 |
|
|
|
| Autor |
Nachricht |
blackeagle2002de
Anmeldungsdatum: 23.01.2005
Beiträge: 79
|
 Verfasst am:
Mi 18 Okt, 2006 14:22 |
  |
|
Moin!
Habe im Forum leider nichts gefunden, welchen Befehl muss ich in der Aktions-Tabelle eingeben um eine Firewall Regel zu aktivieren oder zu deaktivieren?
Gruß
blackeagle |
|
|
    |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Mi 18 Okt, 2006 14:56 |
|
|
Hi blackeagle2002de
aktivieren:
set /set/ip-/fi/ru/Regelname {fi} yes
deaktivieren:
set /set/ip-/fi/ru/Regelname {fi} no
Gruß
Backslash |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Mi 18 Okt, 2006 18:49 |
|
|
Hallo backslash,
| Zitat:
|
|
set /set/ip-/fi/ru/Regelname {fi} yes
|
diesen Parameter in den geschweiften Klammern kenne ich nicht. Der referenziert offenbar auf das Feld 'Active'. Gibt es irgendwo eine Syntaxbeschreibung dazu?
Gruß
Mario |
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Mi 18 Okt, 2006 19:56 |
|
|
| eddia hat folgendes geschrieben:
|
Hallo backslash,
| Zitat:
|
|
set /set/ip-/fi/ru/Regelname {fi} yes
|
diesen Parameter in den geschweiften Klammern kenne ich nicht. Der referenziert offenbar auf das Feld 'Active'. Gibt es irgendwo eine Syntaxbeschreibung dazu?
Gruß
Mario
|
Hallo Mario,
nein der referenziert nicht auf "Active", sondern auf den Tabelleneintrag "Firewall-". Du kannst jeden Eintrag in einer Tabelle direkt aendern, indem Du Ihn in geschweifte Klammern setzt, gefolgt von dem neuen Wert. Im Beispiel schaltet backslash damit den Firewall- Eintrag ein oder aus.
| Code:
|
Name Prot. Source
Destination Action
Linked Prio Firewall- VPN-Rule Stateful Rtg-tag Comment
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
----------------------------------------------------
WINS TCP,UDP %S137-139 ANYHOST
ANYHOST %Lgds0 @i %D
No 0 Yes No Yes 0
|
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
 |
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Mi 18 Okt, 2006 20:36 |
|
|
Hallo LoUiS,
| Zitat:
|
|
nein der referenziert nicht auf "Active", sondern auf den Tabelleneintrag "Firewall-".
|
in meinem alten DSL/I10 gibt es aber nur 'Active' und kein 'Firewall-' 
| Zitat:
|
|
Du kannst jeden Eintrag in einer Tabelle direkt aendern, indem Du Ihn in geschweifte Klammern setzt, gefolgt von dem neuen Wert.
|
Danke! Wann ist das denn eingeführt worden? Sonst musste man doch immer mit vielen Sternen die Tabellenspalten maskieren.
Eine äqivalente Anwendung auf den Parameter 'Active' zerhaut mir jedenfalls die entsprechende Regel im I10, so dass LanConfig die Regel als fehlerhaft ansieht.
Gruß
Mario |
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Mi 18 Okt, 2006 20:40 |
|
|
Hallo Mario,
das ist irgendwann mit dem Scripting reingekommen, ganz genau weiss ich die Version jetzt auch nicht, koennte ich aber sicherlich morgen in Erfahrung bringen. Es wird aber sicherlich nicht im LCOS des I10 drin sein, was dann wohl erklaert warum die Regel danach nicht mehr in Ordnung ist.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Mi 18 Okt, 2006 21:07 |
|
|
Hallo LoUiS,
| Zitat:
|
|
das ist irgendwann mit dem Scripting reingekommen
|
seufz - warum steht das nicht in den Release-Notes oder im Referenzmanual?
| Zitat:
|
|
was dann wohl erklaert warum die Regel danach nicht mehr in Ordnung ist.
|
Ich kämpfe immer noch mit der Regel - mal sehen, wer die Oberhand behält.
Gruß
Mario |
|
|
|
|
blackeagle2002de
Anmeldungsdatum: 23.01.2005
Beiträge: 79
|
| Verfasst am:
Fr 20 Okt, 2006 11:02 |
|
|
Ich habe das Gefühl, dass das nicht geklappt hat. Ich habe eine Firewall Regel angelegt, die die VPN Daten priorisiert. Diese soll im Backup Fall aktiviert, danach wieder deaktiviert werden.
Ich habe es genauso gemacht, wie oben erklärt, natürlich auch mit dem richtigen Regelnamen. Fehlt da vielleicht noch ein Doppelpunkt oder so, wie z.B. bei anderen Aktionen wie, mailto:, exec:,...?
Wie kann ich denn sonst überprüfen, ob die Regel aktiviert wurde?
Gruß
blackeagle |
|
|
|
|
ittk
Anmeldungsdatum: 27.04.2006
Beiträge: 1006
|
| Verfasst am:
Fr 20 Okt, 2006 13:40 |
|
|
Hallo,
so wie ich dich verstanden habe möchtest du eine QoS-Regel einrichten, die nur im Backupfall aktiviert wird (deine in Normalbetrieb aktivierte QoS-Regel deaktiveren lassen).
