 |
|
|
|
| Autor |
Nachricht |
StripLV
Anmeldungsdatum: 12.03.2006
Beiträge: 10
Wohnort: Heilbronn
|
 Verfasst am:
So 12 März, 2006 21:54 |
  |
|
Hallo, ich möchte das ein Freund mir per Remoteunterstützung oder per Remotedesktop sich bei mir einwählen/einloggen kann.
Ich habe gehört das dazu aber ich an meinem IL-11 die Firewall konfigurieren/ändern muß, und zwar muß ich anscheinend den Port 3389 freigeben oder durchschleifen.
Ich hoffe ihr versteht was ich meine und um was es geht. Wie mache ich das über Lanconfig?
Ich bitte um Beachtung das ich mich nicht sehr auskenne, komme aber in der lanconfig einigermaßen klar.
Ein Bekannter schildert das so:
"Deswegen muss man dann dem Router sagen
1. WENN auf Port 3389 (in diesem Fall Protokoll TCP) eine eingehende Verbindung kommt
2. DANN leite diese Verbindung an
- den Port 3389
- des Rechners mit der IP so-und-so (i.d.R. 192.168.1.x) weiter"
Stimmt das und wenn ja wie mache ich das?
ach ja, falls es wichtig ist:
FW. 3.58
Lantools 6.02 |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
SIN
Anmeldungsdatum: 12.01.2005
Beiträge: 84
Wohnort: Bonn
|
| Verfasst am:
So 12 März, 2006 22:09 |
|
|
Hierzu gibts im LanConfig im Bereich IP-Router eine Service Tabelle.
Alle auf einem bestimmten Port eingehenden Anfragen an die öffentliche IP-Adresse des Routers können hier auf eine beliiebige IP im Intranet, sogar unter Umsetzung der Port Adress weitergereicht werden. Dann muss nicht der Standard Port für den Remotedesktop offen sein. |
_________________
Gruß
SIN
______________________________________________________________________
Unterwegs mit LANCOM 1722 VoIP - LCOS 8.5 (Annex B) |
|
|
|
StripLV
Anmeldungsdatum: 12.03.2006
Beiträge: 10
Wohnort: Heilbronn
|
| Verfasst am:
So 12 März, 2006 22:32 |
|
|
Heißt das ich muß unter
Lanconfig -> IP Router -> Maskierung -> Service Tabelle -> hinzufügen
bei anfangsport und endport 3389 eintragen und bei intranet-adresse die IP meiner Wlan NW-Karte? Also z.B. 192.168.x.y |
|
|
|
|
SIN
Anmeldungsdatum: 12.01.2005
Beiträge: 84
Wohnort: Bonn
|
| Verfasst am:
So 12 März, 2006 22:52 |
|
|
Genau das!
Sorry: Eine Port Translation ist beim IL-11 noch nicht möglich! |
_________________
Gruß
SIN
______________________________________________________________________
Unterwegs mit LANCOM 1722 VoIP - LCOS 8.5 (Annex B) |
|
|
|
StripLV
Anmeldungsdatum: 12.03.2006
Beiträge: 10
Wohnort: Heilbronn
|
| Verfasst am:
So 12 März, 2006 23:06 |
|
|
| SIN hat folgendes geschrieben:
|
Genau das!
Sorry: Eine Port Translation ist beim IL-11 noch nicht möglich!
|
??? Was ist denn eine Port Translation?
Wenn ich bei Anfangs und endport 3389 eingebe speichert er 3.389 ab. Ist das o.k.? Ich meine den Punkt |
|
|
|
|
SIN
Anmeldungsdatum: 12.01.2005
Beiträge: 84
Wohnort: Bonn
|
| Verfasst am:
So 12 März, 2006 23:16 |
|
|
Vergiss die Translation! Kannst Du mit dem IL-11 eh nicht.
Der Punkt ist OK und stört nicht! |
_________________
Gruß
SIN
______________________________________________________________________
Unterwegs mit LANCOM 1722 VoIP - LCOS 8.5 (Annex B) |
|
|
|
StripLV
Anmeldungsdatum: 12.03.2006
Beiträge: 10
Wohnort: Heilbronn
|
| Verfasst am:
Mo 13 März, 2006 00:33 |
|
|
Sag mal muß ich da auch was machen: ( Seite 60 im Hanbuch )???
Sie haben mehrere Möglichkeiten die Firewall-Filter einzurichten:
• WEBconfig
Expertenkonfiguration / Setup / IP-Router-Modul / Firewall
• LANconfig
IP-Router / Filter
• Telnet
/Setup/IP-Router-Modul/Firewall
Besonders komfortabel ist die Einrichtung der Filter mit Hilfe von LANconfig.
