external Port Forwarding in IPSec Tunnel leiten

[st.schoenberg]

kurze Vorgeschichte für's Verständnis:
Durch Umzug eines RZs gibt es vorübergehend 2 Standorte. Beide sind mit SP UTMs bestückt.
Die DMZ Systeme sind über mehrere DestNat Regeln von außen erreichbar. Beide FWs sind über einen IPSec Tunnel verbunden.

Die Aufgabe:
Die DMZ Systeme sollen Schritt für Schritt in die DMZ das neue RZ überführt werden.
Sie bekommen dort auch andere IPs in einem anderen Netz.
Sie sollen für die Übergangszeit noch über die externen IPs des alten RZs zu erreichen sein.
Also müssen Forwarding intern auf das neue RZ über den VPN Tunnel geleitet werden.

Das Problem:
Ich kann das externe Port Forward nicht so umbauen, dass es in den IPSec Tunnel geleitet wird.
Ich laufen bei allen Varianten auf das Problem, dass ich 2 Regeln in Reihe brauche.
Also z.B. ein DestNat und ein HideNat

Hat jemand eine Idee?

Vielen Dank

Stephan Schönberg
 

[st.schoenberg]

Habe einen Workaround gefunden. Leider ohne die UTM.
Ich leite alle external Port Forwardings auf eine Linux Maschine, mache dort über "ufw" (iptables) DestNat & HideNat und sende das Paket wieder raus.

Freue mich trotz allem über eine Lösung mit  der SP UTM.

Konfigauszug:

Code: Alles auswählen

# nat Table rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

# Port Forwardings
-A PREROUTING -i eth0 -p tcp --dport 55565 -j DNAT --to-destination 10.30.3.121:22

# Forward traffic through eth0 - Change to match you out-interface
-A POSTROUTING -s 10.30.0.0/16 -o eth0 -j MASQUERADE

# HideNat (SNAT) the package
-A POSTROUTING -j SNAT --to 192.168.3.199

# don't delete the 'COMMIT' line or these nat table rules won't
# be processed
COMMIT

[csg]

Schade, dass hier keine Antwort kam.
Ich müsste gerade über eine UTM1 (Standort1) Traffic aus dem WAN in einen IPSEC-Tunnel zu einer UTM2 (Standort2) und im LAN dahinter an eine spezifische IP durchreichen.
Komme da aber leider auch nicht weiter ...