Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 9 subscribers
  • Views 3354 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT Regel erstellen

crkt

Hi zusammen,

seit genau einem Monat haben wir eine XGS 2300 im Einsatz und haben derzeit Probleme mit den NAT Regeln. Hier brauche ich einen Denkanstoß oder Hinweise an welcher Stelle es klemmen könnte.

Kurz zum Aufbau.

Wir haben einen IPsec Tunnel mit einem Rechenzentrum. Dort werden für uns verschiedene Dienste bereitgestellt. Mit der neuen Firewall hat sich auch unser Netzwerk etwas verändert. Der Tunnel ist derzeit mit mehreren IP Adressen eingerichtet. Unter anderem:
192.168.10.0/24 <-> 172.30.30.100/32

Soweit funktioniert das. 192.168.10.0/24 ist eines unserer alten Netze in dem aber noch Geräte stehen und verwendet werden. Das Rechenzentrum kann diesen Bereich auch nicht ändern oder erweitern, da er fest vergeben ist.

Jetzt möchten wir aus dem Netz 10.10.1.0/24 ebenfalls auf die oben genannte Adresse zugreifen. In unserer XG230 hatten wir für so Fälle einfach über die GUI ein SNAT angelegt. In der XGS scheint das nicht mehr ganz so einfach möglich zu sein. Neben der NAT Regel haben wir noch entsprechende Firewall Regeln erstellt, die den Verkehr dem Log nach auch erlauben. Aber es wird keine Verbindung aufgebaut.

Das SNAT haben wir derzeit so angelegt:

Original Source: 10.10.1.0/24
Original Destination: 172.30.30.100/32
Original Service: 419

Translated Source: 192.168.10.10
Translated Destination: Original
Translated Service: Original

Inbound Interface: Any
Outbound Interface: Any

An der Stelle haben wir schon mehrere Kombinationen ausprobiert. So wie die Regel jetzt erstellt ist, greift sie auch wenn man nach dem Usage Counter und dem Log geht. Aber wie gesagt, die Verbindung kommt aus dem Netz 10.10.1.0/24 nicht zustande.

Die Firewall Regel:
10.10.1.0/24 -> 419 -> 172.30.30.100/32

Ich hatte hier in dem Forum gesehen dass man noch eine IPsec Route anlegen muss. Grundsätzlich wäre das kein Problem, aber ich verstehe an der Stelle nicht warum das nötig ist. Der Tunnel an sich funktioniert und es fehlt eigentlich nur eine Adressübersetzung.

Gruß
Chris



This thread was automatically locked due to age.
Parents
  • 0

    Ich würde unter diagnose / packetcapture den paketmitschnitt verwenden, um das ausgehende interface zu sehen.

    Filter auch "host 172.30.30.100"

    sind im log die interfaces schlüssig?

    Was sagt ein traceroute zum ziel?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0

    Ich würde unter diagnose / packetcapture den paketmitschnitt verwenden, um das ausgehende interface zu sehen.

    Filter auch "host 172.30.30.100"

    sind im log die interfaces schlüssig?

    Was sagt ein traceroute zum ziel?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • 0 in reply to dirkkotte

    Hi,

    der Packetcapture zeigt mir keine Inhalte dazu an. Filtere ich z.B. nach meiner Source IP sehe ich nur einen Eintrag in Richtung Internet, der damit nichts zutun hat. Filtere ich nach der Destination IP sehe ich gar keine Einträge. Ich denke dass ich mir die Funktion mal genauer anschauen muss.

    Auf einen Traceroute hätte ich auch selbst kommen können...
    Von der Firewall aus laufen die alle ins leere. Mache ich eine Tracert von einem Client aus dem Netz 192.168.10.0/24 wird es angezeigt wie gewollt. Aus dem Netz 10.10.1.0/24 läuft der Tracert über das Gateway unseres ISP. Ich werde mir in dem Zusammenhang auch noch das Thema mit der IPsec Route anschauen.

    Was mir jetzt noch aufgefallen ist: in den Site-toSite VPN Tunneleinstellungen gibt es unter den Gateway Settings die Option "Network Address Translation (NAT)". Wenn ich diese aktiviere habe ich unter "Translated subnet" die 192.168.10.0/24 (steht auch unter "Local subnet") und kann bei "Original Subnet" die 10.10.1.0/24 auswählen. Dann komme ich aus beiden Netzen an die Gegenstellen. Ein Tracert aus beiden zeigt dann den gewünschten Verlauf. Problem ist dann nur, dass die Kollegen aus dem Rechenzentrum keine Daten mehr auf unseren Geräten in 192.168.10.0/24 abrufen können.

    Danke für Deine Hinweise.

    Gruß
    Chris

  • 0 in reply to crkt

    Dann fehlt dir noch eine Firewalregel für den Zugriff vom RZ aus.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to PhilippRusch

    Die Regel existiert. Any in beide Richtungen. Sobald ich das NAT aus den VPN Einstellungen wieder deaktiviere, funktioniert es ja. Dann kann man nur nicht mehr aus 10.10.1.0/24 in die Richtung zugreifen.

    Jetzt werden einfach die Anfragen von 172.30.30.100 zu z.B. 192.168.10.100 übersetzt zu 10.10.1.100. Und die gibt es nicht.

    Ich hänge hier mal zwei Screenshots aus dem Log an. Ich hoffe man kann es erkennen.





    Ich kann mir nicht vorstellen dass das einrichten eines NAT so kompliziert ist. Das kann ja eigentlich nur eine Kleinigkeit sein die ich übersehe.

    Gruß
    Chris

Unfiltered HTML