Zyxel Firewall NAT – So konfigurieren Sie 1:1-Netzwerkadressübersetzung (NAT) auf der Zyxel USG Flex H-Serie-Firewall

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzungen verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise wird nicht der gesamte Text korrekt übersetzt. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

Diese Anleitung zeigt, wie Sie mit der USG FLEX H-Serie mithilfe von Network Address Translation (NAT) einen sicheren Zugriff auf einen internen Server hinter der USG FLEX H konfigurieren. Internetnutzer können diesen Server direkt über seine öffentliche IP-Adresse erreichen, und eine NAT-Zuordnungsregel

1:1-NAT (Network Address Translation) ist eine Netzwerktechnik, bei der eine externe öffentliche IP-Adresse direkt einer internen privaten IP-Adresse zugeordnet wird. Diese Methode gewährleistet die Kompatibilität mit bestimmten Anwendungen und ermöglicht eine präzise IP-basierte Zugriffskontrolle.

In diesem Artikel finden Sie detaillierte Erläuterungen zur Funktionsweise von 1:1-NAT und zu dessen Vorteilen. Beispiele aus der Praxis veranschaulichen die praktischen Anwendungsmöglichkeiten, wie das Hosten von Webservern, die Bereitstellung von Remote-Desktop-Diensten, das Einrichten von VPN-Verbindungen und die Unterstützung von Spielservern. Jedes Beispiel zeigt, wie 1:1-NAT die Netzwerkverwaltung vereinfachen und die Sicherheit erhöhen kann, indem es den direkten Zugriff auf interne Ressourcen ermöglicht. Ob Sie IT-Experte oder Netzwerkadministrator sind – dieser Artikel bietet wertvolle Einblicke in die effektive Nutzung von 1:1-NAT in verschiedenen Szenarien.

Wichtige Merkmale von 1:1-NAT:

  • Direkte Zuordnung: Verbindet eine öffentliche IP-Adresse mit einer privaten IP-Adresse.
  • Spezifische Anwendungsfälle: Ideal für Situationen, in denen eine direkte Verbindung zwischen einer externen und einer internen IP-Adresse erforderlich ist.
  • Source Network Address Translation (SNAT): Ändert die Quell-IP des ausgehenden Datenverkehrs in die öffentliche IP.

Wann sollte 1:1-NAT verwendet werden – Beispiele aus der Praxis:

  1.  

    Hosting-Server:

     

    • Webserver: Wenn Ihr Unternehmen über einen Webserver mit der privaten IP-Adresse 192.168.1.10 verfügt, können Sie diesen einer öffentlichen IP-Adresse wie 203.0.113.10 zuordnen. Externe Benutzer können über die öffentliche IP-Adresse auf Ihre Website zugreifen, während der Server im privaten Netzwerk verbleibt.
    • Mail-Server: Ein Mail-Server mit der privaten IP-Adresse 192.168.1.20 kann einer öffentlichen IP-Adresse wie 203.0.113.20 zugeordnet werden. Dadurch können Benutzer E-Mails über die öffentliche IP-Adresse senden und empfangen.
    • FTP-Server: Auf einen FTP-Server mit der privaten IP-Adresse 192.168.1.30 kann über die öffentliche IP-Adresse 203.0.113.30 zugegriffen werden, sodass externe Benutzer Dateien hoch- und herunterladen können.

     

  2.  

    Anwendungskompatibilität:

     

    • VoIP-System: Einige VoIP-Systeme erfordern statische, öffentliche IP-Adressen für eine zuverlässige Kommunikation. So kann beispielsweise ein VoIP-Server mit der privaten IP-Adresse 192.168.1.40 einer öffentlichen IP-Adresse von 203.0.113.40 zugeordnet werden, um eine reibungslose Sprachkommunikation zu gewährleisten.
    • Online-Gaming-Server: Einem Online-Gaming-Server mit der privaten IP-Adresse 192.168.1.50 kann die öffentliche IP-Adresse 203.0.113.50 zugewiesen werden, damit Spieler weltweit über eine einheitliche IP-Adresse eine Verbindung herstellen können.

     

  3.  

    IP-basierte Zugriffskontrolle:

     

    • Sicherheitskameras: Eine Organisation kann 1:1-NAT nutzen, um den Fernzugriff auf Sicherheitskameras zu ermöglichen. Ein Kamerasystem mit der privaten IP-Adresse 192.168.1.60 kann einer öffentlichen IP-Adresse von 203.0.113.60 zugeordnet werden, wodurch eine Fernüberwachung unter Anwendung spezifischer Zugriffsregeln ermöglicht wird.
    • Gebäudezugangssysteme: Bei Systemen zur Steuerung des Gebäudezugangs, wie z. B. Kartenlesegeräten, kann ein Gerät mit der privaten IP-Adresse 192.168.1.70 einer öffentlichen IP-Adresse von 203.0.113.70 zugeordnet werden. Dies ermöglicht es Administratoren, den Zugang aus der Ferne zu verwalten und gleichzeitig sichere Zugangsrichtlinien einzuhalten.

