Beschreibung:
Häufig ist es erforderlich aus dem Internet auf Ressourcen in einem lokalen Netzwerk zuzugreifen, etwa ein Web- oder Mail-Server. Dies lässt sich z.B. über ein Portforwarding realisieren.
In diesem Artikel wird beschrieben wie ein Portforwarding auf einer Unified Firewall eingerichtet werden kann.
Voraussetzungen:
- LANCOM R&S® Unified Firewall mit Firmware ab Version 10.2
- Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
- Web-Browser zur Konfiguration der Unified Firewall.
Es werden folgende Browser unterstützt:- Google Chrome
- Chromium
- Mozilla Firefox
Szenario:
1. Die Unified Firewall ist direkt mit dem Internet verbunden
- Die Unified Firewall baut die Internet-Verbindung auf. Diese hat die öffentliche IP-Adresse 81.81.81.1.
- Ein Web-Server im lokalen Netzwerk der Unified Firewall mit der IP-Adresse 192.168.1.100 soll aus dem Internet per HTTPS erreichbar sein.
2. Ein Router vor der Unified Firewall baut die Internet-Verbindung auf
- Ein vorgeschalteter Router vor der Unified Firewall baut die Internet-Verbindung auf. Dieser hat die öffentliche IP-Adresse 81.81.81.1.
- Die Unified Firewall und der vorgeschaltete Router sind beide Mitglied im Transfer-Netzwerk 192.168.0.0/24. Die Unified Firewall hat dort die IP-Adresse 192.168.0.254.
- Ein Web-Server im lokalen Netzwerk der Unified Firewall mit der IP-Adresse 192.168.1.100 soll aus dem Internet per HTTPS erreichbar sein.
Vorgehensweise:
Die Einrichtung bei Szenario 1 und 2 ist grundsätzlich gleich. Bei Szenario 2 muss zusätzlich noch ein Portforwarding auf dem vorgeschalteten Router eingerichtet werden.
1. Einrichtung des Portforwarding auf der Unified Firewall (Szenario 1 und 2)
1.1 Öffnen Sie die Konfiguration der Unified Firewall in einem Browser und klicken auf das Symbol zum erstellen eines Hosts.
1.2 Passen Sie folgende Parameter an und klicken auf Erstellen:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Verbunden über: Wählen Sie im Dropdownmenü den Ethernet-Port aus, an dem das Weiterleitungs-Ziel angeschlossen ist (in diesem Beispiel der Ethernet-Port eth1).
- IP-Adresse: Hinterlegen Sie die IP-Adresse des Weiterleitungs-Ziels im lokalen Netzwerk, welches an dem bei Verbunden über ausgewählten Ethernet-Port anliegt (in diesem Beispiel die IP-Adresse 192.168.1.100).
1.3 Klicken Sie in dem Host auf das "Verbindungswerkzeug" und verbinden dieses mit dem Internet-Objekt.
1.4 Wählen Sie aus der Liste an Protokollen das für das Portforwarding erforderliche Protokoll aus und fügen Sie dieses über das "Plus"-Zeichen hinzu (in diesem Beispiel soll der Web-Server per HTTPS erreichbar sein).
Info:
Die Firewall-Objekte können Sie auch über Desktop → Desktop-Verbindungen aufrufen, indem Sie auf das "Bearbeiten-Symbol" klicken.
1.5 Klicken Sie auf den Pfeil bei Aktion, um den eingehenden Datenverkehr für das Portforwarding zu erlauben.
Klicken Sie anschließend auf das "Stift"-Symbol, um weitere Einstellungen anzupassen.
1.6 Wechseln Sie in den Reiter Erweitert und setzen den Haken bei DMZ / Port-Weiterleitung für diesen Dienst aktivieren, um das Portforwarding zu aktivieren.
Sollten Sie mehrere öffentliche IP-Adressen haben, können Sie eine der Adressen bei Externe IP-Adresse angeben. Das Portforwarding greift dann nur, wenn diese IP-Adresse angesprochen wird. Diese Einstellung ist nur in Szenario 1 sinnvoll.
Soll der Port, auf den die Weiterleitung erfolgt, abgeändert werden, können Sie bei Ziel-Port einen gewünschten Port eintragen. So kann z.B. ein Zugriff aus dem Internet über den Port 443 erfolgen und die Unified Firewall leitet dies intern an den Port 6443 weiter. Dabei ist zu beachten, dass immer ein Objekt mit dem Dienst/Port hinterlegt werden muss, welches an der Unified Firewall von extern ankommt und dieses kann über den Ziel-Port umgewandelt werden. Im umgekehrten Fall (Port 6443 wird in Port 443 umgewandelt) muss also über ein benutzerdefiniertes Objekt ein Portforwarding für den Port 6443 eingerichtet werden. Über den Ziel-Port kann dies an Port 443 weitergeleitet werden. Diese Einstellung kann für Szenario 1 und 2 verwendet werden.
1.7 Klicken Sie auf Erstellen, um die Firewall-Regel zu erstellen.
1.8 Klicken Sie auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.
1.9 Die Konfiguration der Unified Firewall ist damit abgeschlossen.
2. Einrichtung des Portforwarding auf einem vorgeschalteten LANCOM Router (nur Szenario 2)
Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller.
2.1 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.
2.2 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:
- Anfangs-Port: Hinterlegen Sie den Port, der weitergeleitet werden soll (in diesem Beispiel der Port 443 für HTTPS).
- End-Port: Hinterlegen Sie den Port, der weitergeleitet werden soll (in diesem Beispiel der Port 443 für HTTPS).
- Intranet-Adresse: Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router (in diesem Beispiel hat die Unified Firewall die IP-Adresse 192.168.0.254).
- Protokoll: Wählen Sie im Dropdown-Menü das zugehörige Protokoll aus (bei HTTPS wird TCP verwendet).
2.3 Die Konfiguration des Routers ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.