Verwenden Sie SD-WAN-Routen für DNAT
Sie können SD-WAN-Routen verwenden, um DNAT-Verkehr an einen internen Server in einem Remote-Netzwerk weiterzuleiten.
-
Szenario
Dieses Beispiel basiert auf der folgenden Bereitstellung:
- Ein interner Server in einem Remote-Netzwerk, auf den über den TCP-Port 3389 zugegriffen werden kann.
- Die Sophos Firewall und die Remote-Firewall sind über ein routenbasiertes IPsec-VPN verbunden.
- Der interne Server hinter der Remote-Firewall ist erreichbar über die
gw6
Tor.
Netzwerkdiagramm
Anforderungen
Stellen Sie sicher, dass Sie über die folgenden Konfigurationen verfügen:
- Routenbasierte IPsec-VPN-Verbindungen auf beiden Firewalls. Siehe Erstellen Sie ein routenbasiertes VPN mit Verkehrsselektoren.
IP-Host konfigurieren
Um ein IP-Hostobjekt für Ihren internen Server zu erstellen, gehen Sie wie folgt vor:
- Gehe zu Gastgeber und Dienste > IP-Host und klicken Sie auf Hinzufügen.
- Geben Sie einen Namen ein. In diesem Beispiel wird
Internal_Server
. - Unter IP-Version, wählen IPv4.
- Unter Typ, wählen IP.
- Unter IP-Adresse, geben Sie die IP-Adresse Ihres internen Servers ein.
- Klicken Speichern.
Gateway-Objekt konfigurieren
Sie müssen ein Gateway-Objekt für das Gateway konfigurieren, über das der interne Remote-Server erreichbar ist. Gehen Sie dazu wie folgt vor:
- Gehe zu Routenplanung > Gateways.
- Unter IPv4-Gatewayauf Hinzufügen.
- Geben Sie einen Namen ein. In diesem Beispiel wird
gw6
. - Unter Gateway-IPGeben Sie die IP-Adresse des Remote-Gateways ein. In diesem Beispiel wird
10.12.13.2
. - Unter SchnittstelleWählen Sie die Schnittstelle des Gateways aus. In diesem Beispiel wird
xfrm1-10.12.13.1
. - Unter ÜberwachungsbedingungGeben Sie die IP-Adresse eines Host-Geräts hinter dem Gateway ein. In diesem Beispiel wird
10.12.13.2
.
Weitere Informationen finden Sie unter Hinzufügen eines Gateways.
DNAT konfigurieren
Um DNAT zu konfigurieren, gehen Sie wie folgt vor:
- Gehe zu Regeln und Richtlinien > NAT-Regeln.
- Klicken NAT-Regel hinzufügen > Neue NAT-Regel.
- Geben Sie einen Namen ein. In diesem Beispiel wird
DNAT_RDP
. - Unter Übersetzte Quelle (SNAT), wählen MASQDadurch wird sichergestellt, dass der Antwortverkehr an die Sophos Firewall zurückgesendet wird.
- Unter Ursprüngliches ZielWählen Sie die WAN-Schnittstelle aus, über die der interne Server erreichbar ist. In diesem Beispiel wird
#Port1
. - Unter Übersetztes Ziel (DNAT), wählen Sie Ihren internen Server aus. Dieses Beispiel verwendet
Internal_Server
. - Unter Ursprünglicher ServiceWählen Sie das Serviceobjekt für den Port aus, über den der interne Server erreichbar ist. In diesem Beispiel wird
3389
. - Klicken Speichern.
SD-WAN-Route konfigurieren
Gehen Sie wie folgt vor, um eine SD-WAN-Route zu konfigurieren:
- Gehe zu Routenplanung > SD-WAN-Routen.
- Wählen IPv4 und klicken Sie auf Hinzufügen.
- Geben Sie einen Namen ein. In diesem Beispiel wird
SD-WAN DNAT
. - Unter Zielnetzwerke, entfernen
Any
und wählen Sie die WAN-Schnittstelle aus, über die der interne Server erreichbar ist. Dieses Beispiel verwendet#Port1
. -
Unter Leistungen, entfernen
Any
und wählen Sie das Serviceobjekt für den Port aus, über den der interne Server erreichbar ist. Dieses Beispiel verwendet TCP3389
.Wenn sich der externe TCP-Port des internen Servers vom internen TCP-Port unterscheidet, müssen Sie den externen TCP-Port in der SD-WAN-Route verwenden.
-
Unter Einstellungen für die Linkauswahl, wählen Primäre und Backup-Gateways.
-
Unter Primäres GatewayWählen Sie das Gateway aus, über das der interne Server erreichbar ist. In diesem Beispiel wird
gw6
. -
Klicken Speichern.
Weiterleitung an mehrere interne Server
Um den Datenverkehr an mehrere interne Server weiterzuleiten, können Sie wie folgt vorgehen:
- Verwenden Sie dieselbe SD-WAN-Route, wenn die Server dasselbe Gateway, aber unterschiedliche TCP-Ports oder WAN-IP-Adressen verwenden. Fügen Sie diese Ports den Diensten der SD-WAN-Route und die WAN-IP-Adressen den Zielnetzwerken hinzu.
- Verwenden Sie unterschiedliche SD-WAN-Routen, wenn die Server unterschiedliche Gateways verwenden.