NAT - und Firewall-Einstellungen am Beispiel eines Exposed Host zum IPv4-Zugriff aus dem WAN



Ähnliche Dokumente
Nutzung einer Digitalisierungsbox SMART/Premium als VDSL-Modem

Nutzung einer Digitalisierungsbox Standard als VDSL-Modem

NAT Network Adress Translation

Einrichtung eines Gäste wlans auf einer digitalisierungsbox. Basierend auf der Grundeinrichtung durch den Schnellstartassistenten

Benutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. be.ip. Workshops. Copyright Version 04/2016 bintec elmeg GmbH

Port-Weiterleitung einrichten

Anbindung einem ALL-VPN20

Benutzerhandbuch Digitalisierungsbox. Einrichtungsbeispiele. Copyright Version 3.0, 2016 bintec elmeg GmbH

Benutzerhandbuch. Workshops (Auszug) Sicherheits- und Administrations-Workshops. Benutzerhandbuch. bintec elmeg GmbH

Benutzerhandbuch Digitalisierungsbox. Digitalisierungsbox LTE Backup (LTE 3302) Copyright Version 5.1, 2018 bintec elmeg GmbH

Stefan Dahler. 1. Konfiguration von Extended Routing. 1.1 Einleitung

Anbindung eines ALL-VPN20

Gleichzeitige Nutzung eines Telekom DSL-Anschlusses sowie eines Glasfaser-Anschlusses der Deutschen Glasfaser mit einem Lancom Router 1783VA

IRF2000 Application Note Port - Weiterleitung

Version Deutsch In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IACBOX beschrieben.

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Firewall für LAN und DMZ einstellen

Konfigurationsanleitung L2TP Verbindung zwischen 2 Gateways Funkwerk / Bintec. Copyright 5. September 2008 Neo-One Stefan Dahler Version 1.

Technische Richtlinie Anschaltvarianten engigaflex+ mit Sprachoption

Inhalt. Konfigurationsanleitung AVM FRITZ!Box für htp Net Business Direct. Sehr geehrte Kundin, sehr geehrter Kunde,

STUN/TURN Server Topologien. Best Practice

Port-Weiterleitung einrichten

Technische Richtlinie Sprachoption engiga Flex +

Konfigurationsbeispiel ZyWALL USG

Firewall für LAN und DMZ einstellen

PPPoE Passthrough. Dokument-ID PPPoE Passthrough Version 2.0. Ausgabedatum Konfigurationsanleitung. Centro Business. Swisscom (Schweiz) AG

PPPoE Passthrough. Dokument-ID PPPoE Passthrough Version 2.0. Ausgabedatum Konfigurationsanleitung. Centro Business. Swisscom (Schweiz) AG

Nutzung einer Digitalisierungsbox Standard als xdsl-modem

Virtual-LAN ZyXEL USG Firewall-Serie ab Firmware Version 4.10 Knowledge Base KB-3528 November 2014 Studerus AG

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

1.1 NAT - Anzahl der NAT Ports erhöht. 1.2 DNS - Neustart nach Erhalt von DNS- Abfragen. Read Me Systemsoftware PATCH 1

Hinweise zur Verwendung der FRITZ!Box 5490

Benutzerhandbuch be.ip. Workshops. Copyright Version 01/2017 bintec elmeg GmbH

Firewall - Techniken & Architekturen

Fixe public IP 1:1 NAT ins LAN einrichten

Technical Note. Ewon TN 1925 Ewon als Internetrouter einrichten

Stefan Dahler. 1. Internet Verbindung über DSL. 1.1 Einleitung

Lernprogramm IT-Sicherheit in Unternehmen und im Privatbereich

P793H PPP/ACT LAN 4 PRESTIGE P793H

Einwahl eines iphone über einen IPSec-VPN Tunnel. auf eine Digitalisierungsbox Standard / Premium

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Site-to-Site VPN über IPsec

Benutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. Workshops (Auszug) IP-Workshops. Copyright Version 07/2017 bintec elmeg GmbH

Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung zwischen einem LANCOM Router (ab LCOS 7.6) und dem Apple iphone Client.

