 |
|
|
|
| Autor |
Nachricht |
cjs
Anmeldungsdatum: 07.02.2008
Beiträge: 4
|
 Verfasst am:
Do 07 Feb, 2008 17:26 |
  |
|
Hi,
Habe einen Lancom 8011 VPN, auf dem 2 Internetleitungen (1 * 8 IP, 1 * 32 IP) hängen. Soweit funktioniert auch alles perfekt. (loadbalaning, vpns).
Mein großes Problem ist es, ein inverses Maskieren einzurichten, um einige Server mit unterschiedlichsten Protokollen auf den verbleibenden IP-Adressen (8011 verwendet nur je 1 auf den beiden WAN-Interfaces) zu veröffentlichen.
Habs schon mit Portforwarding probiert, aber ich bekomme beim besten Willen keine Verbindung. (die weiteren IP sind von außen einfach) nicht greifbar.
eine DMZ ist vorläufig noch nicht eingerichtet. Funktioniert das überhaupt mit diesem Ding ???
Bin eigentlich kein Newbie, aber bei Cisco Pix und anderen Produkten ist das ein Einzeiler und funktioniert einwandfrei.
LCOS 7.22 |
|
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
cjs
Anmeldungsdatum: 07.02.2008
Beiträge: 4
|
| Verfasst am:
Do 07 Feb, 2008 17:43 |
|
|
| cjs hat folgendes geschrieben:
|
Hi,
Habe einen Lancom 8011 VPN, auf dem 2 Internetleitungen (1 * 8 IP, 1 * 32 IP) hängen. Soweit funktioniert auch alles perfekt. (loadbalaning, vpns).
Mein großes Problem ist es, ein inverses Maskieren einzurichten, um einige Server mit unterschiedlichsten Protokollen auf den verbleibenden IP-Adressen (8011 verwendet nur je 1 auf den beiden WAN-Interfaces) zu veröffentlichen.
Habs schon mit Portforwarding probiert, aber ich bekomme beim besten Willen keine Verbindung. (die weiteren IP sind von außen einfach) nicht greifbar.
eine DMZ ist vorläufig noch nicht eingerichtet. Funktioniert das überhaupt mit diesem Ding ???
Bin eigentlich kein Newbie, aber bei Cisco Pix und anderen Produkten ist das ein Einzeiler und funktioniert einwandfrei.
LCOS 7.22
|
|
| Beschreibung: |
|
| Dateigröße: |
23.96 KB |
| Angeschaut: |
3038 mal |
|
|
|
|
|
gm
Anmeldungsdatum: 21.10.2006
Beiträge: 300
Wohnort: Großkonreuth
|
| Verfasst am:
Do 07 Feb, 2008 20:13 |
|
|
Hi cjs,
hast Du die Portweiterleitung auch in der Firewall freigegeben?
Gruß
gm |
|
|
|
 |
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 07 Feb, 2008 21:46 |
|
|
Hi cjs
| Zitat:
|
|
eine DMZ ist vorläufig noch nicht eingerichtet. Funktioniert das überhaupt mit diesem Ding ???
|
klar...
| Zitat:
|
|
Bin eigentlich kein Newbie, aber bei Cisco Pix und anderen Produkten ist das ein Einzeiler und funktioniert einwandfrei.
|
ist auch beim LANCOM ein "Einzeiler": gib dem jeweiligen Netz einfach die öffentlichen Adressen und stelle den Netzwerktyp auf DMZ um... (das funktioniert natürlich nur, wenn du auf der Default-Route die Maskierungsoption auf "nur Intranet maskieren" setzt)
Gruß
Backslash |
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 07 Feb, 2008 21:49 |
|
|
Hi cjs
ach ja noch etwas: die 85.126.168.210 ist doch eine der Adressen, die das LANCOM auf der Gegenstelle INT_AAX besitzt, oder?
Gruß
Backslash |
|
|
|
|
|
cjs
Anmeldungsdatum: 07.02.2008
Beiträge: 4
|
| Verfasst am:
Do 14 Feb, 2008 14:49 |
|
|
Hallo, vorerst einmal danke für die Beiträge.
Momentan will ich keine DMZ einrichten, sondern nur für Testzwecke den SSH-Port auf das interne Netz (10.10.10.0/24) mappen.
10.10.10.205 ist der Host, auf den ich SSH ZUgriff von außen benötigen würde.
85.126.168.210 ist die IP, mit der Lancom Router im Internet (1. Leitung) hängt.
Nachdem es in diesem Netz weitere IP-Adressen gibt, möchte ich eine der folgende Adressen (85.126.168.211) verwenden, um nicht den SSH-Server des Routers nicht zu beeinflussen.
Auf der Firewall habe ich dür die IP 10.10.10.205 eine Route auf die richtige Leitung (da es 2 gibt) gelegt und die Maskierung abgedreht.
Beim Forwarding anfangs, end bzw. Mapping port auf 22, nur tcp, interface die entsprechende Leitung, Intranet: 10.10.10.105 und WAN: 85.126.168.211 (also die folgende).
Auf der Firewall habe ich eine Regel eingerichtet, welche alle von allen Hosts auf 10.10.102.205 ssh (zielport: 22) zulässt, bzw. auch die richtige Leitung gewählt (inkl. Syslog für Monitor)
Es lässt sich leider keine Verbindung herstellen (Defaultgateway = richtig), auch im Lanmonitor tauchen keine Einträge auf, obwohl die Protokollierung aufgedreht ist.
