UTM/RULE/Multi-IP: Unterschied zwischen den Versionen

Aktuelle Version vom 30. Januar 2024, 07:39 Uhr

NAT mit mehreren öffentlichen IPs an einer externen Schnittstelle

Letzte Anpassung zur Version: 12.6.0

Neu:

Aktualisierung zum Redesign des Webinterfaces

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

02.2023

Einleitung

In diesem Artikel wird das Anlegen und Konfigurieren eines Netzwerkobjektes beschrieben, um bei Vorhandensein mehrerer öffentlicher IP-Adressen eine Portumleitung oder Portweiterleitung über eine bestimmte IP-Adresse zu konfigurieren.

Eine Portumleitung oder Portweiterleitung wird nur auf die kleinste IP-Adresse auf einem Netzwerkobjekt angewendet.

Um also gezielt auf eine andere IP-Adressen angewendet zu werden, ist es nötig, zusätzliche Netzwerkobjekte einzurichten:

Szenario:
- Zugeteiltes Netz: 198.51.100.48/29
- IP-Adresse 1: 198.51.100.49/29
- IP-Adresse 2: 198.51.100.50/29

Vorbereitung

Schnittstelle bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration Netzwerk Netzwerkkonfiguration Bereich Netzwerkschnittstellen Schaltfläche → IP-Adressen
Die IP-Adressen auf der Schnittstelle müssen hier eingetragen sein

Anlegen eines Neuen Netzwerkobjektes

Anlegen eines neuen Netzwerkobjektes mit Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Name:	external-interface-IP2	Beliebiger, eindeutiger Name
Typ:	Statische Schnittstelle
IP-Adresse:	198.51.100.50/29	Auswahl der zu konfigurierende IP (wird im folgenden Schritt angepasst)
Zone:	firewall-external
Gruppe:		ggf. eine Gruppe, der diese Schnittstelle zugeordnet werden soll
Speichern und schließen und erneut aufrufen mit

Adresse:	198.51.100.51/32	Ändern der Subnetzmaske /29 in /32, damit nur diese IP angesprochen wird!	Netzwerkobjekt bearbeiten UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Speichern und schließen

Nach dem Netzwerkobjekt external-interface suchen und auf die Schaltfläche klicken
notempty Das external-Interface muss bearbeitet werden, damit es in weiteren, allgemeinen Regeln nur auf diese IP wirkt und nicht versehentlich die andere IP mit Regeln versorgt.
Adresse:	198.51.100.49/32	Eingabe der 1. IP-Adresse auf der bestehenden Schnittstelle (Wechsel zum Suffix mit Tabulator-Taste) Bestehende Adresse 0.0.0.0/0 trifft auf alle IP-Adressen zu!	Netzwerkobjekt bearbeiten UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Speichern und schließen notempty Für jede weitere IP-Adresse muss ein weiteres eigenes Netzwerkobjekt erstellt werden!

Anlegen einer Paketfilter-Regel

Anlegen einer neuen Paketfilter Regel unter Firewall Paketfilter Schaltfläche Regel hinzufügen:

Beschriftung	Wert	Beschreibung	Regel für Portweiterleitung
Quelle:	internet	Als Quelle das Internet auswählen
Ziel:	Server1	Gewünschtes Ziel auswählen, als Beispiel hier das Netzwerkobjekt Server1
Dienst:	https	Gewünschter Dienst/Port. Hier: Port 8080 (https)
Aktion:	ACCEPT	Accept auswählen
[ - ] NAT
Typ:	DESTNAT	Als Typ Destnat auswählen
Netzwerkobjekt:	external-interface-IP2	Schnittstelle, die mit der gewünschten IP konfiguriert wurde
Dienst:	https	Gewünschter Dienst / Port
Speichern und schließen → Regeln aktualisieren