Das hört sich sehr sinnvoll für mich an, daran habe ich garnicht gedacht dies mit der Aktionstabelle bewerkstelligen zu können (Aktionen Aufbau/Abbruch). Ich hatte dies mal als Feature Wunsch vorgeschlagen siehe http://www.lancom-forum.de/topic,103,15,-E...geln.html, aber so könnte man es auch realisieren.
Was meint Backslash oder LoUis dazu, ob das so möglich wäre um ein QoS für einen Backupfall (ISDN Bandbreite) zu realisieren?
Das verbleibende Restproblem dabei wäre dann eine dynamische Kanalbündelung.
Die QoS-Parameter Down / Upstream werden ja im Backupfalle automatisch bestimmt. Dazu musst du ja dann nur die Mindestbandbreiten bezogen auf die geringere Bandbreite anpassen.
Was meinst du mit VPN Daten priorisieren. Taggst du die Pakete oder Stellst du nur eine Mindestbandbreite sicher?
Normlerweise kannst du per WEBConfig/LANConfig einsehen, ob die Regel aktiv ist. Auf das Gerät kommst du im Backupfalle auch. Ggf ist ein trace Firewall hilfreich, da siehst du dann, ob eine Regel matchst. |
_________________
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Zuletzt bearbeitet von ittk am Fr 20 Okt, 2006 14:59, insgesamt einmal bearbeitet |
|
|
|
blackeagle2002de
Anmeldungsdatum: 23.01.2005
Beiträge: 79
|
| Verfasst am:
Fr 20 Okt, 2006 14:59 |
|
|
Moin!
Also folgendes Szenario:
Wir haben eine SDSL und DSL Leitung. SDSL wird für VPN mit Routing Tag 0 genutzt, DSL als Gegenstelle INTERNET mit Routing Tag 1 für Internet, beide Leitungen sind durchgängig verbunden. Ich wollte jetzt aber zusätzlich die DSL Leitung als Backup für die SDSL Leitung einrichten, was nicht ganz einfach war, da sie ja durchgängig besteht. Meine Idee, bzw. Lösung des Problems ist folgendermaßen:
Ich habe eine zweite DSL Gegenstelle mit den identischen Zugangsdaten als Gegenstelle BACKUP eingerichtet und der Ruftabelle sowohl bei Gegenstelle SDSL als auch bei INTERNET eingetragen. Bei der INTERNET Gegenstelle habe ich die Verbindungshaltezeit auf 0 gestellt, sodass sie nicht von alleine wieder aufgebaut wird. In der Aktions-Tabelle habe ich eingestellt, dass die Gegenstelle INTERNET bei Abbau/Abbruch der Gegenstelle SDSL automatisch abgebaut wird. Dadurch ist die DSL Leitung frei, und die BACKUP Verbindung kann aufgebaut werden (natürlich nur, wenn in der Zwischenzeit keine neue Internetanfrage aus dem Intranet kommt, daher habe ich eingestellt, dass die Backup Verbindung nach 1 sek. aufgebaut werden soll).
Und jetzt laufen aber sowohl VPN als auch Internet über die eine DSL Backup Verbindung. Für diesen Fall soll die Firewallregel, die eine Mindesbandbreite für die VPN Verbindungen garantieren soll, aktiviert werden, bzw. danach wieder deaktiviert werden, da ja VPN und Internet wieder über getrennte Leitungen laufen.
Ich weiß, alles ein bisschen umständlich, aber bislang die einzige Möglichkeit, die mir in den Sinn gekommen ist, um das Backup Szenario zu realisieren....
Gruß
blackeagle |
|
|
|
|
ittk
Anmeldungsdatum: 27.04.2006
Beiträge: 1006
|
| Verfasst am:
Fr 20 Okt, 2006 15:35 |
|
|
Ja mir fällt spontan auch keine andere (vieleicht elegantere) Möglichkeit für dein Szenario ein.
Welches Routing-tag nutzt deine Gegenstelle Backup so kannst du zumindest die VPN QoS-Regel speziell auf diese Route beziehen, was abe rin deinem Fall nicht relevant sein dürfte. |
_________________
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a |
|
|
|
blackeagle2002de
Anmeldungsdatum: 23.01.2005
Beiträge: 79
|
| Verfasst am:
Fr 20 Okt, 2006 17:47 |
|
|
Ich habe der Gegenstelle Backup kein Routing-Tag zugeordnet, d.h. nicht in der IP-Router Tabelle definiert. Ist ja auch nicht notwendig, da die Verbindung ja nur im Backup Fall aufgebaut wird. Da ich in der Backup-Tabelle der Gegenstelle SDSL und INTERNET die Gegenstelle BACKUP zugeordnet habe, leiten beide Gegenstellen unabhängig vom Routing-Tag alles an BACKUP weiter. |
|
|
|
|
blackeagle2002de
Anmeldungsdatum: 23.01.2005
Beiträge: 79
|
| Verfasst am:
So 22 Okt, 2006 11:02 |
|
|
Ich weiß jetzt auch, warum es nicht geklappt hat, hatte mich verschrieben und natürlich muss dem ganzen in der Aktions-Tabelle noch ein exec: vorangestellt werden, also:
exec:set /set/ip-/fi/ru/Regelname {fi} yes
Gruß
blackeagle |
|
|
|
|
|
|
|
|
| |
|
|
