Quelle anzeigen

Beschreibung:

In bestimmten Szenarien ist es erforderlich, dass Geräte im lokalen Netzwerk die öffentliche IP-Adresse der Internet-Verbindung aufrufen (etwa per DNS-Name) und per Portforwarding auf einen Server im lokalen Netzwerk zugreifen (Hairpin-NAT bzw. NAT-Reflection).

In diesem Artikel wird beschrieben, wie Hairpin-NAT auf einer Unified Firewall eingerichtet werden kann.

Hairpin-NAT funktioniert nur im Standalone-Betrieb und mit einer Reihenschaltung. In einem Szenario mit der Layer-3 Schleife funktioniert Hairpin-NAT nicht, da der LANCOM Router die ausgehenden Pakete direkt auf sein WAN-Interface leitet!

Voraussetzungen:

LANCOM R&S®Unified Firewall ab LCOS FX 10.3
Szenario mit einer Unified Firewall im Stand-Alone Betrieb oder mit einer Reihenschaltung
Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
Internet-Verbindung mit fester öffentlicher IPv4-Adresse
Bereits eingerichtetes und funktionsfähiges Portforwarding auf der Unified Firewall
Web-Browser zur Konfiguration der Unified Firewall.

Es werden folgende Browser unterstützt:
- Google Chrome
- Chromium
- Mozilla Firefox

Szenario:

1. Die Unified Firewall ist direkt mit dem Internet verbunden

Die Unified Firewall baut die Internet-Verbindung auf. Diese hat die öffentliche IP-Adresse 81.81.81.1. Die öffentliche IP-Adresse ist mit dem DNS-Namen server.lancom.de verknüpft.
Ein Web-Server im lokalen Netzwerk der Unified Firewall mit der IP-Adresse 192.168.1.100 ist aus dem Internet per HTTPS erreichbar.
Ein Computer im lokalen Netzwerk mit der IP-Adresse 192.168.1.55 soll über den DNS-Namen server.lancom.de auf den Web-Server im lokalen Netzwerk zugreifen.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > Szenario1.png

2. Ein Router vor der Unified Firewall baut die Internet-Verbindung auf

Ein vorgeschalteter Router vor der Unified Firewall baut die Internet-Verbindung auf. Dieser hat die öffentliche IP-Adresse 81.81.81.1. Die öffentliche IP-Adresse ist mit dem DNS-Namen server.lancom.de verknüpft.
Die Unified Firewall und der vorgeschaltete Router sind beide Mitglied im Transfer-Netzwerk 192.168.0.0/24. Die Unified Firewall hat dort die IP-Adresse 192.168.0.254.
Ein Web-Server im lokalen Netzwerk der Unified Firewall mit der IP-Adresse 192.168.1.100 ist aus dem Internet per HTTPS erreichbar.
Ein Computer im lokalen Netzwerk mit der IP-Adresse 192.168.1.55 soll über den DNS-Namen server.lancom.de auf den Web-Server im lokalen Netzwerk zugreifen.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > Szenario2.png

Vorgehensweise:

Die Vorgehensweise ist in beiden Szenarien gleich.

1. Einrichtung des Hairpin-NAT:

1.1 Öffnen Sie die Konfiguration der Unified Firewall im Browser.

Klicken Sie auf auf dem Desktop auf das Netzwerk-Objekt (in diesem Beispiel das Netzwerk INTRANET). wählen im Kontextmenü das Verbindungswerkzeug aus und klicken auf das Host-Objekt, für welches das Portforwarding eingerichtet ist (in diesem Beispiel das Objekt Web-Server).

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > 1.png

1.2 Wählen Sie das Protokoll aus, mit dem der Computer im lokalen Netzwerk auf den Web-Server zugreifen soll.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > 2.png

1.3 Klicken Sie bei Optionen auf Keine, um weitere Einstellungen vorzunehmen.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > 3.png

1.4 Passen Sie folgende Parameter an:

Wählen Sie bei NAT / Masquerading die Option Links-nach-rechts aus.
Aktivieren Sie die Option DMZ / Port-Weiterleitung für diesen Dienst aktivieren.
Tragen Sie bei Externe IP-Adresse die WAN-IP-Adresse der Unified Firewall an (in diesem Beispiel die IP-Adresse 81.81.81.1).

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > 4.png

1.5 Klicken Sie auf Speichern.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > 5.png

1.6 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > 6.png

1.7 Die Konfiguration des Hairpin-NAT ist damit abgeschlossen.

2. Ausnahme-Regel für die Protokolle HTTP und HTTPS erstellen (nur bei Verwendung des HTTP-Proxy erforderlich)

Da bei Verwendung des HTTP-Proxy die ausgehenden Pakete durch den Proxy gefiltert werden, funktioniert das Hairpin-NAT nicht. Es muss daher eine Ausnahme-Regel erstellt werden, die den Datenverkehr aus dem lokalen Netzwerk auf die öffentliche IPv4-Adresse am Proxy vorbeileitet.

Dies gilt ebenso für den Mail-Proxy und auch den VoIP-Proxy. Es wäre allerdings ungewöhnlich die SIP-Registrierung aus dem lokalen Netzwerk über ein Portforwarding vorzunehmen.

2.1 Klicken Sie auf das Symbol zum Erstellen eines Host-Objektes.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > WA1.png

2.2 Passen Sie folgende Parameter an und klicken auf Erstellen:

Name: Vergeben Sie einen aussagekräftigen Namen.
Verbunden über: Wählen Sie im Dropdownmenü das Internet-Objekt aus.
IP-Adresse: Geben Sie die öffentliche IPv4-Adresse Ihrer Internet-Verbindung an. Diese muss nicht direkt an der Unified Firewall anliegen, sondern kann auch an einem vorgeschalteten Router anliegen.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > WA2.png

2.3 Klicken Sie auf dem Desktop auf das Netzwerk-Objekt (in diesem Beispiel INTRANET), wählen das Verbindungswerkzeug aus und klicken auf das in Schritt 2.2 erstellte Host-Objekt.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > WA3.png

2.4 Fügen Sie die Protokolle HTTP und HTTPS hinzu.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > WA4.png

2.5 Klicken Sie für die Protokolle HTTP und HTTPS jeweils einmal auf das "Pfeil-Symbol", damit der Pfeil nach rechts zeigt.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > WA5.png

2.6 Klicken Sie für HTTP und HTTPS unter Optionen jeweils auf Keine, um weitere Einstellungen anzupassen.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > WA6.png

2.7 Wählen Sie für HTTP und HTTPS bei NAT / Masquerading jeweils die Option Links-nach-rechts aus und klicken auf OK.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > WA7.png

2.8 Klicken Sie auf Erstellen, um die Regeln anzulegen.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > WA9.png

2.9 Klicken Sie auf Aktivieren, damit die vorgenommenen Einstellungen von der Unified Firewall umgesetzt werden.

LANCOM Support Knowledge Base > Hairpin-NAT auf einer LANCOM R&S®Unified Firewall einrichten > 6.png