@@ Zeile 1: / Zeile 1: @@
 {{Set_lang}}
+{{#vardefine:headerIcon|spicon-utm}}
+{{:UTM/RULE/Multi-IP.lang}}
-</div><templatestyles src="Vorlage:Gallery.css" />{{DISPLAYTITLE:Multi-IP}}{{TOC2}}
+</div><div class="new_design"></div>{{TOC2}}{{Select_lang}}
-<p>'''NAT mit mehreren öffentlichen IPs an einer externen Schnittstelle.'''</p>
+{{Header|12.6.0|
+* {{#var:neu--rwi}}
+|[[UTM/RULE/Multi-IP_02.2023 | 02.2023]]
+|4=<div>1.) {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerkschnittstellen}}||w}} {{#var:Bereich}} {{Reiter| {{#var:IP-Adressen}}}}&emsp;<br>2.) {{Menu-UTM|Firewall|{{#var:Netzwerkobjekte}}}}&emsp;</div> }}
-{{cl | Neuer Artikel |
+----
-* Best Practice
-* Anlegen eines Netzwerkobjektes für eine dedizierte IP
-* Anlegen einer Portfilter-Regel
-| w=80px}}
+=== {{#var:Einleitung}} ===
+<div class="Einrücken">
+{{#var:Einleitung--desc}}
+</div><br clear=all>
+----
-<p>In diesem Artikel wird das Anlegen und Konfigurieren eines Netzwerkobjektes beschrieben, um bei Vorhandensein mehrerer öffentlicher IPs eine Portumleitung oder Portweiterleitung über eine bestimmte IP zu konfigurieren.<p>
+=== {{#var:Vorbereitung}} ===
-<p>{{Hinweis|!}}Eine Portumleitung oder Portweiterleitung wird nur auf die kleinste IP auf einem Netzwerkobjekt angewendet.<br>
+<div class="Einrücken">
-Um also gezielt auf eine andere IP angewendet zu werden, ist es nötig, zusätzliche Netzwerkobjekte einzurichten:
+{{Bild|{{#var:Netzwerkkonfiguration_IP-Adressen--Bild}}| ||{{#var:Schnittstelle bearbeiten}}|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|class=Bild-t}}
-* Szenario:
+{{#var:IP-Adressen auf der Schnittstelle}}
-** Zugeteiltes Netz: 198.51.100.48/29
+<br clear=all>
-** IP 1: 198.51.100.49/29
+</div>
-** IP 2: 198.51.100.50/29
+----
-=== Anlegen eines Neuen Netzwerkobjektes ===
-{{pt2 | UTM_v11.8.5_Netzwerk_Netzwerkkonfiguration_IP-Adressen.png }}
+=== {{#var:Anlegen eines Neuen Netzwerkobjektes--desc}} ===
-Die IP-Adressen auf der Schnittstelle müssen unter {{Menu|Netzwerk | Netzwerkkonfiguration}} → {{Reiter|Netzwerkschnittstellen}} →  {{Button| Schnittstelle bearbeiten| w}} → {{Reiter | IP-Adressen}} eingetragen sein
+<div class="Einrücken">
-<br clear=all>
+{{#var:Anlegen Netzwerkobjekt}}
-Anlegen eines neuen Netzwerkobjektes mit {{Menu | Firewall | Portfilter}} → {{Reiter | Netzwerkobjekte}} → {{Button| + Objekt hinzufügen}}
 <br clear=all>
-{| class="sptable2 striped"
+{| class="sptable2 pd5 zh1"
-! Beschriftung !! Wert !! Beschreibung
+! {{#var:Beschriftung}} !! {{#var:Wert}} !! {{#var:Beschreibung}}
+| class="Bild" rowspan="8" | {{Bild|{{#var:Rule_Interface1--Bild}}| ||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
 |-
-| {{b|Name}} || {{ic | external-interface-IP2 |w=x}} || class="border-bottom" | Beliebiger, eindeutiger Name  || rowspan="5" class="bild" | {{bild  | UTM_v11.8.5_Rule_Interface1.png|hochkant=1}}
+| {{b|{{#var:Name}} }} || class=mw14 | {{ic | {{#var:external-interface-IP2}} |class=available}} || {{#var:eindeutiger Name}}
