Verwenden Sie SD-WAN-Routen für DNAT

Sie können SD-WAN-Routen verwenden, um DNAT-Verkehr an einen internen Server in einem Remote-Netzwerk weiterzuleiten.

Szenario

Dieses Beispiel basiert auf der folgenden Bereitstellung:
- Ein interner Server in einem Remote-Netzwerk, auf den über den TCP-Port 3389 zugegriffen werden kann.
- Die Sophos Firewall und die Remote-Firewall sind über ein routenbasiertes IPsec-VPN verbunden.
- Der interne Server hinter der Remote-Firewall ist erreichbar über die gw6 Tor.

Netzwerkdiagramm

Stellen Sie sicher, dass Sie über die folgenden Konfigurationen verfügen:

Routenbasierte IPsec-VPN-Verbindungen auf beiden Firewalls. Siehe Erstellen Sie ein routenbasiertes VPN mit Verkehrsselektoren.

Um ein IP-Hostobjekt für Ihren internen Server zu erstellen, gehen Sie wie folgt vor:

Gehe zu Gastgeber und Dienste > IP-Host und klicken Sie auf Hinzufügen.
Geben Sie einen Namen ein. In diesem Beispiel wird Internal_Server.
Unter IP-Version, wählen IPv4.
Unter Typ, wählen IP.
Unter IP-Adresse, geben Sie die IP-Adresse Ihres internen Servers ein.
Klicken Speichern.

Sie müssen ein Gateway-Objekt für das Gateway konfigurieren, über das der interne Remote-Server erreichbar ist. Gehen Sie dazu wie folgt vor:

Gehe zu Routenplanung > Gateways.
Unter IPv4-Gatewayauf Hinzufügen.
Geben Sie einen Namen ein. In diesem Beispiel wird gw6.
Unter Gateway-IPGeben Sie die IP-Adresse des Remote-Gateways ein. In diesem Beispiel wird 10.12.13.2.
Unter SchnittstelleWählen Sie die Schnittstelle des Gateways aus. In diesem Beispiel wird xfrm1-10.12.13.1.
Unter ÜberwachungsbedingungGeben Sie die IP-Adresse eines Host-Geräts hinter dem Gateway ein. In diesem Beispiel wird 10.12.13.2.

Weitere Informationen finden Sie unter Hinzufügen eines Gateways.

Um DNAT zu konfigurieren, gehen Sie wie folgt vor:

Gehe zu Regeln und Richtlinien > NAT-Regeln.
Klicken NAT-Regel hinzufügen > Neue NAT-Regel.
Geben Sie einen Namen ein. In diesem Beispiel wird DNAT_RDP.
Unter Übersetzte Quelle (SNAT), wählen MASQDadurch wird sichergestellt, dass der Antwortverkehr an die Sophos Firewall zurückgesendet wird.
Unter Ursprüngliches ZielWählen Sie die WAN-Schnittstelle aus, über die der interne Server erreichbar ist. In diesem Beispiel wird #Port1.
Unter Übersetztes Ziel (DNAT), wählen Sie Ihren internen Server aus. Dieses Beispiel verwendet Internal_Server.
Unter Ursprünglicher ServiceWählen Sie das Serviceobjekt für den Port aus, über den der interne Server erreichbar ist. In diesem Beispiel wird 3389.
Klicken Speichern.

Gehen Sie wie folgt vor, um eine SD-WAN-Route zu konfigurieren:

Gehe zu Routenplanung > SD-WAN-Routen.
Wählen IPv4 und klicken Sie auf Hinzufügen.
Geben Sie einen Namen ein. In diesem Beispiel wird SD-WAN DNAT.
Unter Zielnetzwerke, entfernen Any und wählen Sie die WAN-Schnittstelle aus, über die der interne Server erreichbar ist. Dieses Beispiel verwendet #Port1.
Unter Leistungen, entfernen Any und wählen Sie das Serviceobjekt für den Port aus, über den der interne Server erreichbar ist. Dieses Beispiel verwendet TCP 3389.

Wenn sich der externe TCP-Port des internen Servers vom internen TCP-Port unterscheidet, müssen Sie den externen TCP-Port in der SD-WAN-Route verwenden.
Unter Einstellungen für die Linkauswahl, wählen Primäre und Backup-Gateways.
Unter Primäres GatewayWählen Sie das Gateway aus, über das der interne Server erreichbar ist. In diesem Beispiel wird gw6.
Klicken Speichern.

Um den Datenverkehr an mehrere interne Server weiterzuleiten, können Sie wie folgt vorgehen:

Verwenden Sie dieselbe SD-WAN-Route, wenn die Server dasselbe Gateway, aber unterschiedliche TCP-Ports oder WAN-IP-Adressen verwenden. Fügen Sie diese Ports den Diensten der SD-WAN-Route und die WAN-IP-Adressen den Zielnetzwerken hinzu.
Verwenden Sie unterschiedliche SD-WAN-Routen, wenn die Server unterschiedliche Gateways verwenden.