Sonicwall 2040 Frage zu NAT

[RalphT]

Hallo,

ich habe hier eine Sonicwall 2040. An dem Anschluss DMZ ist ein PC angeschlossen. Dieser PC hat als Gateway die IP vom DMZ-Anschluss der Sonicwall. IP-Adresse vom PC ist im gleichen Subnet.

Jetzt habe ich dann am Anschluss DMZ eine weitere Firewall angeschlossen. Ich möchte, dass dieser PC in der DMZ (192.168.11.0) in das LAN (192.168.20.0) der anderen Firewall kommt.
Das geht aber nicht. Die Sonicwall dropped alles zum anderen LAN (192.168.20.0).

Jetzt habe ich eine NAT-Policy wie Folgt eingefügt:

Source Original: Hier steht die IP vom PC aus der DMZ drin
Translated: Hier steht die IP vom Anschluss der anderen Firewall drin
Destination Original: Any
Translated: Original
Service Original: Any
Translated: Original
Interface Inbound: Any
Interface Outbound: Any

Aber das funktioniert leider nicht. Ich weiß, dass hier ein paar Leute mit Sonicwall Erfahrung sind. Aber andere dürfen natürlich auch helfen...

Wer hat einen Rat für mich?

[svengine]

Hallo Ralph, also ganz kurz die neue konfiguration:

- Wie ist die DMZ IP Adresse der Sonicwall?
- Wie is die IP adresse der anderen Firewall?
- Wie ist die IP adresse des PCs?
- Wie ist die IP adresse der anderen firewall and der der PC angeschlossen ist?

Frohes Neues übrigens noch....

Svensson

[RalphT]

Hallo,

also bevor ich hier lange rumtippe, hier die Netzwerkgrafik:



Eigentlich geht es mir hier weniger um den PC, sondern um die SSL-VPN. Ich möchte mit der SSL-VPN auf einen Rechner im LAN 192.168.29.0/24 per RDP zugreifen.
Nun haben ja beide Geräte (SSL-VPN und PC) als Gateway die den DMZ-Anschluss der Sonicwall. Das muss auch so bleiben.
Möchte man per RDP in das andere LAN dann blockt die Sonicwall. Nun hatte ich folgende NAT-Regel in der Sonicwall eingefügt:

Source Original: 192.168.5.2
Translated: 192.168.5.254
Destination Original: Any
Translated: Original
Service Original: Any
Translated: Original
Interface Inbound: Any
Interface Outbound: Any

Diese Regel war für die SSL-VPN gedacht. Und diese hier für den PC:

Source Original: 192.168.5.10
Translated: 192.168.5.254
Destination Original: Any
Translated: Original
Service Original: Any
Translated: Original
Interface Inbound: Any
Interface Outbound: Any

Nachdem ich diese Regel aktiviert habe, funktionierte auch der Zugriff per RDP - aber das ging nicht lange gut. Nach ca. 15 Min. ging es nicht mehr.
Also habe ich das erst mal wieder entfernt.

Dann hatte ich noch eine andere Idee:

Eine Route im PC hinzuzufügen: route add 192.168.29.0 mask 255.255.255.0 192.168.5.254
Seitdem funktioniert der RDP Zugriff vom PC in das neue Netz ohne Probleme und dauerhaft.
Nun habe ich in der SSL-VPN auch diese Route hinzugefügt. Seltsamerweise funktioniert der Zugriff nur zw. Also mal 10 Minuten ok, dann wieder 30 Minuten nicht mehr usw.

Vielleicht hast Du da ja noch eine Rat.

[svengine]

Hallo Ralph,

Auf Anhieb bin ich jetzt auch überfragt. Nur weiss ich nicht warum in der NAT regel die Source auf die Interne IP addresse der Firewall genatted werden soll. Sollte die Source nicht "original" sein?

Wenn es 10 minuten lang klappt und dann nichtmehr, dann höhrt sich das nach einem ARP PRoblem an. Schau einmal auf die ARP Einträge auf der PRO2040. Vielleicht klappt das aber auch mit statischen ARP Einträgen.