Zyxel Virtual Server Port Forwarding NAT – So konfigurieren Sie die Portweiterleitung für den virtuellen Server auf der Zyxel USG Flex H-Serie-Firewall

Grundlagen der Portweiterleitung bei virtuellen Servern

Portweiterleitung für virtuelle Server, allgemein als Portweiterleitung bezeichnet, ist eine Netzwerktechnik, die externen Datenverkehr aus dem Internet an bestimmte Geräte oder Dienste innerhalb eines lokalen Netzwerks weiterleitet. Sie ermöglicht es externen Geräten, mit einem bestimmten Gerät oder Dienst innerhalb eines privaten Netzwerks zu kommunizieren, indem ein externer Port einer internen IP-Adresse und einem internen Port zugeordnet wird.

So funktioniert die Portweiterleitung

• Routerkonfiguration: Die Portweiterleitung wird auf dem Router konfiguriert. Wenn eine externe Anfrage den Router über einen bestimmten Port erreicht, leitet der Router diese Anfrage an eine vordefinierte interne IP-Adresse und einen Port innerhalb des lokalen Netzwerks weiter.
• Portzuordnung: Der externe Port wird einem internen Port zugeordnet. Beispielsweise könnte eine Anfrage an Port 8080 an Port 80 eines internen Webservers weitergeleitet werden.
• Datenflussrichtung: Eingehender Datenverkehr auf dem angegebenen Port wird an das bestimmte interne Gerät oder den Dienst weitergeleitet, wodurch der Zugriff auf interne Ressourcen vom externen Netzwerk aus ermöglicht wird.

Vorteile der Portweiterleitung

• Fernzugriff: Ermöglicht Benutzern den Fernzugriff auf interne Dienste wie einen Heimserver, eine Überwachungskamera oder einen Spieleserver und erhöht so die Flexibilität und den Nutzen dieser Dienste.
• Erhöhte Sicherheit: Durch die Festlegung, welche Ports offen sind und wohin sie weitergeleitet werden, kann die Portweiterleitung dabei helfen, den Zugriff auf interne Ressourcen zu verwalten und einzuschränken, wodurch das Risiko potenzieller Sicherheitsbedrohungen verringert wird.
• Effiziente Nutzung von IP-Adressen: Portweiterleitung ermöglicht es, mehrere Dienste unter Verwendung unterschiedlicher Ports auf einer einzigen öffentlichen IP-Adresse auszuführen, wodurch IP-Adressen eingespart werden.
• Verbesserte Leistung: Durch die direkte Weiterleitung von bestimmtem Datenverkehr an das jeweilige Gerät kann Portweiterleitung die Leistung von Netzwerkdiensten verbessern und die Latenz verringern.

Beispiele für Portweiterleitung aus der Praxis

• Gaming-Server: Gamer nutzen Portweiterleitung häufig, um Spieleserver zu hosten, sodass andere Spieler über das Internet eine Verbindung zu ihrer Spielkonsole oder ihrem PC herstellen können. Beispielsweise die Weiterleitung von Port 3074 für Xbox Live oder von Port 25565 für einen Minecraft-Server.
• Remote-Desktop-Zugriff: Benutzer können Portweiterleitung einrichten, um über das Remote-Desktop-Protokoll (RDP) per Portweiterleitung auf Port 3389 remote auf ihren Heimcomputer oder ihren Büroarbeitsplatz zuzugreifen.
• Überwachungskameras: Hausbesitzer können ihre Überwachungskameras aus der Ferne überwachen, indem sie die entsprechenden Ports, typischerweise Port 8080 oder 554 für RTSP-Streams, an die IP-Adresse der Kamera weiterleiten.
• Webhosting: Kleine Unternehmen oder Privatpersonen können ihre eigenen Websites auf einem Heimserver hosten, indem sie Port 80 (HTTP) oder Port 443 (HTTPS) an den internen Webserver weiterleiten.
• FTP-Server: Portweiterleitung kann genutzt werden, um zu Hause einen FTP-Server einzurichten, der den Dateizugriff über das Internet ermöglicht, indem die Ports 20 und 21 weitergeleitet werden.

In diesem Beispiel konfigurieren wir den Zugriff auf unseren Switch vom WAN über Port 1040.

Melden Sie sich zunächst über die Web-GUI

 Konfiguration > Netzwerk > NAT und erstellen Sie eine neue Regel, indem Sie auf die Schaltfläche „Hinzufügen“ klicken 

Füllen Sie dann alle erforderlichen Felder aus.

• NAT-Regel aktivieren
• Geben Sie einen Namen ein, der den Kern der Regel wiedergibt
• Wählen Sie als Port-Mapping-Typ „Virtual Server“
• Eingehende Schnittstelle auf WAN
• Quell-IP auf „Beliebig“
• Externe IP – verwenden Sie Ihre externe IP
• Interne IP – Geben Sie die IP-Adresse an, auf die zugegriffen werden soll
• Port-Mapping-Typ – Geben Sie einen externen Port und einen internen Port an

• NAT-Loopback aktivieren
• Alle Änderungen übernehmen

NAT-Loopback wird innerhalb des Netzwerks verwendet, um den internen Server über die öffentliche IP-Adresse zu erreichen. Überprüfen Sie, ob NAT-Loopback aktiviert ist, und klicken Sie auf „OK“ (damit können auch Benutzer, die mit einer beliebigen Schnittstelle verbunden sind, die NAT-Regel nutzen)

Erstellen Sie anschließend eine Policy-Control-Regel: 

Als Erstes erstellen wir ein Service-Objekt für unser Gerät, das wir zur Erstellung einer Sicherheitsrichtlinie benötigen.

Objekt -> Adresse -> Erstellen Sie ein neues Objekt (Adresstyp „Host“), indem Sie auf „Hinzufügen“ klicken 

• Geben Sie dem Objekt einen eindeutigen Namen
• Geben Sie die IP-Adresse Ihres Geräts an
• Klicken Sie auf „Übernehmen“

Fügen Sie nun die Firewall-Regel hinzu, um NAT (Portweiterleitung) zuzulassen

 Sicherheitsrichtlinie > Richtlinienkontrolle und erstellen Sie eine neue Regel, indem Sie auf die Schaltfläche „Hinzufügen“ klicken 

Anschließend können Sie alle erforderlichen Felder ausfüllen.

• Richtlinie aktivieren
• Geben Sie einen Namen ein, der den Kern der Regel erfasst
• Von – WAN
• Bis – LAN
• Quelle – Beliebig
• Ziel – Wählen Sie das im vorherigen Schritt erstellte Objekt aus
• Dienst – HTTPS
• Benutzer – Beliebig
• Aktion – Zulassen
• Alle Änderungen übernehmen

Sie können einfach einen Browser öffnen und die WAN-IP Ihres USG sowie den konfigurierten Port eingeben. Nun befindet sich das NAS hinter dem USG und ist über Portweiterleitung erreichbar.

Beispielsweise ist eines unserer Geräte verfügbar: Zyxel Switch XS1930-10