Hilfe beim einrichten einer neuen Netzwerk Infrastruktur erbeten

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
fallenang3l82
Beiträge: 4
Registriert: 25 Sep 2022, 20:35

Hilfe beim einrichten einer neuen Netzwerk Infrastruktur erbeten

Beitrag von fallenang3l82 »

Liebe LANCOM-Community,

ich möchte mich schonmal vorab für den langen Post mit den vielen Fragen entschuldigen und bei allen bedanken die nach dem lesen noch bereit sind mir weiter zu helfen.
Kurz zum Hintergrund: Ich bin Arzt mit eigener Praxis und zudem ein absoluter Computer-NERD! Ich habe meine eigenen PC's zusammengebaut seit ich 12 Jahre war und bin daher sehr Technik und IT-affin. In meinem Heimnetz habe ich Unifi laufen mit VLAN's und eigenem kleinen Proxmox Homelab.

Mir ist vieles zum Thema "Networking" bekannt. von IP, Routing, Switching, Trunking, VLAN, Subnetting usw. Leider ist mein "Know how" jedoch nicht auf dem CCNA Niveau (obwohl ich fleißig den CISCO-Kurs mache und am Paket Tracer Übe).

Genug der Vorstellung nun zum Grund meines Beitrages:
Ich habe aktuell in der Praxis einen LANCOM r800v der voll funktionsfähig das Netzwerk 192.168.2.0/24 betreibt.
Leider läuft über dieses Netz nicht nur der gesamte Praxis Traffic sondern auch das WLAN (über eine Fritzbox und repeater) für mich und die Mitarbeiter sowie inzwischen einige IoT devices wie SONOS boxen, smart-plugs und ein nanoleaf panel.
Mir ist bewusst das dies eine grobe Sicherheitslücke ist, weshalb ich mir eine LANCOM UF-260 Firewall, einen unifi cloudkey gen2 und 2 AP's gekauft habe um mein Netzwerk sicher zu machen.

Ein befreundeter IT-spezi den ich habe hat mir bereits einige Tipps gegeben wie ich die Topographie einrichten soll, was ich versucht habe bildlich darzustellen (Sein Rat war es die VoIP nicht über die Firewall laufen zu lassen, da dies manchmal Probleme gebe, wobei dies dann natürlich auch wieder eine Sicherheitslücke wäre?):
Untitled Diagram.jpg
Hardware Liste:
LANCOM R800V Router
LANCOM UF260 Firewall
Netgear GS110TPv3 8-Port Gigabit Smart Managed Pro Switch (Spechzimmer Switch)
Netgear GS748Tv5 ProSafe 48-port Gigabit Ethernet Smart Switch (Haupt-Switch)
Unifi Cloudkey Gen 2
2x Unifi 6 Lite AP's
TP-Link AP der über einen Tunnel ein Gästenetz hostet (Freifunk - von meinem IT-kumpel eingerichtet)

2 Aussagen meines IT-kumpels für die Einrichtung der neuen Infrastruktur waren: "Nat auf der Firewall ausschalten und Rückrouten im Router einrichten"
Leider bin ich hiermit scheinbar überfordert.
Im Moment ist die Firewall nur an den switch angeschlossen damit ich sie konfigurieren/administrieren kann. Sie ist also noch nicht "in reihe" geschaltet wie es auf der Zeichnung irgendwann der Fall sein soll.
Fangen wir mal vorne an:
Ich habe auf dem Cloudkey 2 Netze als reine VLAN Netze erstellt.

Jetzt habe ich in der Firewall unter "Netzwerk->VLAN Interfaces" meine 3 VLANs eingerichtet die über die Firewall laufen sollen (alle dem eth2 zugeordnet der später der trunk sein soll):

unter Netzwerk->DHCP habe ich nun das entsprechende subnet für das jeweilige vlan eingerichtet und dem interface zugeordnet. Unter dem "Erweitert" Reiter kann man Routen eingeben. Hier habe ich das Netzwerk zwischen firewall und router 192.168.2.0/24 und dem LANCOM als Gateway eingetragen, weiß aber garnicht ob das richtig/nötig ist??? (FRAGE1)
Hierdurch müsste die Firewall ja theoretisch für die WLAN's DHCP-Server spielen und den Geräten ihre Adressen rausgeben?

