This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Kein Zugriff auf eigenen Port (INTERNES NETZWERK, PLEX usw.) Sophos UTM 9

Hallo zusammen

  • ich habe eine Sophos 125 UTM 9 im Einsatz (standort Köln)
  • an beiden standorten habe ich eine fixe ip
  • mittels NAT habe ich den Port 32400 freigegeben auf die Fixe IP
  • maskierungsregel wurde ebenfalls vorgenommen dass der Server aus Berlin zugriff hat auf das WAN von Köln (internet raus)
  • nun ist der Server aus Berlin mittels Sophos Connect via VPN verbunden mit Köln
  • der zugriff auf Plex von aussen ist gegeben und funktioniert einwandfrei.

JEDOCH

  • ich kann nicht im selben netzwerk auf das Plex mich DIREKT verbinden sondern immer eine indirekte verbindung. Laut LOG habe ich immer eine drop (rot) mit dem 32400 Port.
  • ich kann im hause Köln nicht auf die Fixe gesetzte IP 77.x.x.x.:32400 zugreifen, wie ich es aber von ausserhalb kann.
  • Zudem habe ich noch ein Luxusproblem mit der UTM 9, ich kann DNS Namensauflösung nicht machen. Bzw. aus Berlin cmd ping servername01 geht nicht, wenn ich seine IP eingebe beispielsweise 192.168.123.1 dann gehts. Hat hierfür jemand auch eine lösung?

Ich habe IRGENDWO etwas vergessen einzutragen und verzweifle, der ganze aufbau hat mich stunden spass gekostet :-)  aber es fehlt halt bestimmt irgendwo nur noch dieser eine Punkt!

Danke vielmals


Hier paar screenshots meiner einstellungen:

ist alles noch eine TEST umgebung mit der ich am lernen bin. Security und Details kommen erst viel später rein. Vielen dank für eure unterstützung :-)



This thread was automatically locked due to age.
Parents
  • Hallo Andreas,

    • ich kann nicht im selben netzwerk auf das Plex mich DIREKT verbinden sondern immer eine indirekte verbindung. Laut LOG habe ich immer eine drop (rot) mit dem 32400 Port.

    Wie sieht den die rote drop-meldung aus? Die enthaltenen Adressen wären schon interessant

    • ich kann im hause Köln nicht auf die Fixe gesetzte IP 77.x.x.x.:32400 zugreifen, wie ich es aber von ausserhalb kann.

    Hat Köln einen "full Tunnel" ? Wie sieht ein Tracert zur 77.x.x.x aus?

    • Zudem habe ich noch ein Luxusproblem mit der UTM 9, ich kann DNS Namensauflösung nicht machen. Bzw. aus Berlin cmd ping servername01 geht nicht, wenn ich seine IP eingebe beispielsweise 192.168.123.1 dann gehts. Hat hierfür jemand auch eine lösung?

    Wen fragst du denn nach dem Namen? Wenn es ein DNS-Server ist, möchte der die Anfrage "vollqualifiziert" (servername01.deinedomain.irgendwas) 

    Versuche mal hier mit nslookup zu Arbeiten. Wenn das funktioniert, geht auch ping usw.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo Dirk


    Danke vielmals für deine Antwort.

    - Die Meldung schaut wie folgt aus:

    - Ich weiss nicht ob ich die Einstellungen für einen Fulltunnel vorgenommenn habe

    - Der DNS Dienst ist über die Firewall und nicht über 8.8.8.8 oder so. Die Hosts habe ich auf der Sophos eingetragen jedoch kann ich nur den Namen nicht pingen nur die IP Adresse.

  • Hallo Andreas,

    Der Weg von Köln nach Berlin sieht anders aus, als der Weg von Berlin nach Köln.

    Geht der Traffic hier "Außen herum" - also nicht durch den Tunnel? Wenn die externe IP angesprochen wird, diese aber nicht in der Tunneldefinition enthalten ist, wäre das zu erwarten.

    Die verworfenen Pakete sind "Reset-pakete". Diese gehören zu einer Sitzung, welche evtl. gar nicht mehr existiert. (z.B. wenn ein Teil der Verbindung durch den Tunnel geht ... und die Antwort einen anderen Weg nimmt) 
    Da lässt sich mit Rules nichts machen. Hier muss das ganze VPN-/Routing-Konstrukt geprüft werden.

    Verworfene SYN-Pakete gehören zum gescheiterten Verbindungsaufbau. Hier würde eine passende Rule fehlen.  

    Würdest du auf allen Rules das Logging aktivieren, gäbe es deutlich mehr hilfreiche Informationen.

    PS: "ich kann im hause Köln nicht auf die Fixe gesetzte IP 77.x.x.x.:32400 zugreifen, wie ich es aber von ausserhalb kann."
    ... Warum willst du vom LAN Köln auf die externe Köllner IP zugreifen, welche dann wieder nach Innen genattet wird ....
    (hört sich an wie - von hinten durch die Brust ins Auge-)
    Kannst du aus dem Köllner Netz nicht die geräte im 10.0.0.0/24er Netz direkt ansprechen?

    ... und warum sprichst du aus Berlin die externe IP in Klön an, wenn es doch ein VPN gibt?

    Sieht ein wenig so aus, als würde hier ein Plan fehlen ... 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • Hallo Andreas,

    Der Weg von Köln nach Berlin sieht anders aus, als der Weg von Berlin nach Köln.

    Geht der Traffic hier "Außen herum" - also nicht durch den Tunnel? Wenn die externe IP angesprochen wird, diese aber nicht in der Tunneldefinition enthalten ist, wäre das zu erwarten.

    Die verworfenen Pakete sind "Reset-pakete". Diese gehören zu einer Sitzung, welche evtl. gar nicht mehr existiert. (z.B. wenn ein Teil der Verbindung durch den Tunnel geht ... und die Antwort einen anderen Weg nimmt) 
    Da lässt sich mit Rules nichts machen. Hier muss das ganze VPN-/Routing-Konstrukt geprüft werden.

    Verworfene SYN-Pakete gehören zum gescheiterten Verbindungsaufbau. Hier würde eine passende Rule fehlen.  

    Würdest du auf allen Rules das Logging aktivieren, gäbe es deutlich mehr hilfreiche Informationen.

    PS: "ich kann im hause Köln nicht auf die Fixe gesetzte IP 77.x.x.x.:32400 zugreifen, wie ich es aber von ausserhalb kann."
    ... Warum willst du vom LAN Köln auf die externe Köllner IP zugreifen, welche dann wieder nach Innen genattet wird ....
    (hört sich an wie - von hinten durch die Brust ins Auge-)
    Kannst du aus dem Köllner Netz nicht die geräte im 10.0.0.0/24er Netz direkt ansprechen?

    ... und warum sprichst du aus Berlin die externe IP in Klön an, wenn es doch ein VPN gibt?

    Sieht ein wenig so aus, als würde hier ein Plan fehlen ... 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
No Data