 |
|
|
|
| Autor |
Nachricht |
SBruhn
Anmeldungsdatum: 25.02.2010
Beiträge: 7
|
 Verfasst am:
Do 25 Feb, 2010 16:51 |
  |
|
Hallo,
ich habe mal folgende Fragen an die Profis
folgende Konstellation beim Kunden
QSC Router -> Lancom 1711+ (ist über eine externe IP ansprechbar)
1711+ intern 192.168.1.254
Exchange Server intern 192.168.1.254
von Lancom das DenyAll+ Paket eingerichtet (Elster und NTP gelöscht)
Der Router wird für Outlooksyncronisation und VPN mit Außenstellen genutzt, kein Internet.
Jetzt meine Fragen
1. ist es möglich den Router über die externe IP fernzukonfigurieren mit LanConfig wenn HTTPS nicht geht (Weiterleitung auf Exchange)
2. wie kann ich das HTTPS Protokoll vom Internet auf den Exchange Server weiterleiten für ExchangeWeb
3. wie kann ich den Port 3085 vom Internet auf den Exchange Server weiterleiten für Fernsteuerung.
4. Wenn ich über den Wizard eine Lan-Lan VPN konfiguration mache für mehrere Standorte (nacheinander) sehen die Netze sich dann untereinander oder greifen Sie getrennt voneinander auf den Router zu?
VPN1 Lancom 1711+ -> Lancom 1721+ (Außenstelle 1) .2.?
VPN2 Lancom 1711+ -> Lancom 1721+ (Außenstelle 2) .3.?
VPN3 Lancom 1711+ -> Lancom 1721+ (Außenstelle 3) .4.?
Muß ich zwischen den Außenstellen auch noch VPN Tunnel einrichten?
Ich habe mir mal die Firewalleinträge angeschaut, bin aber noch nicht schlau daraus geworden, da ich Beispiele brauche um etwas zu lernen.
Ich hoffe Ihr könnt mir helfen.
Vielen Dank im Vorraus
Stefan |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4467
Wohnort: Aachen
|
| Verfasst am:
Do 25 Feb, 2010 19:49 |
|
|
Hi SBruhn
| Zitat:
|
|
1. ist es möglich den Router über die externe IP fernzukonfigurieren mit LanConfig wenn HTTPS nicht geht (Weiterleitung auf Exchange)
|
du kannst im LANCOM den Port umstellen, auf dem es HTTPS annimmt. Das geht aber nur über die Konsole/Telnet/SSH. Hierzu stellst du mittels set /setup/http/SSL-Port <Port> den gewünschten Port ein. Ebenso trägst du im LANconfig in den Eigenschaften des Gerät diesen Port unter HTTPS ein
| Zitat:
|
|
2. wie kann ich das HTTPS Protokoll vom Internet auf den Exchange Server weiterleiten für ExchangeWeb
|
Indem du unter IP-Router -> Maskierung -> Protforwarding-Tabelle einen passenden Eintrag erstellst:
| Code:
|
Anfangs-Port: 443
End-Port: 443
Gegenstelle:
Intranet-Adresse: IP des Servers
Map-Port: 0
Protokoll: TCP
WAN-Adresse: 0.0.0.0
|
| Zitat:
|
|
3. wie kann ich den Port 3085 vom Internet auf den Exchange Server weiterleiten für Fernsteuerung.
|
genauso wie für HTTPS
| Zitat:
|
|
4. Wenn ich über den Wizard eine Lan-Lan VPN konfiguration mache für mehrere Standorte (nacheinander) sehen die Netze sich dann untereinander oder greifen Sie getrennt voneinander auf den Router zu?
|
Das kommt darauf an, ob du sie mit dem "1-Klick-Wizard" einrichtest oder nicht.
Beim 1-Click-wizard definierst du ein Gerät als Zentrale und ziehst die anderen einfach darauf. Der Wizard richtet die zusätzlich notwendigen Regeln ein, damit alle Netze miteinander über die Zentrale kommunizieren können.
