DNAT und Firewall-Regeln

In diesem Artikel wird beschrieben, wie man Dienste auf einer VMs in einem VDC vom Internet öffentlich erreichbar machen kann.

Bevor Sie mit dieser Quickstart-Anleitung starten, empfehlen wir Ihnen, zuerst folgende Anleitungen ebenfalls zu lesen:

Ausgangslage

So wie Ihr Netz initial konfiguriert ist, kommt die VM zwar mittels SNAT (Source Network Address Translation) ins Internet, die VM ist jedoch von aussen nicht erreichbar. Um dies zu ermöglichen, und Dienste öffentlich erreichbar zu machen (falls gewünscht), müssen DNAT (Destination Network Address Translation) Regeln sowie Firewall-Regeln auf dem Edge erstellt werden. 

Wir werden in diesem Artikel beschreiben, wie man solche DNAT- und Firewall-Regeln erstellt, um Dienste aus dem Internet erreichbar zu machen

In diesem Beispiel werden wir den Microsoft Remote Desktop (RDP) Dienst freigeben. Dieser läuft auf TCP Port 3389.

ℹ️ HINWEIS

Wir empfehlen nicht, den RDP Dienst öffentlich freizugeben. Diese Anleitung dient lediglich als Beispiel. Wir empfehlen, nur mittels VPN auf solche Dienste zuzugreifen, indem Sie eine VM erstellen mit einer Firewall (z.B. pfSense, OPNsense oder ähnlich) die als VPN-Server dient.

DNAT-Regeln

Der erste Schritt besteht darin, eine DNAT-Regel zu erstellen, welche den Edge Router dazu anweist, ankommende Pakete auf TCP Port 3389 der gewünschten VM weiterzuleiten.

Dazu klicken Sie im vCloud Director unter Netzwerk auf Edges, selektieren den gewünschten Edge-Gateway und klicken auf Dienste:

2022-06-01_14-30-16

Darin selektieren Sie den Reiter NAT:

2022-06-01_14-31-39

Nun klicken Sie auf "+ DNAT-Regel". Dort füllen Sie die Felder wie folgt aus:

Angewendet auf öffentliches Netz (z.B. public.dub-ch-1.C.shared)
Ursprünglicher IP/Bereich eigene öffentliche IP des VDC (mit Auswählen selektieren)
Protokoll TCP
Ursprünglicher Port 3389
Übersetzter IP/Bereich lokale IP der gewünschten VM (z.B. 192.168.1.100)
Übersetzter Port 3389
Quell-IP-Adresse any
Quellport any

 

2022-06-01_14-34-45

Anschliessend klicken Sie auf Behalten.

Nachdem die Regel erstellt wurde, muss sie aktiviert werden, indem Sie auf Änderungen speichern klicken.

2022-06-01_14-40-34

Firewall-Regeln

Der zweite Schritt besteht darin, der mittels DNAT freigegebene Port auch auf der Firewall freizugeben, da diese sonst die ankommenden Pakete verwirft.

Dazu klicken Sie im vCloud Director unter Netzwerk auf Edges, selektieren den gewünschten Edge-Gateway und klicken auf Dienste. Darin selektieren Sie dann Firewall:

2022-06-01_14-44-15

Nun klicken Sie auf "+", um eine neue Firewall-Regel zu erstellen. Es wird eine neue Zeile erstellt in der Tabelle, mit dem Name "Neue Regel."

Dort können Sie durch Anklicken der verschiedenen Felder die Regel definieren, wie folgt:

Name Gewünschter Name der Regel
Quelle Gewünschte Quellen, für die die Regel gelten soll (z.B. das ganze öffentliche Netz, oder dann einzelne Netze oder IPs) und von denen die Verbindung erlaubt ist
Ziel Die öffentliche IP Adresse des VDC, auf der der Dienst verfügbar sein soll
Dienst

Protokoll: TCP
Quellport: any
Zielport: 3389

Aktion Annehmen


Anschliessend werden die Änderungen mit Änderungen speichern gespeichert.

2022-06-01_15-00-45


Die VM ist nun auf TCP Port 3389 vom Internet aus erreichbar.