Was ich auch nicht weiß ist, ob ich ich ich unter Netzwerk->Routing->Routing Tabellen in der Firewall Einträge machen muss??? (FRAGE 2)

Was das deaktivieren des NAT auf der Firewall angeht die mein IT-kumpel empfohlen hat ist das einzige was ich gefunden habe dieses:
nat1.jpg
also über das verbindungswerkzeug von dem Netzwerk auf das WAN, dann die dienste auswählen und dann bei jedem Dienst unter NAT, AUS wählen. Ist es das was mit NAT deaktivieren gemeint war oder etwas anderes???? (FRAGE 3)

Sind an der Firewall sonst noch Einstellungen vorzunehmen die ich nicht aufgezählt habe???? (FRAGE 4)

Dann sind wir bei der Frage "Rückrouten im LANCOM Router". Ist damit gemeint gewesen das ich in die Routing Tabelle des Routers die VLAN Subnetze eintrage damit der Router die auch "kennt" weil diese ja hinter der Firewall sitzen?
routing1.jpg
(FRAGE 5)

Muss ich noch andere Dinge im Router konfigurieren???? (FRAGE 6)

Mir ist klar das ich anschließend in den switches die Ports für die VLANs konfigurieren muss, das sollte ich jedoch hinkriegen.

Puh, jetzt habe ich über 1h an dem Artikel geschrieben :shock:
Danke nochmal an alle die soweit gelesen haben und noch mehr dank an diejenigen die sich jetzt an die Tastatur setzen um mir meine Fragen zu beantworten oder mir noch andere Tipps zum umsetzen dieser Planung geben.
LG T.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Hilfe beim einrichten einer neuen Netzwerk Infrastruktur erbeten

Beitrag von Koppelfeld »

Hallo,
das ist ein ziemlich dickes Brett. Eher so eine "Multiplex-Platte".
Auch nicht trivial.

Mal ein Beispiel: In der vergangenen Woche wurde ich von einem Gichtanfall überrascht. Leide an angeborener Hyperurikämie, wird seit Jahren mit Allupurinol kompensiert, aber alle drei Jahre "reißt es aus" und ein Gelenk, immer ein anderes, wird "auffällig". Ziemlich auffällig.
Aus meinem Halbwissen heraus habe ich mich selbst mii Oxycodon medikamentiert (war gerade noch da), nachdem ein nichtopioidisches Analgetikum, ich glaube es war Metamizol, nicht die gewünschte Wirkung erzielt hatte. Heute morgen dann Diclophenac besorgt, was auch gar nicht so einfach war.
Das Verfahren hat funktioniert, aber ich würde das NIEMALS bei jemand anderem auch nur empfehlen -- weil mir einfach Grundlagenwissen und Erfahrung fehlen.

So ist es bei der "Eigenvernetzung" aber auch. Deswegen antwortet ggfs. auch niemand, denn man macht ein richtiges Faß damit auf. Die "Tips" des "IT-Kumpels" erinnern mich schon fatal an meine oben beschriebene "Eigenbehandlung". Ich versuche einmal auf einige Dinge so einzugehen, daß Sie selbst in die Lage versetzt werden, Entscheidungen zu treffen.

1. NAT
Das ist ganz sicher nicht schlau bei "kaskadierten" Zugriffen, i.e. 1. NAT in der "Firewall" und 2. NAT dann im Router. Das gibt mit einigen Anwendungen einen Riesenärger.

