Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 38 subscribers
  • Views 8648 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Portweiterleitung / DNAT

Loko
Hi,
ich versuche derzeit auf einer UTM9 Firewall eine Portweiterleitung zu erstellen.
Die Firewall ist direkt mit dem Internet verbunden.
Die Weiterleitung betrifft den SSH Dienst.
Der Server steht im internen Netz.
Um Portprobleme auf den SSH Port zu vermeinden, habe ich den SSH Dienst auf dem Server auf den Port 8001 gelegt.

Nun lege ich ein DNAT nach dem folgenden Muster an.
Matching Condition
traffic from: ANY
Using service: 8001/tcp
Going to: External(WAN)(Address)

Action
Change the destination to: 192.168.1.120/internal Server
And the service to: 8001/tcp

Automatic Firewall rule und Initial packets are logged habe ich nicht aktiviert
Dafür habe ich eine eigene extra Firewall Regel nach dem folgenden Schema angelegt.
Source: ANY
Services: 8001/tcp
Destinations: External(WAN)(Address)
Action: Allow

Masquerading:
Internal (Network) -> External (WAN)

So, wenn ich nun in Putty die öffentliche IP der Astaro und den Port 8001 angebe, dann passiert gar nichts. Ich bekomme keinen Loginschirm aber auch keine Timeout- oder Disconnect-Meldung.

Der interne Server hat als Gateway das interne Interface der Firewall eingetragen. 

Hat wer eine Idee, was ich falsch mache?
Besten Dank für Anregungen.

Grüße


This thread was automatically locked due to age.
  • 0
    Hi Loko,

    hast du getestet, ob es mit dem AutoPaketFilter Haken funktioniert? Ich denke, deine manuelle Regel ist falsch. Ich meine, es müsste:
    Source: Internet
    Destination: 192.168.1.120/internal Server
    Service: 8001
    sein. 

    Die Reihenfolge in der die Dinge verarbeitet werden ist DNAT, Proxy (trifft hier nicht zu), manuelle Filterregeln. Dein DNAT biegt das Ziel zuerst auf deinen internen Server und dafür gibts dann keine Regel.

    Probier mal und gib bitte Feedback.

    Viele Grüße
    Manfred
  • 0 in reply to Hallowach2
    Hi Manfred,

    Danke für Deine schnelle Antwort.

    Also ich habe nun in der DNAT Regel noch "Automatic Firewall rule" angeschaltet und auch mal die manuelle Firewall Regel angepasst.
    Das Ergebnis ist das Selbe, ich bekomme keine Verbindung zum internen SSH Server.
    Der Server ist im internen Netz über den Port erreichbar.

    Was mich ein wenig stutzig macht, ist dass ich im LiveLog nicht sehe, dass die DNAT Regel greift. Ich meine mich erinnern zu können, dass das in der Version 7 bzw 8 im livelog der Firewall angezeigt wurde. Für UTM kann ich das nicht sagen.

    Grüße
  • 0 in reply to Loko


    Nun lege ich ein DNAT nach dem folgenden Muster an.
    Matching Condition
    traffic from: ANY
    Using service: 8001/tcp
    Going to: External(WAN)(Address)

    Action
    Change the destination to: 192.168.1.120/internal Server
    And the service to: 8001/tcp


    Hm - eine weitere gute Sitte ist, wenn du ein Feld in einer DNAT Regel nicht veränderst (bei dir der Port) soll man das Zielfeld leer lassen.

    Viele Grüße
    Manfred
  • 0 in reply to Hallowach2
    ich habe nun die DNAT Regel entsprechend angepasst. Einmal deaktiviert und wieder aktiviert.
    Jedoch ohne positives Ergebnis :-(
  • 0
    Okay, das DNAT scheint zu funktionieren.
    Nach langem Hin und Her testen, scheint das Problem an meinem lokalen Client PC zu liegen.
    Ich hab noch nicht feststellen können, warum alle Rechner bis auf meine Testsystem das DNAT nutzen können.
  • 0 in reply to Loko
    Hallo Zusammen,

    wir haben seit kurzer Zeit die Sophos UTM9 im Einsatz.

    Ich habe nun folgendes Problem mit dem ich nicht wirklich weiterkomme.

    Wir haben ein Videokonferenzsystem welches vom Internet aus erreichbar sein muss. Der verantwortliche Internetzugang hierfür ist ein Company Connect der Telekom. Mit diesem Anschluss stehen uns auch mehrere Externe IP Adressen zur Verfügung. Eine der verfügbaren externen IP Adressen soll das Videokonferenzsystem ansprechen. Hierzu muss ich auch eine ganze Latte von Ports öffnen und an das Konferenzsystem weiterleiten.
    z.B. SSH TCP Port 22, HTTP TCP Port 80, SNMP UDP Port 
    161, HTTPS TCP Port 443, H323 Audio P2P SIP UDP Port 5060, H323 Q931 answer TCP 1720 usw. sind noch ein paar.

    Zu meinen schon vorgenommenen versuchen:

    Zuerst hatte ich eine DNAT Weiterleitung versucht aufzubauen die folgender maßen aussieht:

    Regeltyp: DNAT
    Datenverkehrsquelle: Any
    Datenverkehrsdienst den entsprechenden Port aus der Latte von oben beschrieben.
    Datenverkehrsziel: die entsprechende für das Konferenzsystem vorgesehene externe IP
    Ziel ändern: die interne IP des Konferenzsystems.
    automatische Firewallregel: ja

    Das hatte so nicht funktioniert.

    Als zweiten stepp hatte ich die Überlegung die vorgesehene externe IP erst in der Sophos bekannt zu machen und habe dazu unter Schnittstellen eine neue Schnittstelle aufgebaut mit der externen IP.

    Aufbau Art: Ethernet Statisch
    Hardware: eth4 
    IPv4: die entsprechende externe IP
    Netzmaske: 255.255.255.248
    Standard GW: ja
    Standard GW externe IP des GW

    leider hat das auch nicht zum Erfolg geführt.

    Kann mir jemand hier einen Tipp geben wo mein Fehler liegt?

    Vielen Dank schon mal dafür!

    Grüße, Dennis
Unfiltered HTML