Zyxel Firewall Network Address Translation [NAT] - Konfigurieren Sie 1:1 NAT und Many 1:1 NAT auf Zyxel Firewall USGFLEX/ATP/VPN

Network Address Translation (NAT) ist eine grundlegende Technologie in Netzwerken, die die Zuordnung von privaten IP-Adressen zu öffentlichen IP-Adressen ermöglicht. Eine spezielle Art von NAT ist 1:1 NAT, auch bekannt als statisches NAT. Bei dieser Methode wird eine einzelne private IP-Adresse auf eine einzelne öffentliche IP-Adresse abgebildet, wodurch sichergestellt wird, dass jede private Adresse ein eindeutiges, konsistentes öffentliches Gegenstück hat. Hier sind einige reale Szenarien, in denen 1:1 NAT besonders nützlich ist:

1:1-NAT verstehen: Anwendungen im Alltag

1:1 NAT, oder statisches NAT, bildet eine einzelne private IP-Adresse auf eine einzelne öffentliche IP-Adresse ab. Hier sind einige Anwendungen aus der Praxis:

1. Hosting von Servern: Web- und E-Mail-Server in privaten Netzen benötigen öffentlichen Zugang. 1:1 NAT ordnet private IPs den öffentlichen IPs zu und gewährleistet so einen nahtlosen Zugang.
2. Fernzugriff: Mitarbeiter können auf interne Ressourcen wie Remote Desktop und VPN-Server über öffentliche IPs zugreifen, die ihren privaten Gegenstücken zugeordnet sind.
3. DMZ-Konfiguration: Nach außen gerichtete Dienste in DMZs nutzen 1:1-NAT für den öffentlichen Zugang und schützen gleichzeitig interne Netzwerke.
4. Netzwerk-Migrationen: Während der Umstellung auf ein anderes IP-Schema bleibt die Zugänglichkeit der Dienste durch 1:1 NAT erhalten.
5. Gerätesicherheit: Kritische Geräte nutzen 1:1 NAT für sicheren Management-Zugriff, ohne private IPs preiszugeben.

NAT 1:1 konfigurieren

Der virtuelle Server wird am häufigsten verwendet und kommt zum Einsatz, wenn Sie den internen Server für ein öffentliches Netzwerk außerhalb des Zyxel-Geräts verfügbar machen möchten. Auf dem Video unter dem Link können Sie sehen, wie die Konfiguration auf der vorherigen Version der Firewall durchgeführt wird. Die Schnittstelle ist anders, aber der Konfigurationsprozess hat sich nicht wesentlich geändert.

• Melden Sie sich bei der WebGui des Geräts an
• Navigieren Sie zu

Configuration > Network > NAT 

• Erstellen Sie eine neue Regel, indem Sie auf die Schaltfläche "Hinzufügen" klicken
• Geben Sie den Namen der Regel an
• Wählen Sie den Port-Mapping-Typ "NAT 1:1".

Mapping-Regel für 1:1-NAT

Eingehende Schnittstelle - die Schnittstelle, von der der Verkehr kommt

Quell-IP - Von wo aus sich die Benutzer verbinden (z. B. vertrauenswürdige IPs) Externe IP - die IP-Adresse Ihres WAN / ausgehende Schnittstelle Ihrer Firewall Interne IP - die IP-Adresse des Servers, an den Sie die Ports weiterleiten möchten

• Wählen Sie für die eingehende Schnittstelle "wan".
• Quell-IP auf "any"

Es ist möglich, die externen und internen IP-Adressen manuell festzulegen. Wir empfehlen jedoch dringend, zu diesem Zweck Objekte zu verwenden. Außerdem wird dieser Ansatz bei der Erstellung zusätzlicher Sicherheitsrichtlinien erforderlich sein. Die Erstellung von Objekten für NAT-Regeln vereinfacht die Verwaltung, verbessert die Lesbarkeit, reduziert die Komplexität, verbessert die Durchsetzung von Richtlinien, ermöglicht Wiederverwendung und Skalierbarkeit, vereinfacht Backups und Rollbacks und minimiert Fehler.

Um ein Objekt für die externe und interne Schnittstelle zu erstellen, wählen Sie bitte die Option "Neues Objekt erstellen", die sich in der oberen linken Ecke des gleichen Formulars befindet.

Legen Sie zwei "Address"-Objekte vom Typ"Interface IP" und "Host" an, geben Sie dem Objekt einen eindeutigen Namen und geben Sie in einem Objekt die Adresse Ihrer externen Schnittstelle und in der zweiten Regel die lokale Adresse Ihres Webservers an.

Port Mapping Typ

any - der gesamteDatenverkehr wird weitergeleitet

Service - Wählen Sie ein Service-Objekt (ein Protokoll) Service-Group - Wählen Sie ein Service-Group-Objekt (eine Gruppe von Protokollen) Port - Wählen Sie einen Port, der weitergeleitet werden soll

Ports - Wählen Sie einen Portbereich aus, der weitergeleitet werden soll.