 |-
-| {{b|Typ}} ||  class="border-bottom" style="min-width: 173px;" |{{Button | Statische Schnittstelle&emsp; |dr}} || class="sichtbar_monitor" |
+| {{b|{{#var:Typ}} }} ||  {{Button | {{#var:Statische Schnittstelle}} |dr|class=available}} || class=border-top-none-xs |
 |-
-| {{b|IP-Adresse}} || {{Button| 198.51.100.50/29&emsp;|dr}} || Auswahl der zu konfigurierende IP (wird im folgenden Schritt angepasst)
+| {{b|{{#var:IP-Adresse}}}} || {{Button| {{#var:IP-Adresse--exp}}|dr|class=available}} || {{#var:Auswahl konfigurierende IP}}
 |-
-| {{b|Zone}} ||  class="border-bottom" | {{Button | firewall-external &emsp;|dr}} || class="sichtbar_monitor" |
+| {{b|{{#var:Zone}}}} ||  {{Button | {{#var:firewall-external}} |dr|class=available}} || class=border-top-none-xs |
 |-
-| {{b|Gruppe}} || {{ Button |&emsp;&emsp;&emsp;&emsp; |dr}} || ggf. eine Gruppe, der diese Schnittstelle zugeordnet werden soll
+| {{b|{{#var:Gruppe}}}} || {{ ic |&emsp;&emsp;&emsp;&emsp; |cb|class=available}} || {{#var:Schnittstelle zugeordnet}}
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="3"| <br/>{{Button | Speichern}} und erneut aufrufen mit {{Button | |w}}
+| colspan="3"| <br/>{{#var:Speichern und Aufruf}}
+|- class="Leerzeile"
+|
 |-
-|{{b|Adresse}} || {{ic | 198.51.100.51/'''32'''|w=x}} ||  class="border-bottom" |{{Hinweis|!|gelb}}Ändern der Subnetzmaske ''/29'' in '''/32''', damit nur diese IP angesprochen wird! || rowspan="2" class="bild" | {{bild|UTM_v11.8.5_Rule_Interface2.png|hochkant=1}}
+|{{b|{{#var:Adresse}} }} || {{ic | {{#var: IP-Adresse-32--exp}} |dr|class=available}} ||  class="border-bottom" |{{#var:IP-Adresse-Hinweis}}
+| rowspan="2" class="Bild" | {{Bild|{{#var:Rule_Interface2--Bild}}| ||{{#var:Netzwerkobjekt bearbeiten}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
+|- class="Leerzeile"
+| colspan="3"| {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}}}}
+|- class="Leerzeile"
+|
 |-
-|class="Leerzeile" colspan="3"| <br/><p>{{Button | Speichern}}</p><p>{{ic|external-interface|w=x}} {{Button | |w}}</p>
+| class="Leerzeile" colspan="3"| {{#var:external}}
 |-
-| {{b|Adresse}} || {{ic | 198.51.100.49/32|w=x}} ||  class="border-bottom" | Eingabe der 1. IP-Adresse auf der bestehenden Schnittstelle (Wechsel zum Suffix mit Tabulator-Taste)<br/>Bestehende Adresse  {{ic | 0.0.0.0/0|w=x}} trifft auf alle IP-Adressen zu! || rowspan="2" class="bild noborder" style="border-top: 1px solid red;" | {{bild|UTM v11.8.5 Rule Interface4.png|hochkant=1}}
+| class="Leerzeile" colspan="3"| {{Hinweis-box|{{#var:external--Hinweis}}|gelb|fs__icon=em2}}
 |-
-| class="Leerzeile noborder" colspan="3" | <br/><p>{{Button | Speichern}}</p>
+| {{b|{{#var:Adresse}} }} || {{ic | {{#var:IP-Adresse-4932--exp}} |dr|class=available}} ||  class="border-bottom" | {{#var:Eingabe IP-Adresse}}
-<p>{{Hinweis|! Für jede weitere IP-Adresse muss ein weiteres eigenes Netzwerkobjekt erstellt werden!  }}</p>
