0 in reply to mr bo
    öhm wie genau meinst Du das?
    LAN-Ports oder Regeln?
  • 0 in reply to Akcent
    jetzt versteh ich Deine Frage. Sorry ich stzand kurz auf dem Schlauch

    Hier habe ich mich aber verschrieben. ist nicht der Port 93389 sodern 43389


    Aber auch die anderen Regeln scheinen nicht zu greifen (https)
  • 0
    Hallo, die beschriebene DNAT-Regel ist einfach falsch.

    Sollte lauten:

    SRC: Any
    DST: External Interface (Address)
    SVC: TCP DST Port 43389
    Translate to:
    DST: Terminalserver (Address)
    SVC: RDP (TCP DST Port 3389)
    Auto-Packetfilter enabled

    Bitte auch tatsächlich von Extern verbinden für den Funktionstest.
  • 0 in reply to trollvottel
    Hallo,

    ich meine, diese aber so eingestellt zu haben. 

    Ich bin gerade unterwegs und werde heute Abend noch einmal genauer schauen.
    Melde mich dann noch einmal.

    Danke und viele Grüße
    Akcent
  • 0 in reply to Akcent
    Hallo,

    also ich habe das ganze unter den Regeln eingerichtet. Ist das nicht korrekt?
    Müssen die Eingangsregeln unter NAT / DNat angelegt werden?

    Viele Grüße, Akcent
  • 0
    Ja - Es seidenn, Dein LAN verwendet öffentliche IP-Adressen, dann reicht nur eine Paketfilterregel. Ansonsten müssen die Adressen natürlich irgendwie übersetzt werden (DNAT)
  • 0 in reply to trollvottel
    ich habe eine feste IP-Adresse und dazu gibt es auch einen im Internet auflösbaren Namen.

    also terminal_server.meinedomaene.de
    owa..meinedomaene.de  und so

    demnach sollte die Regel ja funktionieren.

    Viele Grüße, Akcent
  • 0
    ich habe eine feste IP-Adresse und dazu gibt es auch einen im Internet auflösbaren Namen.

    also terminal_server.meinedomaene.de
    owa..meinedomaene.de und so

    Das Problem ist nach dem Ankommen der Pakete in Deiner Astaro.

    Vom erstern Post:
    Default DROP TCP 80.187.96.197:46849 → 192.168.178.254:93389 [SYN] len=48 ttl=49 tos=0x00 srcmac=0:15:c:57:30:89 dstmac=7a:50:41:49:9f:ac

    Diese Zeile ist aus der Live Log, und man kann sehr wenig davon ergreifen.  Zeige mal bitte dieselbe aus der Firewall Datei.

    Wie trollvottel schon gescrieben hat, in DNAT/SNAT sollst Du mindestens das Folgendes haben:

    Traffic Source: Internet
    Traffic Service: {43389}
    Traffic Destination: External (Address)
     
    NAT mode: DNAT (Destination)

    Destination: {192.168.178.254}
    Destination Service: RDP

    Automatic Firewall rule: {geklickt}



    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    ok, und wie komme ich an die Datei ? 

    Muß ich dann für jeden externen ZUgriff eine normale Regel und eine DNAT-Regel einrichten?
Unfiltered HTML