[solved]NAT Regel für "statische IP" für SSL Fernzugriff

Hallo,

ich habe gelesen das man die "statische" IP Zuweisung beim SSL Fernzugriff per NAT Regel "ermöglichen" kann.

Evtl. liegt es an der Hitze ;-) aber ich bekomme es nicht hin, evtl. habe ich aber auch einen Denkfehler.

Zur Situation:

Ein Dienstleister wählt sich bei uns per SSL Fernzugriff ein und bekommt dann ja eine IP aus dem "VPN Pool (SSL)".

Der Dienstleister muss nun weiter in ein Rechenzentrum um an die VoIP-TKAs dran zukommen und noch weiter um auch an die VoIP-Gateways der Niederlassungen zu kommen.

Das Rechenzentrum und die Niederlassungen kennen aber keine Route zurück in das Netz vom VPN-Pool, die Route kann ich auch nicht mal eben setzen lassen.

Darum wollte ich dem einen Dienstleister per NAT eine IP aus dem Netz "geben" in dem sich auch die UTM befindet und das auch voll geroutet ist.

Geht das per NAT überhaupt oder brauche ich unbedingt die fehlende Rück-Route in das VPN-Pool Netz?

 

Schema:

VPN Pool (SSL) 10.242.2.0/24 <-> LAN 10.1.0.0/20 <-> RZ 192.168.212.0/24 <-> 10.100.1.0/24 Niederlassung

 

Grüße aus dem heißen Schwerte

Marc

SG210 / 9.703-3

Parents
  • Hallo Marc,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    First, if you un-check 'Allow multiple concurrent connections per user' on the 'Settings' tab of 'SSL VPN', users will only be able to login from one device at a time, but users will always be assigned the same quasi-fixed IP.  That's not necessary to use the following NAT trick.

    Create an Additional Address on the Internal interface.  For example, for user Gerhard, "Internal [Gerhard] (Address)" = 10.1.0.11.  Now, make two NAT rules:

    SNAT : Gerhard (User Network) -> Any -> Any : from Internal [Gerhard] (Address)
    DNAT : Any -> Any -> Internal [Gerhard] (Address) : to Gerhard (User Network)

    Note that the DNAT is only necessary if someone or something needs to send an unsolicited packet to Gerhard when he's connected.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Hallo Marc,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    First, if you un-check 'Allow multiple concurrent connections per user' on the 'Settings' tab of 'SSL VPN', users will only be able to login from one device at a time, but users will always be assigned the same quasi-fixed IP.  That's not necessary to use the following NAT trick.

    Create an Additional Address on the Internal interface.  For example, for user Gerhard, "Internal [Gerhard] (Address)" = 10.1.0.11.  Now, make two NAT rules:

    SNAT : Gerhard (User Network) -> Any -> Any : from Internal [Gerhard] (Address)
    DNAT : Any -> Any -> Internal [Gerhard] (Address) : to Gerhard (User Network)

    Note that the DNAT is only necessary if someone or something needs to send an unsolicited packet to Gerhard when he's connected.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children