PRTG durch die Firewall verbinden
in 4 Schritten

 

Core Server von außen erreichen

Sie haben PRTG in Ihrem internen Netzwerk mit Ihrer privaten IP-Adresse eingerichtet, z. B. 192.168.0.100. Alles funktioniert gut, aber jetzt möchten Sie Ihren PRTG Core Server auch über das Internet von einem anderen Computer aus erreichen. Für die mobile Netzwerk-Überwachung können Sie die mobilen PRTG Apps nutzen. 

Bevor dies möglich ist, müssen Sie jedoch sicherstellen, dass Sie auf Ihren PRTG Core Server von außen und auch über Ihre Firewall zugreifen können.

 

1. PRTG Webserver vorbereiten

 

Da Sicherheit das A und O ist, müssen Sie zunächst dafür sorgen, dass sich niemand sonst bei Ihrer PRTG Instanz anmelden kann. Dazu müssen Sie das Kennwort für das Standard-Administratorkonto (dies ist standardmäßig prtgadmin) ändern, wenn Sie dies noch nicht getan haben. 

Um zu überprüfen, ob Sie das Standardkennwort noch verwenden, gehen Sie im PRTG Web-Interface einfach zu Konfiguration | Kontoeinstellungen | Mein Konto, Abschnitt Benutzerkonto. Wenn in den Feldern Anmeldename und Kennwort prtgadmin steht, klicken Sie auf Neues Kennwort eingeben, um es entsprechend zu ändern.

 

Sie möchten von außen sicherlich nicht über unsicheres HTTP auf Ihre PRTG Instanz zugreifen. Deshalb sollten Sie sicherstellen, dass PRTG bei allen Verbindungen mit dem PRTG Web-Interface für die Verwendung von HTTPS konfiguriert ist. HTTP ist ebenfalls möglich, aber nicht empfohlen.

Wählen Sie dazu Sicherer HTTPS-Server als TCP-Port (Transmission Control Protocol) für eingehende Webserver-Anforderungen unter Konfiguration | Systemverwaltung | Web-Interface, Abschnitt Webserver.

 

2. Optionale Einstellungen

 
 

DNS-Namen konfigurieren

Optional können Sie einen DNS-Namen konfigurieren, der mit der gewünschten „öffentlichen“ Adresse übereinstimmt, die Sie für den Zugriff auf das PRTG Web-Interface verwenden, z. B. prtgserver.mydomain.tld. Geben Sie den DNS-Namen ein unter Konfiguration | Systemverwaltung | Web-Interface, Abschnitt Webseite.

 

 

Configure an SSL Certificate

SSL-Zertifikat konfigurieren

PRTG wird mit einem selbstsignierten SSL-Zertifikat ausgeliefert. Wenn Sie Ihren Webserver für die Verwendung von HTTPS konfiguriert haben, zeigt Ihr Browser eine Zertifikatwarnung an, wenn Sie auf das PRTG Web-Interface zugreifen. Um diese Warnung zu entfernen, müssen Sie Ihr eigenes vertrauenswürdiges Zertifikat von einer Zertifizierungsstelle (Certificate Authority, CA) abrufen. Weitere Informationen finden Sie unter Verwenden eines eigenen SSL-Zertifikats mit dem PRTG-Webserver (engl.) im PRTG Handbuch.

 

 

3. NAT-Regeln für Ihr Netzwerk festlegen

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Um Ihre PRTG Core-Server-Installation von außen zu erreichen, müssen Sie die erforderlichen Ports in Ihrer Firewall öffnen oder weiterleiten. Dazu müssen Sie NAT-Regeln (Network Access Translation) für diese Ports erstellen.

Die Angabe von NAT-Regeln in Ihrer Firewall kann je nach verwendetem Hersteller sehr unterschiedlich sein. Lesen Sie daher in den Dokumentationen nach, die mit Ihrem Gerät oder Modell geliefert wurden.

