Zugriff auf ein Gerät hinter dem Router über IP-Forwarding (1:1 NAT) - icom OS Router

  • Aktualisiert am Dec 19, 2024
  • Veröffentlicht am Jul 29, 2024

IP-Forwarding (1:1 NAT) ermöglicht den Zugriff auf Geräte in anderen Netzwerken des INSYS-Routers.

Situation

Der Zugriff auf ein Gerät im lokalen Netzwerk des Routers soll von einem Gerät, dass sich im WAN-Netzwerk des Routers befindet, aus erfolgen. Das lokale Netzwerk des Routers ist vom WAN-Netzwerk aus nicht über Routing erreichbar.

Lösung

Es wird eine zusätzliche IP-Adresse im WAN-Netzwerk eingerichtet und eine NAT-Regel im Router angelegt, die Anfragen, die an diese IP-Adresse gerichtet sind, an die IP-Adresse des Zielgeräts weiterleitet.

Im folgenden Übersichtsbild hat das Zielgerät die Adresse 192.168.2.22 im IP-Netz net2 des Routers. Die zusätzliche IP-Adresse im IP-Netz net3 des Routers hat die Adresse 192.168.3.222.

cg m3 ip forwarding

  1. Öffnen Sie die Bedienoberfläche des Routers: https://insys.icom

  2. Klicken Sie auf der Seite NetzwerkInterfaces unter IP-Netzwerke in der Zeile von IP-Netz net3 auf , um dieses zu bearbeiten.

  3. Klicken Sie im Abschnitt Statische IP-Adressen auf , um eine statische IP-Adresse hinzuzufügen (achten Sie darauf, eine freie IP-Adresse in diesem Netzwerk zu verwenden):

    • IP-Adresse: 192.168.3.222 / 24

    • Beschreibung: NAT to LAN address
      cg de m3 ip forwarding 01

  4. Klicken sie auf SPEICHERN.

  5. Klicken Sie auf der Seite NetzwerkFirewall / NAT unter Destination-NAT auf , um eine Destination-NAT-Regel hinzuzufügen und konfigurieren Sie diese entsprechend:

    • Beschreibung: DNAT rule for IP forwarding from net3 to net2

    • Typ: Destination-NAT

    • Protokoll: Alle

    • Eingehendes Interface: net3

    • Ziel-IP-Adresse: 192.168.3.222 / 32

    • Destination-NAT auf Adresse: 192.168.2.22
      cg de m3 ip forwarding 02

  6. Klicken sie auf SPEICHERN.

  7. [Optional] Klicken Sie auf der Seite NetzwerkFirewall / NAT unter Source-NAT auf , um eine Source-NAT-Regel hinzuzufügen, um die Verbindung auch von der anderen Seite zu starten, also von net2 aus, und konfigurieren Sie diese entsprechend:

    • Beschreibung: SNAT rule for IP forwarding from net2 to net3

    • Typ: Source-NAT

    • Protokoll: Alle

    • Ausgehendes Interface: net3

    • Absender-IP-Adresse: 192.168.2.22 / 32

    • Source-NAT auf Adresse: 192.168.3.222
      cg de m3 ip forwarding 03

  8. Klicken sie auf SPEICHERN.

  9. Klicken Sie auf der Seite NetzwerkFirewall / NAT unter IP-Filter auf , um eine IP-Filter-Regel hinzuzufügen, die die Übertragung von Datenpaketen aus IP-Netz net3 an die IP-Adresse 192.168.2.22 in IP-Netz net2 ermöglicht, wenn die IP-Filter aktiviert sind, und konfigurieren Sie diese entsprechend:

    • Beschreibung: Traffic from net3 to 192.168.2.22

    • Paket-Richtung: FORWARD

    • IP-Version: Alle

    • Protokoll: Alle

    • Eingehendes Interface: net3

    • Ausgehendes Interface: net2

    • Ziel-IP-Adresse: 192.168.2.22 / 32
      cg de m3 ip forwarding 04

  10. Klicken sie auf SPEICHERN.

  11. [Optional] Klicken Sie auf der Seite NetzwerkFirewall / NAT unter IP-Filter auf , um eine IP-Filter-Regel hinzuzufügen, die die Übertragung von Datenpaketen von der IP-Adresse 192.168.2.22 in IP-Netz net3 ermöglicht, wenn die IP-Filter aktiviert sind, und eine Source-NAT-Regel konfiguriert wurde, und konfigurieren Sie diese entsprechend:

    • Beschreibung: Traffic from 192.168.2.22 to net3

    • Paket-Richtung: FORWARD

    • IP-Version: Alle

    • Protokoll: Alle

    • Eingehendes Interface: net2

    • Ausgehendes Interface: net3

    • Absender-IP-Adresse: 192.168.2.22 / 32

    • Ziel-IP-Adresse: 192.168.3.0 / 24
      cg de m3 ip forwarding 05

  12. Klicken sie auf SPEICHERN.

  13. Aktivieren Sie das Profil mit einem Klick auf PROFIL AKTIVIEREN .

Erfolgskontrolle

  1. Öffnen Sie auf einem PC in IP-Netz net3 ein Terminal, geben Sie ping 192.168.3.222 ein und beobachten Sie, ob die Gegenstelle antwortet.

Fehlersuche

  • Deaktivieren Sie im Menü NetzwerkFirewall / NAT unter Einstellungen IP-Filter die IP-Filter für IPv4, um herauszufinden, ob falsche Filtereinstellungen der Grund für Verbindungsprobleme sind.

  • Gehen Sie wie folgt vor, um sicherzustellen, dass Ping-Anfragen nicht vom Router, sondern vom angesprochenen Gerät beantwortet werden:

    • Öffnen Sie auf einem PC im entfernten Netzwerk net3 ein Terminal und geben Sie ping 192.168.3.222 ein.

    • Klicken Sie im Menü AdministrationDebugging auf DEBUG-WERKZEUGE ÖFFNEN , wählen Sie das Werkzeug TCP-Dump, geben Sie den Parameter -i net3 ein und klicken Sie auf SENDEN. In diesem TCP-Dump können Sie verifizieren, ob die ICMP-Pakete am Router ankommen.

    • Geben Sie im Terminal erneut ping 192.168.3.222 ein.

    • Starten Sie erneut einen TCP-Dump, dieses Mal mit dem Parameter -i net2. In diesem TCP-Dump können Sie verifizieren, ob die ICMP-Pakete der PING-Anfrage auch an das IP-Netz net2 weitergeleitet werden und das NAT funktioniert.

  • Prüfen Sie, ob Sie die IP-Adresse des Routers im IP-Netz net2 als Default-Gateway-Adresse für Ihr Endgerät oder alternativ eine statische Route zum IP-Netz net3 in Ihrem Endgerät eingestellt haben. Wenn nicht, müssen Sie eine Masquerade-Source-NAT-Regel für IP-Netz net2 anlegen.