Zyxel Firewall NAT - hoe configureer je 1-op-1 NAT (Network Address Translation) op de Zyxel USG Flex H-serie firewall

Gemaakt - Bijgewerkt
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we machinevertaling gebruiken om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig is vertaald. Als u vragen of onduidelijkheden heeft over de juistheid van de informatie in de vertaalde versie, raadpleeg dan hier het originele artikel:Originele versie

In deze handleiding wordt uitgelegd hoe u de USG FLEX H-serie kunt gebruiken om veilige toegang tot een interne server achter de USG FLEX H te configureren met behulp van Network Address Translation (NAT). Internetgebruikers kunnen deze server rechtstreeks bereiken via het openbare IP-adres, en een NAT-toewijzingsregel

1:1 NAT (Network Address Translation) is een netwerktechniek die één extern openbaar IP-adres direct koppelt aan één intern privé-IP-adres. Deze methode zorgt voor compatibiliteit met bepaalde applicaties en implementeert nauwkeurige, op IP gebaseerde toegangscontrole.

In dit artikel vindt u gedetailleerde uitleg over hoe 1:1 NAT werkt en wat de voordelen ervan zijn. Praktijkvoorbeelden illustreren de praktische toepassingen, zoals het hosten van webservers, het inschakelen van Remote Desktop Services, het opzetten van VPN-verbindingen en het ondersteunen van gamingservers. Elk voorbeeld laat zien hoe 1:1 NAT het netwerkbeheer kan vereenvoudigen en de beveiliging kan verbeteren door directe toegang tot interne bronnen mogelijk te maken. Of u nu een IT-professional of een netwerkbeheerder bent, dit artikel biedt waardevolle inzichten in het effectief gebruik van 1:1 NAT in verschillende scenario's.

Belangrijkste kenmerken van 1:1 NAT:

  • Directe koppeling: koppelt een openbaar IP-adres aan een privé-IP-adres.
  • Specifieke gebruikssituaties: Ideaal voor situaties waarin een directe koppeling tussen een extern en intern IP-adres nodig is.
  • Source Network Address Translation (SNAT): Wijzigt het bron-IP-adres van uitgaand verkeer naar het openbare IP-adres.

Wanneer 1:1 NAT te gebruiken met praktijkvoorbeelden:

  1.  

    Hostingservers:

     

    • Webserver: Als uw organisatie een webserver heeft met een privé-IP van 192.168.1.10, kunt u deze toewijzen aan een openbaar IP-adres zoals 203.0.113.10. Externe gebruikers hebben toegang tot uw website via het openbare IP-adres, terwijl de server op het privénetwerk blijft.
    • Mailserver: Een mailserver met een privé-IP van 192.168.1.20 kan worden gekoppeld aan een openbaar IP-adres van 203.0.113.20. Hierdoor kunnen gebruikers e-mails verzenden en ontvangen via het openbare IP-adres.
    • FTP-server: Een FTP-server met een privé-IP van 192.168.1.30 is toegankelijk via een openbaar IP-adres van 203.0.113.30, waardoor externe gebruikers bestanden kunnen uploaden en downloaden.

     

  2.  

    Compatibiliteit van applicaties:

     

    • VoIP-systeem: Sommige VoIP-systemen vereisen statische, openbare IP-adressen voor betrouwbare communicatie. Zo kan een VoIP-server met een privé-IP van 192.168.1.40 worden gekoppeld aan een openbaar IP-adres van 203.0.113.40 om soepele spraakcommunicatie te garanderen.
    • Online gameserver: Een online gameserver met een privé-IP van 192.168.1.50 kan een openbaar IP-adres van 203.0.113.50 krijgen, zodat gamers wereldwijd verbinding kunnen maken via een consistent IP-adres.

     

  3.  

    Toegangscontrole op basis van IP:

     

    • Beveiligingscamera's: Een organisatie kan 1:1 NAT gebruiken om externe toegang tot beveiligingscamera's mogelijk te maken. Een camerasysteem met een privé-IP van 192.168.1.60 kan worden toegewezen aan een openbaar IP-adres van 203.0.113.60, waardoor bewaking op afstand mogelijk wordt terwijl specifieke toegangsregels worden toegepast.
    • Toegangssystemen voor gebouwen: Voor systemen die de toegang tot gebouwen regelen, zoals kaartlezers, kan een apparaat met een privé-IP van 192.168.1.70 worden gekoppeld aan een openbaar IP-adres van 203.0.113.70. Hierdoor kunnen beheerders de toegang op afstand beheren met behoud van een veilig toegangsbeleid.

