ZyXEL ZyWALL 110 DMZ uden NAT samtidigt med NAT på LAN

Ja, det er ren go’ NAT :-).

NAT står for Network Address Translation og er den teknik der gør at du kan have et enkelt offentligt IP-nummer, mens du internt på dit netværk (LAN) bruger interne, private IP-adresser som fx 192.168.x.x.

En del af NAT er så at du kan mappe fx offentligt ip-nummer, port 8080 til et internt, privat ip-nummer, port 80 mv.

 

Vil man gerne alt det, men samtidigt OGSÅ har et routet netværk med offentlige IP-numre (typisk noget man tilkøber hvis man skal drive flere servere), som man gerne vil route til et andet internt LAN eller DMZ – ja så er det ikke super logisk lige at opsætte på en ZyXEL ZyWALL 110 – og da jeg ikke har kunnet google det, deler jeg lige den opsætning jeg har fundet:

Grunden til misæren er at NAT er noget man slår til på WAN-interfacet – og ikke er noget man kan slå fra på DMZ interfacet. Samtidigt er ZyWALL’en ikke intelligent nok til at se at det er rigtige IP-numre (altså ikke private IP-numre) man har opsat på sit DMZ og derfor kører den NAT på retursvaret. Det betyder at du fint nok kan kontakte din server på dens offentlige IP-adresse, men at svaret kommer retur fra routerens WAN-adresse og ikke fra serverens offentlige IP-adresse – og det er mildest talt noget rod.

Fremgangsmåden er:

  1. Din ISP skal både tildele dig en WAN-adresse og et offentligt routet IP-subnet.
  2. På din ZyWALL bruger du den tildelte WAN-adresse og opsætter det offentligt routede IP-subnet på dit DMZ-interface. Husk at første og sidste adresse i sådan et IP-subnet er hhv. netværkets adresse og broadcast adressen. Dem må du ikke tildele til noget! Routeren skal på sit DMZ-interface have et IP-nummer fra subnettet og dine servere (tilsluttet DMZ-stikket i routeren) kan så bruge de andre (de skal jo så have gateway = routerens IP på DMZ-interfacet og netværkets subnet).
  3. Så kommer magien: Man kan ikke overbevise Zywall’en om at den ikke skal køre NAT på retursvaret fra dine servere, men man kan bede den om at lave en “Many 1:1 NAT” – dvs. i praksis mappe dine offentlige ip-numre 1:1 til samme offentlige ip-nummer – og dermed er det problem løst:
    DMZudenNAT
Skriv gerne hvis du har en mere elegante løsninger på samme problem.

Bemærk: Denne vejledning er skrevet til og testet på en ZyXEL ZyWALL 110 HP VPN Firewall med firmwaren 4.13 (AAAA.0) C0, men også burde fungerer på disse routere:

  • ZyXEL ZyWALL 310
  • ZyXEL ZyWALL1100
  • ZyXEL USG40
  • ZyXEL USG40W
  • ZyXEL USG60
  • ZyXEL USG60W
  • ZyXEL USG110
  • ZyXEL USG210
  • ZyXEL USG310
  • ZyXEL USG1100
  • ZyXEL USG1900

Skriv et svar