Unter ’Filter’ finden Sie die folgenden Karteikarten, mit deren Hilfe Filterregeln
definiert werden können.
[...]
•
- Allgemein
Hier wird der Name des Filterdienstes festgelegt und was mit den Datenpaketen
geschehen soll (Aktion).
-• Stationen
Hier werden die Stationen festgelegt, für die die Filterregel als Absender
oder Adressat gelten soll.
•- Dienste
Hier wird festgelegt, für welche IP-Protokolle, Quell- und Zielports die Filterregel
gelten soll.
Ich hab mir das mal angeschaut unter
Firewall/Qos -> Regeln-> hinzufügen und dann
1. Allgemein - Was muß ich da machen?
2. Aktionen -> Hinzufügen - was muß ich da machen?
3. Qos -> Hinzufügen - Was muß ich da machen?
4a. Stationen -> Verbindungs-Quelle - Was muß ich da machen?
4b. Stationen -> Verbindungs-Ziel- Was muß ich da machen?
5. Dienste - Was muß ich da machen? |
|
|
|
|
SIN
Anmeldungsdatum: 12.01.2005
Beiträge: 84
Wohnort: Bonn
|
| Verfasst am:
Mo 13 März, 2006 00:48 |
|
|
Wow,
hoffentlich hast Du genug Spatzen für Deine ganzen Geschütze!
Versuch doch erstmal, ob Du überhaupt den Support-Call an Deinen RemoteDesktop durchkriegst.
Im nächsten Schritt kannst Du dann versuchen, die Firewall des IL-11 Deinen Vorlieben anzupassen.
Hier kannst Du die QoS total vergessen und nur die notwendigen Ports von allen Stationen (oder wenn Dein Gegenüber seine IP weiß, dann die spezielle IP) an den Zielrechner selbst oder Dein Subnetz weiterleiten. |
_________________
Gruß
SIN
______________________________________________________________________
Unterwegs mit LANCOM 1722 VoIP - LCOS 8.5 (Annex B) |
|
|
|
cosoft
Anmeldungsdatum: 29.06.2005
Beiträge: 136
Wohnort: Nordrhein Westfalen
|
| Verfasst am:
Mi 15 März, 2006 14:27 |
|
|
| StripLV hat folgendes geschrieben:
|
Lanconfig -> IP Router -> Maskierung -> Service Tabelle -> hinzufügen
bei anfangsport und endport 3389 eintragen
|
Zusatzfrage:
Gibt es eine Möglichkeit, die Benutzung dieser Maskierung irgendwie zu überwachen oder zu melden? Also eine Benachrichtigung z.B. per E-Mail sobald einer aus dem WAN eine Remotedesktop-Verbindung auf den LAN-PC aufbaut? Es ist ja schliesslich eine "Aktion" des Routers, sobald er den RDP-Port forwardet...
Jemand eine Idee dazu?
Danke und Gruß,
cosoft |
_________________
4E 4F 20 53 49 47 |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 15 März, 2006 16:56 |
|
|
Hi cosoft
du kannst in der Firewall eine entsprechende Regel erstellen:
| Code:
|
Quelle: alle Stationen
Ziel: Adresse des Rechners
Dienste: UDP, Zielport 3389
Aktionen: 1) Trigger: 0 kbit/Sekunden - Übertragen
2) Trigger: 0 Pakte absolut - E-Mail senden
|
Gruß
Backslash |
|
|
|
|
cosoft
Anmeldungsdatum: 29.06.2005
Beiträge: 136
Wohnort: Nordrhein Westfalen
|
| Verfasst am:
Mi 15 März, 2006 17:59 |
|
|
| backslash hat folgendes geschrieben:
|
Hi cosoft
du kannst in der Firewall eine entsprechende Regel erstellen:
| Code:
|
Quelle: alle Stationen
Ziel: Adresse des Rechners
Dienste: UDP, Zielport 3389
Aktionen: 1) Trigger: 0 kbit/Sekunden - Übertragen
2) Trigger: 0 Pakte absolut - E-Mail senden
|
Gruß
Backslash
|
Danke. Sehr interessant 
Spielt die Reihenfolge der Trigger eine Rolle? Die lässt sich nämlich nicht ändern...
EDIT: funktionier aber nicht, obwohl der E-Mail-Versand an sich aber funktioniert. Gibt es noch eine übergeordnete Einstellung? |
_________________
4E 4F 20 53 49 47 |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 15 März, 2006 20:13 |
|
|
Hi cosoft
| Zitat:
|
|
Spielt die Reihenfolge der Trigger eine Rolle
|
in diesem Fall nicht...
| Zitat:
|
|
Die lässt sich nämlich nicht ändern...
|
wieso, du hast doch die Hoch- und Runter-Knöpfe (links neben dem "Hinzufügen" Button)
| Zitat:
|
|
EDIT: funktionier aber nicht, obwohl der E-Mail-Versand an sich aber funktioniert
|
Was sagt denn der Firewall-Trace?
