Beschreibung:
Ab LCOS-Version 10.20 ist es möglich, WAN Policy-Based NAT zu verwenden.
WAN Policy-Based NAT ermöglicht die Adressumsetzung (Maskierung) von Verbindungen basierend auf Firewall-Regeln. Es kann konfiguriert werden, hinter welcher vom Provider zugewiesenen WAN-IPv4-Adresse interne IP-Adressen umgesetzt (maskiert) werden sollen.
Dies Funktion ist ideal für Szenarien, in denen der Provider mehrere statische IPv4-Adressen zugewiesen hat, z. B. für den Betrieb von Mailservern und Webservern mit verschiedenen WAN-Adressen.


Voraussetzungen:


Szenario:
  • Der Internetprovider stellt WAN-seitig das Subnetz 87.65.33.0/29 zur Verfügung.
  • Die Adresse 87.65.33.0 ist die Netzwerkadresse und die 87.65.33.7 ist in diesem Subnetz die Broadcast-Adresse, daraus ergeben sich sechs nutzbare öffentliche Adressen, wovon eine dem Gateway vorbehalten ist (Provider-Gerät).

    Das Gateway hat in diesem Beispiel die öffentliche IP-Adresse 87.65.33.1. Die öffentlichen IP-Adressen 87.65.33.2 - 87.65.33.6 können frei verwendet werden. Für diesen Adressbereich wurde eine IPoE Gegenstelle definiert, die Maskiert wird.
  • Es sind drei lokale Netze vorhanden. Das lokale Netzwerk INTRANET soll über die IP-Adresse 87.65.33.2 maskiert werden, das lokale Netzwerk PUBLIC soll mit der 87.65.33.3 maskiert werden und das lokale Netzwerk FON mit der 87.65.33.4.
  • Die "Rückwärtsrichtung" der Maskierung bzw. Erreichbarkeit eines Servers von außen, wird über einen oder mehrere Portforwarding-Einträge realisiert, die nicht Teil dieses Beispiels sind.



Vorgehensweise:
1. Legen Sie unter Firewall/QoS → IPv4-Regeln → Aktions-Objekte für jede der drei öffentlichen IP-Adressen ein neues Firewall-Aktionsobjekt an.
2. Setzen Sie in der Registerkarte Aktionen die Paket-Aktion auf Übertragen und dann Policy-basiertes NAT auf die jeweils öffentliche IP-Adresse.
    • Der Parameter muss als feste IP-Adresse eingetragen werden. Dynamische IP-Adressen werden nicht unterstützt.
    • NAT ist nur möglich, wenn eine WAN-Schnittstelle beteiligt ist. NAT zwischen zwei LAN-Schnittstellen wird nicht unterstützt.

3. Legen Sie unter Firewall/QoS → IPv4-Regeln → Stations-Objekte für jedes der drei lokalen Netzwerke ein neues Stationsobjekt an, das für den jeweiligen IP-Adressbereich definiert wird.
4. Erstellen Sie dann für jedes lokale Netzwerk und die zugehörige öffentliche IP-Adresse eine eigene Firewall-Regel.
Exemplarisch wird dies in der folgenden Abbildung für das lokale Netzwerk INTRANET und die öffentliche IP-Adresse 87.65.33.2 gezeigt.
5. Die konfigurierten Firewall-Regeln müssen dann folgendermaßen aussehen:
6. Schreiben Sie die Konfiguration in den LANCOM-Router zurück.