2. "Rückrouten"
Habe ich ja noch nie gehört, gemeint ist eine "Route". Stellen Sie sich vor, die Firewall schickt, ohne NAT, ein Paket aus einem der dahinter befindlichen (Sub-)netze auf den R800, der als Gateway agiert.
Nun kommt eine Antwort auf dieses Paket zurück, mit einer Zieladresse, die der Router gar nicht erreichen kann.
Er braucht also einen "Wegweiser", "Für das Netz 192.168.xxx/24 bitte weiterleiten an die Firewall".
Tragen Sie in der Routing-Tabelle ein.

3. "Firewall"
Warum nutzen Sie nicht die im Router enthaltene Firewall, das macht die Angelegenheit viel einfacher.

4. TK-Anlage
Hinter einem "NAT", genauer: einem NAPT, von dem wir hier implizit sprechen, ist jede Art von Telephonie ein Vabanquespiel und eine "Firewall" macht das ganze noch fehleranfälliger.
Aber gerade mit dem LANCOM steht Ihnen doch der Königsweg offen:
Terminieren Sie Ihren VoIP-Account doch auf dem R800! Die TK-Anlage, bspw. dann mit N:M - NAT, entweder direkt an den R800. Mit einem zweiten Interface dann die Telephone, ohne Internetzugriff, über ein separates VLAN anbinden.

Mir fehlt, wie so oft, die Zielsetzung:
Was wollen Sie erreichen ?
fallenang3l82
Beiträge: 4
Registriert: 25 Sep 2022, 20:35

Re: Hilfe beim einrichten einer neuen Netzwerk Infrastruktur erbeten

Beitrag von fallenang3l82 »

Erstmal danke das sich doch jemand erbarmt mir zu antworten. Ich hatte zwar auf mehr unterstützung gehofft als zu sagen "das schaffst du nicht dir fehlt das wissen" aber ok.
Ich glaube schon das ich das mit der nötigen unterstützung schaffen würde aber insbesondere die Firewall konfiguration stellt mich vor ganzschöne hürden.

Wenn ich die zielsetzung nicht deutlich genug formuliert habe tut es mir leid insbesondere weil ich dachte das dies aus der topologie zeichnung hervorgehen sollte:
Ziel: Sicherheit des Praxisnetzes erhöhen durch:
-Firewall mit entsprechenden Regeln/Verboten etc.
-Separierung der unterschiedlichen - Nicht Praxis Netz relevanten - anwendungen (wie privater laptop/IoT devices etc) in eigene VLANs und Subnetze durch die kein Zugriff mehr auf das Praxis netz möglich ist und somit Patientendaten klar von Spotify Stream getrennt sind.

Die R800 ist ja bereits mit der TK anlage und VoIP problemlos am laufen. Frage wäre halt nur diese ggf in eigene VLANS zu packen aber durch verkabelung "an der firewall" vorbei zu schleusen - so wie es bis jetzt ja auch lief.
zu3. Die sicherheit und funktionen der router firewall reichen mir nicht aus.

zu1: damit schon der zweite der vom doppelten nat abrät, leider weiß ich dadurch immer noch nicht wie ich das in der firewall ausschalte - daher die Frage.

zu 2. trage ich dafür in die routing tabelle des R800 einfach ein 192.168.0.0 // 255.255.0.0 // routing Tag 0 // Router: "Firewall-IP" // RIP Distanz 0 // NET-dektiviert?

ps fand übrigens die medizinische analogie sehr schön, wennauch der vergleich leicht hinkt. Ich will ja nicht ein zweites Standbein aufbauen als Netzwerk-experte sondern nur lernen wie ich mit meiner "krankheit" umgehen muss und dafür frage ich jetzt meinen Arzt des Vertrauens (FORUM) wie ich das am besten mache. Ein klares Therapieschema würde mir da mehr bringen als ein "ich kann ihnen nicht helfen dafür haben Sie zu wenig Ahnung von der Krankheit"
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Hilfe beim einrichten einer neuen Netzwerk Infrastruktur erbeten

Beitrag von tstimper »

fallenang3l82 hat geschrieben: 26 Sep 2022, 00:36 Liebe LANCOM-Community,

Mir ist vieles zum Thema "Networking" bekannt.
Das hilft natürlich etwas bei Redesign, was jetzt zwingend nötig ist, nachdem der Netzwerkplan der Arztpraxis
frei im Internet gepostet wurde.