Ist die Regel korrekt erzeugt worden? Das kannst du im Telnet mit einem "show filter" nachschauen.
Du hast in der Regel hoffentlich den Quellport leer gelassen.
U.U solltest du statt UDP auch mal TCP ausprobieren...
| Zitat:
|
|
Gibt es noch eine übergeordnete Einstellung
|
die Regel muß natürlich die erste sein, die auf das Paket matcht...
Gruß
Backslash |
|
|
|
|
cosoft
Anmeldungsdatum: 29.06.2005
Beiträge: 136
Wohnort: Nordrhein Westfalen
|
| Verfasst am:
Do 16 März, 2006 09:20 |
|
|
Hallo Backslash,
Danke schonmal für Deine Geduld!
| backslash hat folgendes geschrieben:
|
|
wieso, du hast doch die Hoch- und Runter-Knöpfe (links neben dem "Hinzufügen" Button)
|
die Einträge bewegen sich leider nicht
| Zitat:
|
|
Was sagt denn der Firewall-Trace? Ist die Regel korrekt erzeugt worden? Das kannst du im Telnet mit einem "show filter" nachschauen.
|
Hier die Ausgabe:
| Code:
|
> show filter
Filter 0001 from Rule WINS:
Protocol: 17
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 137-139
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
use routing tag 0000
conditional: if on default route
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
reject
Filter 0002 from Rule ALERT_RDP_OVER_WAN:
Protocol: 17
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
Dst: 00:00:00:00:00:00 192.168.0.99 255.255.255.255 3389-3389
use routing tag 0000
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
send SNMP trap
send email to administrator
Filter 0003 from Rule WINS:
Protocol: 6
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 137-139
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
use routing tag 0000
conditional: if on default route
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
reject
|
| Zitat:
|
|
Du hast in der Regel hoffentlich den Quellport leer gelassen.
|
Ja, "Quell-Ports" ist nicht angehakt.
Die Regeln mit "WINS" im show filter habe ich nicht angelegt. Die sind anscheinend schon "ab Werk" eingetragen!?
Gruß,
cosoft |
_________________
4E 4F 20 53 49 47 |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 16 März, 2006 17:35 |
|
|
Hi cosoft
OK die Regel wird angelegt und sieht auch korrekt aus (zumindest wenn der remote Desktop UDP verwendet...)
Versuch's doch mal mit TCP als Protokoll...
| Zitat:
|
|
Die Regeln mit "WINS" im show filter habe ich nicht angelegt. Die sind anscheinend schon "ab Werk" eingetragen!?
|
ja, die ist per Default drin und fängt NetBIOS Auflösungen über DNS ab...
Gruß
Backslash |
|
|
|
|
cosoft
Anmeldungsdatum: 29.06.2005
Beiträge: 136
Wohnort: Nordrhein Westfalen
|
| Verfasst am:
Fr 17 März, 2006 11:05 |
|
|
| backslash hat folgendes geschrieben:
|
OK die Regel wird angelegt und sieht auch korrekt aus (zumindest wenn der remote Desktop UDP verwendet...)
Versuch's doch mal mit TCP als Protokoll...
|
Ja, ein Kollege hat bestätigt, das RPD standardmäßig über TCP läuft. Habs umgestellt, aber trotzdem geht es nicht. Allerdings kann ich nicht sagen, was genau nicht geht. Wie gesagt, generell funktioniert der Mail-Versand (hab diverse Einträge in der Aktionsliste).
Hier nochmal show filter:
| Code:
|
> show filter
Filter 0001 from Rule ALERT_RDP_OVER_WAN:
Protocol: 6
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
Dst: 00:00:00:00:00:00 192.168.0.99 255.255.255.255 3389-3389
use routing tag 0000
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
send SNMP trap
send email to administrator
Filter 0002 from Rule WINS:
Protocol: 17
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 137-139
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
use routing tag 0000
conditional: if on default route
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
reject
Filter 0003 from Rule WINS:
Protocol: 6
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 137-139
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
use routing tag 0000
conditional: if on default route
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
reject
|
192.168.0.99 ist der Terminal-Server.
Ich hätte die Möglichkeit, parallel per ISDN-Fernwartung den Router zu überwachen, während ich online per RPD auf den daran angeschlossenen Server zugreife. Leider weiss ich mangels Erfahrung nicht, an welcher Stelle ich wie was beobachten soll... 
(der Router ist übrigens ein 821, HW-Release F, LCOS 5.06) |
_________________
4E 4F 20 53 49 47 |
|
|
|
|
|
|
|
| |
|
|
