Frage zu: Alias IP-Adressen. Ausgehend bestimmte IP verwenden

Das sollte mit einer SNAT-Regel möglich sein. Die im folgenden Bild verwendete xx.xx.xx.252 ist eine von mehreren alternativen Adressen ..

Hallo Dirk, vielen Dank für deine Mühe erstmal!

Ich habe es so ausprobiert wie von dir beschrieben, leider ohne Erfolg :( . Bei der Ursprünglichen Quelle habe ich den EXSRV als FQDN Host und als IP Host eingetragen (beide Varianten). Bei der übersetzten Quelle habe ich als IP Host die öffentliche IP-Adresse eingetragen. Die ausgehende Schnittstelle, ist die, wo auch die Alias IPs verankert sind.

- Ich komme mir grade echt blöd vor, sorry........

Nachdem ich ausschließlich die vorgeschlagene Variante ausprobiert habe, habe ich noch versucht das Ziel über einen SD-WAN Route zu forcieren, das ging bedauerlicherweise auch nicht. Ich habe gelesen, dass die Alias IPs mit der Subnetz 255.255.255.255 angelegt werden sollen, ist das so? Laut Provider soll es 255.255.255.249 ( /29) sein. Beide Varianten funktionieren gleich gut, da kann ich keinen Unterschied erkennen.

- Vielen Dank!

Beste grüße

Patrick

Ist die NAT Rule über deine Default Internet NAT Rule oder darunter? In diesem Fall muss die Exchange-NAT Rule über der Default Rule stehen.

Ja, zusätzliche IP's lege ich auch als Host an (/32). War eine best practice von Sophos, welche wohl auch bei der XG/XGS Bestand hat.

/29 ist 255.255.255.248 und nicht 255.255.255.249 ... am Besten noch mal auf dem Interface prüfen.

Steht die NAT-Rule weit oben? ... vor der allgemeinen "maskiere alles mit der Interface IP"..?

Was sagt denn der Log-viewer zu dem Zugriff? Matcht die richtige NAT-Rule?

Guten Morgen Dirk, nochmals Danke für deine Mühe.

Ja, du hast vollkommen recht, es handelt sich im Original Fall um ein /29 255.255.255.248 Netz. Da habe ich mich doch glatt vertippt hier im Beitrag. Aber ich habe die Alias IPs nun alle auf /32 255.255.255.255 angepasst.

Die Reihenfolge der SNAT Regeln wurden natürlich von mir berücksichtigt, aber danke für den Hinweis, der Teufel ist schließlich ein Eichhörnchen.

Das hat mich ja auch gewundert, weder in der SNAT Regel selber hat der Counter angeschlagen, blieb auf »null«, noch konnte ich im Protokoll sehen, das die SNAT Regel verwendet wurde. Die SNAT Regel habe ich zum Testen auch auf Position 1 geschoben.

Aber ich habe es jetzt glaube ich gelöst. In kleinen Schritten aber, ging schon. Folgendes habe ich gemacht.

1.) Ursprüngliche Quelle       = Hier habe ich zum testen das Ganze Netz rein gelegt z.B. 192.168.193.X

2.) Ursprüngliches Ziel          = Beliebig

3.) Ursprünglicher Dienst      = Beliebig

4.) Übersetzte Quelle SNAT = Die gewünschte öffentliche IP ausgewählt.

5.) Übersetztes Ziel (DNAT) = Ursprünglich

6.) Übersetzter Dienst (PAT) = Ursprünglich

7.) Eingehende Schnittstelle = Das interne LAN (Zone)

8.) Ausgehende Schnittstelle = Portunity WAN

Die Konfiguration hat dann natürlich für das ganze Netz gezählt, aber das hat mir im ersten Moment für mein Verständnis weiter geholfen.

Nachdem ich wusste, dass ich die öffentliche IP so verändern kann, habe ich versucht es auf ein einzelnes Gerät einzuschränken, dies ist mir aber nicht gelungen über die reine SNAT Konfiguration.

Daher habe ich mich im nachgang nochmal mit dem SD-WAN Routing auseinandergesetzt. Über diesen Weg, mit deiner Hilfe im SNAT Bereich, ist es mir dann gelungen wie folgt.

1.) SNAT Regel

2.) SD-WAN Regel

3.) Firewall Regel

Dies habe ich jetzt mit 4 Servern und der TK-Anlage wiederholt. Bei allen Serven und der TK habe ich jetzt eingehend und ausgehend die gewünschte IP-Adresse.

Ich danke dir sehr für die Geistige Unterstützung!!!

Beste Grüße

Patrick

Sehr schön, dass es funktioniert.

Hast du mehrere ISP-Verbindungen? Hab ich das übersehen? Sonst sollte das SD-WAN Routing nicht nötig sein.

Wenn die "Quell-Netz-Definition" funktioniert, aber die "Quell-Host-Definition" nicht ... ist die Host-Definition wirklich ok?

Hellööö,

Jap es sind 2 ISP Verbindungen 1x NetCologne und einmal Portunity. Wobei das Portunity Kit auf die Internetverbindung des Kabel-Routers angewiesen ist. Das IP-Kit ist ein Raspi, wo ein Linux drauf ist. Das Kit baut eine Verbindung über eine VPN zu Portunity auf. Dort hängen dann die öffentlichen IPs dran, wo auch jegliche Anfragen/Ports etc. ungefiltert an die Sophos weiter geben wird. So ähnlich als würde man von den Fritz!Box ein Esposed Host auf die Sophos weiterleiten.

Ich habe es mal ganz grob gemalt, damit es einfacher ist mein Konstrukt kennen zu lernen.

Die FritzBox steht in einem extra Raum, wo das Portunity Kit direkt am Switch der FritzBox angeschlossen ist. Daher habe ich im Serverraum einen Transportswitch, weil nur ein Cat7 Kabel von einem Raum in den anderen führt.

Beste Grüße

Patrick

Ok, dann brauchst du natürlich von SD-WAN-Routing die Entscheidung, welcher Weg es sein soll.

PS: du hast die öffentlichen IP's im Bild ...

Ok, dann bin ich froh das ich es richtig gemacht habe. Du hast mir den entscheidenen Hinweis gegeben! Danke nochmal!

Die öffentlichen IPs im letzten Bild "IP-KIT" sind frei ausgedacht. meinst du diese?

Grüße

Patrick

ja, die meinte ich.