Beschreibung: Es kann in Einzelfällen vorkommen, dass ein Port-Forwarding nicht an dem Standort eingerichtet werden kann, an dem auch die Netzwerk-Ressource erreicht werden soll, etwa wenn keine öffentliche IPv4-Adresse zur Verfügung steht (z.B. Dual Stack Lite). In solch einem Fall kann das Port-Forwarding über einen VPN-Tunnel realisiert werden, wenn eine VPN-Verbindung zu einem Standort mit einer öffentlichen IPv4-Adresse besteht. In diesem Dokument wird beschrieben wie ein Port-Forwarding über einen VPN-Tunnel realisiert werden kann. Beachten Sie, dass bei Verwendung von Port-Forwarding unverschlüsselte Informationen von jedem im Klartext mitgelesen werden können. LANCOM Systems empfiehlt bei der Übertragung wichtiger Informationen eine verschlüsselte VPN-Verbindung zu verwenden.Voraussetzungen:- Bereits eingerichtete und funktionsfähige Internet-Verbindungen in der Zentrale und der Filiale
- Öffentliche IPv4-Adresse in der Zentrale
Szenario:- Die Zentrale hat einen Internet-Anschluss mit fester IPv4-Adresse
- Die Filiale hat einen Internet-Anschluss mit einer nicht öffentlichen IPv4-Adresse (z.B. Dual-Stack Lite)
- Die Zentrale und die Filiale sind per VPN verbunden
- Ein Außendienstmitarbeiter soll auf einen Server in der Filiale per Port-Forwarding zugreifen
Vorgehensweise: 1. Konfiguration des Port-Forwarding auf dem Router in der Zentrale: 1.1 Öffnen Sie die Konfiguration des Routers in der Zentrale und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle. 1.2 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Informationen: - Anfangs-Port: Tragen Sie den Port 443 ein
- End-Port: Tragen Sie den Port 443 ein
- Gegenstelle: Wählen Sie aus dem Dropdown-Menü die Internet-Gegenstelle aus, damit das Port-Forwarding nur darüber funktioniert
- Intranet-Adresse: Hinterlegen Sie die IP-Adresse des Servers im Netzwerk der Filiale (192.168.0.100)
- Map-Port: Den Map-Port belassen Sie auf 0, da nicht umgemappt werden muss
- Protokoll: Wählen Sie als Protokoll TCP aus, da HTTPS über TCP übertragen wird
1.3 Schreiben Sie die Konfiguration in den Router zurück. Die Konfiguration der Zentrale ist damit abgeschlossen.
2. Konfiguration der VPN-Route auf dem Router in der Filiale: Da die Kommunikation mit einem Teilnehmer im Internet erfolgt, muss für die VPN-Verbindung eine Default-Route erstellt werden. 2.1 Öffnen Sie die Konfiguration des Routers in der Filiale und wechseln in das Menü IP-Router → Routing → IPv4-Routing-Tabelle. 2.2 Markieren Sie die Default-Route der Internet-Verbindung und klicken auf Kopieren. 2.3 Ändern Sie folgende Parameter ab: - Routing-Tag: Hinterlegen Sie ein von 0 abweichendes Routing-Tag, welches noch nicht anderweitig vergeben wurde.
- Router: Wählen Sie im Dropdown-Menü die VPN-Gegenstelle zur Zentrale aus
- IP-Maskierung: Setzen Sie den Radio-Button auf IP-Maskierung abgeschaltet
Hinweis |
---|
Das Routing-Tag darf keinem unter IPv4 → Allgemein → IP-Netzwerke hinterlegten Schnittstellen-Tag entsprechen, da ansonsten die gesamte Kommunikation dieses Netzwerks über den VPN-Tunnel erfolgt. |
2.4 Schreiben Sie die Konfiguration in den Router zurück. |