• Externe und Interne IP, wählen Sie die zuvor erstellten Objekte

• Port-Zuordnungstyp auf "Port" festlegen

• Protokoll Typ auf "beliebig"

• Externe und interne Ports sind in unserem Beispiel gleich

Anmerkung:

• Der externe Port ist der Port, den der externe Benutzer verwendet, um die Firewall im WAN zu erreichen.
• Der interne Port ist der Port, der intern im LAN weitergeleitet wird.
• Dies kann sowohl eine 1:1-Übersetzung sein (Port 80 zu 80) als auch Port 80 zu 8080, zum Beispiel

NAT-Loopback

NAT-Loopback wird innerhalb des Netzwerks verwendet, um den internen Server über die öffentliche IP zu erreichen. Prüfen Sie, ob NAT-Loopback aktiviert ist, und klicken Sie auf OK (dadurch können Benutzer, die mit einer beliebigen Schnittstelle verbunden sind, die NAT-Regel ebenfalls verwenden)

Fügen Sie eine Firewall-Regel hinzu, um NAT 1 zu 1 zu erlauben.

• Navigieren Sie zu

Configuration > Security Policy > Policy Control 

• Erstellen Sie eine neue Regel, indem Sie auf die Schaltfläche "Hinzufügen" klicken.

• Geben Sie den Namen der Regel an.

• Legen Sie im Feld "Von" den Wert"WAN" fest.

• Legen Sie im Feld "Nach" den Wert " LAN" fest.

• Wählen Sie im Feld "Ziel" ein zuvor erstelltes "WebServer"-Objekt

• Wählen Sie Ihren bevorzugten Dienst oder Ihre Dienstgruppe. In diesem Fall ist HTTP_8080 ausgewählt.
• Setzen Sie "Aktion" auf "Zulassen".
• Klicken Sie auf die Schaltfläche OK.

Konfigurieren Sie viele 1:1 NAT

Die Funktion Many 1:1 NAT wird verwendet, um den gesamten Datenverkehr von mehreren externen IP-Adressen (öffentliche IPs) an mehrere interne IP-Adressen (private IPs) innerhalb eines bestimmten Bereichs weiterzuleiten. Es ist wichtig zu beachten, dass diese Funktion alle Ports weiterleitet; eine Portauswahl ist bei der Many 1:1 NAT-Konfiguration nicht möglich.

Hinweis! Die privaten und öffentlichen Bereiche müssen die gleiche Anzahl von IP-Adressen haben.

Erstellen Sie die NAT-Regel Many 1:1

• Melden Sie sich bei der WebGui des Geräts an
• Navigieren Sie zu

Configuration > Network > NAT 

• Erstellen Sie eine neue Regel, indem Sie auf die Schaltfläche "Hinzufügen" klicken
• Geben Sie den Namen der Regel an
• Wählen Sie den Port-Mapping-Typ "NAT 1:1".

Mapping-Regel für viele 1:1 NAT

• Eingehende Schnittstelle - die Schnittstelle, von der der Verkehr kommt (normalerweise wan1 (oder wan1_PPPoE))
• Quell-IP - Von wo aus sich die Benutzer verbinden (z. B. vertrauenswürdige IPs)
• Externes IP-Subnetz/Bereich - der Bereich der IP-Adressen Ihrer WAN-/Ausgangsschnittstelle Ihrer Firewall (nur Bereiche und Subnetze erlaubt - keine Hostobjekte)
• Internes IP-Subnetz/Bereich - Die IP-Adressen des Servers, an den Sie die öffentlichen IP-Adressen weiterleiten möchten
• Port Mapping Typ
• any - der gesamte Verkehr wird weitergeleitet (beachten Sie, dass die Funktion Many 1:1 NAT nur "ALL traffic" weiterleitet)
• NAT Loopback - NAT Loopback ermöglicht es Benutzern, sich mit den öffentlichen IPs zu verbinden, wenn sie sich hinter der Firewall befinden.

Regel zur Richtlinienkontrolle erstellen

Als letzten Schritt müssen wir eine Regel für die Richtlinienkontrolle erstellen, um den Datenverkehr zum Server durchzulassen.

Folgen Sie diesen Schritten:

Go to the Configuration > Security Policy > Policy Control

• Drücken Sie die Schaltfläche"Hinzufügen", um eine neue Regel einzufügen.
• Geben Sie einen Namen für die Regel "Policy Control" ein.
• Setzen Sie von "WAN" auf"LAN".
• Fügen Sie das IP-Adressobjekt Ihres Servers als "Ziel" ein.
• Wählen Sie den gewünschten"Dienst" oder die"Dienstgruppe". In diesem Fall wählen Sie"HTTP_8080".
• Setzen Sie"Aktion" auf"zulassen".
• Klicken Sie auf die Schaltfläche"OK", um die Regel zu speichern.