This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Interne IP auf SSL VPN Benutzer umleiten

Hallo zusammen,

ich stehe derzeit vor einem Problem was für mich noch nicht ganz schlüssig ist.
Wir haben eine Sophos UTM 9 bei uns im Einsatz.

Nun zu meiner Situation:

Wir mussten unseren Datenbank Server aufgrund von Ressourcen Mangel auf einen externen Server in einem Rechenzentrum auslagern. Da auf diesen Datenbankserver von vielen Auswertungen im Controlling zugegriffen werden soll ist es essenziel wichtig dass die bisherige IP Adresse auf den externen Server via NAT übersetzt wird. Da wir ungern die öffentliche IP des Server verwenden wollen, ist es essential wichtig das die bisherige IP Adresse über eine SSL VPN Verbindung zustande kommt.

Ich bin nun wie folgt vorgegangen:

Ich habe Zusätzliche Adresse unter Schnittstellen mit der IP 192.168.3.248/24 angelegt. Unter Network Protektion -> NAT -> NAT habe ich nun zwei Regeln angelegt:

DNAT:

ANY -> mysql -> Zusätzliche Adresse (192.168.3.248/24) wird übersetzt auf SSL User Network -> mysql
Automatische Firewallregel aktiv

SNAT:
SSL User Network -> any -> any wird übersetzt auf die Zusätzliche Adresse (192.168.3.248/24)
Automatische Firewalregel aktiv

Hier ist nun so das, aus irgendeinen Grund, nicht jeder Host auf die 192.168.3.248 nun zugreifen kann. Zum Beispiel:

Benutzer mit SSL VPN -> kann auf die 192.168.3.248 zugreifen
Server 1 mit IP 192.168.1.30 -> kann auf die 192.168.3.248 zugreifen
Server 2 mit IP 192.168.1.113 -> kann auf die 192.168.3.248 nicht zugreifen

Laut Firewall Protokoll wird nichts geblockt.

Wenn wir nun die NAT Regel soweit anpassen das es nicht auf die Zusätzliche Adresse zeigt, sondern auf die WAN IP des Servers, dann funktioniert alles ohne Probleme.

Ich komme hier auf keinen grünen Zweig.
Eventuell hat jemand eine Idee und kann mir hierbei behilflich sein.

Vielen Dank im Voraus.

Mfg,

Maik



This thread was automatically locked due to age.
Parents
  • Vielleicht stimmt die Subnetzmaske bei dem Client nicht.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo Philipp Rusch,

    vielen Dank für die schnelle Antwort und Ihre Idee.
    Die Clients haben alle die richtige Subnetz Maske /24 zugewiesen. Was mich irritiert ist, dass im Firewall Log der Aufruf angezeigt wird und hier auch nicht explizit geblockt wird.

    Mit freundlichen Grüßen

    Maik Lehr

Reply
  • Hallo Philipp Rusch,

    vielen Dank für die schnelle Antwort und Ihre Idee.
    Die Clients haben alle die richtige Subnetz Maske /24 zugewiesen. Was mich irritiert ist, dass im Firewall Log der Aufruf angezeigt wird und hier auch nicht explizit geblockt wird.

    Mit freundlichen Grüßen

    Maik Lehr

Children
No Data