Die betreffenden Zeilen aus der Konfiguration
| Code:
|
# Peer IP-Address IP-Netmask Masq.-IP-Addr. Gateway DNS-Default DNS-Backup NBNS-Default NBNS-Backup
# ---------------------------------------------------------------------------------------------------------------------------------------------------------------
tab 1 2 3 9 4 5 6 7 8
add "INT_AAX" 85.126.168.210 255.255.255.248 0.0.0.0 85.126.168.209 195.58.160.194 195.58.161.122 0.0.0.0 0.0.0.0
add "INT_ITS" 81.223.127.196 255.255.255.224 0.0.0.0 81.223.127.193 195.58.160.194 195.58.161.122 0.0.0.0 0.0.0.
---
# Network-name IP-Address IP-Netmask VLAN-ID Interface Src-check Type Rtg-tag Comment
# --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
tab 1 2 3 4 5 6 7 8 9
add "INTRANET" 10.10.10.1 255.255.255.0 0 65535 0 1 0 "local intranet"
----
# IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active Comment
# -----------------------------------------------------------------------------------------------------------------------------------------------------------------
tab 1 2 8 3 4 5 6 7
add 10.10.10.205 255.255.255.255 1 "INT_AAX" 0 0 0 ""
------
# Name Prot. Source Destination Action Linked Prio Firewall- VPN-Rule Stateful Rtg-tag Comment
# ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
tab 1 2 3 4 7 8 9 10 11 12 14 13
add "_SSH_TEST" "TCP" "ANYHOST" "%S22 %A10.10.10.205-255.255.255.255" "%Lcd0 %A %S %N" 0 2 0 0 0 1 "SSH ber LTG 1"
# Setup/IP-Router/1-N-NAT/Service-Table
cd /2/8/9/4
del *
# D-port-from D-port-to Protocol Peer WAN-Address Intranet-Addres Map-Port Active Comment
# ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
tab 1 3 8 7 9 2 4 5 6
add 22 22 1 "INT_AAX" 85.126.168.211 10.10.10.205 22 0 ""
|
Leider sind die Manuals und Praxisbeispiele im LCOS-Manual (und auf der offiziellen Support-Homepage) nicht wirklich geeignet, um hier weiterzukommen. Hoffe daher auf Hilfe aus diesem Forum.
danke im Voraus für die Hilfe, cjs |
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 14 Feb, 2008 17:20 |
|
|
Hi cjs
was willst du denn mit dieser Route?
| Code:
|
# IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active Comment
# -----------------------------------------------------------------------------------------------------------------------------------------------------------------
tab 1 2 8 3 4 5 6 7
add 10.10.10.205 255.255.255.255 1 "INT_AAX" 0 0 0 ""
|
Die leitet doch alle Daten für den *lokalen* Host 10.10.10.205 wieder auf das Interface INT_AAX. Damit kann das nicht funktionieren! (selbst auf einem Cisco würde das so nicht gehen...)
Stattdessen brauchst du eine getaggte und maskierte Default-Route, die auf das Verbindung INT_AAX verweist, also
| Code:
|
# IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active Comment
# -----------------------------------------------------------------------------------------------------------------------------------------------------------------
tab 1 2 8 3 4 5 6 7
add 255.255.255.255 0.0.0.0 1 "INT_AAX" 0 1 0 ""
|
Als nächstes ist auch in der Firewallregel ein Fehler: Du hast als Ziel *alle* Adressen von 10.10.10.255 bis 255.255.255.255 angegeben:
| Code:
|
|
"%S22 %A10.10.10.205-255.255.255.255"
|
Stattdessen muß dort
| Code:
|
|
"%S22 %A10.10.10.205 %M255.255.255.255"
|
stehen.
Ebenso ist die Angabe des Routing-Tags fasch! Das Ziel ist doch im Netz INTRANET - und das hat das Tag 0, daher muß auch in der Firewall das Tag 0 stehen
ich wage langsam an deiner Behauptung
| Zitat:
|
|
Bin eigentlich kein Newbie,
|
zu zweifeln
Gruß
Backslash |
|
|
|
|
|
cjs
Anmeldungsdatum: 07.02.2008
Beiträge: 4
|
| Verfasst am:
Sa 16 Feb, 2008 20:12 |
|
|
Hi backshlash,
vorerst einmal besten dank!
hat mit deiner hilfe auch dann gleich gefunkt.
An meinen Einträgen hab ich - ehrlich gesagt - selbst schon einwenig gezweifelt, hab solche Dinge auf anderen Appliances schon zigfach erfolgreich eingerichtet, und da war - für mich - alles wesentlich logischer und einfacher. (ca. 30 Pix, einige Netscreen, Fortinet und ISA)
Die Route war natürlich absoluter Schwachsinn, die 2. (default route) war eh vorhanden, die firewall regel (ok-sollte ein Hostroute sein, wollte das Subnet angeben).
Trotzdem muss ich feststellen, dass die LCOS Manuals zwar sehr gut um umfangreich sind, aber die wenigen (teilweise stark veralteten) Praxisbeispiele im Lancom-Support-Bereich alles andere als hilfreich sind.
So muss man zwangsläufig "experimentieren", und an die Lösung herantasten, und dann kommt es (leider) auch zu absolut falschen Annahmen und Einträgen, Konfussion, viele versch..... Stunden und auch ein wenig Frustration.
Zumindest weiss ich jetzt, wie und wo ich die "Missing Links" anfinde.
Nochmals besten Dank! 
LG
- cjs |
|
|
|
|
|
|
|
|
|
| |
|
|
