Beschreibung:
In bestimmten Szenarien ist es erforderlich, dass Geräte im lokalen Netzwerk über Angabe des DNS-Namens die öffentliche IP-Adresse der Internet-Verbindung aufrufen und per Portforwarding auf einen Server im lokalen Netzwerk zugreifen (Hairpin-NAT bzw. NAT-Reflection).
In diesem Artikel wird beschrieben, wie Hairpin-NAT auf einer Unified Firewall eingerichtet werden kann.
Hairpin-NAT funktioniert nur im Standalone-Betrieb und mit einer Reihenschaltung. In einem Szenario mit der Layer-3 Schleife funktioniert Hairpin-NAT nicht, da der LANCOM Router die ausgehenden Pakete direkt auf sein WAN-Interface leitet! |
Voraussetzungen:
Szenario:
1. Die Unified Firewall ist direkt mit dem Internet verbunden
2. Ein Router vor der Unified Firewall baut die Internet-Verbindung auf
Vorgehensweise:
1. Einrichtung des Hairpin-NAT:
1.1 Öffnen Sie die Konfiguration der Unified Firewall im Browser.
Klicken Sie auf auf dem Desktop auf das Netzwerk-Objekt (in diesem Beispiel das Netzwerk INTRANET). wählen im Kontextmenü das Verbindungswerkzeug aus und klicken auf das Host-Objekt, für welches das Portforwarding eingerichtet ist (in diesem Beispiel das Objekt Web-Server).
1.2 Wählen Sie das Protokoll aus, mit dem der Computer im lokalen Netzwerk auf den Web-Server zugreifen soll.
1.3 Klicken Sie auf Optionen, um weitere Einstellungen vorzunehmen.
1.4 Passen Sie folgende Parameter an:
1.5 Klicken Sie auf Speichern.
1.6 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.
1.7 Die Konfiguration des Hairpin-NAT ist damit abgeschlossen.
2. Ausnahme-Regel für die Protokolle HTTP und HTTPS erstellen (nur bei Verwendung des HTTP-Proxy erforderlich)
Da bei Verwendung des HTTP-Proxy die ausgehenden Pakete durch den Proxy gefiltert werden, funktioniert das Hairpin-NAT nicht. Es muss daher eine Ausnahme-Regel erstellt werden, die den Datenverkehr aus dem lokalen Netzwerk auf die öffentliche IPv4-Adresse am Proxy vorbeileitet.
2.1