Beschreibung:
Es kann in Einzelfällen vorkommen, dass ein Port-Forwarding nicht an dem Standort eingerichtet werden kann, an dem auch die Netzwerk-Ressource erreicht werden soll, etwa wenn keine öffentliche IPv4-Adresse zur Verfügung steht (z.B. Dual Stack Lite).
In solch einem Fall kann das Port-Forwarding über einen VPN-Tunnel realisiert werden, wenn eine VPN-Verbindung zu einem Standort mit einer öffentlichen IPv4-Adresse besteht.
In diesem Dokument wird beschrieben wie ein Port-Forwarding über einen VPN-Tunnel realisiert werden kann.
Beachten Sie, dass bei Verwendung von Port-Forwarding unverschlüsselte Informationen von jedem im Klartext mitgelesen werden können. LANCOM Systems empfiehlt bei der Übertragung wichtiger Informationen eine verschlüsselte VPN-Verbindung zu verwenden.
Voraussetzungen:
- LCOS ab Version 10.12 (download aktuelle Version)
- LANtools ab Version 10.12 RU4 (download aktuelle Version)
- Bereits eingerichtete und funktionsfähige Internet-Verbindungen in der Zentrale und der Filiale
- Öffentliche IPv4-Adresse in der Zentrale
- Bereits mit dem Setup-Assistenten eingerichtete und funktionsfähige IKEv2 VPN-Verbindung
Szenario:
- Die Zentrale hat einen Internet-Anschluss mit fester IPv4-Adresse
- Die Filiale hat einen Internet-Anschluss mit einer nicht öffentlichen IPv4-Adresse (z.B. Dual-Stack Lite)
- Die Zentrale und die Filiale sind per VPN verbunden
- Ein Außendienstmitarbeiter soll auf einen Server in der Filiale per Port-Forwarding zugreifen
Vorgehensweise:
1. Konfiguration des Port-Forwarding auf dem Router in der Zentrale:
1.1 Öffnen Sie die Konfiguration des Routers in der Zentrale und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.
1.2 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Informationen:
- Anfangs-Port: Tragen Sie den Port 443 ein
- End-Port: Tragen Sie den Port 443 ein
- Gegenstelle: Wählen Sie aus dem Dropdown-Menü die Internet-Gegenstelle aus, damit das Port-Forwarding nur darüber funktioniert
- Intranet-Adresse: Hinterlegen Sie die IP-Adresse des Servers im Netzwerk der Filiale (192.168.0.100)
- Map-Port: Den Map-Port belassen Sie auf 0, da nicht umgemappt werden muss
- Protokoll: Wählen Sie als Protokoll TCP aus, da HTTPS über TCP übertragen wird
Weitere Informationen zu Port-Forwarding finden Sie in diesem Knowledge Base Artikel.
1.3 Schreiben Sie die Konfiguration in den Router zurück. Die Konfiguration der Zentrale ist damit abgeschlossen.
2. Konfiguration der VPN-Route auf dem Router in der Filiale:
Da die Kommunikation mit einem Teilnehmer im Internet erfolgt, muss für die VPN-Verbindung eine Default-Route erstellt werden.
2.1 Öffnen Sie die Konfiguration des Routers in der Filiale und wechseln in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.
2.2 Markieren Sie die Default-Route der Internet-Verbindung und klicken auf Kopieren.
2.3 Ändern Sie folgende Parameter ab:
- Routing-Tag: Hinterlegen Sie ein von 0 abweichendes Routing-Tag, welches noch nicht anderweitig vergeben wurde.
- Router: Wählen Sie im Dropdown-Menü die VPN-Gegenstelle zur Zentrale aus
- IP-Maskierung: Setzen Sie den Radio-Button auf IP-Maskierung abgeschaltet
Das Routing-Tag darf keinem unter IPv4 → Allgemein → IP-Netzwerke hinterlegten Schnittstellen-Tag entsprechen, da ansonsten die gesamte Kommunikation dieses Netzwerks über den VPN-Tunnel erfolgt.
2.4 Schreiben Sie die Konfiguration in den Router zurück.
