Firewall Sophos SG135 VPN (SSL) sehr langsam
- Ersteller owl2010
- Erstellt am
Guten Morgen,
habe jetzt soweit alles auf UDP umgestellt und die Geschwindigkeit dadurch deutlich verbessert! Danke für den Tip!
Eine kurze Frage noch zu der Firewall:
Für ein Programm muss ich eine IP Adresse von außen zugänglich machen, d.h. das eine externe IP auf mein Netzwerk zugreifen darf. Wie richte ich das ein?
habe jetzt soweit alles auf UDP umgestellt und die Geschwindigkeit dadurch deutlich verbessert! Danke für den Tip!
Eine kurze Frage noch zu der Firewall:
Für ein Programm muss ich eine IP Adresse von außen zugänglich machen, d.h. das eine externe IP auf mein Netzwerk zugreifen darf. Wie richte ich das ein?
Da gibt es grundsätzlich zwei Optionen: NAT oder über VPN rein lassen.
NAT ist die einfache Option aber potentiell weniger sicher. Für VPN muss der andere natürlich die entsprechende VPN Konfiguration haben dafür ist es immer verschlüsselt und der Port nicht offen für jeden zugänglich.
(Es gibt noch ein paar mehr Optionen wie Reverse Proxy und HTML5 VPN)
Was genau willst du denn veröffentlichen, dann kann man konkreter Beraten.
NAT ist die einfache Option aber potentiell weniger sicher. Für VPN muss der andere natürlich die entsprechende VPN Konfiguration haben dafür ist es immer verschlüsselt und der Port nicht offen für jeden zugänglich.
(Es gibt noch ein paar mehr Optionen wie Reverse Proxy und HTML5 VPN)
Was genau willst du denn veröffentlichen, dann kann man konkreter Beraten.
Hallo,
es geht darum, Daten zu empfangen.
VPN scheidet aus, da die Gegenstelle dieses nicht unterstützt.
Wie würde es denn bei NAT ausschauen, wenn ich den Port für beide Seiten freigebe? Also nach innen und nach außen.
es geht darum, Daten zu empfangen.
VPN scheidet aus, da die Gegenstelle dieses nicht unterstützt.
Wie würde es denn bei NAT ausschauen, wenn ich den Port für beide Seiten freigebe? Also nach innen und nach außen.
Hi,
du musst eine DNAT Regel erstellen.
Als Datenquelle aus welchem Netz dein Server kommt. Datenverkehrsdienst gibt an welchen Port du freigeben möchtest z. B Webserver möchtest du über den Port 443 sprich https erreichen (Wichtig ist nicht any darein setzen nur weil es funktioniert, sondern nur die Ports, die du für den Server wirklich benötigst). Und als Datenverkehrsziel deine öffentliche IP (z.B WAN Interface). Als Aktion bei Zieländern kommt dein eigentlicher Server, der von außen erreichbar sein soll. Du kannst die automatische Firewallregel anlassen.
Hier nochmal nachzulesen.
https://utm-shop.de/information/anleitungen/utm-online-hilfe-9.400/network-protection/nat/nat
du musst eine DNAT Regel erstellen.
Als Datenquelle aus welchem Netz dein Server kommt. Datenverkehrsdienst gibt an welchen Port du freigeben möchtest z. B Webserver möchtest du über den Port 443 sprich https erreichen (Wichtig ist nicht any darein setzen nur weil es funktioniert, sondern nur die Ports, die du für den Server wirklich benötigst). Und als Datenverkehrsziel deine öffentliche IP (z.B WAN Interface). Als Aktion bei Zieländern kommt dein eigentlicher Server, der von außen erreichbar sein soll. Du kannst die automatische Firewallregel anlassen.
Hier nochmal nachzulesen.
https://utm-shop.de/information/anleitungen/utm-online-hilfe-9.400/network-protection/nat/nat
Also ich habe die DNAT-Regel angelegt. Der Verkehr nach außen läuft auch, d.h. ich kann einen Partner bzw Host anpollen. Das Problem ist aber, dass anscheinend von außen der Server bei uns nicht erreichbar ist....erst wenn ich einmal manuell den Partner anpolle können Daten von außen nach innen fließen.
Woran liegt das?
Woran liegt das?
Ok das passt nicht ganz. Bei Quelle stellst du "any" ein da ja aus dem Internet jeder weitergeleitet werden soll (wenn die Anfragen immer nur von einer IP oder einem bestimmten Netz kommen kannst du hier auch weiter einschränken, das erhöht die Sicherheit enorm). Port passt und die WAN Adresse auch.
Bei der Aktion musst du das Ziel dann auf den lokalen Server ändern was wohl auch stimmt. Bei Dienst ändern kannst du nochmal Port 6619 einfügen, ich weiß grad nicht ob es geht wenn man es leer lässt.
Dann sollte das auch funktionieren.
Bei der Aktion musst du das Ziel dann auf den lokalen Server ändern was wohl auch stimmt. Bei Dienst ändern kannst du nochmal Port 6619 einfügen, ich weiß grad nicht ob es geht wenn man es leer lässt.
Dann sollte das auch funktionieren.