Das können sicher einige aus dem Forum kostenpflichtig
machen.


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
fallenang3l82
Beiträge: 4
Registriert: 25 Sep 2022, 20:35

Re: Hilfe beim einrichten einer neuen Netzwerk Infrastruktur erbeten

Beitrag von fallenang3l82 »

tstimper hat geschrieben: 26 Sep 2022, 19:41

Das können sicher einige aus dem Forum kostenpflichtig
machen.
Hilfe zur Selbsthilfe scheint hier ungern gesehen zu werden. :cry:
Ich weiß nicht ob der Sinn von Foren sich in den letzten 20 Jahren geändert hat, aber früher ist man in Foren gegangen um erfahrene Leute um Tipps zu Themen zu bitten in denen man nicht versiert genug ist.

Gehe ich in ein HIFI Forum um mir Tipps für meine Dolby Anlage zu holen will ich auch nicht zu hören kriegen "hol dir doch einen HIFI-Installateur" der macht dir das alles.

Wenn ich jemanden bezahlen wollte der mir das macht dann schlage ich die gelben Seiten auf und schreibe nicht eine Stunde bis tief in die Nacht einen Artikel im Forum mit Bildern etc. :roll:
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Hilfe beim einrichten einer neuen Netzwerk Infrastruktur erbeten

Beitrag von Koppelfeld »