Ohne 1-Click-Wizard mußt du passende VPN-Regeln in der Firewall anlegen. Insgesamt brauchst du dann bei n Aussenstellen 2n-1 Regeln. Oder aber du faßt die Netze zusammen (alle Filiaen greifen auf das 192.168.0.0/255.255.0.0-Netz zu), dann brauchst du nur eine "jeder darf mit jedem" Regel (192.168.0.0/255.255.0.0 <-> 192.168.0.0/255.255.0.0)
| Zitat:
|
|
Muß ich zwischen den Außenstellen auch noch VPN Tunnel einrichten?
|
Das wäre u.U. die sinnvollere Lösung, da du dann nicht den Traffic zwischen den Filialen über die Zentrale leiten mußt
Gruß
Backslash |
|
|
|
|
SBruhn
Anmeldungsdatum: 25.02.2010
Beiträge: 7
|
| Verfasst am:
Fr 26 Feb, 2010 17:27 |
|
|
Vielen Dank Backslash
Eine Frage habe ich noch zur Portweiterleitung.
Brauche ich nur unter Maskierung den Port eintragen oder benötige ich auch noch eine Firewallregel. HTTPS ist über eine Regel freigegeben (ich glaube nur nach extern) (Lancom Script)
Aber Port 3085 ist in der Liste nicht enthalten.
Zur externen Konfiguration
ich schalte auf den Routern externe Fremdzugriff über HTTPS frei und muß dann im Lanconfig die Router über die externe IP und HTTPS Port reinladen.
Wenn ich alle Router drin habe kann ich über den 1-Klick VPN Assistenten sagen, das der Router so und so die Zentrale ist und die anderen die Filialen? Oder wie muß ich mir das Vorstellen. 1 Klick VPN für Benutzer habe ich ja schon gemacht. Ich habe gelesen, das man mit der Version 7.8 die Filialrouter makieren kann und einfach auf den Zentralerouter ziehen soll. Ist das das selbe wie das 1-Klick VPN?
mfG
Stefan |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4467
Wohnort: Aachen
|
| Verfasst am:
Fr 26 Feb, 2010 20:43 |
|
|
Hi SBruhn
| Zitat:
|
|
Brauche ich nur unter Maskierung den Port eintragen oder benötige ich auch noch eine Firewallregel.
|
die Maskierung und die Firewall sind unabhängig voneinander, d.h. wenn du eine Deny-All Strategie fährst, dann brauchst du auch für jedes Poprtforwarding eine Firewallregel, die das zuläßt:
| Code:
|
Aktion: übertragen
Quelle: alle Stationen
Ziel: IP des Servers an den weitergeleitet werden soll
Dienste: Protokoll und (Ziel-) Port, der weitergeleitet wird
|
| Zitat:
|
|
Wenn ich alle Router drin habe kann ich über den 1-Klick VPN Assistenten sagen, das der Router so und so die Zentrale ist und die anderen die Filialen?
|
genau... genauer gesagt markierst du einen Router als Zentrale und zwar unter Eigenschaften des Geräts -> VPN -> Als VPN-Zentralgerät einsetzen.
| Zitat:
|
|
Ich habe gelesen, das man mit der Version 7.8 die Filialrouter makieren kann und einfach auf den Zentralerouter ziehen soll. Ist das das selbe wie das 1-Klick VPN?
|
ja... (nachdem du die Zentrale wie oben beschrieben gekennzeichnet hast)
Gruß
Backslash |
|
|
|
|
SBruhn
Anmeldungsdatum: 25.02.2010
Beiträge: 7
|
| Verfasst am:
Sa 27 Feb, 2010 15:01 |
|
|
Vielen, vielen Dank Backslash |
|
|
|
|
|
|
|
|
| |
|
|
