{"id":650,"date":"2016-06-16T17:54:09","date_gmt":"2016-06-16T15:54:09","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=650"},"modified":"2016-06-17T11:57:02","modified_gmt":"2016-06-17T09:57:02","slug":"dynamic-nat-und-nicht-rfc-1918-adressen","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2016\/06\/dynamic-nat-und-nicht-rfc-1918-adressen\/","title":{"rendered":"Dynamic NAT und Nicht-RFC-1918-Adressen"},"content":{"rendered":"<p>Eine Default WatchGuard Konfigurationsdatei, die per Setup Wizard erstellt wurde, geht davon aus, dass in einem LOKALEN Netzwerk (Trusted oder Optional) entweder RFC-konforme <strong>Private IP-Adressen nach RFC 1918<\/strong> verwendet werden &#8211; also ein beliebiges Subnet innerhalb der Bereiche 10.0.0.0\/8, 172.16.0.0\/12 oder 192.168.0.0\/16 &#8211; oder korrekt geroutete \u00f6ffentliche IP-Adressen! Nur dann funktioniert der &#8220;Internet-Zugriff&#8221; auf Anhieb!<br \/>\nVerwenden Sie jedoch &#8211; meist aus &#8220;historischen Gr\u00fcnden&#8221; &#8211; in Ihrem lokalen Netzwerk <strong>&#8220;verbogene&#8221; \u00f6ffentliche IP-Adressen<\/strong> (also zum Beispiel: 192.1.1.0\/24) &#8211; m\u00fcssen Sie folgende Einstellung im Policy Manager bearbeiten, damit die regul\u00e4re Internet-Nutzung \u00fcberhaupt erst m\u00f6glich wird: <em>Network &gt; NAT &gt; Dynamic NAT<\/em>.<br \/>\nF\u00fcgen Sie dort Ihren &#8220;verbogenen&#8221; lokalen IP-Bereich hinzu. Hierbei kann auch eine bestimmte Quell-IP festgelegt werden. Wird nichts definiert, wird die Primary IP des Interfaces verwendet, \u00fcber das das Datenpaket gem\u00e4\u00df Routing Table die WatchGuard verl\u00e4sst:<\/p>\n<p><a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dynamic-nat-1.png\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-695 size-medium alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dynamic-nat-1-300x297.png\" alt=\"WatchGuard Dynamic NAT 1\" width=\"300\" height=\"297\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dynamic-nat-1-300x297.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dynamic-nat-1-150x150.png 150w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dynamic-nat-1.png 406w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/a>\u00a0 \u00a0<a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dynamic-nat-2.png\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-692 size-medium aligntop\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dynamic-nat-2-300x161.png\" alt=\"WatchGuard Dynamic NAT 2\" width=\"300\" height=\"161\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dynamic-nat-2-300x161.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dynamic-nat-2.png 469w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/a>\u00a0\u00a0\u00a0<a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dynamic-nat-3.png\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-693 size-medium alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dynamic-nat-3-300x297.png\" alt=\"WatchGuard Dynamic NAT 3\" width=\"300\" height=\"297\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dynamic-nat-3-300x297.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dynamic-nat-3-150x150.png 150w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dynamic-nat-3.png 406w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/a><\/p>\n<p><strong>Technischer Hintergrund:<\/strong> Nur wenn die Quell-IP-Adresse in den Headern von ausgehenden IP-Paketen in den hier definierten Bereichen liegt, wendet die WatchGuard Firebox beim Durchfluss der Datenpakete Richtung Internet auch die erforderlichen <strong>NAT-Regeln<\/strong> an, ersetzt also die eigentliche Quell-IP-Adresse (des Client-PC) durch die korrekte \u00f6ffentliche IP-Adresse der Firewall. Nur dann k\u00f6nnen die Daten aus dem Internet auch den korrekten Weg zu unserem lokalen Netzwerk zur\u00fcck finden! &#8211; OHNE die NAT-Regel w\u00fcrde der angesprochene Server im Internet unsere Anfrage zwar erhalten &#8211; und sogar darauf antworten (!) &#8211; allerdings w\u00fcrden die Router im Internet die Antwort wegen ihrer Routing Tables sonstwohin schicken (S\u00fcdamerika, Australien, Timbuktu&#8230;) &#8211; nur nicht zu uns, da die Router gar nicht wissen K\u00d6NNEN, dass &#8220;wir&#8221; diese IP-Adressen &#8220;illegalerweise&#8221; in unserem lokalen Netzwerk in Hintertupfingen verwenden&#8230; \ud83d\ude42<\/p>\n<p><strong>Fazit:<\/strong> o.g. NAT-Regel anpassen &#8211; oder daf\u00fcr sorgen, dass in Ihrem lokalen Netzwerk KORREKTE private IP-Adressen nach RFC 1918 verwendet werden&#8230;<\/p>\n<p><em>Dieser Artikel wurde erstmals am 11.12.2008 im &#8220;Technischen WatchGuard-Blog von Bernd Och&#8221; ver\u00f6ffentlicht. Hierher verschoben und aktualisiert in 2016.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine Default WatchGuard Konfigurationsdatei, die per Setup Wizard erstellt wurde, geht davon aus, dass in einem LOKALEN Netzwerk (Trusted oder Optional) entweder RFC-konforme Private IP-Adressen nach RFC 1918 verwendet werden &#8211; also ein beliebiges Subnet innerhalb der Bereiche 10.0.0.0\/8, 172.16.0.0\/12 oder 192.168.0.0\/16 &#8211; oder korrekt geroutete \u00f6ffentliche IP-Adressen! Nur dann funktioniert der &#8220;Internet-Zugriff&#8221; auf Anhieb! Verwenden Sie jedoch &#8211; meist aus &#8220;historischen Gr\u00fcnden&#8221; &#8211; in &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2016\/06\/dynamic-nat-und-nicht-rfc-1918-adressen\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">Dynamic NAT und Nicht-RFC-1918-Adressen<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[38,37,40,39],"class_list":["post-650","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-dynamic-nat","tag-nat","tag-private-ip-adressen","tag-rfc-1918"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/650"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=650"}],"version-history":[{"count":15,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/650\/revisions"}],"predecessor-version":[{"id":735,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/650\/revisions\/735"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=650"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=650"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=650"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}