Securepoint UTM: Port-Weiterleitung zu einem Ziel an einem anderen Standort

Ein nicht alltägliches Thema: Mein Kollege Peter (Grüße) kam mit der Frage ob jemand schonmal eine Port-Weiterleitung in ein Site-to-Site-VPN realisiert hat.

Der Hintergrund zu dieser Geschichte ist ein Kunde mit mehreren Standorten, die mittels Site-to-Site-VPN verbunden sind und eine Server-Migration stattfinden soll. Der Server zieht dabei nicht einfach von Standort A nach B um, sondern der Dienst wird über die Standortvernetzung migriert. Oder anders ausgedrückt: Auf der anderen Seite steht ein neuer oder zumindest anderer Server. Im Verlauf der Migration soll das öffentliche DNS dann von Standort A zu Standort B geändert werden, gemeint ist das beispielsweise Host A- oder MX-Einträge eine andere IP-Adresse bekommen.

Lange Rede, gar kein Sinn: Port-Weiterleitung ins VPN hatte ich zwar schon realisiert, aber bislang noch nie mit Securepoint UTMs auf beiden Seiten. Am Telefon meinte ich noch das ist ein NAT- und Routing-Ding. Schnell war via tcpdump zudem klar, das die Datenpakete aus der Port-Weiterleitung nicht im Tunnel ankommen, nur das warum war der Punkt. Da meinerseits nur 10 Minuten Zeit war das nachzustellen, was natürlich wie so oft bei “(ich) mach mal schnell” nicht klappt, musste der Securepoint Support ran.

Peter hat mir die Lösung weitergereicht (Danke dafür) und die sieht so aus:

Vorausgesetzt wird, dass das Site-to-Site-VPN bereits läuft, sowie Routing und die Portfilter-Regeln grundsätzlich passen. Der Ziel-Server steht an Standort A, die Port-Weiterleitung wird an Standort B eingerichtet.

Regel Nr. 1

• Quelle: internet
• Ziel: <Der Server auf der anderen Seite, sprich bei Standort A>
• Dienst: <Dienst>
• Typ: DESTNAT
• Netzwerkobjekt: external-interface
• Dienst: <Dienst>

Regel Nr. 2

• Quelle: internet
• Ziel: <Der Server auf der anderen Seite, sprich bei Standort A>
• Dienst: <Dienst>
• Typ: HIDENAT
• Netzwerkobjekt: internal-interface

Die Reihenfolge der Regeln muss so sein, wie hier aufgeführt.

Wie hat Dir der Artikel gefallen ?

(Bislang keine Stimmen erhalten.)

Loading...

Du möchtest den Blog unterstützen ?

Neben PayPal.ME gibt es noch weitere Möglichkeiten, lies hier wie du diesen Blog unterstützen kannst.

Andy

Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 15 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.