NAT设置

• 概述
• 配置NAT设置的方法
• 将MDM服务器暴露到Internet
• 将ManageEngine安全网关暴露到Internet
• 配置NAT设置的步骤
• 修改NAT设置
• 配置安全网关
• 配置安全网关的步骤
• 安全网关的最低硬件要求
• 安装证书
• 验证安全网关
• 故障排除技巧
• 删除安全网关
• 故障排除技巧

概述

要使用Mobile Device Manager Plus管理移动设备，必须保证设备随时可以访问MDM服务器。尽管设备可以访问处于同一网络的MDM服务器，却无法访问外部网络的服务器。由于被管设备都是移动设备，且大部分位于外部网络，为继续管理设备，必须确保设备能够联系MDM服务器。将内部IP地址映射到公共IP地址或FQDN（完全限定域名），能够保证LAN或外部网络中的设备可以访问MDM服务器。这个过程被称为网络地址转换或NAT，是管理组织外网设备的必要步骤。

使用自签名或第三方证书，加密服务器和设备之间的通信，确保网络中的企业数据安全。

推荐使用FQDN，只要内部IP地址发生更改，就会自动映射到FQDN，且无需干预，除非修改NAT设置。另外，第三方证书也能通过FQDN识别服务器。

配置NAT设置的方法

• 将MDM服务器暴露到Internet
• 将ManageEngine安全网关暴露到Internet

将MDM服务器暴露到Internet

MDM服务器应该可以通过公共IP地址访问，您可以配置NAT设置，使发送到公共IP地址的所有请求都重定向到MDM服务器。

LAN设备

如果公共IP和私有IP使用相同的DNS名称，那么局域网内的所有内部请求都将通过内部DNS定向到私有IP，而不会通过公共IP路由。

Internet设备

来自外部网络（如Internet）的设备通过DNS名称到达公网IP地址，并从那里定向到私有IP地址。



将ManageEngine安全网关暴露到Internet

本节将介绍在不向Internet直接暴露MDM服务器的情况下，如何管理移动设备。安全网关可以保护MDM服务器，减少漏洞攻击的风险和威胁。ManageEngine安全网关将代替MDM服务器，暴露于Internet中，充当被管移动设备和MDM服务器之间的中间服务器。如果MDM服务器设置在隔离区（DMZ），则不需要配置安全网关，因为DMZ中的MDM服务器是最安全的。



MDM服务器与APNs/FCM/WNS通信，唤醒移动设备。所有移动设备的通信都将经过安全网关，当设备试图联系MDM服务器时，安全网关将接收所有请求，并重定向到MDM服务器。

配置NAT设置的步骤

配置NAT的步骤如下：

1. （如果您使用的是Endpoint Central中的MDM模块），则点击左侧栏的设置，从下拉菜单中选择NAT，配置NAT设置。
2. （如果您使用的是MDM本地版本），则打开Web控制台，点击管理选项卡。
3. 点击左侧栏的设置，点击NAT设置。
4. Mobile Device Manager Plus服务器的信息和端口将根据当前设置预填充。
5. 提供安全网关的公共IP和端口，点击保存。

设置成功，现在可以用MDM管理移动设备了。要管理iOS设备，必须创建APNs证书并上传到MDM服务器。请参阅iOS、安卓和Windows设备的端口信息。

让工作再简单一点！ 观看演示视频，3分钟了解如何设置安全网关。

修改NAT设置

最初指定的FQDN/IP将在注册的设备上显示，用于MDM服务器和设备之间的通信。组织可能会根据需求更改FQDN/IP，特别是在以下场景中：

尽管修改了NAT，但注册的设备仍会使用之前的FQDN/IP访问MDM服务器。这个问题可以通过调整环境解决，将新地址映射到现有的FQDN/IP。如果不调整，MDM将无法管理设备。此外，NAT修改之后，新注册的设备不会受到影响，可以正常管理。 必要的更改步骤如下：

除安卓外的所有平台：

• 新的FQDN/IP必须与组织的内部域名系统（DNS）中之前使用的FQDN/IP映射。 注意：确保输入的FQDN/IP可访问，外部网络能够访问MDM服务器。
• 每次修改NAT设置时，购买的证书都需要包含所有以前使用过的FQDN/IP，映射新值和旧值。由MDM颁发的证书，将自动更改。自签名证书或第三方证书，请确保包含新旧FQDN/IP。 注意：这些设备的通信将通过旧FQDN/IP重定向到新地址。因此，证书中必须保留旧FQDN/IP，否则，设备将脱管。

关于安卓设备的新FQDN/IP映射问题，请联系MDM支持团队support@manageengine.cn。

如需修改端口，除安卓以外的所有平台，需将其重定向到内部环境中的9383端口，才能继续管理设备。如果是安卓平台，请联系MDM支持团队 support@manageengine.cn。

配置安全网关

配置安全网关的步骤如下：

• 配置安全网关的步骤

配置安全网关步骤：

1. 下载安全网关安装文件，请点击这里。
2. 双击安装文件，开始安装。
3. 根据提示输入MDM服务器名、HTTP和HTTPS端口号，点击下一步。
4. MDM服务器名：指定MDM服务器的FQDN/DNS/IP地址。
5. HTTP端口：安全网关用于联系MDM服务器的端口号（如：9020）
6. HTTPS端口：移动设备用于联系MDM服务器的端口号（如：9383 - 建议MDM服务器使用相同的安全模式端口9383（HTTPS））

安全网关的最低硬件要求

• 处理器：英特尔酷睿i5（4核/8线程）2.3 GHz 6 MB缓存
• 内存：4 GB

安装证书

MDM会自动同步安全网关所需的证书。如果同步失败，管理员可以手动安装，安装步骤如下：

• 如果您使用的是自签名证书，步骤如下：复制ManageEngine\MDMServer\apache\conf中的server.crt和server.key文件，并粘贴到安全网关所在计算机的ManageEngine\ME_Secure_Gateway_Server\nginx\conf文件夹中。
  
• 如果您使用的是第三方证书，步骤如下：
  1. 第三方服务器证书必须重命名为server.crt
  2. 私钥必须重命名为server.key
  3. 如果您使用的是中间证书，必须重命名为intermediate.crt
  4. 复制server.crt、server.key和中间证书，粘贴到安全网关安装目录下 - ManageEngine\ME_Secure_Gateway_Server\nginx\conf
  5. 导航到ManageEngine\ME_Secure_Gateway_Server\conf\websetting.conf ，添加行： intermediate.certificate=intermediate.crt

您已经成功复制了证书，点击安装，完成流程。

验证安全网关

安全网关将自动启动。您可以在安全网关所在计算机上运行services.msc，验证其是否启动。同时，如果ManageEngine安全网关已启动，代表安全网关配置成功。 您已经成功配置安全网关。

故障排除技巧

• 检查证书是否正确复制到指定位置。
• 确保端口#9383没有被其他服务/进程占用。
• 确保以管理员身份运行，且具有安装服务的权限。

删除安全网关

删除安全网关的步骤如下：

• 在运行安全网关的计算机上，点击开始菜单，在搜索框中输入并打开。
• 现在，从已安装程序列表中选择ManageEngine安全网关服务器。
• 点击卸载，删除安全网关，点击安装包程序向导中的完成，删除成功。

故障排除技巧

• 确保MDM服务器上的FQDN与已删除的安全网关服务器上的FQDN相同。如果FQDN不同或无法访问，现有的被管设备将与MDM服务器失去联系。
• 检查MDM服务器是否可通过NAT设置中的公网IP/FQDN地址访问。