     

Samenvattend is 1:1 NAT nuttig voor het direct toewijzen van externe openbare IP-adressen aan interne privé-IP-adressen, het waarborgen van compatibiliteit voor bepaalde toepassingen en het implementeren van op IP gebaseerde toegangscontrole. Deze praktijkvoorbeelden laten zien hoe verschillende servers en systemen kunnen profiteren van 1:1 NAT.

In dit voorbeeld configureren we de toegang tot de mailserver vanaf het WAN met behulp van een openbaar IP-adres

Stel de NAT in op de USG FLEX H- 
 Configuratie > Netwerk > NAT en maak een nieuwe regel aan door op de knop "Toevoegen" te klikken

Vul vervolgens alle verplichte velden in.

  • Schakel de NAT-regel in
  • Geef een naam die de essentie van de regel weergeeft
  • Stel het poorttoewijzingstype in op "1:1 NAT"
  • Inkomende interface naar WAN
  • Bron-IP naar Any
  • Extern IP - gebruik uw externe IP
  • Interne IP - geef het IP-adres op waartoe toegang vereist is
  • Type poorttoewijzing - dit hangt af van wat u doet (Any - al het verkeer wordt doorgestuurd, Service - selecteer een service-object (een protocol), Service-Group - selecteer een service-group-object (een groep protocollen), Port - selecteer een poort die moet worden doorgestuurd, Ports - selecteer een poortbereik dat moet worden doorgestuurd) 
  • NAT-loopback inschakelen
  • Alle wijzigingen toepassen

NAT-loopback wordt binnen het netwerk gebruikt om de interne server te bereiken via het openbare IP-adres. Controleer of NAT-loopback is ingeschakeld en klik op OK (hierdoor kunnen gebruikers die op een willekeurige interface zijn aangesloten ook de NAT-regel gebruiken)

Stel het beveiligingsbeleid in op de USG FLEX H

In dit voorbeeld configureren we de toegang tot onze webserver vanaf het WAN

Beveiligingsbeleid > Beleidscontrole en maak een nieuwe regel aan door op de knop "Toevoegen" te klikken

Vul vervolgens alle verplichte velden in.

  • Beleid inschakelen
  • Geef een naam die de essentie van de regel weergeeft
  • Van - WAN
  • Van - LAN
  • Bron - Alle
  • Bestemming - LAN-subnet waar uw server zich bevindt (in dit voorbeeld LAN_SUBNET_GE3) ofselecteer het object dat in de vorige stap is aangemaakt
  • Service - HTTPS
  • Gebruiker - Alle
  • Actie - toestaan
  • Alle wijzigingen toepassen

 

Problemen met 1:1 NAT-configuratie oplossen

  • Controleer de NAT-regels: Controleer nogmaals of de 1:1 NAT-regels correct zijn geconfigureerd en zorg ervoor dat het interne IP-adres van uw mailserver correct is toegewezen aan het juiste openbare IP-adres.

  • Firewallregels: Zorg ervoor dat de firewallregels zo zijn ingesteld dat verkeer op de benodigde poorten wordt toegestaan (bijv. poort 443 voor HTTPS).

  • Logs en diagnostiek: Controleer regelmatig de firewall-logs en gebruik diagnostische tools om de verkeersstroom te controleren. Dit kan helpen om problemen snel te identificeren en op te lossen.

  • Zorg ervoor dat alle openbare IP-adressen correct worden gerouteerd. Om dit te controleren, wijst u elk openbaar IP-adres afzonderlijk toe aan de USG FLEX H-serie WAN-poort.

  • Test de internettoegang met elk openbaar IP-adres om te controleren of deze correct functioneert.

  • Neem contact op met uw internetprovider om te controleren of de routering voor uw openbare IP-adressen correct is geconfigureerd en actief is.

Artikelen in deze sectie

Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 0 van 0
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.