Zyxel Firewall Portweiterleitung (NAT) – Konfiguration der Portweiterleitung für virtuelle Server auf USG / USG FLEX / ATP / VPN

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzungen verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise wird nicht der gesamte Text korrekt übersetzt. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

Portweiterleitung, auch als Virtual Server Port Forwarding bekannt, ist eine Netzwerktechnik, die externen Internetverkehr an bestimmte Geräte oder Dienste innerhalb eines lokalen Netzwerks weiterleitet. Diese Technik ermöglicht es externen Geräten, mit einem bestimmten Gerät oder Dienst innerhalb eines privaten Netzwerks zu interagieren, indem ein externer Port mit einer internen IP-Adresse und einem Port verknüpft wird.

Virtueller Server (Portweiterleitung)

Merkmale des virtuellen Servers:

  • Ordnet bestimmte externe Ports bestimmten internen Ports zu.
  • Nützlich für den Zugriff auf verschiedene Dienste (wie Web, E-Mail, FTP) über dieselbe öffentliche IP-Adresse.
  • Verändert die Quell-IP-Adresse des eingehenden Datenverkehrs nicht (kein SNAT).

Konfiguration des virtuellen Servers (Portweiterleitung)

Der virtuelle Server wird am häufigsten verwendet und kommt zum Einsatz, wenn Sie den internen Server für ein öffentliches Netzwerk außerhalb des Zyxel-Geräts verfügbar machen möchten. Im Video unter dem Link sehen Sie, wie die Konfiguration in der Vorgängerversion der Firewall durchgeführt wird. Die Benutzeroberfläche ist anders, aber der Konfigurationsprozess hat sich kaum geändert.
Erstellen wir die Regel für den virtuellen Server (Portweiterleitung)
  • Melden Sie sich bei der Web-GUI des Geräts an
  • Navigieren Sie zu 
Konfiguration > Netzwerk > NAT
  • Erstellen Sie eine neue Regel, indem Sie auf die Schaltfläche „Hinzufügen“ klicken
  • Geben Sie einen Namen für die Regel ein
  • Wählen Sie als Port-Mapping-Typ „Virtual Server“ aus

Zuordnungsregel für virtuellen Server (Erläuterung)

Eingehende Schnittstelle – die Schnittstelle, von der der Datenverkehr stammt
Quell-IP – Vonwo aus sich die Benutzer verbinden (z. B. vertrauenswürdige IPs)
Externe IP – dieIP-Adresse der WAN-Schnittstelle
Interne IP – DieIP-Adresse des Servers, an den Sie die Ports weiterleiten möchten
  • Wählen Sie als eingehende Schnittstelle „wan“ aus
  • Quell-IP auf „any“

Es ist möglich, die externe und interne IP-Adresse manuell anzugeben. Wir empfehlen jedoch dringend, hierfür Objekte zu verwenden. Darüber hinaus ist dieser Ansatz bei der Erstellung zusätzlicher Sicherheitsrichtlinien erforderlich. Das Erstellen von Objekten für NAT-Regeln vereinfacht die Verwaltung, verbessert die Lesbarkeit, reduziert die Komplexität, verbessert die Durchsetzung von Richtlinien, ermöglicht Wiederverwendung und Skalierbarkeit, vereinfacht Backups und Rollbacks und minimiert Fehler.

Um ein Objekt für die externe und interne Schnittstelle zu erstellen, wählen Sie bitte die Option „Neues Objekt erstellen“ in der oberen linken Ecke desselben Formulars.

Erstellen Sie zwei„Adress“-Objektevom Typ„Schnittstellen-IP“ und„Host“, geben Sie dem Objekt einen eindeutigen Namen und geben Sie in einem Objekt die Adresse Ihrer externen Schnittstelle und in der zweiten Regel die lokale Adresse Ihres NSA-Geräts an.

Port-Mapping-Typ (Erläuterung)

any– dergesamteDatenverkehr wird weitergeleitet

Dienst – Wählen Sieein Dienstobjekt (ein Protokoll)aus

Service-Gruppe – Wählen Sieein Service-Gruppen-Objekt (eine Gruppe von Protokollen)

Port – Wählen Sie einen Portaus , der weitergeleitet werden soll

Ports – Wählen Sie einen Portbereichaus , der weitergeleitet werden soll

  • Externe und interne IP-Adresse: Wählen Sie die zuvor erstellten Objekte aus

  • Port-Mapping-Typ: Geben Sie „Port“ an

  • Protokolltyp auf „beliebig“

  • Externe und interne Ports sind in unserem Beispiel identisch

 

Hinweis:

  • Der externe Port ist der Port, über den der externe Benutzer auf die Firewall im WAN zugreift
  • Der interne Port ist der Port, der intern im LAN weitergeleitet wird
  • Dies kann sowohl eine 1:1-Zuordnung (Port 443 zu 443) als auch beispielsweise Port 4433 zu 443 sein

NAT-Loopback

NAT-Loopback wird innerhalb des Netzwerks verwendet, um den internen Server über die öffentliche IP-Adresse zu erreichen. Überprüfen Sie, ob NAT-Loopback aktiviert ist, und klicken Sie auf „OK“ (damit können auch Benutzer, die mit einer beliebigen Schnittstelle verbunden sind, die NAT-Regel nutzen)

Fügen Sie eine Firewall-Regel hinzu, um NAT (Portweiterleitung) zuzulassen

Hinweis! Sie müssen den internen Port zulassen, nicht den externen Port. Denn es ist der interne Port, der an die LAN-Schnittstelle Ihrer Firewall weitergeleitet wird und zugelassen werden muss. 

  • Navigieren Sie zu 
Konfiguration > Sicherheitsrichtlinie > Richtlinienkontrolle

  • Erstellen Sie eine neue Regel, indem Sie auf die Schaltfläche „Hinzufügen“ klicken

  • Geben Sie einen Regelnamen an

  • Legen Sie im Feld „Von“„WAN“ fest

  • Legen Sie im Feld „An“ „LAN“ fest

  • Wählen Sie im Feld „Ziel“ ein zuvor erstelltes „NAS_IP “-Objekt aus

  • Dienst

Wir müssen ein Service-Objekt für Port 50000 erstellen. Klicken Sie im Fenster zur Erstellung der Sicherheitsrichtlinie oben rechts auf „Neues Objekt erstellen“.

Hinweis: Ein Objekt kann auch außerhalb eines Formulars erstellt werden. Um den Bereich mit allen Objekten zu finden, gehen Sie zu 
Konfiguration > Objekt > Dienst
  • Legen Sie im Feld „Aktion“ „Zulassen“ fest
  • Klicken Sie auf „OK“

Öffnen Sie einen Browser und geben Sie die WAN-IP Ihres USG sowie den konfigurierten Port ein. Nun befindet sich das NAS hinter dem USG und ist über Portweiterleitung erreichbar.

Beispiel für unsere WAN-IP https://[IhreWAN-IP]:50000

 

 

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
1 von 1 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.