Nat Einstellungen / SSH über zwei Netzwerke

Question

Moin, ich habe folgende Frage : 
 
 Ich m&ouml;chte an meine UTM 1 ein SSH request schicken der dann an eine UTM 2 in einer anderen Adress-Range geleitet wird. 
 
 Beispiel: 
 UTM1 Adresse 192.168.153.254 
 UTM2 Adresse 192.168.33.1 
 Client der die SSH aufbaut 192.168.153.1 
 SSH Ziel ist 192.168.33.1:22 
 
 Ich habe auf der UTM1 ein zweies interface eingerichtet mit der IP 192.168.33.2 
 Testweise h&auml;ngt alles an einem switch ohne VLAN. 
 
 Firewalleinstellung UTM2 : 
 Quelle 192.168.153.0/24 und 192.168.33.0/24 , Dienst/Protokoll SSH , Ziel Interface 192.168.33.1 , allow 
 
 Bisher habe ich folgende DNAT Einstellung versucht : 
 UTM1 : Quelle 192.168.153.0/24 
 Protokoll / Dienst: SSH 
 Ziel : 192.168.33.2 (zweite Schnittstelle UTM1) 
 Weiterleiten an IP 192.168.33.1 
 Ich habe hier das SSH Ziel im Befehl auf 192.168.33.2 ge&auml;ndert. 
 Ergebnis No connection 
 Von der UTM1 kann ich &uuml;ber das Interface 192.168.33.2 das Interface 192.168.33.1 auf der UTM2 anpingen. 
 Muss ich noch was auf der UTM1 maskieren ? 
 Gru&szlig;, 
 Dennis

PhilippRusch · Answer

Hallo Dennis, 
 du beschreibst ein klassisches IP-Routing von einem Netzwwerk in ein anderes. Das ist keine "Weiterleitung" im Sinne von DNAT usw. 
 Wahrscheinlich fehlt dir einfach die Route auf der UTM2,damit diese wei&szlig;, wohin sie denn die Antwortpakete senden soll, da der Client ja "hinter der UTM1" sitzt. 
 Der Client Netzwerk an der UTM1 wei&szlig;, wie er in das Netzwerk an der UTM2 gelangen soll, weil die UTM1 direkt mit dem 192.168.33.0/24 Netz verbunden ist. Diese Route existiert also, weil es ein Interface gibt dass zur UTM2 verbunden ist. 
 Die UTM2 dagegen kennt das Netzwerk 192.168.153.0/24 an der UTM1 gar nicht. Daher geht das Paket nicht zur&uuml;ck an den Client. 
 Du musst also auf der UTM2 eine statische Route eintragen:

Und bitte alle DNAT-Eintr&auml;ge deiner Versuche l&ouml;schen, die be&ouml;tigst du hier nicht.