This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT funktioniert nicht

Hallo,

ich habe mich heute einmal selber an einem NAT probiert.

Leider klappt die Weiterleitung vom Port nicht. Im Log steht auch nichts, wenn ich mich verbinden möchte.

Es soll von extern auf einen Wireguardserver zugegriffen werden.

Habe ich einen groben Fehler eingebaut?

Bild



This thread was automatically locked due to age.
  • ich würde  sagen, der traffic from passt nicht . ich würde mal any versuchen oder explizit einen host / Network angeben.

    dann wäre noch interessant, in welchem netz der host wireguard liegt, bei change the destination to

    Telekom ist wahrscheinlich DSL /externes WAN

  • Danke für deine Antwort. 

    Traffic from hatte ich bereits auf any, das macht keinen Unterschied. 

    Der Host liegt im selben IP-Bereich wie die Sophos.

    Morgen kann ich mal ein Screenshot von den Netzen machen. Von heimischen VPN darf ich mich nicht auf der Firewall einloggen. 

    Genau, Telekom ist ein DSL Modem von der Telekom. 

  • Hallo David,

    die Weiterleitung für den Port, den der Wireguardserver nutzt, muss auch auf dem "Telekom_Lancom" geschehen. Sonst kommt an der UTM nichts an.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Ich dachte, der wäre so konfiguriert, dass alles durchgeht.

    Hab da jetzt mal noch folgende Regel angelegt (untere Zeile):

    lancom

    lancom2

    Bringt aber leider nichts.

  • Hallo David,

    das Ziel für ein NAT auf dem Lancom ist die Adresse der UTM in Richtung Lancom, soweit ich das sehe ist das bei dir die IP 192.168.24.2. Dann nimmt dieses UTM-Interface mit der NAT-Regel von ganz oben auf dem Port die Verbindung entgegen und leitet diese an den Wireguard-Server hinter der Firewall weiter. Du hast ja auch bei "Going to" die IP 192.168.24.2 definiert, oder?

    Das Netzwerk 192.168.22.0/24 kennt der Lancom ja nicht, weil es hinter der Firewall liegt.

    Man könnte alternativ eine Route zum 192.168.22.0/24 auf dem Lancom setzen, dann benötigst du gar kein DNAT auf der UTM, weil du ganz normal routest. Das DNAT macht dann der Lancom.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Das übersteigt jetzt meine Kenntnisse :-D

    Auf der Lancom habe ich jetzt das Portforwarding auf die 192.168.24.2 geändert.

    Das macht Sinn, dass er das andere Netz nicht kennt ......

    Da, das goingto ist so gesetzt

    goto

    lancom 

  • Zwei Dinge fallen mir ein:

    Weiß denn der Wireguard, wie er ins Internet kommt? (Kennt er das Gateway?)

    Der Default-Port für Wireguard ist UDP/51820, ist das hier bewusst anders konfiguriert?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Glaube ich habe es jetzt.

    Was bedeutet das "filtered"? Wireguard verbindet nämlich noch nicht.

    ok

  • Wireguard habe ich mit einem Setupskript installiert. Hier habe ich alles wesentliche angegeben:

    wg

    P.S.:

    Hier vor habe ich noch einen Post

    EDIT:

    Habe eben hier das im Log gefunden:

    16:27:20	Default DROP	UDP	 	80.187.74.18:7301 →	192.168.24.2:60017  len=176	ttl=52	tos=0x00	srcmac=00:a0:57:2b:e7:ae	dstmac=00:1a:8c:44:5d:be

    Die 80.187.74.18 ist die öffentliche IP von meinem Smartphone.

    Das könnte mein Problem sein oder? Warum lässt er die Pakete fallen?

    EDIT 2

    Hier die Settings wo ich den Drop am ehesten vermute?

    drop

    EDIT 3

    Hat es ggf mit dem Port hinter der öffentlichen IP vom Smartphone zu tun? Ka wo der her kommt. 

    r