Beschreibung:
Es kann in Einzelfällen vorkommen, dass ein Port-Forwarding nicht an dem Standort eingerichtet werden kann, an dem auch die Netzwerk-Ressource erreicht werden soll, etwa wenn keine öffentliche IPv4-Adresse zur Verfügung steht (z.B. Dual Stack Lite).
In solch einem Fall kann das Port-Forwarding über einen VPN-Tunnel realisiert werden, wenn eine VPN-Verbindung zu einem Standort mit einer öffentlichen IPv4-Adresse besteht.
In diesem Dokument wird beschrieben wie ein Port-Forwarding über einen VPN-Tunnel realisiert werden kann.
Beachten Sie, dass bei Verwendung von Port-Forwarding unverschlüsselte Informationen von jedem im Klartext mitgelesen werden können. LANCOM Systems empfiehlt bei der Übertragung wichtiger Informationen eine verschlüsselte VPN-Verbindung zu verwenden.



Voraussetzungen:
  • Bereits eingerichtete und funktionsfähige Internet-Verbindungen in der Zentrale und der Filiale
  • Öffentliche IPv4-Adresse in der Zentrale



Szenario:
  • Die Zentrale hat einen Internet-Anschluss mit fester IPv4-Adresse
  • Die Filiale hat einen Internet-Anschluss mit einer nicht öffentlichen IPv4-Adresse (z.B. Dual-Stack Lite)
  • Die Zentrale und die Filiale sind per VPN verbunden
  • Ein Außendienstmitarbeiter soll auf einen Server in der Filiale per Port-Forwarding zugreifen





Vorgehensweise:
1. Konfiguration des Port-Forwarding auf dem Router in der Zentrale:
1.1 Öffnen Sie die Konfiguration des Routers in der Zentrale und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.
1.2 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Informationen:
  • Anfangs-Port: Tragen Sie den Port 443 ein
  • End-Port: Tragen Sie den Port 443 ein
  • Gegenstelle: Wählen Sie aus dem Dropdown-Menü die Internet-Gegenstelle aus, damit das Port-Forwarding nur darüber funktioniert
  • Intranet-Adresse: Hinterlegen Sie die IP-Adresse des Servers im Netzwerk der Filiale (192.168.0.100)
  • Map-Port: Den Map-Port belassen Sie auf 0, da nicht umgemappt werden muss
  • Protokoll: Wählen Sie als Protokoll TCP aus, da HTTPS über TCP übertragen wird

Weitere Informationen zu Port-Forwarding finden Sie in diesem Knowledge Base Artikel.

1.3 Schreiben Sie die Konfiguration in den Router zurück. Die Konfiguration der Zentrale ist damit abgeschlossen.

2. Konfiguration der VPN-Route auf dem Router in der Filiale:
Da die Kommunikation mit einem Teilnehmer im Internet erfolgt, muss für die VPN-Verbindung eine Default-Route erstellt werden.
2.1 Öffnen Sie die Konfiguration des Routers in der Filiale und wechseln in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.
2.2 Markieren Sie die Default-Route der Internet-Verbindung und klicken auf Kopieren.
2.3 Ändern Sie folgende Parameter ab:
  • Routing-Tag: Hinterlegen Sie ein von 0 abweichendes Routing-Tag, welches noch nicht anderweitig vergeben wurde.
  • Router: Wählen Sie im Dropdown-Menü die VPN-Gegenstelle zur Zentrale aus
  • IP-Maskierung: Setzen Sie den Radio-Button auf IP-Maskierung abgeschaltet

Das Routing-Tag darf keinem unter IPv4 → Allgemein → IP-Netzwerke hinterlegten Schnittstellen-Tag entsprechen, da ansonsten die gesamte Kommunikation dieses Netzwerks über den VPN-Tunnel erfolgt.

2.4 Schreiben Sie die Konfiguration in den Router zurück.