1. IKEv2 zwischen bintec IPSec Client und Gateway mit Zertifikaten

Schnellstart. mdex mobile.dsl Paket (MX510)

Benutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. Workshops (Auszug) IP-Workshops. Copyright Version 10/2013 bintec elmeg GmbH

Benutzerhandbuch be.ip. Workshops. Copyright Version 03/2017 bintec elmeg GmbH

Firewall Einstellungen und weitere ggf. notwendige Grundeinstellungen für die Nutzung der Dienste der SIP-Tk-Anlage CentrexX bzw.

OpenScape Business V2. How to: Konfiguration O2 All-IP Voice SIP. OpenScape Business V2 How To: Konfiguration O2 ALL-IP Voice SIP - Deutschland 1

Einrichtungsanleitung. LTE pro Paket. (Stand: 18. April 2018) mdex public.ip

Einrichtungsanleitung LTE pro Paket

Einrichten einer echten demilitarisierten Zone (DMZ) mit zwei FritzBoxen

IPSec-VPN mit Software-Client. ZyXEL USG Firewall-Serie ab Firmware Version Knowledge Base KB-3516 August Studerus AG

7. OSI-Modell als Rollenspiel

Site-to-Site VPN über IPsec

Informationen zu den technischen Neuerungen EWB Genexis CPE

Konfigurationsanleitung IPsec mit ISDN Backup und statischen IP-Adressen Funkwerk / Bintec

Benutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. Workshops (Auszug) WLAN-Workshops. Copyright Version 6/2016 bintec elmeg GmbH

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Firewalls. Krypto Christian Kawalar, Tim Ungerhofer. June 9, 2017

Benutzerhandbuch. bintec elmeg GmbH. DSL-Backup über LTE. Copyright Version 06/2018 bintec elmeg GmbH. DSL-Backup über LTE 1

OpenScape Business V2. How to: Konfiguration O2 All-IP Voice SIP. OpenScape Business V2 How To: Konfiguration O2 ALL-IP Voice SIP - Deutschland 1

IPSec-VPN site-to-site. Zyxel USG Firewall-Serie ab Firmware-Version Knowledge Base KB-3514 September Zyxel Communication Corp.

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Benutzerhandbuch be.ip. Workshops. Copyright Version 01/2017 bintec elmeg GmbH

Anbindung eines Lancom 831A

VPN in 5 Minuten. bintec VPN Gateway. Konfigurationsanleitung für den FEC VPN Testzugang

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Netzwerk Linux-Kurs der Unix-AG

Ergänzung zur Einrichtungs-/Installationsanleitung AudioCodes 500L MSBR

Knowledge Base Fortigate mit mehreren Internet-Anbindungen konfigurieren

VPN mit ZyXEL IPSec-Client. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Firmware V2.2x 3.x. August 2012 / ALN

Konfigurationsanleitung IGMP Multicast - Video Streaming Funkwerk / Bintec. Copyright 5. September 2008 Neo-One Stefan Dahler Version 1.

Konfiguration von Policy-basiertem QoS ab Windows Server 2008

HorstBox (DVA-G3342SD)

die digitalisierungsboxen modellspezifische funktionen im Vergleich Präsentation Digitalisierungsboxen 05/2016 1

Konfigurationshilfe be.ip an einem Peoplefone Anlagenanschluss. Workshop. Copyright Version 06/2018 bintec elmeg GmbH

ESTOS XMPP Proxy

ESTOS XMPP Proxy

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Network-Attached Storage mit FreeNAS

Technische Hinweise zur Netzwerkkonfiguration. Technische Hinweise für einen reibungslosen Betrieb der SIP-basierten foncloud TK-Anlage