fallenang3l82 hat geschrieben: 26 Sep 2022, 19:36 Erstmal danke das sich doch jemand erbarmt mir zu antworten. Ich hatte zwar auf mehr unterstützung gehofft als zu sagen "das schaffst du nicht dir fehlt das wissen" aber ok.
Wenn ich das hätte aussagen wollen, dann hätte ich das geschrieben.
Mit vielleicht 14 bekam ich von meinem Physiklehrer mit, "es ist eine unserer wichtigsten Obliegenheiten, unser Wissen weiterzugeben", und ich ahnte damals, daß dies eine ganz wichtige, große Sache sei. Diese Ahnung ist bei mir, fast vierzig Jahre später, zur Gewißheit geworden.
Auf der anderen Seite nehme ich meinen Job sehr ernst und bin mit "Ferndiagnosen" extrem vorsichtig, denn dann sehe ich mich auch in Verantwortung.
Die "Krankengeschichte" sollte Sie zu einem Perspektivwechsel ermutigen: "Würde ich einem Patienten am Telephon empfehlen, 'Schmeiß mal alles an Analgetika rein, was bei Dir in der Schublade rumgammelt, um über das Wochenende zu kommen und hole Dir am Montag dann Diclophenac' ". Da bin ich ganz sicher, daß Sie das nicht getan hätten.
Wenn ich die zielsetzung nicht deutlich genug formuliert habe tut es mir leid insbesondere weil ich dachte das dies aus der topologie zeichnung hervorgehen sollte:
Da liegt eine fertige "Therapie". Mich interessieren Anamnese und Diagnose.
Ziel: Sicherheit des Praxisnetzes erhöhen durch:
-Firewall mit entsprechenden Regeln/Verboten etc.
Problem dabei: Die typische Gefahr lauert im "ausgehenden" Traffic über Port 443.
Da holt sich "Outlook", schon in der "Dokumentenvorschau", ebenso unnötig wie gerne eine 'vergiftete' Schriftart von einem Google-Server, die sich dann zur Ausführung bringt und allerlei Schäden anrichtet. EINGEHEND sind die Geräte ja schon durch NAPT einigermaßen geschützt.
-Separierung der unterschiedlichen - Nicht Praxis Netz relevanten - anwendungen (wie privater laptop/IoT devices etc) in eigene VLANs und Subnetze durch die kein Zugriff mehr auf das Praxis netz möglich ist und somit Patientendaten klar von Spotify Stream getrennt sind.
Die Daten "tun sich untereinander nichts". Aber: Microsoft- und Apple-Geräte sind übergriffig wie ein ganzer Swingerclub. Das ist schon eine saubere Sache, unterschiedliche VLANs zuzuweisen, die insbesondere verhindern, daß sich die Geräte per Broadcast gegenseitig "anfunken". Auch das ist mit dem LANCOM hervorragend und einfach möglich.
Der LANCOM bietet Ihnen darüberhinaus die Möglichkeit, mit "Routing-Tags" dafür zu sorgen, daß nicht einfach zwischen den Netzen geroutet wird, wobei es sogar möglich ist, eine Richtung zu erlauben und die andere nicht - ohne eine einzige Firewall-Regel zu formulieren.
Die R800 ist ja bereits mit der TK anlage und VoIP problemlos am laufen. Frage wäre halt nur diese ggf in eigene VLANS zu packen aber durch verkabelung "an der firewall" vorbei zu schleusen - so wie es bis jetzt ja auch lief.
Das SIP-Protokoll ist nicht für Firewalls gedacht: Der SBC Ihres Providers und Ihre VoIP-Anlage "mauscheln" untereinander Ports aus, über die die eigentliche Kommunikation stattfinden soll. Wenn das die Firewall nicht "mitbekommt", sind die Ports halt zu, ggfs. erfolgt der Verbindungsaufbau nur in eine Richtung.
Auf jeden Fall fahren Sie gut, wenn Sie tatsächlich den Router beim Provider registrieren.
Gleich zwei Gründe: 1. Woher soll der Router wissen, wohin er ein eingehendes Telephonat lenken soll ? Er kann es nur aus der NAPT-Tabelle haben, und wenn die NAT-Haltezeit kürzer ist als das SIP - (Re-)registrierungsintervall, dann verpassen Sie halt einen Anruf und der Anrufer hört, "Der Teilnehmer ist nicht bekannt". BTDT.
Wenn Sie die NAT-Haltezeit indes erhöhen auf "sichere" drei Minuten, dann fliegt Ihnen bei "Nutzung" von "Freifunk" auch gerne einmal die NAT-Tabelle um die Ohren, weil übergelaufen. Unschön.
2. Der Router kann ganz prima "QoS" machen, d.h. die Sprachpakete bspw. "Freifunk"-Downloads gegenüber bevorzugen.
Die TK-Anlage brauchen Sie NICHT ins Internet zu lassen, sondern registrieren sie gegen den Router, als wäre dies Ihr Provider. Das nannt man dann "Application Level Gateway" und sicherer bekommen Sie es nicht hin.
Auf jeden Fall brauchen Sie die Firewall nicht zu überbrücken.
zu3. Die sicherheit und funktionen der router firewall reichen mir nicht aus.
Der alte Satz von Bertrand Russell, "Jede Technik muß, wenn sie zum guten wirken soll, mit einem Wachstum an Weisheit verbunden sein". Und Sie liefern den Beweis gleich mit:
zu1: damit schon der zweite der vom doppelten nat abrät, leider weiß ich dadurch immer noch nicht wie ich das in der firewall ausschalte - daher die Frage.
Das muß ja eine tolle "Firewall" sein: Die hat erstmal gar kein NAT zu machen -- oder sie kommt mit so einer albernen "one fits all" - Konfiguration, damit auch der größte Depp adhoc sein Erfolgserlebnis hat. Ist nicht auf Sie gemünzt, sondern auf 90% des gemeinen IT-Installationspersonals.
"UF-260" -- mir schwant da nix Gutes. Bedenken Sie auch, daß diese Firewall jetzt auch Router und Gateway in Ihrem nachgelagerten Netz spielen muß.
zu 2. trage ich dafür in die routing tabelle des R800 einfach ein 192.168.0.0 // 255.255.0.0 // routing Tag 0 // Router: "Firewall-IP" // RIP Distanz 0 // NET-dektiviert?
Wenn Sie meinen, "NAT-deaktiviert": Ja.

