Verwenden Sie SD-WAN-Routen für DNAT

Sie können SD-WAN-Routen verwenden, um DNAT-Datenverkehr an einen internen Server in einem entfernten Netzwerk weiterzuleiten.

Netzwerkdiagramm

Anforderungen

Stellen Sie sicher, dass Sie die folgenden Konfigurationen haben:

• Routenbasierte IPsec-VPN-Verbindungen auf beiden Firewalls. Siehe Erstellen Sie ein routenbasiertes VPN mit Verkehrsselektoren.

IP-Host konfigurieren

Um ein IP-Hostobjekt für Ihren internen Server zu erstellen, gehen Sie wie folgt vor:

1. Gehe zu Gastgeber und Dienstleistungen > IP-Host und klicken Hinzufügen.
2. Geben Sie einen Namen ein. Dieses Beispiel verwendet Internal_Server.
3. Unter IP-Version, wählen IPv4.
4. Unter Typ, wählen IP.
5. Unter IP-Adresse: Geben Sie die IP-Adresse Ihres internen Servers ein.
6. Klicken Speichern.

Gateway-Objekt konfigurieren

Sie müssen ein Gateway-Objekt für das Gateway konfigurieren, über das der entfernte interne Server erreichbar ist. Gehen Sie zum Konfigurieren eines Gateway-Objekts wie folgt vor:

1. Gehe zu Routing > Gateways.
2. Unter IPv4-Gateway, klicken Hinzufügen.
3. Geben Sie einen Namen ein. Dieses Beispiel verwendet gw6.
4. Unter Gateway-IP: Geben Sie die IP-Adresse des Remote-Gateways ein. Dieses Beispiel verwendet 10.12.13.2.
5. Unter Schnittstelle: Wählen Sie die Schnittstelle des Gateways aus. Dieses Beispiel verwendet xfrm1-10.12.13.1.
6. Unter Überwachungszustand: Geben Sie die IP-Adresse eines Host-Geräts hinter dem Gateway ein. Dieses Beispiel verwendet 10.12.13.2.

Weitere Informationen finden Sie unter Gateway hinzufügen.

DNAT konfigurieren

Um DNAT zu konfigurieren, gehen Sie wie folgt vor:

1. Gehe zu Regeln und Richtlinien > NAT-Regeln.
2. Klicken NAT-Regel hinzufügen > Neue NAT-Regel.
3. Geben Sie einen Namen ein. Dieses Beispiel verwendet DNAT_RDP.
4. Unter Übersetzter Quelltext (SNAT), wählen MASQ: Dadurch wird sichergestellt, dass der Antwortverkehr an die Sophos Firewall zurückgesendet wird.
5. Unter Ursprüngliches Ziel: Wählen Sie die WAN-Schnittstelle aus, über die der interne Server erreichbar ist. Dieses Beispiel verwendet #Port1.
6. Unter Übersetztes Ziel (DNAT): Wählen Sie Ihren internen Server aus. Dieses Beispiel verwendet Internal_Server.
7. Unter Originalservice: Wählen Sie das Dienstobjekt für den Port aus, über den der interne Server erreichbar ist. Dieses Beispiel verwendet 3389.
8. Klicken Speichern.

SD-WAN-Route konfigurieren

Um eine SD-WAN-Route zu konfigurieren, gehen Sie wie folgt vor:

1. Gehe zu Routing > SD-WAN-Routen.
2. Wählen IPv4 und klicken Hinzufügen.
3. Geben Sie einen Namen ein. Dieses Beispiel verwendet SD-WAN DNAT.
4. Unter Zielnetzwerke, entfernen Any und wählen Sie die WAN-Schnittstelle aus, über die der interne Server erreichbar ist. Dieses Beispiel verwendet #Port1.

5. Unter Dienstleistungen, entfernen Any Wählen Sie das Dienstobjekt für den Port aus, über den der interne Server erreichbar ist. In diesem Beispiel wird TCP verwendet. 3389.

   Wenn der externe TCP-Port des internen Servers vom internen TCP-Port abweicht, müssen Sie den externen TCP-Port in der SD-WAN-Route verwenden.

   

6. Unter Linkauswahleinstellungen, wählen Primäre und Backup-Gateways.

7. Unter Primäres Gateway: Wählen Sie das Gateway aus, über das der interne Server erreichbar ist. Dieses Beispiel verwendet gw6.

   

8. Klicken Speichern.

Weiterleitung zu mehreren internen Servern

Um den Datenverkehr an mehrere interne Server zu verteilen, können Sie wie folgt vorgehen:

• Verwenden Sie dieselbe SD-WAN-Route, wenn die Server dasselbe Gateway, aber unterschiedliche TCP-Ports oder WAN-IP-Adressen verwenden. Fügen Sie diese Ports den Diensten der SD-WAN-Route und die WAN-IP-Adressen den Zielnetzwerken hinzu.
• Verwenden Sie unterschiedliche SD-WAN-Routen, wenn die Server unterschiedliche Gateways verwenden.