LANCAPI durch ISA 2004 verwenden

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

LANCAPI durch ISA 2004 verwenden

Beitrag von Raudi »

Hallo,

dieses Thema betrifft zwar nicht die Firewall des LANCOM Routers, aber ich denke mal es ist trotzdem interessant.

Ich habe hier lange experimentiert bis ich es hinbekommen habe und daher beschreibe ich mal, was ich gemacht habe um den LANCAPI des LANCOM 821 durch den ISA 2004 zum laufen zu bringen.

Umgebung:

Ein Subnetz mit 8 IP's, die erste IP bekommt der LANCOM bei der Einwahl vom Provider zugeteilt. Die gleiche habe ich für das LAN Interface eingetragen und das NAT deaktiviert.
Der Traffic wird also zum ISA Server 2004 geroutet, der die zweite IP aus dem Subnetz auf dem externen Interface hat.

Der ISA Server 2004 ist als Edgefirewall konfiguriert.

Meine Lösung:

1. Eine Netzwerkregel erstellen die von der Priorität vor dem Internetzugriff ist und nur Traffic vom Internen Netzwerk an den LANCOM routet. (Standard Internetzugriff ist NAT und das ist schon mal das erste Problem.)

2. Im Lancom Router unter IP Routing eine Route eintragen, in der das Interne Netzwerk an die Externe IP des ISA Servers routet. (Da der ISA den Traffic Routet muss die Rückroute bekannt sein.)

3. Im ISA Server ein Protokoll LANCOM erstellen bei dem die UDP Ports 69, 75 & 1024-65535 mit Senden eingetragen sind.

4. Eine Zugriffsregel erstellen, welche das Protokoll LANCOM von der IP des LANCOM Routers in das Interne Netzwerk zulässt.

5. Eine Zugriffsregel erstellen, welche das Protokoll LANCOM vom Internen Netzwerk zur IP des LANCOM Routers zulässt.

Nur die Ports 69 und 75 durchlassen funktioniert nicht, da die darauf folgenden Verbindungen oberhalb 1024 liegen und dynamisch sind.

Evtl. hat ja noch jemand Verbesserungsvorschläge....

Gruß

Stefan
Nach oben
backslash
Moderator
Moderator
Beiträge: 7129
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi Raudi
Nur die Ports 69 und 75 durchlassen funktioniert nicht, da die darauf folgenden Verbindungen oberhalb 1024 liegen und dynamisch sind.
Nun ja, nur die Verbindung auf den Port 69 benutzt einen dynamischen Port - so ist TFTP halt definiert. Man sollte MS eigentlich dafür verprügeln, daß sie es nicht schaffen, TFTP sauber durch die Firewall zu leiten (aber sie sind ja nicht die einzigen, die das nicht schaffen)...

Gruß
Backslash
Nach oben
Antworten

Zurück zu „Fragen zum Thema Firewall“