 |
|
|
|
| Autor |
Nachricht |
rbn111
Anmeldungsdatum: 22.09.2010
Beiträge: 17
|
 Verfasst am:
Do 01 Dez, 2011 13:59 |
  |
|
Hallo,
wir nutzen den Lancom Router jetzt schon 2 Jahre und sind sehr zufrieden, wir haben 2 Netzwerke. Das eine hat Internet und ist quasi nahezu ungeschützt im Internet, dass andere Netzwerk ist mit einer Deny All Strategie geschützt, lediglich VPN Zugriff für RDP ist möglich. Wir nutzen allerdings eine Software in der von einer externen Firma eine Fernwartung durchgeführt werden muss.
Dazu müssen folgende Ports freigeschaltet werden 5500-5510 (TCP) auf eine bestimmte URL/IP.
Meine Vorgehensweise war bislang in die Port-Forwarding-Tabelle die Ports und die IP des Rechners auf dem die Software sich befindet freizuschalten und eine Firewallregel habe ich auch hinzugefügt, die die Ports durchlassen soll, da wir ja Deny ALL nutzen.
Ich nutze Lanconfig, braucht ihr noch weitere Informationen, hab eigentlich alles gemacht wie es in den FAQ's steht, aber es will einfach nicht funktionieren. |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Do 01 Dez, 2011 19:50 |
|
|
Hi rbn111
| Zitat:
|
|
Meine Vorgehensweise war bislang in die Port-Forwarding-Tabelle die Ports und die IP des Rechners auf dem die Software sich befindet freizuschalten und eine Firewallregel habe ich auch hinzugefügt, die die Ports durchlassen soll, da wir ja Deny ALL nutzen.
|
das ist auch alles, was du machen mußt - so die Software nur Sessions von aussen nach innen öffnen will. Wenn sie aber auch umgekehrt Sessions von innen nach aussen Öffnen will, dann mußt du dies auch mit passenden Firewallregeln zulassen...
Gruß
Backslash |
|
|
|
|
rbn111
Anmeldungsdatum: 22.09.2010
Beiträge: 17
|
| Verfasst am:
Do 01 Dez, 2011 21:45 |
|
|
Ich hab auch 2 Regeln dafür definiert, allerdings funktioniert es nicht.
Der Fehler muss doch irgendwo bei den 2 Fernwartungsregeln in der Firewall liegen.
Ich teste die Verbindung mit telnet "ip" 5500 und bekomme keine Verbindung, deaktiviere ich die Deny All Regel geht es.
Ich hab die Regeltabelle eingefügt, aber ich wüsste nicht was falsch ist.
Aktion = Accept, Quelle/Ziel = Gegenstelle"DSL" und das Subnetzwerk und unter Dienste die betreffenden TCP Ports freigeschaltet.[/img] |
|
|
|
|
Elektrolurch
Anmeldungsdatum: 17.09.2006
Beiträge: 28
|
| Verfasst am:
Fr 02 Dez, 2011 02:39 |
|
|
Hallo,
setze mal den Haken bei 'Weitere Regeln beachten...' in der Regel DENY-INET
Gruß |
_________________
LANCOM DSL/I-10+ an FBF7170 |
|
 |
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Fr 02 Dez, 2011 09:16 |
|
|
Hi,
ich denke die Priorisierung der Deny-All Regel ist grundsaetzlich falsch. Die Firewall arbeitet die Regeln von Oben nach Unten ab, die DENY Regel steht aber durch die Prio 1 Oben. Nimm die Prio "1" aus der "DENY-INET" Regel raus, dann sollte diese auch wieder Unten stehen und die "Uebertragen" Regelen darueber.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
 |
|
rbn111
Anmeldungsdatum: 22.09.2010
Beiträge: 17
|
| Verfasst am:
Fr 02 Dez, 2011 12:07 |
|
|
Ich habe jetzt die Priorität auf 0 gesetzt der Deny ALL Regel und als es trotzdem nicht funktioniert hat habe ich noch den Haken bei weitere Regeln beachten gesetzt, leider auch ohne Erfolg.
Wenn ich telnet ip 5500 eingebe kommt immer Verbindung fehlgeschlagen, dass muss aber funktionieren, irgendwie beachtet er die anderen Regeln nicht oder Sie sind falsch, wenn ich Deny ALL ausschalte läuft es ohne Probleme. |
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Fr 02 Dez, 2011 12:56 |
|
|
Hi,
aus Deinen Angaben kann man halt nicht mehr ersehen.
Erstelle auf der CLI des LANCOM mal einen FW-Trace um zu sehen wo die Pakete haengen bleiben. (tr # fire).
Dabei solltest Du die entsprechende Regel angezeigt bekommen die fuer den Fall matched.
Diese musst Du dann bearbeite, so dass es fuer Dein Netz passt und das Paket durchgelassen wird.
Bsp.:
| Code:
|
[Firewall] 2011/12/02 11:53:34,631
Packet matched rule ALW_DNS->
DstIP: 10.98.1.33, SrcIP: 10.98.1.48, Len: 69, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 1029
|
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
|
|
rbn111
Anmeldungsdatum: 22.09.2010
Beiträge: 17
|
| Verfasst am:
Sa 03 Dez, 2011 01:50 |
|
|
Fehler gefunden! Hatte vergessen, dass die Quellports dynamisch sind, jetzt funktioniert es.
Ist es jetzt eigentlich ohne weiteres Möglich die "Fernwartung" auch auf anderen Rechnern im gleichen Subnetzwerk zu benutzen?
Die Firewallregeln erlauben es ja, allerdings steht ja die Portweiterleitung auf einer bestimmten IP? Kann man da was machen?
Danke EUCH! |
|
|
|
|
|
|
|
|
| |
|
|
