Sophos UTM, Full-NAT für Loopback einrichten…

Immer wieder stoße ich in der Sophos Community auf Fragen bezüglich NAT-Regeln bei Sophos UTM. Eigentlich handelt es sich fast immer um die selbe Problematik. Der Zugriff über die externe Adresse der UTM aus dem eigenen, internen LAN auf Exchange-Dienste oder ähnliches ist nicht möglich.

Beispiel: E-Mails können bei den Nutzern auf dem Smartphone abgerufen werden, wenn sie nicht in der Firma sind. Sind die Mitarbeiter im Firmennetz, funktioniert das NAT nicht. Die Exchange-Dienste sind über die WAN-Adresse nicht erreichbar.

In der Regel passiert dies meistens, nachdem Admins von einer anderen Firewall auf Sophos UTM umgestiegen sind. Und somit wurde auch höchstwahrscheinlich ein DNAT für Exchange konfiguriert. Das ist grundsätzlich nicht falsch, jedoch funktioniert die Portübersetzung aus dem internen LAN nicht, weil bei DNAT kein Loopback durchgeführt wird.

Dieses Problem kann man nun lösen, indem man ein Split-Brain DNS aufsetzt, allerdings steigt man auch nicht durch den Kofferraum ins Auto ein. 😉 Bei UTM könnt Ihr für diese Konstellation ein Full-NAT einrichten. Hier das Konfigurationsbeispiel für Exchange/OWA:

Durch das Ändern der Quelle auf die interne Adresse funktioniert der Zugriff auf dem eigenen LAN. Solltet Ihr eine Lizenz für die Webserverprotection haben, ist es natürlich besser, z.B. OWA via WAF abzusichern. Solltet Ihr weitere Fragen haben, dann hinterlasst einen Kommentar oder schreibt mir eine E-Mail.