Network Address Translation (NAT) / Port Address Translation (PAT)

Das erste durchlaufene Subsystem beim IPv4-Zugriff aus dem WAN ist die Network Address Translation (NAT).

Hier wird die Anfrage an die offizielle IPv4-Adresse der be.IP™ (die der WAN-Verbindung) umgesetzt und an die gewünschte IPv4-Adresse im LAN (Exposed Host) oder an einen Server in einer speziellen DMZ (De-Militarized Zone, abgetrennte und mittels zusätzlicher Firewallregeln überwachte Schnittstelle) weitergeleitet. In unserem Beispiel ist das Ziel der Umsetzung in dem LAN, das an br0 (IPv4-Adresse 192.168.2.254) angeschlossen ist. Deswegen wird die Bezeichnung „Exposed Host“ verwendet.

Gehen Sie in das Menü Netzwerk->NAT->NAT-Konfiguration->Neu.

Netzwerk->NAT->NAT-Konfiguration->Neu

Gehen Sie folgendermaßen vor:

  1. Geben Sie eine Beschreibung ein, z. B. All_to_Firewall .

  2. Wählen Sie eine Schnittstelle aus, z. B. WAN_GERMANY - TELEKOM BUSINESS .

  3. Belassen Sie die Einstellung Art des Datenverkehrs = eingehend (Ziel-NAT) .

  4. Belassen Sie den Dienst als Benutzerdefiniert .

  5. Belassen Sie das Protokoll als Beliebig .

  6. Geben Sie bei der Option Neue Ziel-IP-Adresse/Netzmaske = Host und die IPv4-Adresse 192.168.2.254 ein.

    Durch diese Regel wird jeglicher auf der PPPoE-WAN-Schnittstelle ankommender IPv4-Verkehr auf die IP-Adresse 192.168.2.254 weitergeleitet.

  7. Bestätigen Sie Ihre Einstellungen mit OK.

Nun müssen noch für den ausgehenden Verkehr bei sensitiven Diensten die ausgehenden Quellports eingestellt werden. Dies ist z. B. bei einigen Herstellern (LANCOM, Sophos UTM, …) für den Aufbau der Phase 1 (IKE) einer IPSec-Verbindung notwendig. Bei einer be.IP™ oder einem Gerät der bintec elmeg GmbH ist dieser Schritt für IPSec nicht nötig.

Gehen Sie in das Menü Netzwerk->NAT->NAT-Konfiguration->Neu.

Netzwerk->NAT->NAT-Konfiguration->Neu

Gehen Sie folgendermaßen vor:

  1. Geben Sie eine Beschreibung ein, z. B. IKE_Sourceport .

  2. Wählen Sie eine Schnittstelle aus, z. B. WAN_GERMANY - TELEKOM BUSINESS .

  3. Wählen Sie die Einstellung Art des Datenverkehrs = ausgehend (Quell-NAT) aus.

  4. Für die NAT-Methode wählen Sie symmetrisch aus.

  5. Belassen Sie den Dienst als Benutzerdefiniert .

  6. Wählen Sie unter Protokoll UDP .

  7. Wählen Sie Original Quell-Port/Bereich = Port angeben und geben Sie 500 ein.

  8. Wählen Sie Ziel-Port/Bereich = Port angeben und geben Sie 500 ein.

  9. Die als Neue Quell-IP-Adresse/Netzmaske angegebene IP-Adresse 0.0.0.0 dient als Platzhalter für die dynamisch zugewiesene IP-Adresse der WAN-Schnittstelle Sollte eine „feste“ offizielle IP-Adresse vorhanden sein, kann diese hier eingetragen werden.

  10. Unter Neuer Quell-Port aktivieren Sie Original .

  11. Bestätigen Sie Ihre Einstellungen mit OK.

Für weitere Dienste, die eine Beibehaltung des Quell-Port benötigen, verfahren Sie bitte analog zum obigen Beispiel. Wählen Sie das entsprechende Protokoll aus, und geben Sie den Port ein.

Copyright© Version 01/2020 bintec elmeg GmbH