Help us enhance your Sophos Community experience. Share your thoughts in our Sophos Community survey.

Probleme mit DNAT: Versuch, externe IP-Adresse auf interne IP zu übersetzen, funktioniert nicht wie erwartet

Hallo zusammen,

ich stehe vor der Herausforderung, eine IP-Adresse zu "übersetzen", und ich nehme an, dass der geeignete Ansatz die Erstellung einer NAT-Regel ist. Leider funktioniert dies jedoch nicht wie gewünscht.

Ich habe einen externen Host über eine Sophos-RED mit unserer UTM verbunden, und dieser externe Host besitzt die IP-Adresse 192.168.96.100.

Mein Ziel ist es, diesen Host über eine unserer internen IP-Adressen erreichbar zu machen, speziell über die IP-Adresse 192.168.178.24.

Derzeit habe ich eine DNAT-Regel erstellt, mit folgenden Einstellungen:
- Datenverkehrsquelle: internes Netzwerk (192.168.178.0/24)
- Datenverkehrsdienst: ANY (zum Testen)
- Datenverkehrsziel: 192.168.178.24 (die vorgesehene interne IP-Adresse)
- Aktion -> Ziel ändern in: 192.168.96.100
- Automatische Firewallregel erstellen ist aktiviert

Wenn ich einen Ping über die UTM durchführe, funktioniert dies wie erwartet und wird im Live-Protokoll dokumentiert. Jedoch scheitert ein Ping von einem Host im internen Netzwerk (z.B., 192.168.178.213), und die UTM zeichnet keine Protokolle auf.

Frage: Liege ich mit dem DNAT-Ansatz falsch, und sollte ich stattdessen eine "Full-NAT"-Regel erstellen, damit die Pakete ordnungsgemäß antworten können? Falls ja, wie würde die Konfiguration für eine solche Regel aussehen?

Vielen Dank für eure Hilfe!

Parents
  • Möglicherweise ist nicht DNAT der falsche Ansatz, sondern PING.

    NAT wird bei komplexeren Protokollen mit sogenannten Helpern ausgeführt, die zueinander gehörende Sessions (etwa bei FTP) identifizieren und miteinander kombinieren können. Dazu bedarf es allerdings sessionbehafteter Protokolle (insbesondere TCP) wie beispielsweise bei HTTP.

    Sessionlose Protokolle wie UDP oder auch das für PING verwendete ICMP sind da im Nachteil, hier macht DNAT genau was es soll, ein Paket von der Quelle zum Ziel zu befördern. Die umgekehrte Richtung ist nicht Bestandteil dieser Übersetzung.

    Welches Protokoll soll denn letztendlich übersetzt werden, ein TCP-basiertes Protokoll wie HTTP(S) sollte mit der genannten Konfiguration problemlos gehen.

    Für andere Dienste (z.B. Ping) brauchst Du wie von Vivek schon vorgeschlagen ein Full NAT.

  • Hallo Alan, vielen Dank für deine Antwort!
    Ich habe mir schon fast gedacht, dass ich eine Full NAT-Regel erstellen muss für mein vorhaben.
    Mein Ziel ist es letztendlich per SSH auf das Endgeräte zugreifen zu können. Ich verstehe nicht ganz, wie meine Full-NAT-Regel aussehen sollte.

    - Datenverkehrsquelle: internes Netzwerk (192.168.178.0/24)
    - Datenverkehrsdienst: ANY (zum Testen)
    - Datenverkehrsziel: 192.168.178.24 (die vorgesehene interne IP-Adresse)
    - Aktion -> Ziel ändern in: 192.168.96.100
    - Aktion -> Dienst ändern in: <leer>
    - Aktion -> Quelle ändern in: IP meiner UTM??
    - Aktion -> Dienst ändern in: <leer>
    - Automatische Firewallregel erstellen ist aktiviert

    Kannst du mir da weiterhelfen?

    Danke!!

  • Verstehe ich es richtig, daß Du in das Gerät unter 192.168.96.100 nicht eingreifen kannst, ihm insbesondere keine Route auf 192.168.178.0/24 konfigurieren darfst?

    Ansonsten wäre das der einfachste Weg und Du bräuchtest überhaupt kein NAT.

    Dann mußt Du als Quelle die IP-Adresse der mit dem Gerät verbundenen RED (also z.B. 192.168.96.1) eingeben - aus Sicht der UTM ist das ja wie ein lokal erreichbares Interface und aus Sicht des Gerätes ist das ein SSH-Client in seinem lokalen Subnetz 192.168.96.0/24.

  • Hallo Alan,

    die Verbindung aus dem internen Netzwerk auf das externe Netzwerk funktioniert. 

    Leider kann/darf die Verbindung so nicht genutzt werden und muss zwingend über die 192.168.178.24 gehen.

    Ich habe nun die Einstellungen wie folgt umgesetzt:

    - Datenverkehrsquelle: internes Netzwerk (192.168.178.0/24)
    - Datenverkehrsdienst: ANY (zum Testen)
    - Datenverkehrsziel: 192.168.178.24 (die vorgesehene interne IP-Adresse)
    - Aktion -> Ziel ändern in: 192.168.96.100
    - Aktion -> Dienst ändern in: <leer>
    Aktion -> Quelle ändern in: 192.168.96.1 (Sophos RED)
    - Aktion -> Dienst ändern in: <leer>
    - Automatische Firewallregel erstellen ist aktiviert

    Leider noch ohne Erfolg.. 

Reply
  • Hallo Alan,

    die Verbindung aus dem internen Netzwerk auf das externe Netzwerk funktioniert. 

    Leider kann/darf die Verbindung so nicht genutzt werden und muss zwingend über die 192.168.178.24 gehen.

    Ich habe nun die Einstellungen wie folgt umgesetzt:

    - Datenverkehrsquelle: internes Netzwerk (192.168.178.0/24)
    - Datenverkehrsdienst: ANY (zum Testen)
    - Datenverkehrsziel: 192.168.178.24 (die vorgesehene interne IP-Adresse)
    - Aktion -> Ziel ändern in: 192.168.96.100
    - Aktion -> Dienst ändern in: <leer>
    Aktion -> Quelle ändern in: 192.168.96.1 (Sophos RED)
    - Aktion -> Dienst ändern in: <leer>
    - Automatische Firewallregel erstellen ist aktiviert

    Leider noch ohne Erfolg.. 

Children
No Data