Hallo,
hinter einem 1781VA soll ein Cisco-Router von BelWü (www.belwue.de) eingesetzt werden, welcher eine GRE-Verbindung aufbauen will. Diese wird jedoch vom LANCOM-Gerät geblockt, Die im Syslog erscheinende Meldung lautet: "Alarm Dst: 193.196.190.140, Src: 192.168.199.229
{es-kab-aws2-gw} (GRE): connection refused". Ein Test des BelWü-Routers hinter einer Fritzbox bzw. hinter einer Zyxel-Firewall war erfolgreich (GRE-Verbindung wurde in beiden Fällen selbständig aufgebaut), daher meine Frage: wo kann ich beim LANCOM-Gerät die GRE-Verbindung des dahinter angeschlossenen BelWü-Routers freigeben bzw. das Blockieren abschalten? Im Handbuch habe ich nur Einträge gefunden für den Fall, dass der LANCOM selber GRE-Verbindungen aufbauen soll, aber nicht wenn ich Client dahinter diese aufbauen will.
Vielen Dank für Eure Hilfe.
cu
Markus
GRE von Host hinter LANCOM freigeben
Moderator: Lancom-Systems Moderatoren
GRE von Host hinter LANCOM freigeben
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: GRE von Host hinter LANCOM freigeben
Hi mako42
da GRE nicht maskierbar ist, bekommst du es auch nicht über eine maskierte Verbindung übertragen.... Die einzige Möglichkeit im LANCOM GRE über eine Maskierung zu bekommen ist im Rahmen eines PPTP...
Verwende im Cisco also ein anderes Tunnelprotokoll, das auch maskierbar ist, z.B. L2TP
Gruß
Backslash
da GRE nicht maskierbar ist, bekommst du es auch nicht über eine maskierte Verbindung übertragen.... Die einzige Möglichkeit im LANCOM GRE über eine Maskierung zu bekommen ist im Rahmen eines PPTP...
Verwende im Cisco also ein anderes Tunnelprotokoll, das auch maskierbar ist, z.B. L2TP
Gruß
Backslash
Re: GRE von Host hinter LANCOM freigeben
Hallo Backslash,
danke für Deine Antwort.
Im KB-Artikel https://www2.lancom.de/kb.nsf/b8f10fe56 ... enDocument wird angegeben, dass wenn man den TCP Port 1723 freigibt (PPTP), GRE dann automatisch weitergeleitet wird. Meinst Du das?
Wie/wo kann denn der Port freigegeben werden? Sorry für diese Anfängerfrage, ich habe leider keine Erfahrung mit LANCOM, sondern setzte Geräte anderer Hersteller ein. Der LANCOM wird jedoch von der Telekom bei der Umstellung auf IP-Telefonie vorgegeben, daher beschäftige ich mich aktuell damit. Er wird eigentlich auch _nur_ für die IP-ISDN-Umsetzung benötigt, Firewall etc. ist durch bereits vorhandene Hardware realisiert. D.h. der LANCOM braucht eigentlich gar nichts blocken, sondern soll nur Telefonie machen und alle anderen Pakete einfach durchreichen.
cu
Markus
danke für Deine Antwort.
Im KB-Artikel https://www2.lancom.de/kb.nsf/b8f10fe56 ... enDocument wird angegeben, dass wenn man den TCP Port 1723 freigibt (PPTP), GRE dann automatisch weitergeleitet wird. Meinst Du das?
Wie/wo kann denn der Port freigegeben werden? Sorry für diese Anfängerfrage, ich habe leider keine Erfahrung mit LANCOM, sondern setzte Geräte anderer Hersteller ein. Der LANCOM wird jedoch von der Telekom bei der Umstellung auf IP-Telefonie vorgegeben, daher beschäftige ich mich aktuell damit. Er wird eigentlich auch _nur_ für die IP-ISDN-Umsetzung benötigt, Firewall etc. ist durch bereits vorhandene Hardware realisiert. D.h. der LANCOM braucht eigentlich gar nichts blocken, sondern soll nur Telefonie machen und alle anderen Pakete einfach durchreichen.
cu
Markus
Re: GRE von Host hinter LANCOM freigeben
Hi mako42,
Falls du in der Firewall eine Deny-All-Strategie nutzt, dann mußt du zusätzlich in der Firewall noch eine Regel aufnehmen die PPTP zuläßt (unter Firewall/Qos -> IPv4-Regeln -> Regeln...)
auch hier läßt du alles andere im Deafult
Aber wie gesagt: Das funktioniert nur, wenn du auch wirklich PPTP machst. Ein Cisco bietet aber direkt GRE als Übertragungsprotokoll an - und dafür hast du im LANCOM keine Chance, ein Portforwarding einzurichten. Da solltest du lieber zwischen dem Cisco und dem LANCOM einen VPN-Tunnel aufbauen und auf das GRE komplett verzichten. Falls du es wirklich brauchst, kannst du das GRE natürlich immer noch durch den VPN-Tunnel schicken
Gruß
Backslash
ja, baer das funltzioniert nur, wenn du wirklich GRE machst. Beim PPTP werden sog. "Call-IDs" ausgehandel, die in den GRE-Paketen abgelegt werden. Die Firewall und die Maskierung achten auf diese und lassen nur die GRE-Pakete mit passende "Call-IDs" durch.Im KB-Artikel https://www2.lancom.de/kb.nsf/b8f10fe56 ... enDocument wird angegeben, dass wenn man den TCP Port 1723 freigibt (PPTP), GRE dann automatisch weitergeleitet wird. Meinst Du das?
Ein Port-Forwarding trägst du uunter IP-Router -> Maskierung -> Port-Forwarding-Tabelle ein dort trägst du für PPTP dann den Port 1723, als Protokoll nur TCP und als "Intranet-Adresse" die IP ein, an die weitergeleitet werden soll. Alles andere läßt du einfach im Default.Wie/wo kann denn der Port freigegeben werden? Sorry für diese Anfängerfrage, ich habe leider keine Erfahrung mit LANCOM, sondern setzte Geräte anderer Hersteller ein.
Falls du in der Firewall eine Deny-All-Strategie nutzt, dann mußt du zusätzlich in der Firewall noch eine Regel aufnehmen die PPTP zuläßt (unter Firewall/Qos -> IPv4-Regeln -> Regeln...)
Code: Alles auswählen
Name: ALLOW-PPTP
Aktion: übertrtagen
Quelle: alle Stationen
Ziel: IP des PPTP-Servers
Dinetse: Zieldienst PPTP (oder hat TCP, Port 1723)
Aber wie gesagt: Das funktioniert nur, wenn du auch wirklich PPTP machst. Ein Cisco bietet aber direkt GRE als Übertragungsprotokoll an - und dafür hast du im LANCOM keine Chance, ein Portforwarding einzurichten. Da solltest du lieber zwischen dem Cisco und dem LANCOM einen VPN-Tunnel aufbauen und auf das GRE komplett verzichten. Falls du es wirklich brauchst, kannst du das GRE natürlich immer noch durch den VPN-Tunnel schicken
Gruß
Backslash