Sophos NAT, Probleme beim Zugriff aus internem LAN…

Immer wieder stoße ich in der Sophos Community auf Fragen bzgl. NAT-Regeln bei Sophos UTM. Eigentlich handelt es sich fast immer um die selbe Problematik. Der Zugriff über die externe Adresse der UTM aus dem eigenen, internen LAN auf Exchange-Dienste oder ähnliches ist nicht möglich.

Beispiel: E-Mails können bei den Nutzern auf dem Smartphone abgerufen werden, wenn sie nicht in der Firma sind. Sind die Mitarbeiter im Firmennetz, funktioniert das NAT nicht. Die Exchange-Dienste sind über die WAN-Adresse nicht erreichbar.

In der Regel passiert dies meistens, nachdem Admins von einer anderen Firewall auf Sophos UTM umgestiegen sind. Und somit wurde auch höchstwahrscheinlich ein DNAT für Exchange konfiguriert.

Das ist grundsätzlich nicht falsch, jedoch funktioniert die Portübersetzung aus dem internen LAN nicht, weil kein NAT-Loopback mit DNAT bei UTM möglich ist.

Dieses Problem kann man nun lösen, indem man ein Split-Brain DNS aufsetzt, aber man steigt schließlich auch nicht durch den Kofferraum ins Auto ein.

Bei Sophos muss für diese Konstellation ein Full-NAT eingerichtet werden. Hier ein Beispiel für Exchange/OWA:

Warum ist das bei Sophos so kompliziert zu konfigurieren, werden sich vielleicht einige fragen!

Das Einrichten von DNAT bei anderen Router-Herrstellern bezieht sich fast immer auf alle Schnittstellen. NAT-Loopback ist meinstens standardmäßg aktiviert und kann nicht deaktivert werden.

Wenn man also auf einer UTM mehrere öffentliche Adressen verwendet, für verschiedene Dienste mit denselben Ports, müsste man die Anschlussnummern verbiegen. Von daher ist o.g. Full-NAT eine clevere Lösung.

Übrigens ist noch zu erwähnen, dass viele Hybrid-Router eines bekannten, deutschen Providers kein NAT-Loopback unterstützen. Das ist immer ziemlich doof für die Leute, die dann z.B. nicht mehr auf ihre heimische Kameraüberwachung zugreifen können, wenn sie zuhause sind.

PS: Danke Timpi für den Gedankenanstoß!  8==0

About Thorsten Sult

Ich bin verheiratet, habe 2 Kinder und arbeite in einem Systemhaus als Systemadministrator. Angefangen bin ich mit der Konfiguration von Coreswitchen, Netzwerk Monitoring (Nagios) und redundanten Netzwerken.
Aktuell sind meine Schwerpunkte Migrationen von vorhandenen Kundensystemen auf aktuelle Techniken und die Implementierung von Sicherheitskomponenten wie z.B. Sophos UTM.

2 Comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.