Bei der ganzen Sache habe ich, warum auch immer, ein schlechtes Bauchgefühl, spüre einen Widerspruch gegen die 'lex parsimoniae',
"entia non sunt multiplicanda praeter necessitate".
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: Hilfe beim einrichten einer neuen Netzwerk Infrastruktur erbeten

Beitrag von hyperjojo »

hallo,

zum Thema Routing mit Transfernetz zwischen Firewall und Router ist hier ein neuer KB Artikel erschienen:
https://support.lancom-systems.com/know ... =110790514

Gruß hyperjojo
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Hilfe beim einrichten einer neuen Netzwerk Infrastruktur erbeten

Beitrag von C/5 »

Hallo,
zum Thema Routing mit Transfernetz zwischen Firewall und Router ist hier ein neuer KB Artikel erschienen
Ah, interessant, wenn auch ein mögliches Standardszenario (kaskadierter Router mit doppeltem NAT ...).

Denn bisher gab es explizit nur KB-Artikel für die Reihenschaltung und die s.g. Layer-3-Schleife.

Ferner und wirklich nicht ohne (also Finger davon lassen), UTM-Funktionen in transparentem Bridge-Mode. In dem KB-Artikel müsste mMn ein Disclaimer ergänzt werden, wofür das einsetzbar ist und wofür nicht.

CU
C/5
fallenang3l82
Beiträge: 4
Registriert: 25 Sep 2022, 20:35

Re: Hilfe beim einrichten einer neuen Netzwerk Infrastruktur erbeten

Beitrag von fallenang3l82 »

Danke schonmal für die antworten und zahlreichen Artikel.

Kurzer zwischenstand: Ich habe jetzt die VLANS die vom Cloudkey und den AP's als WLAN gesendet werden erfolgreich über die Firewall ans laufen bekommen und damit schonmal den ersten Schirtt zur separierung gemacht. Auch der Internet zugriff läuft damit gut. Im folgenden muss ich mich wohl mal mit den ganzen Protokollen außeinandersetzen die man über "Verbindungen" einrichten kann und dann nur in die eine oder andere oder beide Richtungen erlauben kann. und auf diese weise noch weiter die Sicherheit optimieren.

Ich denke denk Rest sollte ich nun auch schaffen.

Sollten noch Fragen aufkommen melde ich mich aber
Ragin26
Beiträge: 11
Registriert: 07 Apr 2021, 10:28

Re: Hilfe beim einrichten einer neuen Netzwerk Infrastruktur erbeten

Beitrag von Ragin26 »

Hallo fallenang3l82,

ich möchte mich ebenfalls der Meinung von Koppelfeld anschließen. Es ist sehr sehr schwierig per Ferndiagnose bei einem so komplexen Szenario gute Ratschläge zu geben, da man nie alle Einstellungen und „Rädchen im Getriebe“ überblicken kann, insbesondere auch bei einem Arztpraxis-Netzwerk, egal ob Einzel- oder Praxisgemeinschaft. Sie haben allerdings ein wichtiges Thematik in der Arztpraxis ausgeklammert – die Telematikinfrastruktur. Wie soll die Verbindungen hergestellt werden ? Welche Betriebsmodi hat der TI-Konnektor ? (Wie) muss ich das Ding hinter die UF-260 bekommen ? Wer macht die Wartung der TI ?
Ich betrachte den Mix zur Verwendung aus Microsoft- und Apple-Geräte in einem Netzwerk als problematisch. … und habe das nicht umgesetzt. Das (Sicherheit)-Log vom TI-Konnektor wird bestimmt voll werden... und Fehlersuche nicht einfacher machen.

Gruß
ragin26
Antworten