Dit document beschrijft hoe u verschillende IP-NAT instellingen op een ZyWALL USG (of ZyWALL 1050) kunt maken in combinatie met meerdere publieke IP-adressen (een routed subnet). Voor u dit gaat doen dient u uiteraard de ZyWALL correct voor Internet geconfigureerd te hebben. .
We gaan er in dit voorbeeld van uit dat u bijvoorbeeld een (KPN-)Business-/Office-DSL lijn met 8 publieke ip-adressen heeft. We gaan verder uit van het gebruik van:
het subnet 192.0.2.8/29 , meer precies:
Subnet ID: 192.0.2.8 ,
DSL Router IP:192.0.2.9 ,
ZyWALL WAN1-IP: 192.0.2.10 ,
Broadcast IP: 192.0.2.15 ,
Subnetmasker is dus 255.255.255.248 .
Vóór de ZyWALL hangt een DSL router die correct geconfigureerd is. (Zoals bijv. beschreven in document z133 ) .
Verdere gegevens in dit voorbeeld:
LAN1-subnet: 192.168.1.0/24 , standaard DHCP-pool,
LAN2-subnet: 192.168.2.0/24 , standaard DHCP-pool,
Server1 in LAN1: 192.168.1.2 ,
Server2 in LAN2: 192.168.1.3 .
Voor dit voorbeeld is een USG200 gebruikt.
We hebben een tweetal servers intern (Resp. IP:192.168.1.2 en 192.168.1.3) die we publiekelijk toegankelijk willen maken op repectievelijk 192.0.2.11 en 192.0.2.12 . Voor de eerste server willen we een volledige 1-1 mapping maken, op de laatste alleen poort 25 (SMTP) doorzetten, de overige poorten dus niet. Dit laatste, omdat we die resterende poorten eventueel later nog voor andere interne servers willen gaan gebruiken.
Later in dit document willen we ook nog eens het LAN2 subnet via specifiek publiek WAN IP-adres 192.0.2.14 naar buiten (internet) toe laten gaan. Alle genoemde NAT-settings (DNAT, dus inkomende adres-translatie) gebeuren onder in het Configuration-menu onder Network > NAT.
Open de webpagina van de ZyWALL vanaf het LAN1, standaard zit deze op https://192.168.1.1 .
Vul de gebruikersnaam (standaard admin) en het wachtwoord (standaard 1234) in en druk op de knop ‘Login’.
Allereerst gaan we alle voor deze opzet benodigde Adres-Objecten maken.
Ga in het Configuration-menu naar Object > Address
Klik telkens voor het aanmaken van een nieuw object het ‘Add’-icoontje.
We maken voor elk te gebruiken WAN-IP een object aan en ook voor elke interne server...
 |
 |
 |
....en de servers... |
 |
 |
Vervolgens gaan we de eerste 1-1 NAT Mapping maken. Ga naar Network > NAT en klik ook hier op het ‘Add’-icoontje en vul als volgt in:
Let er op dat er voor "1:1 NAT" wordt gekozen om er zo voor te zorgen dat de interne-server ook met dít publieke IP-adres weer naar “buiten” gaat communiceren (en dus niet met het “hoofd-IP-adres” van de WAN-poort).
Klik hierna op ‘OK’
In tegenstelling tot oudere firmware hoeft er vanaf de V2.20 firmware (en hoger) geen expliciete Policy Route te worden aangemaakt, dit gebeurt nu "onder water" automatisch.
Maak nu de tweede 1-1 mapping, maar nu alleen voor specifiek SMTP-verkeer.
Hierbij veronderstellen we dat we de SMTP-server ook vanuit het lokale netwerk, op het publieke IP-adres, bereikbaar moet zijn (dit i.v.m. DNS-resolving op het mail-domein)...
Door ook het vinkje bij “Enable NAT Loopback” aan te vinken zorgen we er voor, dat we deze server altijd op het publieke adres kunnen benaderen, vanuit alle interne netwerk-segmenten.
Bij Stap 2 zetten we het gehele publieke IP-adres (1-op-1) door naar een intern IP-adres. Bij Stap 3 zetten we alleen een specifieke poort/service door, waarbij we dus de mogelijkheid behouden om op hetzelfde publieke IP-adres ook nog andere poorten/services naar een ander intern IP-adres door te kunnen zetten.
Belangrijk:
Uiteraard dient u naast de NAT-instellingen ook de firewall op een correcte manier te configureren.
Zie hiervoor ook de supportpagina voor het aanmaken van gewone 'Port Forwardings': z204
Als de bovenstaande instellingen niet werken controleer dan of u de juiste firewall-regels heeft geconfigureerd.
(Om te controleren of het inderdaad in de firewall-instellingen zit, zou u de firewall even kort uit kunnen schakelen.)
Nu willen we er ook nog voor zorgen dat verkeer vanaf het LAN2-subnet richting internet niet met het hoofd-IP-adres naar buiten gaat (SNAT, dus uitgaande adres-translatie) maar met een van de andere publieke adressen (in dit voorbeeld: 192.0.2.14 , ofwel WAN1_IP4 ).
Hiertoe moeten we voor het LAN2 subnet een specifieke Policy Route aanmaken. Ga in het Configuration-menu naar Network > Routing. Deze Policy Route 'overruled' het Default-SNAT gedrag zoals dit wordt/staat ingesteld in de WAN-trunk.
Klik ook hier weer op het ‘Add’-icoontje en maak de Policy Route als volgt aan:
Klik op 'OK'
Met deze Policy Route zorgen we er dus voor dat alle verkeer vanaf het LAN2 met een ander IP-adres naar 'buiten' (internet) gaat praten dan het hoofd IP-adres.
Het IP-adres dat wordt gebruikt om vanuit het interne netwerk naar Internet te gaan kunt u controleren op, bijvoorbeeld,:
http://www.watismijnip.nl/