{"id":2247,"date":"2008-12-11T21:35:00","date_gmt":"2008-12-11T20:35:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/dynamic-nat-und-nicht-rfc-1918-adressen-2\/"},"modified":"2016-08-23T16:01:00","modified_gmt":"2016-08-23T14:01:00","slug":"dynamic-nat-und-nicht-rfc-1918-adressen-2","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2008\/12\/dynamic-nat-und-nicht-rfc-1918-adressen-2\/","title":{"rendered":"Dynamic NAT und Nicht-RFC-1918-Adressen"},"content":{"rendered":"

Im Rahmen meiner heutigen WatchGuard-Schulung kam auch das Thema “Dynamic NAT<\/strong>” zur Sprache. Insofern kurzer Hinweis auf folgende Besonderheit: Per Default geht der WatchGuard Policy Manager davon aus, dass Sie in Ihren LOKALEN Netzwerken (Trusted oder Optional) entweder RFC-konforme Private IP-Adressen nach RFC 1918<\/strong> verwenden – also ein beliebiges Subnet innerhalb der Bereiche 10.0.0.0\/8, 172.16.0.0\/12 oder 192.168.0.0\/16 – oder korrekt geroutete \u00f6ffentliche IP-Adressen! Nur dann funktioniert der “Internet-Zugriff” auf Anhieb!
Verwenden Sie jedoch – meist aus “historischen Gr\u00fcnden” – in Ihrem lokalen Netzwerk “verbogene” \u00f6ffentliche IP-Adressen<\/strong> (also zum Beispiel: 192.1.1.0\/24) – m\u00fcssen Sie folgende Einstellung im Policy Manager bearbeiten, damit die regul\u00e4re Internet-Nutzung \u00fcberhaupt erst m\u00f6glich wird: Network > NAT<\/em>.<\/p>\n

\"\"id=\"BLOGGER_PHOTO_ID_5278638328148458578\"<\/a><\/p>\n

F\u00fcgen Sie dort Ihren “verbogenen” lokalen IP-Bereich hinzu:<\/p>\n

\"\"id=\"BLOGGER_PHOTO_ID_5278638464930864066\"<\/a><\/p>\n

Technischer Hintergrund: Nur wenn die Quell-IP-Adresse in den Headern von ausgehenden IP-Paketen in den hier definierten Bereichen liegt, wendet die WatchGuard Firebox beim Durchfluss der Datenpakete Richtung Internet auch die erforderlichen NAT-Regeln<\/strong> an, ersetzt also die eigentliche Quell-IP-Adresse (des Client-PC) durch die korrekte \u00f6ffentliche IP-Adresse der Firewall. Nur dann k\u00f6nnen die Daten aus dem Internet auch den korrekten Weg zu unserem lokalen Netzwerk zur\u00fcck finden! – OHNE die NAT-Regel w\u00fcrde der angesprochene Server im Internet unsere Anfrage zwar erhalten – und sogar darauf antworten (!) – allerdings w\u00fcrden die Router im Internet die Antwort wegen ihrer Routing Tables sonstwohin schicken (S\u00fcdamerika, Australien, Timbuktu…) – nur nicht zu uns, da die Router gar nicht wissen K\u00d6NNEN, dass “wir” diese IP-Adressen “illegalerweise” in unserem lokalen Netzwerk in Hintertupfingen verwenden… \ud83d\ude42
Fazit:<\/strong> o.g. NAT-Regel anpassen – oder daf\u00fcr sorgen, dass in Ihrem lokalen Netzwerk endlich KORREKTE private IP-Adressen nach RFC 1918 verwendet werden…<\/p>\n","protected":false},"excerpt":{"rendered":"

Im Rahmen meiner heutigen WatchGuard-Schulung kam auch das Thema “Dynamic NAT” zur Sprache. Insofern kurzer Hinweis auf folgende Besonderheit: Per Default geht der WatchGuard Policy Manager davon aus, dass Sie in Ihren LOKALEN Netzwerken (Trusted oder Optional) entweder RFC-konforme Private IP-Adressen nach RFC 1918 verwenden – also ein beliebiges Subnet innerhalb der Bereiche 10.0.0.0\/8, 172.16.0.0\/12 oder 192.168.0.0\/16 – oder korrekt geroutete \u00f6ffentliche IP-Adressen! Nur dann … Weiterlesen Dynamic NAT und Nicht-RFC-1918-Adressen<\/span> »<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[37,140],"class_list":["post-2247","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-nat","tag-policy-manager"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2247"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2247"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2247\/revisions"}],"predecessor-version":[{"id":2419,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2247\/revisions\/2419"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2247"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2247"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2247"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}