Zyxel Firewall [NAT] - hoe NAT 1 op 1 (Network Address Translation) te configureren op de firewall uit de Zyxel USG Flex H-serie.

Gemaakt - Bijgewerkt
Serhii Boiarynov
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier:Originele versie

Deze handleiding laat zien hoe u met de USG FLEX H-serie beveiligde toegang kunt configureren tot een interne server achter de USG FLEX H met behulp van Network Address Translation (NAT). Internetgebruikers kunnen deze server rechtstreeks bereiken via het openbare IP-adres en een NAT-toewijzingsregel

1:1 NAT (Network Address Translation) is een netwerktechniek waarbij één extern openbaar IP-adres direct wordt toegewezen aan één intern privé IP-adres. Deze methode verzekert compatibiliteit met bepaalde toepassingen en implementeert een nauwkeurige IP-gebaseerde toegangscontrole.

In dit artikel vind je gedetailleerde uitleg over hoe 1:1 NAT werkt en wat de voordelen ervan zijn. Voorbeelden uit de praktijk illustreren de praktische toepassingen, zoals het hosten van webservers, het mogelijk maken van remote desktop diensten, het opzetten van VPN-verbindingen en het ondersteunen van gaming servers. Elk voorbeeld toont aan hoe 1:1 NAT het netwerkbeheer kan vereenvoudigen en de beveiliging kan verbeteren door directe toegang tot interne bronnen mogelijk te maken. Of je nu een IT-professional of een netwerkbeheerder bent, dit artikel zal waardevolle inzichten verschaffen in het effectief gebruiken van 1:1 NAT in verschillende scenario's.

Belangrijkste kenmerken van 1:1 NAT:

  • Directe toewijzing: Verbindt een publiek IP met een privaat IP.
  • Specifieke gebruikssituaties: Ideaal voor situaties waar een directe link tussen een extern en intern IP nodig is.
  • Bronnetwerkadresomzetting (SNAT): Verandert het bron-IP van uitgaand verkeer naar het openbare IP.

Wanneer 1:1 NAT gebruiken met voorbeelden uit de praktijk:

  1. Hosting Servers:

    • Webserver: Als je organisatie een webserver heeft met een privaat IP van 192.168.1.10, dan kan je deze toewijzen aan een publiek IP zoals 203.0.113.10. Externe gebruikers kunnen toegang krijgen tot je website via het publieke IP, terwijl de server op het privénetwerk blijft. Externe gebruikers hebben dan toegang tot je website via het publieke IP, terwijl de server op het privénetwerk blijft.
    • Mailserver: Een mailserver met een privé IP van 192.168.1.20 kan worden toegewezen aan een publiek IP van 203.0.113.20. Hierdoor kunnen gebruikers e-mails verzenden en ontvangen via het openbare IP-adres.
    • FTP-server: Een FTP-server met een privé IP van 192.168.1.30 kan worden benaderd via een publiek IP van 203.0.113.30, waardoor externe gebruikers bestanden kunnen uploaden en downloaden.

  2. Compatibiliteit toepassingen:

    • VoIP-systeem: Sommige VoIP-systemen hebben statische, openbare IP-adressen nodig voor betrouwbare communicatie. Een VoIP-server met een privé IP van 192.168.1.40 kan bijvoorbeeld worden toegewezen aan een publiek IP van 203.0.113.40 om een soepele spraakcommunicatie te garanderen.
    • Online spelserver: Een online gameserver met een privé IP van 192.168.1.50 kan een publiek IP krijgen van 203.0.113.50 zodat gamers wereldwijd verbinding kunnen maken met behulp van een consistent IP-adres.

  3. IP-gebaseerde toegangscontrole:

    • Beveiligingscamera's: Een organisatie zou 1:1 NAT kunnen gebruiken om toegang op afstand tot beveiligingscamera's mogelijk te maken. Een camerasysteem met een privaat IP van 192.168.1.60 kan worden toegewezen aan een publiek IP van 203.0.113.60, waardoor toezicht op afstand mogelijk is terwijl specifieke toegangsregels worden toegepast.
    • Toegangssystemen voor gebouwen: Voor systemen die de toegang tot gebouwen controleren, zoals kaartlezers, kan een apparaat met een privé IP van 192.168.1.70 worden toegewezen aan een publiek IP van 203.0.113.70. Hierdoor kunnen beheerders de toegang op afstand beheren met behoud van een veilig toegangsbeleid.

