IP-Forwarding (1:1 NAT) ermöglicht den Zugriff auf Geräte in anderen Netzwerken des INSYS-Routers.

Die Beschreibung in diesem Configuration Guide folgt einer Konfiguration in der neuen Bedienoberfläche (Web-Interface), die ab icom OS 5.5 zur Verfügung steht. Aktualisieren Sie Ihren Router auf die neueste Version von icom OS für den erforderlichen Funktionsumfang der neuen Bedienoberfläche.

Situation

Der Zugriff auf ein Gerät im lokalen Netzwerk des Routers soll von einem Gerät, dass sich im WAN-Netzwerk des Routers befindet, aus erfolgen. Das lokale Netzwerk des Routers ist vom WAN-Netzwerk aus nicht über Routing erreichbar.

Lösung

Es wird eine zusätzliche IP-Adresse im WAN-Netzwerk eingerichtet und eine NAT-Regel im Router angelegt, die Anfragen, die an diese IP-Adresse gerichtet sind, an die IP-Adresse des Zielgeräts weiterleitet.

Im folgenden Übersichtsbild hat das Zielgerät die Adresse 192.168.2.22 im IP-Netz net2 des Routers. Die zusätzliche IP-Adresse im IP-Netz net3 des Routers hat die Adresse 192.168.3.222.

cg m3 ip forwarding

  1. Öffnen Sie die Bedienoberfläche des Routers in einem Browser: insys.icom [1]

  2. Klicken Sie auf der Seite lan NetzwerkInterfaces unter IP-Netzwerke in der Zeile von IP-Netz net3 auf plus, um dieses zu bearbeiten.

  3. Klicken Sie im Abschnitt Statische IP-Adressen auf plus, um eine statische IP-Adresse hinzuzufügen (achten Sie darauf, eine freie IP-Adresse in diesem Netzwerk zu verwenden):

    • IP-Adresse: 192.168.3.222 / 24

    • Beschreibung: NAT to LAN address
      cg de m3 ip forwarding 01

  4. Klicken sie auf   SPEICHERN  .

  5. Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter Destination-NAT auf plus, um eine Destination-NAT-Regel hinzuzufügen und konfigurieren Sie diese entsprechend:

    • Beschreibung: DNAT rule for IP forwarding from net3 to net2

    • Typ: Destination-NAT

    • Protokoll: Alle

    • Eingehendes Interface: net3

    • Ziel-IP-Adresse: 192.168.3.222 / 32

    • Destination-NAT auf Adresse: 192.168.2.22
      cg de m3 ip forwarding 02

  6. Klicken sie auf   SPEICHERN  .

  7. [Optional] [2] Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter Source-NAT auf plus, um eine Source-NAT-Regel hinzuzufügen und konfigurieren Sie diese entsprechend:

    • Beschreibung: SNAT rule for IP forwarding from net2 to net3

    • Typ: Source-NAT

    • Protokoll: Alle

    • Ausgehendes Interface: net3

    • Absender-IP-Adresse: 192.168.2.22 / 32

    • Source-NAT auf Adresse: 192.168.3.222
      cg de m3 ip forwarding 03

  8. Klicken sie auf   SPEICHERN  .

  9. [Optional] [3] Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter IP-Filter auf plus, um eine IP-Filter-Regel hinzuzufügen und konfigurieren Sie diese entsprechend: [4]

    • Beschreibung: Traffic from net3 to 192.168.2.22

    • Paket-Richtung: FORWARD

    • IP-Version: Alle

    • Protokoll: Alle

    • Eingehendes Interface: net3

    • Ausgehendes Interface: net2

    • Ziel-IP-Adresse: 192.168.2.22 / 32
      cg de m3 ip forwarding 04

  10. Klicken sie auf   SPEICHERN  .

  11. [Optional] [5] Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter IP-Filter auf plus, um eine IP-Filter-Regel hinzuzufügen und konfigurieren Sie diese entsprechend: [6]

    • Beschreibung: Traffic from 192.168.2.22 to net3

    • Paket-Richtung: FORWARD

    • IP-Version: Alle

    • Protokoll: Alle

    • Eingehendes Interface: net2

    • Ausgehendes Interface: net3

    • Absender-IP-Adresse: 192.168.2.22 / 32

    • Ziel-IP-Adresse: 192.168.3.0 / 24
      cg de m3 ip forwarding 05

  12. Klicken sie auf   SPEICHERN  .

  13. Aktivieren Sie das Profil mit einem Klick auf   PROFIL AKTIVIEREN  cog white  .

Erfolgskontrolle

  1. Öffnen Sie auf einem PC in IP-Netz net3 ein Terminal, geben Sie ping 192.168.3.222 ein und beobachten Sie, ob die Gegenstelle antwortet.

Fehlersuche

  • Deaktivieren Sie im Menü lan NetzwerkFirewall / NAT unter Einstellungen IP-Filter die IP-Filter für IPv4, um herauszufinden, ob falsche Filtereinstellungen der Grund für Verbindungsprobleme sind.

  • Gehen Sie wie folgt vor, um sicherzustellen, dass Ping-Anfragen nicht vom Router, sondern vom angesprochenen Gerät beantwortet werden:

    • Öffnen Sie auf einem PC im entfernten Netzwerk net3 ein Terminal und geben Sie ping 192.168.3.222 ein.

    • Klicken Sie im Menü cog AdministrationDebugging auf   DEBUG-WERKZEUGE ÖFFNEN  ladybug white  , wählen Sie das Werkzeug TCP-Dump, geben Sie den Parameter -i net3 ein und klicken Sie auf   SENDEN  . In diesem TCP-Dump können Sie verifizieren, ob die ICMP-Pakete am Router ankommen.

    • Geben Sie im Terminal erneut ping 192.168.3.222 ein.

    • Starten Sie erneut einen TCP-Dump, dieses Mal mit dem Parameter -i net2. In diesem TCP-Dump können Sie verifizieren, ob die ICMP-Pakete der PING-Anfrage auch an das IP-Netz net2 weitergeleitet werden und das NAT funktioniert.

Zurück zu den Configuration Guides für die icom OS-Router

Zurück zur Übersicht

1. Standard-IP-Adresse: 192.168.1.1; Anmeldung je nach Konfiguration; Voreinstellung bei älteren Firmware-Versionen: Benutzername: insys, Kennwort: icom
2. Diese Konfiguration ist optional und wird für dieses Beispiel nicht unbedingt benötigt; sie ermöglicht es, die Verbindung auch von der anderen Seite zu starten, also von net2 aus.
3. Die Firewall-/IP-Filter-Regeln sind nur erforderlich, wenn die IP-Filter aktiviert sind.
4. Diese Filterregel ermöglicht die Übertragung von Datenpaketen aus IP-Netz net3 an die IP-Adresse 192.168.2.22 in IP-Netz net2.
5. Diese Firewall-/IP-Filter-Regel ist nur erforderlich, wenn die IP-Filter aktiviert sind und eine Source-NAT-Regel konfiguriert wurde.
6. Diese Filterregel ermöglicht die Übertragung von Datenpaketen von der IP-Adresse 192.168.2.22 in IP-Netz net3.