In unserem Beispiel, wenn PRTG auf einem Server mit der IP-Adresse 192.168.0.100 ausgeführt wird, könnten die NAT-Regeln etwa wie folgt aussehen:

 

Regel

Quell-IP
(WAN)

Quell-Port (WAN)

Ziel-IP
(LAN)

Ziel-Port
(LAN)

Protokoll

HTTP PRTG

0.0.0.0
(all-nets)

80

192.168.0.100

80

TCP
HTTPS PRTG

0.0.0.0
(all-nets)

443

192.168.0.100

443 TCP

 

Die Regel für HTTP ist optional, macht die Dinge jedoch viel einfacher. Wenn Sie prtgserver.mydomain.tld in Ihrem Browser eingeben, wird zunächst versucht, die Website über HTTP zu erreichen. Hinweis: Wenn Sie die NAT-Regel für HTTP nicht erstellen möchten, müssen Sie stattdessen jedes Mal https://prtgserver.mydomain.tld eingeben.

Stellen Sie außerdem sicher, dass Ihre Windows-Firewall entweder auf dem PRTG Server deaktiviert ist oder Sie die entsprechenden Regeln erstellt haben.

Das ist alles! Sie können Ihre PRTG Installation jetzt unterwegs über die PRTG Mobil-Apps überwachen oder über das Internet von anderen Clients aus auf das PRTG Web-Interface zugreifen. Weitere Informationen zur Verwendung unserer mobilen PRTG Apps finden Sie unter PRTG Apps für mobile Netzwerküberwachung (engl.) im PRTG Handbuch.

 

 

4. Plus: PRTG Remote Probe verbinden

 

Wenn Sie eine oder mehrere PRTG Remote Probes (siehe How-to guide) außerhalb Ihres LAN installieren, um Ihr Netzwerk von verschiedenen Standorten aus zu überwachen, initiieren diese Remote Probes die Verbindung zum PRTG Core Server.

 

Aus diesem Grund müssen Sie dem PRTG Core Server erlauben, eingehende Remote-Probe-Verbindungen zu akzeptieren.

Gehen Sie in Ihrer PRTG Core-Server-Installation zu Konfiguration | Systemverwaltung | Server & Probes. Unter Einstellungen für Probe-Verbindungen wählen Sie Alle auf diesem Computer verfügbaren IPs aus, um festzulegen, dass der Server alle IPs für eingehende Probe-Verbindungen akzeptiert.

Geben Sie unter Zugelassene IPs die IP-Adressen der Clients ein, auf denen Sie Ihre Remote Probes installieren möchten, oder geben Sie any ein, um jede beliebige IP-Adresse zuzulassen.

 

Sie müssen auch zulassen, dass Ihre Remote Probes durch Ihre Windows-Firewall kommunizieren. Die Vorgehensweise hierzu ist je nach System unterschiedlich.

Ein Beispiel für Windows 10:
Klicken Sie in den Einstellungen der Windows-Sicherheit bei Firewall- & Netzwerkschutz auf Zugriff von App durch Firewall zulassen. Klicken Sie in dem geöffneten Fenster auf Einstellungen ändern. Aktivieren Sie die Kontrollkästchen bei Remotedienstverwaltung und Öffentlich in der entsprechenden Zeile. Klicken Sie auf OK, um Ihre Einstellungen zu speichern.

 

 

 

 

 

 

 

 

 

 

Da die Remote Probes die Verbindung zum Core Server initiieren, müssen Sie auch den Port öffnen oder weiterleiten, der für Remote-Probe-Verbindungen in der Firewall verwendet wird. Dies ist standardmäßig der TCP-Port 23560.

Erstellen der folgenden NAT-Regel:

Regel

Quell-IP
(WAN)

Quell-Port (WAN)

Ziel-IP
(LAN)

Ziel-Port
(LAN)

Protokoll

Remote Probe PRTG

0.0.0.0
(all-nets)

23560

192.168.0.100

23560

TCP

 

Geschafft! Jetzt können Sie über Ihre Remote Probes Ihre Remote-Standorte, etwa Zweigstellen, überwachen, ohne dass Firewalls die Verbindungen verhindern.

 

Dieser How-to Guide kratzt nur an der Oberfläche?
Dann tauchen Sie hier noch tiefer in PRTG ein!

 

Unser Blog informiert über SonicWall-Monitoring

Mehr lesen

In unserer Knowledge Base erfahren Sie alles zu FortiGate-Firewalls

Mehr lesen

Die Remote-Probe-Installation in unserem Manual

Mehr lesen