     

Zusammenfassend lässt sich sagen, dass 1:1-NAT nützlich ist, um externe öffentliche IP-Adressen direkt auf interne private IP-Adressen abzubilden, die Kompatibilität für bestimmte Anwendungen sicherzustellen und eine IP-basierte Zugriffskontrolle zu implementieren. Diese Beispiele aus der Praxis zeigen, wie verschiedene Server und Systeme von 1:1-NAT profitieren können.

In diesem Beispiel konfigurieren wir den Zugriff auf den Mail-Server vom WAN aus unter Verwendung der öffentlichen IP-Adresse

Richten Sie das NAT auf dem USG FLEX H- ein 
 Konfiguration > Netzwerk > NAT und erstellen Sie eine neue Regel, indem Sie auf die Schaltfläche „Hinzufügen“ klicken

Anschließend können Sie alle erforderlichen Felder ausfüllen.

  • NAT-Regel aktivieren
  • Geben Sie einen Namen ein, der den Kern der Regel erfasst
  • Wählen Sie als Port-Mapping-Typ „1:1 NAT
  • Eingehende Schnittstelle auf WAN
  • Quell-IP auf „Beliebig“
  • Externe IP – verwenden Sie Ihre externe IP
  • Interne IP – Geben Sie die IP-Adresse an, auf die zugegriffen werden soll
  • Port-Mapping-Typ – hängt davon ab, was Sie tun (Beliebig – der gesamte Datenverkehr wird weitergeleitet, Dienst – wählen Sie ein Dienstobjekt (ein Protokoll), Dienstgruppe – wählen Sie ein Dienstgruppenobjekt (eine Gruppe von Protokollen), Port – wählen Sie einen Port, der weitergeleitet werden soll, Ports – wählen Sie einen Portbereich, der weitergeleitet werden soll) 
  • NAT-Loopback aktivieren
  • Alle Änderungen übernehmen

NAT-Loopback wird innerhalb des Netzwerks verwendet, um den internen Server über die öffentliche IP-Adresse zu erreichen. Überprüfen Sie, ob NAT-Loopback aktiviert ist, und klicken Sie auf „OK“ (damit können auch Benutzer, die mit einer beliebigen Schnittstelle verbunden sind, die NAT-Regel nutzen)

Richten Sie die Sicherheitsrichtlinie auf dem USG FLEX H ein

In diesem Beispiel konfigurieren wir den Zugriff auf unseren Webserver vom WAN aus

Sicherheitsrichtlinie > Richtliniensteuerung und erstellen Sie eine neue Regel, indem Sie auf die Schaltfläche „Hinzufügen“ klicken

Anschließend können Sie alle erforderlichen Felder ausfüllen.

  • Richtlinie aktivieren
  • Geben Sie einen Namen ein, der den Kern der Regel wiedergibt
  • Von – WAN
  • Bis – LAN
  • Quelle – Beliebig
  • Ziel – LAN-Subnetz, in dem sich Ihr Server befindet (in diesem Beispiel LAN_SUBNET_GE3) oderwählen Sie das im vorherigen Schritt erstellte Objekt aus
  • Dienst – HTTPS
  • Benutzer – Beliebig
  • Aktion – Zulassen
  • Alle Änderungen übernehmen

 

Fehlerbehebung bei der 1:1-NAT-Konfiguration

  • NAT-Regeln überprüfen: Vergewissern Sie sich, dass die 1:1-NAT-Regeln korrekt konfiguriert sind, und stellen Sie sicher, dass die interne IP-Adresse Ihres Mail-Servers ordnungsgemäß der richtigen öffentlichen IP-Adresse zugeordnet ist.

  • Firewall-Regeln: Stellen Sie sicher, dass die Firewall-Regeln so eingestellt sind, dass der Datenverkehr auf den erforderlichen Ports zugelassen wird (z. B. Port 443 für HTTPS).

  • Protokolle und Diagnose: Überwachen Sie regelmäßig die Firewall-Protokolle und verwenden Sie Diagnosetools, um den Datenverkehr zu überprüfen. Dies kann dabei helfen, Probleme schnell zu identifizieren und zu beheben.

  • Stellen Sie sicher, dass alle öffentlichen IP-Adressen korrekt geroutet werden. Um dies zu überprüfen, weisen Sie jede öffentliche IP-Adresse einzeln dem WAN-Port der USG FLEX H-Serie zu.

  • Testen Sie den Internetzugang mit jeder öffentlichen IP-Adresse, um sicherzustellen, dass er ordnungsgemäß funktioniert.

  • Wenden Sie sich an Ihren Internetdienstanbieter, um sicherzustellen, dass das Routing für Ihre öffentlichen IP-Adressen ordnungsgemäß konfiguriert und aktiv ist.

Beiträge in diesem Abschnitt

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.