Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 6 subscribers
  • Views 1557 views
  • Users 0 members are here
Options
Suggested

Probleme mit DNAT: Versuch, externe IP-Adresse auf interne IP zu übersetzen, funktioniert nicht wie erwartet

Dome96

Hallo zusammen,

ich stehe vor der Herausforderung, eine IP-Adresse zu "übersetzen", und ich nehme an, dass der geeignete Ansatz die Erstellung einer NAT-Regel ist. Leider funktioniert dies jedoch nicht wie gewünscht.

Ich habe einen externen Host über eine Sophos-RED mit unserer UTM verbunden, und dieser externe Host besitzt die IP-Adresse 192.168.96.100.

Mein Ziel ist es, diesen Host über eine unserer internen IP-Adressen erreichbar zu machen, speziell über die IP-Adresse 192.168.178.24.

Derzeit habe ich eine DNAT-Regel erstellt, mit folgenden Einstellungen:
- Datenverkehrsquelle: internes Netzwerk (192.168.178.0/24)
- Datenverkehrsdienst: ANY (zum Testen)
- Datenverkehrsziel: 192.168.178.24 (die vorgesehene interne IP-Adresse)
- Aktion -> Ziel ändern in: 192.168.96.100
- Automatische Firewallregel erstellen ist aktiviert

Wenn ich einen Ping über die UTM durchführe, funktioniert dies wie erwartet und wird im Live-Protokoll dokumentiert. Jedoch scheitert ein Ping von einem Host im internen Netzwerk (z.B., 192.168.178.213), und die UTM zeichnet keine Protokolle auf.

Frage: Liege ich mit dem DNAT-Ansatz falsch, und sollte ich stattdessen eine "Full-NAT"-Regel erstellen, damit die Pakete ordnungsgemäß antworten können? Falls ja, wie würde die Konfiguration für eine solche Regel aussehen?

Vielen Dank für eure Hilfe!

  • 0

    Hallo  ,

    Vielen Dank, dass Sie sich an die Community gewandt haben. Ich möchte Sie bitten, auf einige nützliche Links unten zu verweisen:
    1.) Sophos UTM: Erstellen Sie 1:1-NAT-Regeln
    2.) https://5t9h.short.gy/dMGWVb
    3.) Die Verwendung von DNAT für den Zugriff auf interne Server aus internen Netzwerken führt zu einem Fehler: Host nicht gefunden

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Global Support & Services 

    Log a Support Case | Sophos Service Guide
    Best Practices – Support Case


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • 0

    Möglicherweise ist nicht DNAT der falsche Ansatz, sondern PING.

    NAT wird bei komplexeren Protokollen mit sogenannten Helpern ausgeführt, die zueinander gehörende Sessions (etwa bei FTP) identifizieren und miteinander kombinieren können. Dazu bedarf es allerdings sessionbehafteter Protokolle (insbesondere TCP) wie beispielsweise bei HTTP.

    Sessionlose Protokolle wie UDP oder auch das für PING verwendete ICMP sind da im Nachteil, hier macht DNAT genau was es soll, ein Paket von der Quelle zum Ziel zu befördern. Die umgekehrte Richtung ist nicht Bestandteil dieser Übersetzung.

    Welches Protokoll soll denn letztendlich übersetzt werden, ein TCP-basiertes Protokoll wie HTTP(S) sollte mit der genannten Konfiguration problemlos gehen.

    Für andere Dienste (z.B. Ping) brauchst Du wie von Vivek schon vorgeschlagen ein Full NAT.

  • 0 in reply to Alan Brand

    Hallo Alan, vielen Dank für deine Antwort!
    Ich habe mir schon fast gedacht, dass ich eine Full NAT-Regel erstellen muss für mein vorhaben.
    Mein Ziel ist es letztendlich per SSH auf das Endgeräte zugreifen zu können. Ich verstehe nicht ganz, wie meine Full-NAT-Regel aussehen sollte.

    - Datenverkehrsquelle: internes Netzwerk (192.168.178.0/24)
    - Datenverkehrsdienst: ANY (zum Testen)
    - Datenverkehrsziel: 192.168.178.24 (die vorgesehene interne IP-Adresse)
    - Aktion -> Ziel ändern in: 192.168.96.100
    - Aktion -> Dienst ändern in: <leer>
    - Aktion -> Quelle ändern in: IP meiner UTM??
    - Aktion -> Dienst ändern in: <leer>
    - Automatische Firewallregel erstellen ist aktiviert

    Kannst du mir da weiterhelfen?

    Danke!!

  • 0 in reply to Dome96

    Verstehe ich es richtig, daß Du in das Gerät unter 192.168.96.100 nicht eingreifen kannst, ihm insbesondere keine Route auf 192.168.178.0/24 konfigurieren darfst?

    Ansonsten wäre das der einfachste Weg und Du bräuchtest überhaupt kein NAT.

    Dann mußt Du als Quelle die IP-Adresse der mit dem Gerät verbundenen RED (also z.B. 192.168.96.1) eingeben - aus Sicht der UTM ist das ja wie ein lokal erreichbares Interface und aus Sicht des Gerätes ist das ein SSH-Client in seinem lokalen Subnetz 192.168.96.0/24.

  • 0 in reply to Alan Brand

    Hallo Alan,

    die Verbindung aus dem internen Netzwerk auf das externe Netzwerk funktioniert. 

    Leider kann/darf die Verbindung so nicht genutzt werden und muss zwingend über die 192.168.178.24 gehen.

    Ich habe nun die Einstellungen wie folgt umgesetzt:

    - Datenverkehrsquelle: internes Netzwerk (192.168.178.0/24)
    - Datenverkehrsdienst: ANY (zum Testen)
    - Datenverkehrsziel: 192.168.178.24 (die vorgesehene interne IP-Adresse)
    - Aktion -> Ziel ändern in: 192.168.96.100
    - Aktion -> Dienst ändern in: <leer>
    Aktion -> Quelle ändern in: 192.168.96.1 (Sophos RED)
    - Aktion -> Dienst ändern in: <leer>
    - Automatische Firewallregel erstellen ist aktiviert

    Leider noch ohne Erfolg.. 

  • 0 in reply to Alan Brand

    Hallo Alan, 

    ich habe nochmal versucht den aktuellen Aufbau in einer kleinen Zeichnung festzuhalten.

  • 0 in reply to Dome96

     Die Frage ist immer was Source und was ist Destination... ich glaube du brauchst eine SNAT Regel, bin aber nicht 100% sicher. Ich verstehe nämlich Deine IPs nicht zu 100%, da die aus dem Text nicht so richtig zur Skizze passen. Evtl. brauchst du nämlich sogar SNAT und DNAT. Aber ich muss echt zugeben das ich das "Problem" nicht mal richtig durchschaut habe.
    PC1/Standort A soll SSH auf das NAS am am Standort C machen?! Was ist Quelle, was ist Ziel, was der Weg?!
    Quelle: 172.22.4.7 -> Ziel 192.168.81.100
    im ersten Text schreibst Du der externe Host hat die 192.168.96.100 und du willst mit der 192.168.178.24 zugreifen
    Quelle 192.168.178.24 -> Ziel 192.168.96.100
    Und genau das sehe ich eben nicht in der Skizze.
    In der Skizze sind noch 2 andere Netze... die Frage ist wo setzt das NAT an und in welcher Richtung S oder D oder beides.
    Und von welcher IP muss in welche übersetzt werden. NAT ist echt fies ;-) da haben wir uns auch lange die Haare gerauft :-D

    Grüße aus dem Sauerland und dem Ruhrgebiet

    Marc

Unfiltered HTML