NAT-Reflection

Um aus dem Internet auf einen internen Server im LAN oder in einer DMZ zugreifen zu können, wird oft eine DNAT- bzw. Portforwarding-Regel in der Firewall-Konfiguration des SX-GATEs hinterlegt. Diese sorgt dafür, dass Verbindungen, die an SX-GATEs Internet-IP und einen bestimmten Port gerichtet sind, an die entsprechende interne IP-Adresse weitergeleitet werden.

Versucht ein Rechner aus dem LAN auf dem selben Weg auf den Server zuzugreifen, schlägt dies fehl. Die Lösung dieses Problem ist abhängig von verschiedenen Randbedingungen:

  • Geht es um den Zugriff auf genau einen internen Server und dieser wird über einen DNS-Namen adressiert, dann verwenden Sie bitte nach Möglichkeit Split-DNS. Die in diesem Artikel beschriebene »NAT-Reflection« ist jedoch ebenfalls möglich.
  • Erfolgt der Zugriff nicht über DNS-Namen sondern direkt auf die externe SX-GATE-IP, muss mit »NAT-Reflection« gearbeitet werden.
  • Selbiges gilt, wenn eingehende Verbindungen abhängig vom Port an verschiedene interne Server verteilt werden.
  • Voraussetzung für »NAT-Reflection« ist, dass der Client für den Zugriff keinen der SX-GATE Proxies wie z.B. Web- oder FTP-Proxy nutzt.

Konfigurieren Sie im Client eine Proxy-Ausnahme, wenn ein SX-GATE Proxy genutzt wird und Split-DNS nicht gewünscht oder möglich ist.

Spezialfall: NAT-Reflection mit dynamischem DNS

Lesen Sie weiter bei »Konfiguration«, sofern dieser Abschnitt in Ihrem Fall nicht zutreffend ist.

Falls SX-GATE über eine dynamische IP verfügt und der interne Server über einen Hostnamen im dynamischen DNS angesprochen wird (z.B. example.dyndns.org), muss zunächst dafür gesorgt werden, dass der Client im LAN immer die selbe IP-Adresse für den dynamischen Hostnamen erhält. Sie können zu diesem Zweck eine frei IP-Adresse als Alias-IP auf der internen SX-GATE-Schnittstelle konfigurieren. Es erfüllt aber auch eine beliebige IP-Adresse aus einem lokal nicht verwendeten privaten IP-Netzwerk ihren Zweck. Sollten Sie z.B. lokal ausschließlich das Netzwerk 192.168.0.0/24 verwenden, wäre eine IP aus den Netzwerken 192.168.199.0/24, 10.250.250.0/24 oder jedem anderen ungenutzten privaten Netzwerk möglich.

Legen Sie gemäß der Beschreibung im Artikel Split-DNS einen Eintrag für den dynamischen DNS-Namen an (example.dyndns.org) und konfigurieren Sie dort die zuvor gewählte IP-Adresse. Löst ein Client im LAN die dynamische DNS-Adresse auf erhält er ab sofort immer diese IP zurück.

Konfiguration

Für NAT-Reflection sind zwei Regeln in der SX-GATE Firewall-Konfiguration notwendig.

In der Schnittstelle an der der Client angeschlossen ist (häufig die LAN-Schnittstelle eth0), konfigurieren Sie bitte ein DNAT-Regel analog zur DNAT-Regel in der Internet-Schnittstelle. Achten Sie bitte darauf, dass das Feld »Ziel« ausgefüllt ist. Im Spezialfall »NAT-Reflection mit dynamischem DNS« muss hier die gewählte IP-Adresse eingetragen werden.

In der Schnittstelle an der der Server angeschlossen ist (häufig die DMZ-Schnittstelle oder ebenfalls die LAN-Schnittstelle eth0), konfigurieren Sie bitte eine Weiterleitungs-Regel. Bei der Regel müssen mindestens die folgenden Parameter gesetzt werden:

Protokoll

Quell-IP/Netzwerk

Tragen Sie hier die IP-Adressen der Clients ein. Oft können Sie einfach auf die vordefinierte IP-Gruppe »INTRANET« zurückgreifen

NAT

Aktivieren Sie die NAT-Option

Ziel-IP/Netzwerk

Geben Sie hier die IP-Adresse des internen Servers an