Benutzerhandbuch be.ip. Workshops. Copyright Version 01/2016 bintec elmeg GmbH

Konfiguratuionshilfe be.ip an einem 1&1 Versatel Anlagenanschluss. Workshops. Copyright Version 06/2018 bintec elmeg GmbH

Fernzugriff auf Heimnetz über IPv6

Konfigurationshilfe be.ip an einem NetCologne Anlagenanschluss. Workshops. Copyright Version 03/2018 bintec elmeg GmbH

L3-Freifunk Documentation

Konfigurations- und Inbetriebnahme Information zur Watchguard Firebox T10/T30 für drsintra 4.0

A1 Modem Umstellung auf Single User

Wiki von "Konfiguration und Nutzung von Videokonferenzsoftware" Seite: Konfiguration von Lifesize Softphone

Knowledge Base Fortigate mit mehreren Internet-Anbindungen konfigurieren

Benutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. Workshops (Auszug) Services-Workshops. Copyright Version 12/2018 bintec elmeg GmbH

Übung - Mit Wireshark eine UDP-DNS-Aufzeichnung untersuchen

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

Nexinto Business Cloud - HAProxy Anleitung zum Aufsetzen eines HAProxy Images. Version: 1.0

Anlagenkopplung ohne VPN-Tunnel mit Dynamic DNS

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

Transkript:

NAT - und Firewall-Einstellungen am Beispiel eines Exposed Host zum IPv4-Zugriff aus dem WAN auf ein Internet Gateway über den PPPoE WAN-Partner einer Digitalisierungsbox

1. Beschreibung des Szenarios Ansicht Vollzugriff wird benötigt. Ein bestehendes Internet Gateway Gerät (z.b. Firewall Appliance) soll weiterhin aus dem Internet für alle Dienste erreichbar sein (z.b. für IPSec) und als Default Gateway und Firewall für den Datenverkehr des schon bestehenden Netzwerkes fungieren, die IP- Telefonie und alle damit verbundenen Mechanismen (z.b. QoS auf dem WAN-Partner) sollen aber von der Digitalisierungsbox übernommen werden. Dabei werden bei Verbindungen aus dem WAN folgende Systeme durchlaufen und müssen dementsprechend darauf vorbereitet sein: Network Address Translation (NAT/PAT) Stateful Inspection Firewall (SIF) Ebenso muss für Dienste, die ggf. einen gleichbleibenden Quellport benötigen, dieses durch eine ausgehende NAT-Regel konfiguriert werden. Es wird eine normale WAN-Konfiguration ohne Loadbalancing Szenario und ohne weiteres Policy Based Routing mit der aktuellen Firmwareversion vorausgesetzt.

2. Network Address Translation / Port Address Translation Das erste durchlaufene Subsystem beim IPv4-Zugriff aus dem WAN ist die Network Address Translation (NAT). Hier wird die Anfrage an die offizielle IPv4-Adresse der Digitalisierungsbox (WAN-Partner) durch eine Regel umgesetzt und an die gewünschte IPv4 Adresse im LAN (Exposed Host) oder an einen Server in einer speziellen DMZ (De-Militarized Zone, abgetrennte und mittels zusätzlicher Firewallregeln überwachte Schnittstelle) weitergeleitet. In unserem Beispiel ist das Ziel der Umsetzung im LAN von br0 und hat die IPv4 Adresse 192.168.2.254, deswegen wird die Bezeichnung als Exposed Host verwendet. Menü: Netzwerk NAT Registerkarte NAT-Konfiguration 3

