Interne servers vanaf het Internet bereikbaar maken

referentie Z012D
Dit document beschrijft hoe u servers o.a. achter de Prestige 650 en 652 serie routers bereikbaar kunt maken vanaf het internet.
Wij gaan er hierbij van uit dat de router reeds correct voor Internet geconfigureerd is en dat u het internet ook kunt bereiken.
U kunt weliswaar ook via menu 15 van Telnet de NAT instellingen toevoegen, maar de firewall regels zijn alleen te wijzigen met een webbrowser.

De verschillende afbeeldingen zijn gebaseerd op een specifieke firmware versie, maar de aanwijzingen gelden voor alle routers waarmee deze instelling mogelijk is, hoewel het uiterlijkv na de verschillende schermen iets van elkaar kan verschillen.

Configuratie wordt gedaan in de volgende stapen stappen:

1: NAT instellingen
2: Firewall instellingen
3: Filters aanpassen
4: Testen

NAT Loopback instellen
Relevante links

1: NAT instellingen

1.1 Toegang tot de router
Zoek toegang met de router via de Web Configurator. Voor de juiste procedure:
Toegang met de Router Web Configurator.

1.2 NAT menu
Ga vanuit het hoofdmenu naar NAT door er op te klikken. U komt in het onderstaande menu:

Stip aan SUA Only en ga naar de bijbehorende Edit Details door daar op te klikken.
Alleen wanneer de router daadwerkelijk meerdere publieke IP-adress gebruikt dient u hier Full Feature gebruiken.

1.3 Details aanpassen.
U komt in het volgende menu terecht:

Stel hier de juiste poorten en de bijhorende lokale server IP-adressen in.
De servers moeten in hetzelfde IP-bereik zitten als het LAN IP-adres van de router.

Regel 1 is om alles naar een bepaald intern IP-adres door te zetten. Op routers zonder firewall (Prestige 650) of waar de firewall uit of open staat, moet er extra aandacht aan de beveiliging van de server besteed worden.
Regel 2 is een voorbeeld hoe SMTP op TCP/IP poort 25 kan worden doorgezet.
Regel 3 is een voorbeeld hoe HTTP op TCP/IP poort 80 kan worden doorgezet.
Regel 4 is een voorbeeld hoe FTP op TCP/IP poort 21 kan worden doorgezet.

Twee opmerkingen:

De ZyXEL routers ondersteunen geen poort omzetting! De externe poort kan niet worden aangepast naar een andere interne poort.
De instelmogelijkheden in dit menu kunnen ook worden gebruikt voor het instellen van VPN-pass-through door ZyXEL routers. Een uitleg over de hier in te stellen mogelijkheden wordt gegeven in de link VPN Passthrough.

2: Firewall aanpassen

Bij routers met een ingebouwde firewall dient u ook de poorten in de firewall open zetten.
Met "Firewall" wordt in dit geval een échte firewall bedoelt (met stateful inspection), waarmee bijvoorbeeld de ZyWALL routers, de Prestige 652, 324, 334 en 650H-31/33 met de nieuwste firmware zijn uitgerust.
Oudere en eenvoudiger typen (Prestige 650R, 304) beschikken niet over een dergelijke firewall, de instellingen uit deze paragraaf zijn bij deze modellen overbodig.

2.1 Firewall menu
Ga vanuit het hoofdmenu naar de Advanced - Firewall instellingen. U komt in een menu als het onderstaande:

2.2 Rule Summary
Klik op Rule Summary onder Internet to Local Network Set. U komt in een menu als het onderstaande:

Het bovenstaande is een voorbeeld van instellingen die u in kunt voeren. Om een regel te wijzigen klikt u op het regelnummer in de meest linkse kolom. U komt dan in een venster als het onderstaande.

2.3 regel wijzigen

Firewall - WAN to LAN - Edit Rule 1

Source Address:



Destination Address:




Service:
	Available Services:	Selected Services:

	Edit Available Service

Action for Matched Packets:
Log:
Alert

Bij deze inkomende regels altijd als doel (Destination) IP-adres ANY opgeven.
Het bron (source) IP-adres kan onbeperkt worden in gesteld met ANY, danwel er kunnen meerdere losse IP-adressen en/of IP-bereiken worden opgegeven.

