Hallo,
ich habe hier einen Lancom 1781VA. Wenn man andere Modelle gewöhnt ist, ist die Konfiguration der Lancom etwas gewöhnungsbedürftig. Vielleicht könnt ihr mir etwas auf die Sprünge helfen.
Das System zwischen Firewall und Routing zu unterscheiden ist mir noch nicht ganz klar. Im Handbuch steht, dass z. B. die Firewall im Auslieferungszustand nur eine Regel kennt und sonst alles zugelassen ist. Aber wenn ich das Teil an einen DSL-Anschluss , mit IPv4 hänge muss ja zwingend NAT gemacht werden. Ohne entsprechende Regeln enden alle Verbindungen aus dem WAN doch am Lancom. Eine Firewall-Regel die eine Verbindung aus dem WAN zulässt ist doch ohne Portforwarding nutzlos. Wenn wie lt. Doku alle Verbindungen zugelassen sind, wohin werden diese denn ohne Konfiguration geroutet.
Was meint Lancom mit Hardware NAT?
Vielleicht könnt ihr mir etwas beim Verständnis der Lancom unter die Arme greifen.
Danke
Logik der Lancom-Router
Moderator: Lancom-Systems Moderatoren
Re: Logik der Lancom-Router
Moin,
Gruß Alfred
Damit ist gemein, daß der Ethernet-Baustein im Gerät unter bestimmten Bedingungen das Routing (inkl. eventuellem NAT) zwischen LAN und WAN selbstständig ausführt, ohne daß die CPU im Gerät dafür etwas tun muß. Das funktioniert aber nur unter sehr eingeschränkten Bedingungen (z.B. keine Filter-, Bandbreiten- oder QoS-Regeln) und auch nur auf PlainIP-WAN-Verbindungen, also z.B. nicht auf PPoE-Verbindungen über das eingebaute xDSL-Modem.Was meint Lancom mit Hardware NAT?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: Logik der Lancom-Router
Moin Mauti!
Ob eine WAN-Verbindung maskiert ist, steht in der Routingtabelle. Bei maskierten Verbindungen werden abgehende Pakete automatisch maskiert und temporäre Einträge für die Rückrichtung in der Mskierungstabelle angelegt. Alle Pakete, die auf einer maskierten Verbindung ankommen und für die es keinen Maskierungseintrag gibt, gehen in der Tat an das LANCOM - und werden ja nach Konfiguration der Accessliste direkt verworfen oder von einem internen Dienst bearbeitet.
Ciao, Georg
Ob eine WAN-Verbindung maskiert ist, steht in der Routingtabelle. Bei maskierten Verbindungen werden abgehende Pakete automatisch maskiert und temporäre Einträge für die Rückrichtung in der Mskierungstabelle angelegt. Alle Pakete, die auf einer maskierten Verbindung ankommen und für die es keinen Maskierungseintrag gibt, gehen in der Tat an das LANCOM - und werden ja nach Konfiguration der Accessliste direkt verworfen oder von einem internen Dienst bearbeitet.
Ciao, Georg
Re: Logik der Lancom-Router
Hi Mauti,
einkommende Sessions landen auf maskierten Verbindungen beim LANCOM wenn es für sie keinen Eintrag in der Portforwarding-Tabelle gibt. Wenn du in der Firewall eine Deny-All-Startegie fährst, dann mußt du auf maskierten Verbindungen für eingehende Sessions sowohl einen Eintrag in der Portforwarding-Tabelle machen als auch eine Allow-Regel in der Firewall erstellen.
Aber was ist daran gewöhnungsbedürftig - das ist stingent logisch... Ich finde eher Systeme mit irgendwelchen versteckten Automatismen für gewöhnungsbedürftig - wie z.B.: Ein Eintrag in der Portforwarding-Tabelle, führt automatisch zu einer versteckten Allow-Regel in der Firewall... Das schlimme an solchen Automatismen ist, daß man sie nicht sieht und sie meist irgendwann dazu führen, daß man ein Problem nicht lösen kann (oder gar, daß man durch sie erst ein unlösbares Problem bekommt).
Im LANCOM gab es früher auch mal eine ganze Reihe solcher Automatismen, die aber allesamt entfernt wurden, weil Kunden damit in Probleme gerannt sind. Daher mußt (äh... kannst) du im LANCOM alles explizit konfigurieren.
Gruß
Backslash
einkommende Sessions landen auf maskierten Verbindungen beim LANCOM wenn es für sie keinen Eintrag in der Portforwarding-Tabelle gibt. Wenn du in der Firewall eine Deny-All-Startegie fährst, dann mußt du auf maskierten Verbindungen für eingehende Sessions sowohl einen Eintrag in der Portforwarding-Tabelle machen als auch eine Allow-Regel in der Firewall erstellen.
Aber was ist daran gewöhnungsbedürftig - das ist stingent logisch... Ich finde eher Systeme mit irgendwelchen versteckten Automatismen für gewöhnungsbedürftig - wie z.B.: Ein Eintrag in der Portforwarding-Tabelle, führt automatisch zu einer versteckten Allow-Regel in der Firewall... Das schlimme an solchen Automatismen ist, daß man sie nicht sieht und sie meist irgendwann dazu führen, daß man ein Problem nicht lösen kann (oder gar, daß man durch sie erst ein unlösbares Problem bekommt).
Im LANCOM gab es früher auch mal eine ganze Reihe solcher Automatismen, die aber allesamt entfernt wurden, weil Kunden damit in Probleme gerannt sind. Daher mußt (äh... kannst) du im LANCOM alles explizit konfigurieren.
Gruß
Backslash