Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Suggested Answer
  • Replies 9 replies
  • Answers 1 answer
  • Subscribers 9 subscribers
  • Views 221 views
  • Users 0 members are here
Options
Suggested

XG 136 mit SFOS 20.0.0 hinter einem Exposed Host. Ich bekomme kein DNAT hin

ChristofS

Hallo Gemeinde,

bis jetzt hatte ich immer einer SG230 in dieser Konstallation. Diese habe ich nun gegen eine XG136 getauscht und die Firmware SFOS 20.0.0 GA-Build222 ist installiert und die Konfiguration so von der SG230 übernommen

Die Reds und die VPN  Verbinung für den Client habe ich hin bekommen. (Nachdem ich dann in der VPN Konfiguration bei Hostname überschreiben die externe Ip eingetragen habe)

Was aber überhaupt nicht funktioniert sind die Dnat Regeln für den  Webserver  und  den Exchange fürs OWA

Denn Webserver will ich über Port 8090 von extern erreichen

Hier die Firewall Regel:

Hier das Nat

Gitlab = Port 8090

Git= 192.168.1.150

Hab hier schon einiges Probiert. In der Protokollansieht kommt aber auch nichts. Ich habe ja das dumme gefühl das hat was mit den Zonen zu tun?!

Hat hier einer vielleicht einen ansatz

Gruß

Christof

 



Added TAGs
[edited by: Raphael Alganes at 3:13 PM (GMT -7) on 25 Jun 2024]
  • 0

    Hallo Christof,

    ohne die Regeln jetzt im Detail durchsehen zu können, hast du diese mit dem DNAT-Wizzard erstellt?

    Falls nicht, mache es damit. Das passte bisher immer. (z.B. müsste die ZielZone in der FW Regel WAN sein ... würde ich denken)

    viele Grüße,  


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0

    Hallo Christof,

    der Telekom-Router kennt das 192.168.1.0 /24 Netzwerk doch gar nicht, daher hast du hier ein klassisches Routingproblem.

    Einfach im Telekom Router eine statische Route für das Netzwerk 192.168.1.0 /24 setzen, das Gateway dafür aus Sicht des Telekomrouters ist dann 192.168.100.1

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to PhilippRusch

    Hallo Philipp,

    ich würde denken, dass "exposed Host" im ISP Router wie bei "einer SG230 in dieser Konstallation" alles an die ext. IP der Firewall weiterleitet.
    Da die FW mit Sicherheit an der WAN Schnittstelle auch NATted ... würde das passen.

    Viele Grüße


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,

    ja, wenn dort auch ein MASQ aktiv ist, dann sollte das funktionieren. Da gebe ich dir recht.

    Ich schalte in einer solchen Konstellation das NAT auf der FW immer ab, damit man nicht zweimal ein NAT im "Verkehrsweg" hat.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to dirkkotte

    Hallo Dirk,

    ja genau damit habe ich es gemacht. Mit den Zonen bin ich mir ja sowas von unsicher. Und ist sicherlichlich dann aich mein denkfehler irgendwie. Weil eigenlich will ich ja vom Wan ins Lan also in die LAN Zone..

    Also diese neuen Gruppierungen und Zone machen mich Verürckt :-) War das bei der UTM einfach

    Gruß

    Christof

  • 0 in reply to PhilippRusch

    Hallo Philip,

    das passt so was in der Telekom Box Konfiguriert ist. Mit der SG hat das perfekt funktioniert.

    Ich denke mal das die 136 "merkt" hier kommt die 192.168.100.1 und nicht die externe IP. Wie gesagt die SSL Verbindung funktiont ja. Kann mich perfekt mit dem Client verbinden.

    Gruß

    Christof

  • 0

    Hi,

    hast du mal versucht NAT- und Firewallregel auf Position 1 zu setzen?
    Wie sieht dein Dienste-Objekt für Gitlab aus?

  • 0

    Hallo Alle,

    also ich habe es jetz bin bekommen. Hab das ganze mit dem Assistenten nochmal neu gemacht. Dannach muss man aber noch was Anpassen.

    Habe bei der Firewall Regel:

    -Die Regelgruppe auf "Keine" gesetzt

    Bei der NAT Regel

    Eingehende Schnittstelle auf = Port2

    Jetzt geht das. Ich denke mal der Hauptgrund war die Regelgruppe

  • 0 in reply to ChristofS

    Schön, dass es läuft.
    Die Regelgruppe beeinflusst nur die Reihenfolge oder Optik.
    Funktional macht die nichts.
    Und konntest du den richtigen Port nicht im Wizzard auswählen? Das funktionierte bei mir bisher immer.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Unfiltered HTML