Samengevat is 1:1 NAT nuttig om externe publieke IP's rechtstreeks toe te wijzen aan interne private IP's, om compatibiliteit te verzekeren voor bepaalde toepassingen en om IP-gebaseerde toegangscontrole te implementeren. Deze voorbeelden uit de praktijk tonen aan hoe verschillende servers en systemen voordeel kunnen halen uit 1:1 NAT.

In dit voorbeeld configureren we toegang tot Mail Server vanaf het WAN met behulp van Public IP

De NAT instellen op de USG FLEX H
dyn_repppppppp_0

Vervolgens kunt u alle verplichte velden invullen.

  • NAT-regel inschakelen
  • Geef een naam die de essentie van de regel weergeeft
  • Selecteer het poorttoewijzingstype op "1:1 NAT".
  • Inkomende interface naar WAN
  • Bron IP naar Elke
  • Extern IP - gebruik uw extern IP
  • Intern IP - specificeer het IP-adres waartoe toegang vereist is
  • Poorttoewijzingstype - dit hangt af van wat je aan het doen bent (Any - al het verkeer wordt doorgestuurd, Service - selecteer een serviceobject (een protocol), Service-Group - selecteer een service-groepobject (een groep protocollen), Port- selecteer een poort die moet worden doorgestuurd, Ports- selecteer een poortbereik dat moet worden doorgestuurd)
  • NAT-lusback inschakelen
  • Alle wijzigingen toepassen

NAT loopback wordt binnen het netwerk gebruikt om de interne server te bereiken via het publieke IP. Controleer of NAT loopback is ingeschakeld en klik op OK (hiermee kunnen gebruikers die op een willekeurige interface zijn aangesloten ook de NAT-regel gebruiken)

Het beveiligingsbeleid instellen op de USG FLEX H

In dit voorbeeld configureren we de toegang tot onze webserver vanaf het WAN

Security Policy > Policy Control and create a new rule by clicking on the "Add" button

Vervolgens kunt u alle verplichte velden invullen.

  • Beleid inschakelen
  • Geef een naam die de essentie van de regel weergeeft
  • Van - WAN
  • Naar - LAN
  • Bron - Om het even welk
  • Bestemming - LAN-subnet waar je server zich bevindt (LAN_SUBNET_GE3 in dit voorbeeld) of selecteerhet object dat in de vorige stap is gemaakt
  • Dienst - HTTPS
  • Gebruiker - Elke
  • Actie - Toestaan
  • Alle wijzigingen toepassen

Problemen oplossen met 1:1 NAT-configuratie

  • NAT-regels controleren: Controleer tweemaal of de 1:1 NAT regels correct zijn geconfigureerd en zorg ervoor dat het interne IP adres van uw mailserver correct is toegewezen aan het juiste publieke IP adres.

  • Firewall Regels: Zorg ervoor dat de firewall regels zijn ingesteld om verkeer toe te staan op de benodigde poorten (bijv. poort 443 voor HTTPS).

  • Logboeken en diagnostiek: Controleer regelmatig de firewall logs en gebruik diagnostische tools om de verkeersstroom te controleren. Dit kan helpen om problemen snel te identificeren en op te lossen.

  • Zorg ervoor dat alle publieke IP-adressen correct worden gerouteerd. Om dit te controleren wijst u elk openbaar IP-adres afzonderlijk toe aan de WAN-poort van de USG FLEX H-serie.

  • Test de internettoegang via elk openbaar IP-adres om te controleren of het correct werkt.

  • Neem contact op met uw ISP om te controleren of de routering voor uw openbare IP-adressen correct is geconfigureerd en actief is.

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 0 van 0
Delen