Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

In bestimmten Szenarien ist es erforderlich, dass Geräte im lokalen Netzwerk über Angabe des DNS-Namens die öffentliche IP-Adresse der Internet-Verbindung aufrufen (etwa per DNS-Name) und per Portforwarding auf einen Server im lokalen Netzwerk zugreifen (Hairpin-NAT bzw. NAT-Reflection).

...

  • LANCOM R&S®Unified Firewall  ab  LCOS FX 10.3
  • Szenario mit einer Unified Firewall im Stand-Alone Betrieb oder mit einer Reihenschaltung
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
  • Internet-Verbindung mit fester öffentlicher IPv4-Adresse
  • Bereits eingerichtetes und funktionsfähiges Portforwarding auf der Unified Firewall
  • Web-Browser zur Konfiguration der Unified Firewall.

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox

...

  • Ein vorgeschalteter Router vor der Unified Firewall baut die Internet-Verbindung auf. Dieser hat die öffentliche IP-Adresse  81.81.81.1Die öffentliche IP-Adresse ist mit dem DNS-Namen server.lancom.de verknüpft.
  • Die Unified Firewall und der vorgeschaltete Router sind beide Mitglied im Transfer-Netzwerk 192.168.0.0/24. Die Unified Firewall hat dort die IP-Adresse 192.168.0.254.
  • Ein  Web-Server  im lokalen Netzwerk der Unified Firewall mit der IP-Adresse  192.168.1.100  ist aus dem Internet per  HTTPS  erreichbar.
  • Ein Computer im lokalen Netzwerk mit der IP-Adresse 192.168.1.55 soll über den DNS-Namen server.lancom.de auf den Web-Server im lokalen Netzwerk zugreifen.



Vorgehensweise:

Die Vorgehensweise ist in beiden Szenarien gleich.


1. Einrichtung des Hairpin-NAT:

1.1 Öffnen Sie die Konfiguration der Unified Firewall im Browser.

Klicken Sie auf auf dem Desktop auf das Netzwerk-Objekt (in diesem Beispiel das Netzwerk INTRANET). wählen im Kontextmenü das Verbindungswerkzeug aus und klicken auf das Host-Objekt, für welches das Portforwarding eingerichtet ist (in diesem Beispiel das Objekt Web-Server).

1.2 . Wählen Sie das Protokoll aus, mit dem der Computer im lokalen Netzwerk auf den Web-Server zugreifen soll.

Image Added

1.3 Klicken Sie bei Optionen auf Keine, um weitere Einstellungen vorzunehmen.

Image Added

1.4 Passen Sie folgende Parameter an:

  • Wählen Sie bei NAT / Masquerading die Option Links-nach-rechts aus.
  • Aktivieren Sie die Option DMZ / Port-Weiterleitung für diesen Dienst aktivieren.
  • Tragen Sie bei Externe IP-Adresse die WAN-IP-Adresse der Unified Firewall an (in diesem Beispiel die IP-Adresse 81.81.81.1).

Image Added

1.5 Klicken Sie auf Speichern.

Image Added

1.6 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

Image Added

1.7 Die Konfiguration des Hairpin-NAT ist damit abgeschlossen.



2. Ausnahme-Regel für die Protokolle HTTP und klicken auf Speichern (in diesem Beispiel wird HTTPS verwendet.)

Image Removed

HTTPS erstellen (nur bei Verwendung des HTTP-Proxy erforderlich)

Da bei Verwendung des HTTP-Proxy die ausgehenden Pakete durch den Proxy gefiltert werden, funktioniert das Hairpin-NAT nicht. Es muss daher eine Ausnahme-Regel erstellt werden, die den Datenverkehr aus dem lokalen Netzwerk auf die öffentliche IPv4-Adresse am Proxy vorbeileitet.

Info

Dies gilt ebenso für den Mail-Proxy und auch den VoIP-Proxy. Es wäre allerdings ungewöhnlich die SIP-Registrierung aus dem lokalen Netzwerk über ein Portforwarding vorzunehmen.

2.1 Klicken Sie auf das Symbol zum Erstellen eines Host-Objektes.

Image Added

2.2 Passen Sie folgende Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Verbunden über: Wählen Sie im Dropdownmenü das Internet-Objekt aus.
  • IP-Adresse: Geben Sie die öffentliche IPv4-Adresse Ihrer Internet-Verbindung an. Diese muss nicht direkt an der Unified Firewall anliegen, sondern kann auch an einem vorgeschalteten Router anliegen.

Image Added

2.3 Klicken Sie auf dem Desktop auf das Netzwerk-Objekt (in diesem Beispiel INTRANET), wählen das Verbindungswerkzeug aus und klicken auf das in Schritt 2.2 erstellte Host-Objekt.

Image Added

2.4 Fügen Sie die Protokolle HTTP und HTTPS hinzu.

Image Added

2.5 Klicken Sie für die Protokolle HTTP und HTTPS jeweils einmal auf das "Pfeil-Symbol", damit der Pfeil nach rechts zeigt.

Image Added

2.6 Klicken Sie für HTTP und HTTPS unter Optionen jeweils auf Keine, um weitere Einstellungen anzupassen. 

Image Added

2.7 Wählen Sie für HTTP und HTTPS bei NAT / Masquerading jeweils die Option Links-nach-rechts aus und klicken auf OK.

Image Added  Image Added

2.8 Klicken Sie auf Erstellen, um die Regeln anzulegen.

Image Added

2.9 3. Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen Einstellungen von der Unified Firewall umgesetzt werden.

Image RemovedImage Added