ZyXEL ADSL-Router

Comment faire une règle NAT sur un USG

Voici une procédure pour atteindre un serveur qui se trouve en local d’un USG.

Dans notre cas, nous allons rediriger le port 3389 vers un serveur sur le LAN afin de prendre la main à
distance.

La première étape est de faire la règle NAT, afin de rediriger le port souhaité. Ici ce sera le service RDP
qui utilise le port 3389 en TCP.

Voici la création de la règle NAT :

Il faut se rendre dans le menu Network -> NAT -> Add :

Voici la fenêtre qui s’affiche :

12.12.13 Knowledgebase 1 / 4
ZyXEL ADSL-Router

Le champ Rule Name permet de mettre un nom à notre règle NAT.

La Classification sera Virtual Server (simple redirection de port)

Dans Incoming Interface, il faut choisir l’interface externe d’entrée. Ici on choisit le WAN1 car c’est
l’interface que l’on utilise. Il faut faire attention à choisir la bonne interface (WAN1 ou WAN1-PPP si on
fait une connexion PPP depuis l’USG).

Original IP permet de renseigner notre IP publique (uniquement si elle est sur l’interface WAN du
routeur) ou encore une IP publique que l’on a dans un éventuel Pool d’IP publique que notre
fournisseur nous offre. Cette option permet également d’activer la fonction Enable NAT Loopback afin
d’attaquer l’IP publique depuis une machine sur le réseau local et de retomber sur notre serveur.

Mapped IP est l’adresse IP vers laquelle nous voulons rediriger le port. On peut choisir un objet, ou
encore taper l’adresse IP directement.

Port Mapping Type correspond aux ports que nous redirigeons. On peut choisir un service que l’on a
créé, ou rentrer les ports manuellement. On peut également changer le port source dans Original
Service afin de faire du PAT. Exemple : 3390 en Original service, et 3389 en Mapped Service.

Notre règle NAT est maintenant créée.

Il faut désormais créer la règle de Firewall afin d’autoriser notre ouverture de port.

Ici, notre serveur se trouve sur le LAN1.

Il faut se rendre dans le menu Firewall.

Nous ajoutons une règle en cliquant sur Add :

Il faut savoir que le Firewall utilise uniquement des objets. Il va falloir donc créer les objets suivants,
cela se fait directement dans la règle de Firewall en cliquant sur create new object :

12.12.13 Knowledgebase 2 / 4
ZyXEL ADSL-Router

Il faut donc créer un objet adresse afin de renseigner l’IP du serveur :

Une fois validée, la règle à faire est la suivante :

12.12.13 Knowledgebase 3 / 4
ZyXEL ADSL-Router

From WAN to LAN1, en source any (correspond aux IP distantes), Destination le serveur, Service RDP
(port TCP 3389) et enfin Access en Allow. Dans le cas où nous mettons un port source différent du port
destination, il faut toujours ouvrir le port destination Mapped Service dans le Firewall, et non le port
source. Ce sera donc le 3389 et non le 3390 (en TCP).

Voici la règle de Firewall une fois validée :

Le serveur est désormais accessible depuis l’extérieur.

Si cela ne fonctionne pas, voici quelques pistes de vérification :

Vérifier que la passerelle du serveur, est bien l’adresse IP LAN1 de l’USG.

Vérifier également que le service de prise en main sur le serveur est activé.

Vérifier que vous n’ayez pas de Firewall (exemple : parefeu Windows) sur le serveur qui peut bloquer
l’accès.

12.12.13 Knowledgebase 4 / 4