UDP hole punching bei Hardware Firewall aktivieren

Möchten Sie mehrere Clients/Server in das oneclick™ Mesh Netzwerk aufnehmen und haben eine Hardware Firewall im Einsatz?

Dann müssen Sie damit die Verbindung über den oneclick™ Mesh Client ordnungsgemäß aufgebaut wird folgende Schritte ausführen:

Sollten Sie den Mesh-Client schon im Einsatz haben: IP-Adressen des Geräts in der Firewall löschen
UDP hole punching in Ihrer Firewall aktivieren (bzw. symmetrisches NAT,PAT, overload NAT, dynamic NAT oder port randomization deaktivieren)
oneclick™ IP-Adressen whitelisten
Port Weiterleitung bei Verwendung mehrerer Clients einrichten
Konnektivität im oneclick™ Admin überprüfen
Sollten Sie den Mesh-Client schon im Einsatz haben: oneclick Mesh Service Neustarten

1. IP-Adresse des Geräts in der Firewall löschen (optional)

Haben Sie den Mesh-Client bereits im Einsatz und Sie möchten "UDP hole punching" im Nachhinein aktivieren, müssen Sie die IP-Adresse des Geräts in der Firewall löschen, UDP hole punching aktivieren und danach den oneclick Mesh Service auf dem Windows Gerät Neustarten.

Gehen Sie in Ihre Firewall, wählen in der pfSense Plus Diagnostics und dann States.
Hier sind alle Verbindungen aufgeführt. Tragen Sie unter „Filter expression“ die IP-Adresse von Ihrem Gerät und den entsprechenden Port ein z.B. 10.0.0.11:4242. Klicken Sie dann auf Filter.
Löschen Sie alle Einträge, die Ihnen angezeigt werden, indem Sie auf die Mülltonne rechts des Eintrags klicken.

2. UDP hole punching aktivieren

Im Folgenden zeigen wir Ihnen die Einstellungen, die wir mit einer pfSense Plus Firewall (Contabo Server / System: Netgate 3100 / Version 22.05-RELEASE (arm)) getestet haben.

Loggen Sie sich in Ihrer pfSense Plus Firewall ein.
Überprüfen Sie auf Ihrem Dashboard Ihre aktuelle Softwareversion. Klicken Sie auf das Aktualisierungs-Symbol.
Gehen Sie im Reiter Firewall auf NAT.
Klicken Sie auf Ausgehend, wählen Sie den Hybride Erzeugung der NAT-Regeln Modus und klicken auf Speichern.
Tragen Sie unter „Mapping“ die Daten für jeden Client ein, den Sie an oneclick™ anbinden möchten und der sich hinter Ihrer Firewall befindet.
1. Klicken Sie auf Hinzufügen.
2. Tragen Sie unter Schnittstelle WAN ein.
3. Bei der Adressfamilie wählen Sie IPv4 aus.
4. Wählen Sie als Protokoll UDP aus.
5. Im Abschnitt „Quelle“ tragen Sie als „Typ“ Netzwerk und in dem Feld rechts daneben die interne IP-Adresse Ihres Endgerätes ein.
6. Geben Sie den Port 4242 an.
7. Im Bereich „Übersetzung“ tragen Sie den Port für NAT ein. Wir empfehlen den NAT Port für Ihre Geräte fortlaufend zu nummerieren z.B. 42420, 42421 etc. Beginnen Sie also mit 42420.
8. Im Bereich „Div“ können Sie eine Beschreibung wählen. Verwenden Sie beispielsweise RDSH01 Mesh.
9. Klicken Sie auf Speichern.

3. oneclick™ IP-Adressen whitelisten

Gehen Sie dafür im Reiter Firewall auf Aliase.
Wählen Sie Alle und klicken Sie auf Hinzufügen.
Tragen Sie einen Namen und eine Beschreibung ein, z.B. oneclick_Whitelist.
Wählen Sie als „Typ“ Host(s).
Tragen Sie die IP-Adressen für das oneclick™ Mesh und die Outgoing IP-Adresse für Ihr Rechenzentrum ein.
Klicken Sie auf Speichern.

4. Port Weiterleitung einrichten bei Verwendung mehrere Clients (optional)

Gehen Sie im Reiter Firewall auf NAT.
Wählen Sie Port Weiterleitung und klicken auf Hinzufügen.
Tragen Sie unter Schnittstelle WAN ein.
Bei der Adressfamilie wählen Sie IPv4 aus.
Wählen Sie als Protokoll TCP/UDP aus.
Klicken Sie unter „Quelle“ auf Zeige Erweiterte.
Im Abschnitt „Quelle“ tragen Sie als „Typ“ Einzelner Host oder Alias und in dem Feld rechts daneben die „Adresse“ oneclick_Whitelist ein.
Sie im „Quellportbereich“ Alle.
Wählen Sie als „Ziel“ die WAN Adresse.
Wählen Sie beim „Zielportbereich“ Anderer und tragen daneben Ihren Übersetzungsport von oben ein z.B. 40420.
Wählen Sie unter „Umleitungsziel-IP“ Einzelner Host und tragen erneut die interne IP-Adresse Ihres Geräts ein.
Beim „Umleitungszielport“ können Sie Andere wählen und wieder den Port 4242 eintragen.
Zur Übersichtlichkeit können Sie erneut die gleiche Beschreibung verwenden wie unter „Mapping“, z.B. RDSH01 Mesh.
Wählen Sie unter „Filterregelverknüpfung“ Keine aus.
Klicken Sie auf Speichern.

5. Konnektivität im oneclick™ Admin überprüfen

Ihr Gerät erscheint jetzt in der Zielsystem-Liste. Klicken Sie auf das Synchronisieren-Symbol in der Zeile, um die Konnektivität zu überprüfen.
Erstellen Sie eine App-Konfiguration um den Zugriff auf Ihr Zielsystem zu konfigurieren…
… und erzeugen dann eine App-Instanz für Ihre oneclick™ Benutzer.

6. oneclick Mesh Service Neustarten (optional)

Sie haben den Mesh-Client bereits im Einsatz und haben die IP-Adresse des Geräts in Ihrer Firewall gelöscht (Punkt 1.). Dann starten Sie nach der Aktivierung von "UDP hole punching" den oneclick Mesh Service auf dem Windows Gerät neu oder löschen Sie alternativ den Mesh-Client und installieren Sie ihn erneut.

Suchen Sie im Windows-menü nach "Dienste" und öffnen Sie diese.
Suchen Sie in den Diensten nach "oneclick Mesh Client Manager" und "oneclick Mesh Client Network Service".
Klicken Sie mit der rechten Maustaste auf einen der Einträge, wählen Sie Neustart und wiederholen dies für den zweiten Eintrag.

Alternativ können Sie den Mesh-Client löschen und dann erneut installieren.

1. IP-Adresse des Geräts in der Firewall löschen (optional)​

2. UDP hole punching aktivieren​

3. oneclick™ IP-Adressen whitelisten​

4. Port Weiterleitung einrichten bei Verwendung mehrere Clients (optional)​

5. Konnektivität im oneclick™ Admin überprüfen​

6. oneclick Mesh Service Neustarten (optional)​