Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 8 subscribers
  • Views 2800 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

XG125 v20.0.1 - Portweiterleitung und Zugriff auf Interne Hosts nach Update nicht mehr möglich

Michael Nährig

Hallo Zusammen,

unglücklicherweise wurde ein Update der XG125 von 19.5. auf 20.0 durchgeführt und anschließend war die gesamte Konfiguration zurückgesetzt. Nachdem ich nun die meisten Einstellungen mühsam wieder eingerichtet habe, scheint mir entweder ein Fehler in der Konfiguration passiert zu sein, oder die neue Firmware reagiert anders. Meine Situation ist folgende: 

* An einem GF-Modem hängt die XG125 mit Port2

* An Port 1 hängt ein Switch 

* An Port 3 (auf WAN) und Port 4 (auf LAN) hängt eine Fritzbox 

* Port 1 und 4 teilen sich das Subnetz 192.168.188.0/24

* Port 3 nutzt das Subnetz 192.168.187.0/24

* An Port 7 und Port 8 hängt eine Unify Telefonanlage (mit einer IP im Netz 192.168.188.x) 

Ich möchte nun, dass ich sowohl per VPN (SSL-Client) und WAN (Portweiterleitung) auf diverse interne Geräte zugreifen kann. Vor dem Update ging das und die Firewallregeln sowie DNAT Regeln existieren (nach bestem Wissen), doch leider kann ich die WebServices der internen Geräte nur über LAN erreichen. Ein Zugriff über WAN oder VPN geht nur auf die Telefone, nicht aber auf die Fritzbox oder die Telefonanlage. Kann jemand aus der Community hier einen Fehler feststellen oder mir einen Tipp zur Validierung geben? 

Vielen Dank für die Hilfe

Michael Nährig 

Regel : LocalTraffic - Accept 

Source: LAN, VPN
Source Network: Any
Src Service: Any 

Destination: LAN, VPN
Destination Network: Any
Dst Service: Any 

Regel : Remote to Fritzbox - Accept 

Source: WAN
Source Network: Any
Src Service: Any

Destination: Any
Destination Network: Any
Dst Service: FritzboxPort

NAT Rule: 

Original Source: Any
Original Service: FritzboxPort
Original Dest: Any

Translated Source: Original
Translated Service: Original
Translated Dest: Fritzbox IP 

Regel : Remote to Unify - Accept 

Source: WAN
Source Network: Any
Src Service: Any

Destination: Any
Destination Network: Any
Dst Service: UnifyPort

NAT Rule: 

Original Source: Any
Original Service: UnifyPort
Original Dest: Any

Translated Source: Original
Translated Service: Original
Translated Dest: Unify IP 

 



This thread was automatically locked due to age.
  • 0 in reply to dirkkotte

    Die 94er Ip ist mein PublicIp aus meinem privaten Heimnetz. Diese IP musste ich als ACL/Exception einstellen, damit ich die XG überhaupt Remote erreichen konnte. Der generelle WAN Zugriff ist nach dem Update nicht mehr aktivierbar. 

    Bei NAT Rule 1 hätte ich gesagt, dass die Original Destination nicht korrekt ist. MN-Remote ist original Source (so wurde es im Assistenten auch eingestellt) 

    Gleiches gilt bei Rule 3. 

    Das mit dem Berater hatte ich auch in Betracht gezogen, hatte hier aber leider bisher sehr sehr schlechte Erfahrungen machen müssen. Mein Verkäufer ist eher in der UTM Trainiert und der direkte Sophossupport war dann bei einem anderen Thema etwas "schwierig". 

  • 0 in reply to Michael Nährig

    Die "Original Destination" sollte eine externe Interface-IP der Sophos Firewall sein ...


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Unfiltered HTML