2. Network Address Translation / Port Address Translation Durch diese Regel wird jeglicher auf dem PPPoE WAN-Partner ankommender IPv4 Verkehr zur IP-Adresse 192.168.2.254 weitergeleitet. Nun müssen noch für den ausgehenden Verkehr bei sensitiven Diensten die ausgehenden Quellports fest eingestellt werden. Dies ist z.b. bei einigen Herstellern (LANCOM, Sophos UTM, ) für den Aufbau der Phase 1 (IKE) einer IPSec Verbindung notwendig. Bei einer Digitalisierungsbox oder einem Gerät der bintec elmeg GmbH ist dieser Schritt für IPSec unnötig. Menü: Netzwerk NAT Registerkarte NAT-Konfiguration Für weitere Dienste, die eine Beibehaltung des Quellportes benötigen, verfahren Sie bitte analog zum obigen Beispiel und ersetzen Protokoll und Port. Die als neue IP-Adresse angegebene 0.0.0.0 dient als Platzhalter für die dynamisch zugewiesene IP des WAN-Partners. Sollte eine feste offizielle IP vorhanden sein, kann diese hier eingetragen werden. 4

3. Stateful Inspection Firewall Das nächste Subsystem, welches die jetzt von der NAT durchgelassenen Pakete passieren, ist die Firewall. Durch den Status des WAN-Partners als nicht vertrauenswürdig dürfen in der Default Einstellung von diesem Interface keine initialen Anfragen gestellt werden, sondern nur entsprechende Anfragen von vertrauenswürdigen Schnittstellen (initial alle LAN Interfaces) beantwortet werden. Die Anfragen werden also zunächst weiterhin blockiert, diesmal von der SIF. Eine Regel, die diesen Zugriff als Ausnahme vom Ausgangsverhalten erlaubt, muss erst erstellt werden. In der Firewall gilt die Regel, dass Pakete, die durch eine Regel erlaubt werden, später nicht mehr verboten werden können und umgekehrt. Ggf. ist also auch die Reihenfolge der durchlaufenen Regeln zu beachten! In unserem Beispiel müssen also alle Protokolle und alle Ports zum Zugriff aus dem WAN auf die IP des Internet Gateways (192.168.2.254) freigeben werden. Die benötigten Schnittstellen und die Dienstezusammenfassung any sind bereits vordefiniert, es muss nur noch die IP des Internet Gateways definiert werden. 5

3. Stateful Inspection Firewall Menü: Firewall Adressen Registerkarte Adressliste Schaltfläche Neu Als neue Regel wird der Zugriff vom WAN-Partner auf die IPv4 Adresse des Internet Gatways für jeden Dienst und alle Protokolle definiert. Menü: Firewall Richtlinen Registerkarte IPv4-Filterregeln Schaltfläche Neu 6

3. Somit ergibt sich der folgende Regelablauf: 7

4. Änderungen am Internet Gateway und schlussbemerkung Am Internet Gateway müssen jetzt die Default Route und ggf. der DNS-Server auf die IP-Adresse der Digitalisierungsbox umgestellt werden. Auch die Rolle des Zeitservers kann von der Digitalisierungsbox übernommen werden. Das Szenario ist auch bedingt durch die Tatsache, dass eine Einwahl mehrerer PPPoE- Verbindung an einem xdsl-anschluss der DTAG seit Januar 2015 unterbunden wird. Auch könnte eine Routingverbindung der Digitalisierungsbox über die bisherige PPPoE- Einwahl des Internet Gateways konfiguriert werden, dann müssen aber Mechanismen, die die Digitalisierungsbox automatisch für VoIP vornimmt, vom Internet Gateway übernommen werden. Beispielhaft seien hier genannt: Quality of Service (Priorisierung) für die Telefoniepakete Freigaben in der Firewall für Telefonie NAT Mechanismen für die nicht zusammenhängenden Ports von RTP Daten SRV Abfragen via DNS (für tel.t-online.de) müssen adäquat aufgelöst werden Die doch sehr umfassenden Einstellungen in NAT und SIF zur Weiterleitung des gesamten Verkehrs aus dem Internet können natürlich bei Bedarf feiner granuliert und weiter eingeschränkt werden. Diese Beschreibung basiert auf einem durchlaufenen Schnellstartassistenten, sollten schon vorhandene Portforwardings in der NAT existieren, ist ggf. die Reihenfolge zu beachten! 8

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback