|
|
| (15 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| == Übersetzung von Netzwerkadressen == | | '''topic''' - Kurzbeschreibung |
| | == Beschreibung == |
| | ; Übersetzung von Netzwerkadressen |
| Network Address Translation (abgekürzt als NAT) ist eine Möglichkeit, externe und interne Netzwerke (WANs und LANs) zu trennen. und um eine externe IP zwischen Clients im internen Netzwerk zu teilen. NAT kann auf IPv4 und IPv6 verwendet werden. Für IPv6, [https://docs.opnsense.org/manual/nptv6.html Die Netzwerkpräfixübersetzung ]ist ebenfalls verfügbar. | | Network Address Translation (abgekürzt als NAT) ist eine Möglichkeit, externe und interne Netzwerke (WANs und LANs) zu trennen. und um eine externe IP zwischen Clients im internen Netzwerk zu teilen. NAT kann auf IPv4 und IPv6 verwendet werden. Für IPv6, [https://docs.opnsense.org/manual/nptv6.html Die Netzwerkpräfixübersetzung ]ist ebenfalls verfügbar. |
| Die meisten der folgenden Optionen verwenden drei verschiedene Adressen: die Quell-, Ziel- und Umleitungsadresse. Diese Adressen werden für Folgendes verwendet: | | Die meisten der folgenden Optionen verwenden drei verschiedene Adressen: die Quell-, Ziel- und Umleitungsadresse. Diese Adressen werden für Folgendes verwendet: |
| Zeile 16: |
Zeile 18: |
| * Das Deaktivieren von pf deaktiviert auch NAT | | * Das Deaktivieren von pf deaktiviert auch NAT |
|
| |
|
| == Begriffe ==
| | ; Begriffe |
| === BINAT ===
| |
| NAT funktioniert im Allgemeinen in eine Richtung. Wenn Sie jedoch über Netzwerke gleicher Größe verfügen, können Sie auch BINAT verwenden bidirektional. Dies kann Ihre Einrichtung vereinfachen. Wenn Sie keine Netzwerke gleicher Größe haben, können Sie nur normales NAT verwenden.
| |
| | |
| === NAT-Reflektion ===
| |
| Wenn ein Client im internen Netzwerk versucht, auf einen anderen Client zuzugreifen, aber die externe IP verwendet Anstelle der internen (die am logischsten wäre), kann die NAT-Reflektion diese Anfrage so umschreiben, dass sie verwendet die interne IP, um Umwege zu vermeiden und Regeln für den tatsächlichen Außenverkehr anzuwenden.
| |
| Hinweis
| |
| Die mit der Aktivierung der generierten NAT-Regeln NAT-Reflektion umfassen nur Netzwerke, die direkt mit Ihrem directly verbunden sind Firewall. Das heißt, wenn Sie ein privates Netzwerk haben, das von Ihrem LAN getrennt ist, müssen Sie dies mit a . hinzufügen manuelle ausgehende NAT-Regel.
| |
| | |
| === Pool-Optionen ===
| |
| Wenn mehrere IPs zur Auswahl stehen, ermöglicht diese Option die Regulierung, welche IP verwendet wird. Der Standard, Round Robin, verteilt Pakete einfach an einen Server nach dem anderen. Wenn Sie nur eine externe haben IP, diese Option hat keine Auswirkung.
| |
| | |
| == Portweiterleitung ==
| |
| Wenn mehrere Clients eine externe IP-Adresse teilen, wird jede Verbindung, die nicht von einem der Clients initiiert wurde, nicht erfolgreich sein, da die Firewall nicht weiß, wohin sie den Datenverkehr senden soll. Dies kann durch Erstellen von Ports behoben werden Weiterleitungsregeln. Damit beispielsweise ein Webserver hinter der Firewall erreichbar ist, müssen die Ports 80 und 443 and darauf umgeleitet werden.
| |
| Portweiterleitung wird auch als „Destination NAT“ oder „DNAT“ bezeichnet.
| |
| In OPNsense kann die Portweiterleitung eingerichtet werden, indem Sie zu navigieren Firewall ‣ NAT ‣ Port Forward . Hier siehst du eine Übersicht über die Portweiterleitungsregeln. Neue Regeln können durch Klicken auf hinzugefügt werden Hinzufügen in der oberen rechten Ecke .
| |
| Beim Hinzufügen einer Regel stehen die folgenden Felder zur Verfügung:
| |
| | |
| {| class="wikitable sortable options" | | {| class="wikitable sortable options" |
| |- | | |- |
| | Deaktiviert || Deaktivieren Sie diese Regel, ohne sie zu entfernen.
| | ! Option !! Beschreibung |
| |- | | |- |
| | Kein RDR (NICHT) || Erstellen Sie keine Umleitungsregel. Lassen Sie dies deaktiviert, es sei denn, Sie wissen, was Sie tun. | | | BINAT || NAT funktioniert im Allgemeinen in eine Richtung. Wenn Sie jedoch über Netzwerke gleicher Größe verfügen, können Sie auch BINAT verwenden bidirektional. Dies kann Ihre Einrichtung vereinfachen. Wenn Sie keine Netzwerke gleicher Größe haben, können Sie nur normales NAT verwenden. |
| |- | | |- |
| | Schnittstelle || Für welche Schnittstelle diese Regel gelten soll. Meistens wird dies WAN sein. | | | NAT-Reflektion || Wenn ein Client im internen Netzwerk versucht, auf einen anderen Client zuzugreifen, aber die externe IP verwendet Anstelle der internen (die am logischsten wäre), kann die NAT-Reflektion diese Anfrage so umschreiben, dass sie verwendet die interne IP, um Umwege zu vermeiden und Regeln für den tatsächlichen Außenverkehr anzuwenden. |
| |-
| | ; Hinweis |
| | TCP/IP-Version || IPv4, IPv6 oder beides.
| | Die mit der Aktivierung der generierten NAT-Regeln NAT-Reflektion umfassen nur Netzwerke, die direkt mit Ihrem directly verbunden sind Firewall. Das heißt, wenn Sie ein privates Netzwerk haben, das von Ihrem LAN getrennt ist, müssen Sie dies mit a . hinzufügen manuelle ausgehende NAT-Regel. |
| |-
| |
| | Protokoll || In typischen Szenarien ist dies TCP.
| |
| |- | | |- |
| | Quelle || Woher der Verkehr kommt. Klicken Sie auf „Erweitert“, um die anderen Quelleinstellungen anzuzeigen. | | | Pool-Optionen || Wenn mehrere IPs zur Auswahl stehen, ermöglicht diese Option die Regulierung, welche IP verwendet wird. Der Standard, Round Robin, verteilt Pakete einfach an einen Server nach dem anderen. Wenn Sie nur eine externe haben IP, diese Option hat keine Auswirkung. |
| |-
| |
| | Quelle / Invertieren || Invertieren Sie die Übereinstimmung im Feld "Quelle".
| |
| |-
| |
| | Quellportbereich || Gegebenenfalls der Quellport, auf den wir abgleichen sollen. Dies ist normalerweise zufällig und entspricht fast nie dem Zielportbereich (und sollte normalerweise 'any' sein). | |
| |-
| |
| | Ziel / Invertieren || Invertieren Sie die Übereinstimmung im Feld "Ziel".
| |
| |-
| |
| | Ziel || Wohin der Verkehr geht.
| |
| |-
| |
| | Zielportbereich || Serviceport(s), den/die der Datenverkehr verwendet
| |
| |-
| |
| | Ziel-IP umleiten || Wohin der Verkehr umgeleitet werden soll.
| |
| |-
| |
| | Zielport umleiten || Welcher Port soll verwendet werden (bei Verwendung von TCP und/oder UDP)
| |
| |-
| |
| | Pool-Optionen || Siehe „Einige Begriffe erklärt“. Standardmäßig wird Round-Robin verwendet.
| |
| |-
| |
| | Beschreibung || Eine Beschreibung, um die Regel in der Übersicht leicht zu finden.
| |
| |-
| |
| | Lokales Tag setzen || Legen Sie ein Tag fest, nach dem andere NAT-Regeln und -Filter suchen können.
| |
| |-
| |
| | Lokales Tag abgleichen || Suchen Sie nach einem Tag, das von einer anderen Regel festgelegt wurde.
| |
| |-
| |
| | Keine XMLRPC-Synchronisierung || Verhindern, dass diese Regel mit einem Backup-Host synchronisiert wird. (Dies auf dem Backup-Host zu überprüfen hat keine Auswirkung.)
| |
| |-
| |
| | NAT-Reflexion || Siehe „Einige Begriffe erklärt“. Belassen Sie dies auf der Standardeinstellung, es sei denn, Sie haben einen guten Grund, dies nicht zu tun.
| |
| |-
| |
| | Filter rule association || Verknüpfen Sie dies mit einer regulären Firewall-Regel.
| |
| |} | | |} |
|
| |
|
| == Eins-zu-eins == | | == Siehe auch == |
| Eins-zu-eins-NAT übersetzt, wie der Name schon sagt, zwei IPs eins-zu-eins und nicht wie üblich eins-zu-viele. In dieser Hinsicht ähnelt es dem, was NPT für IPv6 tut.
| |
| In OPNsense kann One-to-One-NAT eingerichtet werden, indem Sie zu navigieren Firewall ‣ NAT ‣ One-to-One . Hier sehen Sie ein Überblick über die Eins-zu-eins-Regeln. Neue Regeln können durch Klicken auf hinzugefügt werden Hinzufügen in der oberen rechten Ecke .
| |
| Beim Hinzufügen einer Regel stehen die folgenden Felder zur Verfügung:
| |
|
| |
|
| {| class="wikitable sortable options" | | {{Special:PrefixIndex/{{BASEPAGENAME}}}} |
| |-
| | === Sicherheit === |
| || Deaktiviert
| | === Dokumentation === |
| || Deaktivieren Sie diese Regel, ohne sie zu entfernen.
| | ==== RFC ==== |
| |-
| | ==== Man-Page ==== |
| || Schnittstelle
| | ==== Info-Pages ==== |
| || Für welche Schnittstelle diese Regel gelten soll. Meistens wird dies WAN sein.
| | === Links === |
| |-
| | ==== Projekt ==== |
| || Art
| | ==== Weblinks ==== |
| || BINAT (Standard) oder NAT. Siehe „Einige Begriffe erklärt“.
| |
| |-
| |
| || Externes Netzwerk
| |
| || Startadresse des externen Netzwerks, das verwendet werden soll, um Adressen von/nach zu übersetzen.
| |
| |-
| |
| || Quelle / invertieren
| |
| || Invertieren Sie die Übereinstimmung im Feld "Quelle".
| |
| |-
| |
| || Quelle
| |
| || Das interne Netzwerk für diese Zuordnung, normalerweise ein [https://nl.wikipedia.org/wiki/RFC_1918 RFC 1918- ]Bereich
| |
| |-
| |
| || Ziel / invertieren
| |
| || Invertieren Sie die Übereinstimmung im Feld "Ziel".
| |
| |-
| |
| || Ziel
| |
| || Die Zielnetzwerkpakete sollten übereinstimmen, wenn sie zum Zuordnen externer Netzwerke verwendet werden, dies ist normalerweise any
| |
| |-
| |
| || Beschreibung
| |
| || Eine Beschreibung, um die Regel in der Übersicht leicht zu finden.
| |
| |-
| |
| || NAT-Reflexion
| |
| || Siehe „Einige Begriffe erklärt“. Belassen Sie dies auf der Standardeinstellung, es sei denn, Sie haben einen guten Grund, dies nicht zu tun.
| |
| |-
| |
| |}
| |
|
| |
|
| == Outbound ==
| |
| Wenn ein Client in einem internen Netzwerk eine ausgehende Anfrage stellt, muss das Gateway die Quell-IP ändern in die externe IP des Gateways, da der externe Server sonst keine Antwort zurücksenden kann.
| |
| Ausgehendes NAT wird auch als „Quell-NAT“ oder „SNAT“ bezeichnet.
| |
| Wenn Sie nur eine externe IP haben, lassen Sie die Outbound-NAT-Optionen auf automatisch. Wenn Sie jedoch mehrere IP-Adressen, möchten Sie vielleicht die Einstellungen ändern und benutzerdefinierte Regeln hinzufügen.
| |
| Die wichtigsten Einstellungen für ausgehende Daten sind wie folgt:
| |
|
| |
|
| {| class="wikitable sortable options"
| |
| |-
| |
| || Automatische Generierung von ausgehenden NAT-Regeln
| |
| || Der Standard. Folgt dem oben beschriebenen Verhalten und ist für die meisten Szenarien geeignet.