+| rowspan="2" class="Bild"| {{Bild|{{#var:Rule Interface4--Bild}}| ||{{#var:Netzwerkobjekt bearbeiten}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
+|- class="Leerzeile"
+| class="noborder" colspan="3" | <br/>{{#var:Speichern und eigenes Netzwerkobjekt}}
 |}
+</div><br clear=all>
+----
+=== {{#var:Anlegen einer Paketfilter-Regel--desc}} ===
-=== Anlegen einer Portfilter-Regel ===
+<div class="Einrücken">
-{{pt2 | UTM_v11.8.5_Rule_Portweiterleitung_2IPs.png | Regel für Portweiterleitung}}
+{{#var:Regel konfigurieren}}
-Unter {{Menu|Firewall|Portfilter}} → {{Reiter|Portfilter}} → {{Button|+ Regel hinzufügen}} muss eine Regel konfiguriert werden:
+{| class="sptable2 pd5 zh1"
-{| class="wikitable2" style="width:auto;"
+! {{#var:Beschriftung}} !! {{#var:Wert}} !! {{#var:Beschreibung}}
-! Beschriftung !! Wert !! Beschreibung
+| class="Bild" rowspan="11"| {{Bild| {{#var:Rule_Portweiterleitung_2IPs--Bild}} | {{#var:Regel für Portweiterleitung--cap}} }}
 |-
-| {{Kasten|Quelle}} || class="border-bottom" | Internet || class="sichtbar_monitor" |
+| {{b|{{#var:Quelle}} }} || {{ic|{{spc|world|o|internet}}|dr|class=available}} || {{#var:Quelle--desc}}
+|-
+| {{b|{{#var:Ziel}} }} || {{ic|{{spc|net|o|Server1}}|dr|class=available}} ||{{#var:Gewünschtes Ziel}}
+|-
+| {{b|{{#var:Dienst}} }} || {{ic|{{spc|tcp|o|https}}|dr|class=available}} || {{#var:Dienst Port 8080}}
 |-
-| {{Kasten|Ziel}} || {{Kasten| internal-network| blau | c=grau }} ||Gewünschtes Ziel
+| {{b|{{#var:Aktion}} }} || {{button|ACCEPT|dr|class=available}} || {{#var:Aktion--desc}}
+<!--
 |-
-| {{Kasten|Dienst}} || {{Kasten | https | blau | c=grau }} || Gewünschter Dienst/Port. Hier: Port 8080 (https)
+| {{b|Logging:}} || {{button|{{#var:Short}}|dr|class=available}} || {{#var:Logging--desc}}
 |-
-| class="Leerzeile" | {{Kasten|'''<small>[–]</small> NAT'''}}
+| {{b|{{#var:Gruppe}} }} || {{button|default|dr|class=available}} || {{#var:Gruppe--desc}}
+-->
+|- class="noborder"
+|  colspan="3"| {{Kasten|[ - ] NAT}}
 |-
-| {{Kasten|Typ}} || class="border-bottom" | {{Button|DESTNAT|dr}} || class="sichtbar_monitor" |
+| {{b|{{#var:Typ Kasten}} }} || {{Button|DESTNAT|dr|class=available}} || {{#var:Typ Kasten--desc}}
 |-
-| {{Kasten|Netzwerkobjekt}} || style="min-width: 160px;" |{{Button | external-interface-IP2&ensp;|dr}} || Schnittstelle, die mit der gewünschten IP konfiguriert wurde
+| {{b|{{#var:Netzwerkobjekt}} }} || {{ic|{{spc|interface|o|external-interface-IP2}}|dr|class=available}} || {{#var:Schnittstelle gewünschte IP}}
 |-
-| {{Kasten | Dienst}} || {{Button|https|dr}} || gewünschter Dienst / Port
+| {{b|{{#var:Dienst}} }} || {{ic|{{spc|tcp|o|https}}|dr|class=available}} || {{#var:Dienst-Port}}
+|- class="Leerzeile"
+| colspan=3 | {{#var:Schließen und aktualisieren}}
+|- class="Leerzeile"
+|
 |}
-<br/>{{Button | Schließen }} → {{Button | Regeln aktualisieren | play}}
+<br/>
+</div><br clear=all>