Quelle anzeigen

Beschreibung:

In bestimmten Szenarien ist es erforderlich, dass Geräte im lokalen Netzwerk die öffentliche IP-Adresse der Internet-Verbindung aufrufen (etwa per DNS-Name) und per Portforwarding auf einen Server im lokalen Netzwerk zugreifen (Hairpin-NAT bzw. NAT-Reflection).

In diesem Artikel wird beschrieben, wie Hairpin-NAT auf einer Unified Firewall eingerichtet werden kann.

Hairpin-NAT funktioniert nur im Standalone-Betrieb und mit einer Reihenschaltung. In einem Szenario mit der Layer-3 Schleife funktioniert Hairpin-NAT nicht, da der LANCOM Router die ausgehenden Pakete direkt auf sein WAN-Interface leitet!

Voraussetzungen:

LANCOM R&S®Unified Firewall ab LCOS FX 10.3
Szenario mit einer Unified Firewall im Stand-Alone Betrieb oder mit einer Reihenschaltung
Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
Internet-Verbindung mit fester öffentlicher IPv4-Adresse
Bereits eingerichtetes und funktionsfähiges Portforwarding auf der Unified Firewall
Web-Browser zur Konfiguration der Unified Firewall.

Es werden folgende Browser unterstützt:
- Google Chrome
- Chromium
- Mozilla Firefox

Szenario:

1. Die Unified Firewall ist direkt mit dem Internet verbunden

Die Unified Firewall baut die Internet-Verbindung auf. Diese hat die öffentliche IP-Adresse 81.81.81.1. Die öffentliche IP-Adresse ist mit dem DNS-Namen server.lancom.de verknüpft.
Ein Web-Server im lokalen Netzwerk der Unified Firewall mit der IP-Adresse 192.168.1.100 ist aus dem Internet per HTTPS erreichbar.
Ein Computer im lokalen Netzwerk mit der IP-Adresse 192.168.1.55 soll über den DNS-Namen server.lancom.de auf den Web-Server im lokalen Netzwerk zugreifen.

Schema einer Netzwerkkonfiguration mit zentraler Unified Firewall, DNSName, öffentlicher IP-Adresse, LAN, ILS, Computern und einem Webserver.

2. Ein Router vor der Unified Firewall baut die Internet-Verbindung auf

Ein vorgeschalteter Router vor der Unified Firewall baut die Internet-Verbindung auf. Dieser hat die öffentliche IP-Adresse 81.81.81.1. Die öffentliche IP-Adresse ist mit dem DNS-Namen server.lancom.de verknüpft.
Die Unified Firewall und der vorgeschaltete Router sind beide Mitglied im Transfer-Netzwerk 192.168.0.0/24. Die Unified Firewall hat dort die IP-Adresse 192.168.0.254.
Ein Web-Server im lokalen Netzwerk der Unified Firewall mit der IP-Adresse 192.168.1.100 ist aus dem Internet per HTTPS erreichbar.
Ein Computer im lokalen Netzwerk mit der IP-Adresse 192.168.1.55 soll über den DNS-Namen server.lancom.de auf den Web-Server im lokalen Netzwerk zugreifen.

Diagramm eines Netzwerksystems mit zentraler Unified Firewall, LANCOM Router, IP-Adresse, DNS-Name, LAN-Verbindung inklusive Computer und WebServer.

Vorgehensweise:

Die Vorgehensweise ist in beiden Szenarien gleich.

1. Einrichtung des Hairpin-NAT:

1.1 Öffnen Sie die Konfiguration der Unified Firewall im Browser.

Klicken Sie auf auf dem Desktop auf das Netzwerk-Objekt (in diesem Beispiel das Netzwerk INTRANET). wählen im Kontextmenü das Verbindungswerkzeug aus und klicken auf das Host-Objekt, für welches das Portforwarding eingerichtet ist (in diesem Beispiel das Objekt Web-Server).

Screenshot einer technischen Benutzeroberfläche mit Beschriftungen wie LANCOM Internet Access, WebhaggException, und INTRANETs, die auf verschiedene Netzwerkfunktionen und Fehlermeldungen hinweisen.

1.2 Wählen Sie das Protokoll aus, mit dem der Computer im lokalen Netzwerk auf den Web-Server zugreifen soll.

Screenshot einer technischen Benutzeroberfläche mit verschiedenen Konfigurationsoptionen, darunter URL- und Application-Filter, Application-Based Routing, LDAP-Einstellungen und zeitgesteuerte Aktionen.

1.3 Klicken Sie bei Optionen auf Keine, um weitere Einstellungen vorzunehmen.

Bildschirmansicht einer technischen Benutzeroberfläche eines Intranet-Servers, die Funktionen wie Verbindungsstatus, Bearbeitete Versionen, URL Content Filter, Application Filter und Application Based Routing anzeigt.

1.4 Passen Sie folgende Parameter an:

Wählen Sie bei NAT / Masquerading die Option Links-nach-rechts aus.
Aktivieren Sie die Option DMZ / Port-Weiterleitung für diesen Dienst aktivieren.
Tragen Sie bei Externe IP-Adresse die WAN-IP-Adresse der Unified Firewall an (in diesem Beispiel die IP-Adresse 81.81.81.1).

Prüfen Sie unbedingt die Reihenfolge der Objekte. Es kann vorkommen, dass das zuerst ausgewählte Objekt nicht an erster Stelle steht. In diesem Fall muss die NAT-Regel auf Rechts-nach-links geändert werden.