| |
| |-
| |
| || Manuelle Generierung von ausgehenden NAT-Regeln
| |
| || Es werden keine automatischen Regeln generiert. Sie können manuell hinzugefügt werden.
| |
| |-
| |
| || Generierung von hybriden ausgehenden NAT-Regeln
| |
| || Automatische Regeln werden hinzugefügt, es können jedoch auch zusätzliche manuelle Regeln hinzugefügt werden.
| |
| |-
| |
| || Deaktivieren Sie die Generierung von ausgehenden NAT-Regeln
| |
| || Deaktiviert ausgehendes NAT. Dies wird beispielsweise für [https://docs.opnsense.org/manual/how-tos/transparent_bridge.html transparente Brücken verwendet ].
| |
| |-
| |
| |}
| |
| Neue Regeln können durch Klicken auf hinzugefügt werden Hinzufügen in der oberen rechten Ecke .
| |
| Beim Hinzufügen einer Regel stehen die folgenden Felder zur Verfügung:
| |
|
| |
|
| {| class="wikitable sortable options"
| |
| |-
| |
| || Deaktiviert
| |
| || Deaktivieren Sie diese Regel, ohne sie zu entfernen.
| |
| |-
| |
| || Nicht NAT
| |
| || Deaktivieren Sie NAT für den gesamten Datenverkehr, der dieser Regel entspricht. Lassen Sie dies deaktiviert, es sei denn, Sie wissen, was Sie tun.
| |
| |-
| |
| || Schnittstelle
| |
| || Für welche Schnittstelle diese Regel gelten soll. Meistens wird dies WAN sein.
| |
| |-
| |
| || TCP/IP-Version
| |
| || IPv4 oder IPv6
| |
| |-
| |
| || Protokoll
| |
| || In typischen Szenarien ist dies TCP.
| |
| |-
| |
| || Quelle invertieren
| |
| || Invertieren Sie die Übereinstimmung im Feld "Quelle".
| |
| |-
| |
| || Quelle
| |
| || Das passende Quellnetzwerk
| |
| |-
| |
| || Quellport
| |
| || Gegebenenfalls der Quellport, auf den wir abgleichen sollen. Dies ist normalerweise zufällig und entspricht fast nie dem Zielportbereich (und sollte normalerweise 'any' sein).
| |
| |-
| |
| || Zielumkehrung
| |
| || Invertieren Sie die Übereinstimmung im Feld "Ziel".
| |
| |-
| |
| || Ziel
| |
| || Zielnetzwerk zum Abgleichen
| |
| |-
| |
| || Zielhafen
| |
| || Dienstport, den der Datenverkehr verwendet
| |
| |-
| |
| || Übersetzung / Ziel
| |
| || Wohin passende Pakete übersetzt werden sollen.
| |
| |-
| |
| || Log
| |
| || Setzen Sie Pakete, die dieser Regel entsprechen, in die Protokolle. Verwenden Sie dies sparsam, um ein Überlaufen der Protokolle zu vermeiden.
| |
| |-
| |
| || Übersetzung / Port
| |
| || Welcher Port soll auf dem Ziel verwendet werden
| |
| |-
| |
| || Statischer Port
| |
| || Verhindert, dass pf(4) den Quellport von TCP- und UDP-Paketen ändert.
| |
| |-
| |
| || Pool-Optionen
| |
| || Siehe „Einige Begriffe erklärt“. Standardmäßig wird Round-Robin verwendet.
| |
| |-
| |
| || Lokales Tag setzen
| |
| || Legen Sie ein Tag fest, nach dem andere NAT-Regeln und -Filter suchen können.
| |
| |-
| |
| || Lokales Tag abgleichen
| |
| || Suchen Sie nach einem Tag, das von einer anderen Regel festgelegt wurde.
| |
| |-
| |
| || Keine XMLRPC-Synchronisierung
| |
| || Verhindern, dass diese Regel mit einem Backup-Host synchronisiert wird. (Dies auf dem Backup-Host zu überprüfen hat keine Auswirkung.)
| |
| |-
| |
| || Beschreibung
| |
| || Eine Beschreibung, um die Regel in der Übersicht leicht zu finden.
| |
| |-
| |
| |}
| |
| [[Kategorie:OPNsense/Firewall]]
| |
| [[Kategorie:OPNsense/Firewall/NAT]] | | [[Kategorie:OPNsense/Firewall/NAT]] |