Sophos XG: Portweiterleitung

Da bei uns immer mehr die Sophos XG verwendet wird gibt jetzt hier eine kleine Anleitung wie man eine Portweiterleitung erstellt.

In dem Beispiel wird ein Dienst auf dem Port 8088 vom WAN-Interface auf einen DMZ-Server weitergeleitet.

1) Host erstellen

Zuerst muss der Server auf den wir den Port weiterleiten wollen angelegt werden:

2) Dienst erstellen

Wird ein noch nicht hinterlegter Dienst verwendet muss dieser jetzt erstellt werden:

Beim Quellport wird hier 1:65535 angeben – von diesen Ports kann die Verbindung aufgebaut werden. Der Zielport ist der Port auf dem der Dienst auf unserem ZielServer läuft – hier also z.B. 8088.

3) Firewallregel erstellen

Jetzt können wir die eigentliche Regel erstellen

Hier wählen wir die Vorlage für DNAT/FullNAT. Als Quelle – von dort kann die Verbindung aufgebaut werden darf – wird in unseren Beispiel die WAN-Zone gewählt

Unter Zielhost wählen wir das WAN-Interface und als Dienst unseren Dienst auf den wir horchen wollen.

Unter Weiterleiten an wird der Server angegeben auf den der Port geleitet werden soll und wählen noch die Zone aus in der sich der Zielserver befindet.

Nach dem speichern sollte die Firewallregel erstellt worden sein:

und der Port bzw. der Dienst sollte jetzt von außen erreicht werden können 🙂

Sophos XG: ActiveSync veröffentlichen

Da bei uns immer mehr die Sophos XG verwendet wird gibt jetzt hier eine kleine Anleitung wie man ActiveSync veröffentlicht 🙂

1) Zertifikat installieren

Zuerst müssen wir das Zertifikat für die externe Domäne (hier als Beispiel test.friedlandreas.net) installieren. Man kann das Zertifikat in verschieden Formaten importieren – am einfachsten gehts es meiner Meinung nach per PFX:

Dann sollte es hier auftauchen

2) Webserver erstellen

Jetzt muss der Exchange-Server als WebServer angelegt werden.

Zuerst legen wir einen Host an

Danach können wir den WebServer anlegen

Unter Host wird unser neu angelegter Exchange-Host angebenden und der Typ auf HTTPS umgestellt und das Zertifikat angegeben.

In der Übersicht sollte es dann so aussehen:

3) Firewall-Regel erstellen

Jetzt kann die eigentlich Veröffentlichung konfiguriert werden.

Wir wählen hier das als Anwendugnsvorlage Exchange General und stellen den WAN-Port (bei mir hier der Port2) und das Zertifikat ein

Weiter unten unter „Geschützer Server“ entfernen wir jetzt alle nicht benötigten Einträge und lassen nur Microsoft-Server-ActiveSync stehen und editieren den Eintrag

Wir fügen hier unseren Exchange hinzu und entfernen die Authentifizierung


Unter Ausnahmen entfernen wir alles unnötige und editieren den Eintrag

Hier entfernen wir auch alles unnötige und passen die Pfade auf /Microsoft-Server-ActiveSync?* und /Microsoft-Server-ActiveSync/* an


Danach sollte es so aussehen

Unter „Erweitert“ sollte es so aussehen und dann können wir auch schon speichern 🙂

Jetzt sieht es in der Firewall so aus:

Jetzt sind wir fertig und es sollte alles funktionieren 🙂

Kurze Anmerkung zum Microsoft Remove Connecitvity Analycer : In der Standardeinstellung des Sophos XG klappt der Test nicht – er wirft einen Fehler das er sich nicht verbinden kann.

Das liegt daran das die Sophos standardmäßig ihre WebServer nur mit TLS 1.1 oder höher veröffentlicht – der Connectivity Analycer aber nur mit TLS 1.0 funktioniert.

Dies kann unter General Setting unter WebServer konfiguriert werden:

Ich lasse aber TLS 1.1 eingestellt – mit Clients hatte ich nie Probleme. Ich stelle zum testen der Verbindung kurz um – und wenn der Analyzer glücklich ist und mir ein grünes Häkchen bringt stelle ich wieder um 🙂