This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Interne IP auf SSL VPN Benutzer umleiten

Hallo zusammen,

ich stehe derzeit vor einem Problem was für mich noch nicht ganz schlüssig ist.
Wir haben eine Sophos UTM 9 bei uns im Einsatz.

Nun zu meiner Situation:

Wir mussten unseren Datenbank Server aufgrund von Ressourcen Mangel auf einen externen Server in einem Rechenzentrum auslagern. Da auf diesen Datenbankserver von vielen Auswertungen im Controlling zugegriffen werden soll ist es essenziel wichtig dass die bisherige IP Adresse auf den externen Server via NAT übersetzt wird. Da wir ungern die öffentliche IP des Server verwenden wollen, ist es essential wichtig das die bisherige IP Adresse über eine SSL VPN Verbindung zustande kommt.

Ich bin nun wie folgt vorgegangen:

Ich habe Zusätzliche Adresse unter Schnittstellen mit der IP 192.168.3.248/24 angelegt. Unter Network Protektion -> NAT -> NAT habe ich nun zwei Regeln angelegt:

DNAT:

ANY -> mysql -> Zusätzliche Adresse (192.168.3.248/24) wird übersetzt auf SSL User Network -> mysql
Automatische Firewallregel aktiv

SNAT:
SSL User Network -> any -> any wird übersetzt auf die Zusätzliche Adresse (192.168.3.248/24)
Automatische Firewalregel aktiv

Hier ist nun so das, aus irgendeinen Grund, nicht jeder Host auf die 192.168.3.248 nun zugreifen kann. Zum Beispiel:

Benutzer mit SSL VPN -> kann auf die 192.168.3.248 zugreifen
Server 1 mit IP 192.168.1.30 -> kann auf die 192.168.3.248 zugreifen
Server 2 mit IP 192.168.1.113 -> kann auf die 192.168.3.248 nicht zugreifen

Laut Firewall Protokoll wird nichts geblockt.

Wenn wir nun die NAT Regel soweit anpassen das es nicht auf die Zusätzliche Adresse zeigt, sondern auf die WAN IP des Servers, dann funktioniert alles ohne Probleme.

Ich komme hier auf keinen grünen Zweig.
Eventuell hat jemand eine Idee und kann mir hierbei behilflich sein.

Vielen Dank im Voraus.

Mfg,

Maik



This thread was automatically locked due to age.
Parents
  • Hallo zusammen,

    ich konnte meinen Fehler herausfinden. Dies war eindeutig Layer 8...

    Ich habe vergessen die zugelassenen Netze auf Ebene des SSL Benutzers freizugeben. So konnten dann die Netze via Port 3306 auf die 3.248 zugreifen, jedoch hatte der SSL Benutzer keine Berechtigung eine Rückmeldung an die Netze zu geben.

    Mit freundlichen Grüßen

    Maik Lehr

Reply
  • Hallo zusammen,

    ich konnte meinen Fehler herausfinden. Dies war eindeutig Layer 8...

    Ich habe vergessen die zugelassenen Netze auf Ebene des SSL Benutzers freizugeben. So konnten dann die Netze via Port 3306 auf die 3.248 zugreifen, jedoch hatte der SSL Benutzer keine Berechtigung eine Rückmeldung an die Netze zu geben.

    Mit freundlichen Grüßen

    Maik Lehr

Children
No Data