Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 38 subscribers
  • Views 8648 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Portweiterleitung / DNAT

Loko
Hi,
ich versuche derzeit auf einer UTM9 Firewall eine Portweiterleitung zu erstellen.
Die Firewall ist direkt mit dem Internet verbunden.
Die Weiterleitung betrifft den SSH Dienst.
Der Server steht im internen Netz.
Um Portprobleme auf den SSH Port zu vermeinden, habe ich den SSH Dienst auf dem Server auf den Port 8001 gelegt.

Nun lege ich ein DNAT nach dem folgenden Muster an.
Matching Condition
traffic from: ANY
Using service: 8001/tcp
Going to: External(WAN)(Address)

Action
Change the destination to: 192.168.1.120/internal Server
And the service to: 8001/tcp

Automatic Firewall rule und Initial packets are logged habe ich nicht aktiviert
Dafür habe ich eine eigene extra Firewall Regel nach dem folgenden Schema angelegt.
Source: ANY
Services: 8001/tcp
Destinations: External(WAN)(Address)
Action: Allow

Masquerading:
Internal (Network) -> External (WAN)

So, wenn ich nun in Putty die öffentliche IP der Astaro und den Port 8001 angebe, dann passiert gar nichts. Ich bekomme keinen Loginschirm aber auch keine Timeout- oder Disconnect-Meldung.

Der interne Server hat als Gateway das interne Interface der Firewall eingetragen. 

Hat wer eine Idee, was ich falsch mache?
Besten Dank für Anregungen.

Grüße


This thread was automatically locked due to age.
Parents
  • 0
    Okay, das DNAT scheint zu funktionieren.
    Nach langem Hin und Her testen, scheint das Problem an meinem lokalen Client PC zu liegen.
    Ich hab noch nicht feststellen können, warum alle Rechner bis auf meine Testsystem das DNAT nutzen können.
  • 0 in reply to Loko
    Hallo Zusammen,

    wir haben seit kurzer Zeit die Sophos UTM9 im Einsatz.

    Ich habe nun folgendes Problem mit dem ich nicht wirklich weiterkomme.

    Wir haben ein Videokonferenzsystem welches vom Internet aus erreichbar sein muss. Der verantwortliche Internetzugang hierfür ist ein Company Connect der Telekom. Mit diesem Anschluss stehen uns auch mehrere Externe IP Adressen zur Verfügung. Eine der verfügbaren externen IP Adressen soll das Videokonferenzsystem ansprechen. Hierzu muss ich auch eine ganze Latte von Ports öffnen und an das Konferenzsystem weiterleiten.
    z.B. SSH TCP Port 22, HTTP TCP Port 80, SNMP UDP Port 
    161, HTTPS TCP Port 443, H323 Audio P2P SIP UDP Port 5060, H323 Q931 answer TCP 1720 usw. sind noch ein paar.

    Zu meinen schon vorgenommenen versuchen:

    Zuerst hatte ich eine DNAT Weiterleitung versucht aufzubauen die folgender maßen aussieht:

    Regeltyp: DNAT
    Datenverkehrsquelle: Any
    Datenverkehrsdienst den entsprechenden Port aus der Latte von oben beschrieben.
    Datenverkehrsziel: die entsprechende für das Konferenzsystem vorgesehene externe IP
    Ziel ändern: die interne IP des Konferenzsystems.
    automatische Firewallregel: ja

    Das hatte so nicht funktioniert.

    Als zweiten stepp hatte ich die Überlegung die vorgesehene externe IP erst in der Sophos bekannt zu machen und habe dazu unter Schnittstellen eine neue Schnittstelle aufgebaut mit der externen IP.

    Aufbau Art: Ethernet Statisch
    Hardware: eth4 
    IPv4: die entsprechende externe IP
    Netzmaske: 255.255.255.248
    Standard GW: ja
    Standard GW externe IP des GW

    leider hat das auch nicht zum Erfolg geführt.

    Kann mir jemand hier einen Tipp geben wo mein Fehler liegt?

    Vielen Dank schon mal dafür!

    Grüße, Dennis
Reply
  • 0 in reply to Loko
    Hallo Zusammen,

    wir haben seit kurzer Zeit die Sophos UTM9 im Einsatz.

    Ich habe nun folgendes Problem mit dem ich nicht wirklich weiterkomme.

    Wir haben ein Videokonferenzsystem welches vom Internet aus erreichbar sein muss. Der verantwortliche Internetzugang hierfür ist ein Company Connect der Telekom. Mit diesem Anschluss stehen uns auch mehrere Externe IP Adressen zur Verfügung. Eine der verfügbaren externen IP Adressen soll das Videokonferenzsystem ansprechen. Hierzu muss ich auch eine ganze Latte von Ports öffnen und an das Konferenzsystem weiterleiten.
    z.B. SSH TCP Port 22, HTTP TCP Port 80, SNMP UDP Port 
    161, HTTPS TCP Port 443, H323 Audio P2P SIP UDP Port 5060, H323 Q931 answer TCP 1720 usw. sind noch ein paar.

    Zu meinen schon vorgenommenen versuchen:

    Zuerst hatte ich eine DNAT Weiterleitung versucht aufzubauen die folgender maßen aussieht:

    Regeltyp: DNAT
    Datenverkehrsquelle: Any
    Datenverkehrsdienst den entsprechenden Port aus der Latte von oben beschrieben.
    Datenverkehrsziel: die entsprechende für das Konferenzsystem vorgesehene externe IP
    Ziel ändern: die interne IP des Konferenzsystems.
    automatische Firewallregel: ja

    Das hatte so nicht funktioniert.

    Als zweiten stepp hatte ich die Überlegung die vorgesehene externe IP erst in der Sophos bekannt zu machen und habe dazu unter Schnittstellen eine neue Schnittstelle aufgebaut mit der externen IP.

    Aufbau Art: Ethernet Statisch
    Hardware: eth4 
    IPv4: die entsprechende externe IP
    Netzmaske: 255.255.255.248
    Standard GW: ja
    Standard GW externe IP des GW

    leider hat das auch nicht zum Erfolg geführt.

    Kann mir jemand hier einen Tipp geben wo mein Fehler liegt?

    Vielen Dank schon mal dafür!

    Grüße, Dennis
Children
No Data
Unfiltered HTML