Portweiterleitung über IPSEC Tunnel

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Christoph Schulte
Beiträge: 2
Registriert: Mi 03.05.2017, 20:41

Portweiterleitung über IPSEC Tunnel

Beitrag von Christoph Schulte »

Hallo
ich habe zwei Securepoints mit der gleichen Version an zwei Standorten.
Diese sind mit einen Tunnel verbunden der alle Ports offen hat.
Eine Server der von außen erreichbar ist wird jetzt vom Standort A zum Standort B umgezogen. Später bekommt er auch wieder eine Feste IP-Adresse vom Standort B.
Da sich die Firma die unsere Externen IP-Adressen verwaltet aber bis zu 4 Wochen braucht um den Alias auf die neue IP-Adresse umzustellen, wollte ich jetzt auf der Firewall A die Externe IP-Adresse auf die interne IP-Adresse des Servers am Standort B über die Portfilter weiterleiten. Dazu habe ich die Bestehende Portfilterregel deaktiviert. Ein neues Netzwerkobjekt hinzugefügt (Interne Zone und IP-Adresse des Servers mit Netzwerkmaske / 32). Eine neue Portfilterregel genauso wie die alte angelegt nur mit dem neuen Netzwerkobjekt.
Ich sehe im Log das meine Anfrage ankommt. sie wird aber mit Drop:(Default Drop) abgewiesen.
Habe bei meiner Suche im Internet nichts gefunden wie ich eine IP vom Standort A über den Tunnel zum Standort B routen kann.
Bin für jeden Tipp dankbar.
mfg
Christoph Schulte

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

das Netzwerkobjekt muss die Zone IPSec haben da Sie ja in den IPSec Tunnel wollen. Dann brauchen Sie ein Destnat vom Internet auf das Ziel. Im Anschluss müssen die Pakete noch mal mit einer Regel Internet => Ziel => Dienst => HN => internal-interface genattet werden. Dann sollte es gehen.

Gruß Björn

Benutzeravatar
KuehleisIT
Beiträge: 86
Registriert: Mi 21.03.2007, 22:47
Wohnort: Weißenburg i. Bay.
Kontaktdaten:

Beitrag von KuehleisIT »

D.h. hier wird zur eigentlichen Regel noch eine zweite benötigt, die die Quell-IP fürs Ziel hinter der internen Firewall-IP "versteckt"? Oder lieg ich jetzt falsch …

Christoph Schulte
Beiträge: 2
Registriert: Mi 03.05.2017, 20:41

Beitrag von Christoph Schulte »

Danke für die Hilfe.
Es wurden jetzt folgende Schritte ausgeführt damit die gewünschte Funktion: Tunnel zwischen zwei Standorten und dem weiterleiten der Externen IP durch den Tunnel.
Ein Netzwerkobjekt_Neu mit der Zone der Externen IP-Adressen und der Ziel-Adresse des neuen Servers.
1. Regel  Ziel Netzwerkobjekt_Neu  NAT --> HideNat --> Netzwerkobjekt FW-intern_Interface
2. Regel Ziel Netzwerkobjekt_Neu  NAT --> DestNAT --> Netzwerkobjekt FW-extern

Antworten