Bild einer technischen Benutzeroberfläche für Netzwerk-Konfigurationen, einschließlich eines Web-Servers mit Optionen für Ports, Protokolle, Zeitsteuerung, Proxy-Einstellungen, NAT Masquerading, bidirektionale Einstellungen, DMZ Portweiterleitung und IP-Adressenmanagement.

1.5 Klicken Sie auf Speichern.

Screenshot einer technischen Benutzeroberfläche mit Konfigurationseinstellungen für Netzwerkkomponenten, einschließlich URL-Content-Filter und Anwendungsfilter.

1.6 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

Screenshot einer technischen Benutzeroberfläche zur Überwachung von Firewalls, inklusive Monitoring-Statistiken und Netzwerkparametern.

1.7 Die Konfiguration des Hairpin-NAT ist damit abgeschlossen.

2. Ausnahme-Regel für die Protokolle HTTP und HTTPS erstellen (nur bei Verwendung des HTTP-Proxy erforderlich)

Da bei Verwendung des HTTP-Proxy die ausgehenden Pakete durch den Proxy gefiltert werden, funktioniert das Hairpin-NAT nicht. Es muss daher eine Ausnahme-Regel erstellt werden, die den Datenverkehr aus dem lokalen Netzwerk auf die öffentliche IPv4-Adresse am Proxy vorbeileitet.

Dies gilt ebenso für den Mail-Proxy und auch den VoIP-Proxy. Es wäre allerdings ungewöhnlich die SIP-Registrierung aus dem lokalen Netzwerk über ein Portforwarding vorzunehmen.

2.1 Klicken Sie auf das Symbol zum Erstellen eines Host-Objektes.

LANCOM Support Knowledge Base DE > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > WA1.png (Screenshot einer technischen Benutzeroberfläche von Rohde & Schwarz mit Optionen zum Erstellen eines Hosts, Aktivieren von Filtern, Zugriff auf Firewall-Einstellungen und Anzeige von Netzwerk-Monitoringstatistiken.)

2.2 Passen Sie folgende Parameter an und klicken auf Erstellen:

Name: Vergeben Sie einen aussagekräftigen Namen.
Verbunden über: Wählen Sie im Dropdownmenü das Internet-Objekt aus.
IP-Adresse: Geben Sie die öffentliche IPv4-Adresse Ihrer Internet-Verbindung an. Diese muss nicht direkt an der Unified Firewall anliegen, sondern kann auch an einem vorgeschalteten Router anliegen.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von WAN-IP-Hosts mit Optionen für Name, Beschreibung, Tags, Farbe, Anmeldungserlaubnis und IP-Adresse, sowie Schaltflächen zum Abbrechen und Speichern von Änderungen.

2.3 Klicken Sie auf dem Desktop auf das Netzwerk-Objekt (in diesem Beispiel INTRANET), wählen das Verbindungswerkzeug aus und klicken auf das in Schritt 2.2 erstellte Host-Objekt.

Ein Screenshot einer technischen Benutzeroberfläche mit verschiedenen Elementen, einschließlich Bezeichnungen wie 'SSLVPN', 'Internet Access' und 'WebhaggException', die Konfigurationseinstellungen und Fehlerwarnungen anzeigen.

2.4 Fügen Sie die Protokolle HTTP und HTTPS hinzu.

Bildschirmanzeige einer technischen Benutzeroberfläche mit verschiedenen Konfigurationsoptionen wie Verbindungsstandards, Anmeldedetails, IP-Konfigurationen, URL- und Anwendungsfilterregeln sowie Zeitsteuerungsoptionen.

2.5 Klicken Sie für die Protokolle HTTP und HTTPS jeweils einmal auf das "Pfeil-Symbol", damit der Pfeil nach rechts zeigt.

Bildschirmansicht einer technischen Konfigurationsoberfläche, die Netzwerkeinstellungen wie WAN IP, URL- und Anwendungsfilter sowie Zeitsteuerungsoptionen für verschiedene Regeln darstellt.

2.6 Klicken Sie für HTTP und HTTPS unter Optionen jeweils auf Keine, um weitere Einstellungen anzupassen.

Das Bild zeigt eine technische Benutzeroberfläche eines Intranet-PB mit Optionen zur Konfiguration von Eigene WAN IP, URLContentFilter, ApplicationFilter, ApplicationBasedRouting sowie Zeitsteuerung und Änderungsoptionen für diese Regeln.

2.7 Wählen Sie für HTTP und HTTPS bei NAT / Masquerading jeweils die Option Links-nach-rechts aus und klicken auf OK.

Ein Screenshot einer Netzwerkkonfigurationsseite, die Optionen für Proxy, NAT Masquerading, bidirektionale Einstellungen und DMZ Portweiterleitung zeigt, sowie Felder für externe und Ziel-IP-Adressen und -Ports.

2.8 Klicken Sie auf Erstellen, um die Regeln anzulegen.

Beschreibung eines technischen Konfigurationsmenüs auf dem Intranet, das Optionen für WAN IP-Adresszuweisung, URL- und Anwendungsfilter sowie applikationsbasiertes Routing zeigt, mit Optionen zur Änderung und Zeitsteuerung von Regeln.

2.9 Klicken Sie auf Aktivieren, damit die vorgenommenen Einstellungen von der Unified Firewall umgesetzt werden.

Screenshot einer technischen Benutzeroberfläche zur Überwachung von Firewalls, die Statistiken und Netzwerkdaten zeigt.

Vielen Dank für Ihr Feedback! Konstruktive Vorschläge zur Verbesserung unserer Knowledge Base oder Anregungen zu neuen Artikeln können Sie uns auch per E-Mail an knoweldgebase@lancom.de senden.