Als de door u te gebruiken poorten niet voor gedefineerd zijn, dan klikt u op Edit Available Service, u komt dan in een menu als het onderstaande.

Als u via Telnet, FTP, op webbrowser de router vanaf het Internet wil kunnen bereiken, dient u hier de regels toe te voegen en dit ook bij Remote Management in te stellen.

2.4 Availabe service aanpassen

Door hier op een nummertje te klikken kunt u een poort(reeks) wijzingen of toevoegen.

2.5 poortreeks wijzigen/toevoegen

Configureer de gewenste poort(reeks) en druk op de knop Apply.

3: Filters aanpassen

In veel modelen/firmwares zijn o.a. poorten 21, 23 en 80 standaard vanaf buiten naar binnen geblokkeerd.
Zie onderstaande link voor een beschrijving van de procedure om deze blokkade ongedaan te maken:
Filters uitzetten.

4: Testen

Hiervoor wordt gebruik gemaakt van Telnet. Zie hiervoor de link:
Telnet gebruiken.
Controleer onder menu 21 of er geen filters de noodzakelijke poorten blokkeren.
Test vanaf/via een andere aansluiting danwel proxy of het werkt.
Vanaf intern werkt het alleen indien op de router NAT loopback aan staan en wordt ondersteund.
(Zonder NAT loopback kunt u de interne server bereiken - maar niet testen - door via LMHOSTS en/of HOSTS bestand naar het lokale IP-adres forceren.

Werkt het niet:

Herstart de router
Controleer of de router een werkende verbinding heeft met het Internet.
Controleer of er toch nog filters uitgezet moeten worden.
Controleer dan of de servers de juiste/deze router als gateway hebben. Dit kunt u doen met het traceroot commando. Voor Windows is dit uit een DOS-box bijvoorbeeld:
tracert www.zyxel.nl
Controleer of het wel werkt met de firewall uitgeschakeld, zo ja, dan staat er een firewall regel niet correct.
Controleer of u wel bij de server kunt komen met het Telnet commando. Voor Windows is dit uit een DOS-box om bij poort 25 (SMTP) op LAN server IP 192.168.1.33 te komen bijvoorbeeld:
telnet 192.168.1.33 25
Controleer of de ISP het betreffende verkeer niet blokkeert. (Planet blokkeert bijvoorbeeld standaard het SMTP verkeer over poort 25) Dit kunt u navragen bij de helpdesk van de provider. Dit kunt u eventueel ook testen door:
- NAT regel tijdelijk te deactiveren of verwijderen.
- Op de router remote management vanaf het WAN/Internet mogelijk te maken en telnet in te stellen op de gewenste poort.
- Uitloggen op de router.
- Vanaf een andere locatie te telnetten naar de gewenste poort via het publieke IP-adres.
- De server accepteerd mogelijk niet overal verkeer van. Dit kunt u controleren door tussen de server en router een logbestand te maken en te traceren of het gewenste verkeer wel verkeer vanaf het Internet naar de server toe komt. Deze procedure wordt beschreven in de link:
  Traceringsbestanden maken.

NAT loopback

Met de 'NAT Loopback' functie met het mogelijk zijn om interne servers vanaf interne machines ook op het publieke IP-adres bereikbaar te maken.
Of het werkt hangt af van type en firmware. Probeer de volgende stappen.

Zoek toegang tot de router met Telnet

Zet NAT Loopback functie aan met het volgende commando in Telnet menu 24.8:ip nat loopback aan, bijvoorbeeld:

Copyright (c) 1994 - 2002 ZyXEL Communications Corp.
ras> ip nat loopback
NAT loopback: off
ras> ip nat loopback on
ras>

Zet de juiste poort door in de NAT/SUA Setup van de router.
Registreer optioneel een domein naam voor uw router, bijvoorbeeld bij DynDNS.

Opmerking: bij oudere firmware is het commando mogelijk:

ip sua loopback on