...
In bestimmten Szenarien ist es erforderlich, dass Geräte im lokalen Netzwerk über Angabe des DNS-Namens die öffentliche IP-Adresse der Internet-Verbindung aufrufen (etwa per DNS-Name) und per Portforwarding auf einen Server im lokalen Netzwerk zugreifen (Hairpin-NAT bzw. NAT-Reflection).
...
- LANCOM R&S®Unified Firewall ab LCOS FX 10.3
- Szenario mit einer Unified Firewall im Stand-Alone Betrieb oder mit einer Reihenschaltung
- Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
- Internet-Verbindung mit fester öffentlicher IPv4-Adresse (nur Szenario 1)
- Bereits eingerichtetes und funktionsfähiges Portforwarding auf der Unified Firewall
- Web-Browser zur Konfiguration der Unified Firewall.
Es werden folgende Browser unterstützt:- Google Chrome
- Chromium
- Mozilla Firefox
...
- Ein vorgeschalteter Router vor der Unified Firewall baut die Internet-Verbindung auf. Dieser hat die öffentliche IP-Adresse 81.81.81.1. Die öffentliche IP-Adresse ist mit dem DNS-Namen server.lancom.de verknüpft.
- Die Unified Firewall und der vorgeschaltete Router sind beide Mitglied im Transfer-Netzwerk 192.168.0.0/24. Die Unified Firewall hat dort die IP-Adresse 192.168.0.254.
- Ein Web-Server im lokalen Netzwerk der Unified Firewall mit der IP-Adresse 192.168.1.100 ist aus dem Internet per HTTPS erreichbar.
- Ein Computer im lokalen Netzwerk mit der IP-Adresse 192.168.1.55 soll über den DNS-Namen server.lancom.de auf den Web-Server im lokalen Netzwerk zugreifen.
Vorgehensweise:
Die Vorgehensweise ist in beiden Szenarien gleich.
1. Einrichtung des Hairpin-NAT:
...
1.2 Wählen Sie das Protokoll aus, mit dem der Computer im lokalen Netzwerk auf den Web-Server zugreifen soll.
1.3 Klicken Sie bei Optionen auf Optionen Keine, um weitere Einstellungen vorzunehmen.
...
- Wählen Sie bei NAT / Masquerading die Option Links-nach-rechts aus.
- Aktivieren Sie die Option DMZ / Port-Weiterleitung für diesen Dienst aktivieren.
- Tragen Sie bei Externe IP-Adresse die WAN-IP-Adresse der Unified Firewall an (in diesem Beispiel die IP-Adresse 81.81.81.1).
...
Da bei Verwendung des HTTP-Proxy die ausgehenden Pakete durch den Proxy gefiltert werden, funktioniert das Hairpin-NAT nicht. Es muss daher eine Ausnahme-Regel erstellt werden, die den Datenverkehr aus dem lokalen Netzwerk auf die öffentliche IPv4-Adresse am Proxy vorbeileitet.
Info |
---|
Dies gilt ebenso für den Mail-Proxy und auch den VoIP-Proxy. Es wäre allerdings ungewöhnlich die SIP-Registrierung aus dem lokalen Netzwerk über ein Portforwarding vorzunehmen. |
2.1 Klicken Sie auf das Symbol zum Erstellen eines Host-Objektes.
...