Sophos hinter FritzBox als Exposed Host

Question

Hallo Community, 
 ich muss an einer Sophos den Schwenk eines Dienstes auf eine andere Leitung realisieren. 
 Es gibt eine Telekom-Leitung deren Verbindung mit der Einwahl durch die Sophos (PPPoE) realisiert wird, da wir f&uuml;r die Leitung auch die Einwahldaten haben. Hier ist alles sehr einfach. Die &ouml;ffentliche IP liegt an der Sophos an und die Ports 443 und 8443 werden mittels DNAT in die DMZ gelenkt. (Traffic from: "Any" --> Service: 443/8443 --> Going to: "eth2" = Destination: DMZ) 
 Jetzt kommt eine neue Leitung von Vodafone (Kabel) dazu, wo die mitgelieferte FritzBox die Einwahl machen muss. Ich muss also die Sophos dahinter als Exposed Host deklarieren. Die FritzBox steht in einem eigenen Netz (192.168.120.1) und die Sophos ist mit einem Bein da drin (192.168.120.254). 
 Wie bekomme ich jetzt die Dienste auf Port 443 und 8443 &uuml;ber diese Leitung in die DMZ? Ich habe es mit einem DNAT probiert aber es funktionierte nicht. Brauche ich daf&uuml;r ein Static Routing oder was sind hier die Fallstricke? Ich muss zugeben, dass ich mit der Exposed Hosts Thematik nicht vertraut bin - muss ich da ggf. auf der FritzBox noch was konfigurieren au&szlig;er, dass ich den Exposed Host angegeben habe? 
 Anbei ein Schema wie das Netz aussieht (Public IPs sind frei erfunden.)

PhilippRusch · Answer

Hallo Pierre, 
 die Fritzbox muss das Netzwerk HINTER der Firewall auch kennen. In diesem Fall also die DMZ mit 10.2.0.0 /24. 
 Dazu muss man unter "Heimnetz/Netzwerk/Netzwerkeinstellungen/weitere Einstellungen" (ganz nach unten scrollen), dann "Tabelle f&uuml;r statische Routen/IPv4-Routen" aufrufen. Dort muss das zus&auml;tzliche Netzwerk angegeben werden. Das k&ouml;nnen auch mehrere Netze sein. 
 
 In meinem Screenshot hat das interne LAN (oder DMZ) die 192.168.100.0 /24 und das Transfernetz die 192.168.178.0 /24, GW (Sophos) ist 192.168.178.254, aber das kann man ja bestimmt abstrahieren: 
 
 Viel Erfolg!

PhilippRusch · Answer

Dein Gateway an eth7 ist falsch: das muss die 192.168.120.1 sein

PhilippRusch · Answer

Ja, die WAN-Adresse der Sophos muss in der FB als "exposed host" hinterlegt sein. 
 Dann kommt "alles" was von au&szlig;en kommt erstmal ungefiltert am WAN-Port der Sophos Firewall an. 
 Die zus&auml;tzliche Definition einer oder mehrerer Routen ben&ouml;tigt man, wenn weitere Netze "hinter" der Sophos Firewall erreichbar sein sollen, ohne dass man ein doppeltes NAT macht. Ich bin kein Freund von einem doppelten NAT und bevorzuge das ganz normale IP-Routing, in diesem Fall geht es auch darum, dass ich aus der DMZ oder einem LAN hinter der Firewall Pakete an das Internetgateway senden kann und die FB wei&szlig;, wie sie damit umzugehen hat.