Securepoint Support Forum

Securepoint Security Solutions Support Forum
https://support.securepoint.de/

Portweiterleitung über IPSEC Tunnel

https://support.securepoint.de/viewtopic.php?t=6913

Seite 1 von 1

Portweiterleitung über IPSEC Tunnel

Verfasst: Mi 03.05.2017, 21:07
von Christoph Schulte
Hallo
ich habe zwei Securepoints mit der gleichen Version an zwei Standorten.
Diese sind mit einen Tunnel verbunden der alle Ports offen hat.
Eine Server der von außen erreichbar ist wird jetzt vom Standort A zum Standort B umgezogen. Später bekommt er auch wieder eine Feste IP-Adresse vom Standort B.
Da sich die Firma die unsere Externen IP-Adressen verwaltet aber bis zu 4 Wochen braucht um den Alias auf die neue IP-Adresse umzustellen, wollte ich jetzt auf der Firewall A die Externe IP-Adresse auf die interne IP-Adresse des Servers am Standort B über die Portfilter weiterleiten. Dazu habe ich die Bestehende Portfilterregel deaktiviert. Ein neues Netzwerkobjekt hinzugefügt (Interne Zone und IP-Adresse des Servers mit Netzwerkmaske / 32). Eine neue Portfilterregel genauso wie die alte angelegt nur mit dem neuen Netzwerkobjekt.
Ich sehe im Log das meine Anfrage ankommt. sie wird aber mit Drop:(Default Drop) abgewiesen.
Habe bei meiner Suche im Internet nichts gefunden wie ich eine IP vom Standort A über den Tunnel zum Standort B routen kann.
Bin für jeden Tipp dankbar.
mfg
Christoph Schulte

Re: Portweiterleitung über IPSEC Tunnel

Verfasst: Do 04.05.2017, 09:38
von Bjoern
Hallo,

das Netzwerkobjekt muss die Zone IPSec haben da Sie ja in den IPSec Tunnel wollen. Dann brauchen Sie ein Destnat vom Internet auf das Ziel. Im Anschluss müssen die Pakete noch mal mit einer Regel Internet => Ziel => Dienst => HN => internal-interface genattet werden. Dann sollte es gehen.

Gruß Björn

Re: Portweiterleitung über IPSEC Tunnel

Verfasst: Fr 12.05.2017, 09:13
von KuehleisIT
D.h. hier wird zur eigentlichen Regel noch eine zweite benötigt, die die Quell-IP fürs Ziel hinter der internen Firewall-IP "versteckt"? Oder lieg ich jetzt falsch …

Re: Portweiterleitung über IPSEC Tunnel

Verfasst: Mo 15.05.2017, 08:55
von Christoph Schulte
Danke für die Hilfe.
Es wurden jetzt folgende Schritte ausgeführt damit die gewünschte Funktion: Tunnel zwischen zwei Standorten und dem weiterleiten der Externen IP durch den Tunnel.
Ein Netzwerkobjekt_Neu mit der Zone der Externen IP-Adressen und der Ziel-Adresse des neuen Servers.
1. Regel  Ziel Netzwerkobjekt_Neu  NAT --> HideNat --> Netzwerkobjekt FW-intern_Interface
2. Regel Ziel Netzwerkobjekt_Neu  NAT --> DestNAT --> Netzwerkobjekt FW-extern
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de