Sophos NAT, Probleme beim Zugriff aus internem LAN…

Immer wieder stoße ich in der Sophos Community auf Fragen bezüglich NAT-Regeln bei Sophos UTM. Eigentlich handelt es sich fast immer um die selbe Problematik.

Der Zugriff über die externe Adresse der UTM aus dem eigenen, internen LAN auf Exchange-Dienste oder ähnliches ist nicht möglich.

 

Beispiel: E-Mails können bei den Nutzern auf dem Smartphone abgerufen werden, wenn sie nicht in der Firma sind. Sind die Mitarbeiter im Firmennetz, funktioniert das NAT nicht. Die Exchange-Dienste sind über die WAN-Adresse nicht erreichbar.

In der Regel passiert dies meistens, nachdem Admins von einer anderen Firewall auf Sophos UTM umgestiegen sind. Und somit wurde auch höchstwahrscheinlich ein DNAT für Exchange konfiguriert.

Das ist grundsätzlich nicht falsch, jedoch funktioniert die Portübersetzung aus dem internen LAN nicht, weil bei DNAT kein Loopback durchgeführt wird.

Dieses Problem kann man nun lösen, indem man ein Split-Brain DNS aufsetzt, allerdings steigt man schließlich auch nicht durch den Kofferraum ins Auto ein. 😉

Bei der UTM sollte für diese Konstellation ein Full-NAT eingerichtet werden. Hier ein Beispiel für Exchange/OWA:

Durch das Ändern der Quelle auf die interne Adresse funktioniert der Zugriff auf dem eigenen LAN.

Es handelt sich in diesem Artikel nur um ein Konfigurationsbeispiel. Wenn OWA oder ähnliche Dienste verwendet werden, ist es natürlich besser, man sichert diese über die Webserverprotection ab. Sofern man hierfür eine Lizenz hat.

2 Gedanken zu „Sophos NAT, Probleme beim Zugriff aus internem LAN…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.