Port freigabe / NAT

Hallo,

wir haben eine Sophos SG 330 im Einsatz und stehen aktuell vor folgendem Problem:

Bis vor kurzem haben wir eine eigene Zoom on-premise Variante betrieben. Diese funktionierte mit eigener öffentlichen IP und Port forwarding einwandfrei.

Seit Anfang Januar funktionert diese Instanz nicht mehr. Es kann sich niemand über das Internet mit unserer on-prem Lösung verbinden. Kurios: Über das LTE des Mobilfunkanbieters "O2" funktioniert es.

Das Port forwarding ist relativ unspektakulär - wir haben uns an die Anleitung von Zoom gehalten:
https://support.zoom.us/hc/en-us/articles/204898919-Configure-Meeting-Connector-Controller-Port-Forwarding

Port 445 - erreichbar
Port 444 - nicht erreichbar
Port 9001 - erreichbar
Port 9002 - erreichbar

Ich habe bereits ein Support-Ticket bei Zoom. Diese vermuten ein NAT-Problem. Das kann natürlich sein - nur hat es bis vor kurzem funktioniert. Ein Ticket bei Sophos habe ich auch - leider noch ohne Erfolg bzw. es konnte sich noch kein Techniker die SG anschauen..

Die UTM haben wir natürlich bereits neugestartet - ebenso wie alle zoom on-prem Server.

Ist hier vielleicht jemanad der eine Idee hat?

Danke und Grüße

T. Fuchs



Interessante Feststellung: Alle Ports sind über das mobile Internet vom Anbieter "o2" erreichbar. Nur aus allen anderen Netzen nicht. Unser Standort selbst verfügt über einen o2-Internet Anschluß.
[edited by: Timon Fuchs at 7:59 AM (GMT -8) on 10 Feb 2021]
  • Hallo Timon,

    könnte es sein, dass ihr aus Versehen den Port 444 für etwas anderes konfiguriert habt?

    Ich würde das erstmal prüfen.

    Mit freundlichem Gruß, Regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hi Jprusch,

    guter Punkt - ich habe nach besten Gewissen überprüft, ob der Port  an anderer Stelle verwendet wird. Dem ist nicht so.

    Danke und Grüße

    T. Fuchs

  • Moin, ich habe mir eure Verbindungen mal genauer angeschaut:

    Schau dir mal die Records deiner Zoom Subdomain genauer an, diese können einfach nicht zu eurer festen IP-Adresse aufgelöst werden.

    Deshalb finden die externen Zoom Server auch nicht die Zuordnung zu euch. Kurz: Habt ihr bei eurer Domain irgendetwas zu der Zeit geändert (Nameserver, A-Record,...), sodass die weltweiten DNS-Server eure Zoom Domain nicht mehr auflösen können?

  • Hallo Timon,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    You confirm that you only see one definition for 444?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Jonas,

    danke für den Tipp. Bei Zoom sind keine DNS-Einträge notwendig. Es sind eine oder mehrere öffentliche iP-Adressen notwendig, die genau so in die on-prem Variante eingetragen werden...

  • Hi Bob,

    ja, Port 444 ist der Einzig individuell definierter Port.


    Danke und Grüße

  • Probiere mal folgendes um unabhängig von Zoom die Portfreigaben zu prüfen:

    Testweise einzelne DNATs über die Ports

    -Port 445 
    -Port 444 
    -Port 9001 
    -Port 9002 

    erstellen und dann auf den RDP Port umbiegen, diesen dann auf einen RDP Server (wenn der Zoom Server bereits RDP kann, kann dieser als Ziel bleiben) als Ziel setzen.

    Kannst du von extern dann über jeden der oben genannten Ports via RDP erfolgreich auf den RDP Server zugreifen?:

    Beispiel der ersten Regel:

    Denk dran, beim RDP Client neben der öffentlichen IP / Domain dahinter den Port anzugeben mittels :XXX

  • Hallo Timon,

    wichtig wäre eine Prüfung, ob die Ports, die die Sophos für einige Dienste nutzt, nicht auf den 444 gelegt wurden.

    Mit fällt da spontan das UserPortal ein oder der Webadmin (das wäre aber sehr offensichtlich) oder SSL-Settings für den Remote Access usw.

    Außerdem kannst du mal auf das kleine blaue "i" deiner Port444-Definition drücken, um zu sehen, wo diese Definition überall verwendet wird.

    Mit freundlichem Gruß, Regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo Jonas92,

    das ist ein wirklich guter Test!

    Ich konnte mich erfolgreich über alle Ports mit einem internen RDP-Server übers Internet verbinden. Nur über Port 444 geht es nicht. 

    Es wird aber noch kurioser: Aus dem mobilen Internet durch bspw. "o2" funktioniert die Verbindung über 444. Auch das Verbinden zu unserer Zoom-Lösung funktioniert. Aus allen anderen mobilen Netzen wie bspw. Telekom funktioniert es nicht...

  • Hallo Jprusch,

    der Port wird wirklich an keiner anderen Stelle verwendet.

    Danke und Grüße