Veröffentlichen von L2TP VPN Server/NAS

Hallo zusammen,

ich bin ein Anfänger in Sachen Sophos. Vielleicht könnt Ihr mir helfen.

Ich versuche von einem NAS Server den Dienst  VPN Server (L2TP) zu veröffentlichen.

Es wird zur Datenreplikation zu einem weiteren NAS System benötigt. Das remote NAS wählt sich per VPN ein und die Replikation startet.

 

Folgende Konstellation:

Telekom digitalisierungsbox (192.168.2.1) als Router leitet alles weiter zur UTM (192.168.2.254)

Sophos UTM
Interfaces:
etho (192.168.100.254/24, internal1)
eth1 (192.168.2.254/24, WAN)

Eth2 (192.168.110.254/24,VPNNAS intern )

DAS NAS System (192.168.110.1) ist an der UTM an ETH2 verbunden.

Ich zerbreche gerade mein Hirn an der funktionsweise bzw. wie ich das einbaue. Per DNAT.

Ich habe schon einiges probiert aber so recht funktioniert es nicht.

Hat einer eine Idee, wie ich das Problem besser eingegrenzt bekomme?

 

Vielleicht könnt Ihr mir beim Aufbau helfen!

 

Vielen Dank.

Parents
  • Hallo Leika,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.)

    I understand that you want your external NAS to connect to an L2TP/IPsec  server in your internal NAS.

    Assume that the public IP address from which the external NAS connects is 92.209.17.18.  You need a DNAT like:

    {Host definition for 92.209.17.18} -> {"IPsec" services group} -> WAN (Address) : DNAT to {192.168.110.1}

    In addition, you will want a firewall rule like:

    {192.168.110.1} -> {L2TP service} -> {Host definition for 92.209.17.18} : Allow

    I think your real problem isn't your lack of knowledge of the Sophos UTM - the problem is how IPsec works and your topology.

    I suspect that the solution I presented above won't work because the L2TP/IPsec server can only be "seen" via the DNAT rule.  In fact, it's a double NAT because the Telekom box also NATs all traffic to the UTM.  In your case, the IPsec server "signs" packets with the IP of the interface of the server - 192.168.110.1.  If the L2TP/IPsec server in the NAS can be configured to sign packets with your public IP, my suggested solution should work.

    You will be better off in general if you can change the Telekom box from router mode to bridge mode so that you can get a public IP on the WAN interface of the UTM.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi,

    sorry ich bin erst heute dazu gekommen das zu testen aber wie du schon vermutest hast, geht es nicht.

    Ich muss wohl die Telekom box in den Bridge mode umbauen.

    Das Problem ist aber das im Moment die T-Box noch den SIP tunnel für eine alten TK Anlage aufbaut, und ich weiß noch nicht wie sich das verhält.

    Da muss ich wohl noch warten bis die alten TK Anlage gegen einer Cloud Lösung abgelöst wurde.

    ... Thanks for that...

Reply
  • Hi,

    sorry ich bin erst heute dazu gekommen das zu testen aber wie du schon vermutest hast, geht es nicht.

    Ich muss wohl die Telekom box in den Bridge mode umbauen.

    Das Problem ist aber das im Moment die T-Box noch den SIP tunnel für eine alten TK Anlage aufbaut, und ich weiß noch nicht wie sich das verhält.

    Da muss ich wohl noch warten bis die alten TK Anlage gegen einer Cloud Lösung abgelöst wurde.

    ... Thanks for that...

Children
No Data