Regel funktioiert nicht

[_Stefan]

Hi,

ich hatte eine Lancom Firewall angeschafft, weil die Softwarefirewall nicht mehr den gewünschten Schutz zu bieten schien und stehe nun vor einem merkwürdigen Phänomen. Aber zunächst die Konfiguration in Kurzform:

10 MBit SDSL <-> Router des Providers mit festen IPs <-> Lancom Firewall <-> Server mit ZoneLabs Softwarefirewall.

Auf der Lancom-Firewall ist u.a. die Regel, UDP-Protokoll sollen "gedropt" werden, angelegt. Dennoch zeigt die Softwarefirewall weiterhin Anfragen auf UDP-Ports an.

Wie ist das möglich??

Vielen Dank

Stefan

[cpuprofi]

Hallo Stefan,

Lancom Firewall

Lancom baut Router und AP's mit integrierter Firewall und keine UTM-Lösungen, daher wäre es sinnvoll auch das Gerät und Deine Konfiguration (Deine Firewall-Regeln) genau zu nennen...

Ansonsten wird Dir hier keiner weiter helfen (können).

Grüße
Cpuprofi

[_Stefan]

Hi,

es handelt sich um einen Lancom 1722 VoIP Router.

Die Regel lautet:
Prot: %P17
Quelle:%a0.0.0.0 %m0.0.0.0
Ziel:%a0.0.0.0 %m0.0.0.0
Aktion:%D
Verknüpft:nein
Prio:0
Aktiv:ja
VPN-Regel:nein
Stateful:ja
Rtg-Tag:0

Das war ein erster Test der Firewall, die eigentliche Aufgabe der Firewall ist eine andere:

1. die drei Server, die an den Router angeschlossen sind, nach aussen hin komplett dicht zu machen.
Dicht heisst, für alle drei Server sind alle Ports unerreichbar, Anfragen sollen von der Firewall so behandelt werden, als ob die Server dahinter nicht vorhanden sind.
Alleine die HTTP und HTTPS Ports der Server sind zugänglich und zusätzlich die SMTP und POP Ports des Mailrelays, alles andere existiert nach aussen nicht.

2. den Verbindungsaufbau von Rechnern aus dem Intranet nach draussen komplett zu unterbinden, bis auf Anfragen, die über HTTP und HTTPS gestellt werden.

Mittlerweile frage ich mich zunehmend, ob das mit dem Lancom Kästchen überhaupt zu machen ist??


Vielen Dank

Stefan

[Bernie137]

Moin,

Mittlerweile frage ich mich zunehmend, ob das mit dem Lancom Kästchen überhaupt zu machen ist??

Kommt halt darauf an, ob man nur motzt, oder auch versucht zu verstehen was falsch sein könnte.

Warum heißt die Rule nicht

Code: Alles auswählen

"DENY_ALL"  {Prot.}  "ANY"   {Source}  "ANYHOST"   {Destination}  "ANYHOST"   {Action}  "%Lcds0 %R" {Linked}  No {Prio}  0     {Firewall-Rule}  Yes  {VPN-Rule}  No   {Stateful}  Yes  {Rtg-tag}  0  {Comment}  "Alles verbieten"

??? Dann kannst eine Deny_All Strategie aufbauen und nur noch die Ports freigeben, die gewünscht sind.

Gruß Heiko

[_Stefan]

Hi Heiko,

danke für die Antwort - nuuur und da motz ich nicht nur, ich versteh' es einfach nicht.
Deine Regel ist drin, aber nix wird von der Firewall zurückgehalten - der Server hinter der Firewall meldet weiterhin lustig Anfragen auf allen möglichen Ports, Protokollen und Source-IPs.
Ich hab' keine Ahnung wieso???

Lieben Dank

Stefan

[Bernie137]

Hallo Stefan,

ich denke, es wird etwas recht einfaches sein.

10 MBit SDSL <-> Router des Providers mit festen IPs <-> Lancom Firewall <-> Server mit ZoneLabs Softwarefirewall.

Das sagt nicht aus, über welche Schnittstellen am L-1722 wo was dran steckt (Eth1 bis Eth4) und wie sind diese Schnittstellen Konfiguriert, sind sie alle LAN-1? Dann wird nämlich nix geroutet, dann arbeitet der L-1722 nur als Switch und die Firewall interessiert gar nicht

Dein Aufbau setzt voraus, dass zwischen "Router des Providers mit festen IPs <-> Lancom Firewall" ein anderes IP Netz sein muss, als zwischen "Lancom Firewall <-> Server mit ZoneLabs Softwarefirewall", wenn ich das jetzt richtig verstanden habe. D.h. Eth1 Buchse ist LAN-1 mit IP 192.168.10.x und Eth2 ist LAN-2 mit 192.168.20.x, so in der Art meine ich es jetzt.

Gruß Heiko

[_Stefan]

Hi Heiko,

danke für den Tip - nur ich hab' keine Ahnung WO ETH1 - ETH4 und auch WIE konfiguriert wird. Ich klicke schon seit geraumer Zeit in diesen Menüs herum und wüsste jetzt nicht wo ich da suchen sollte.

Lancom macht sich die Sache da ziemlich leicht, den Kunden mit ein paar Blättchen Papier und einer CD alleine zu lassen, anstatt ein paar Musterkonfigurationen ausführlich zu erläutern. Na ja ....

Dir jedenfalls Danke für den Hinweis

Stefan

[Bernie137]

Hi,

hier so ganz grob...

Gruß Heiko

[Cytor]

Lancom macht sich die Sache da ziemlich leicht, den Kunden mit ein paar Blättchen Papier und einer CD alleine zu lassen, anstatt ein paar Musterkonfigurationen ausführlich zu erläutern. Na ja ....

Hi,

Allein gelassen kann man wohl nicht sagen. Lese das Referenzhandbuch. Ausführlicher gehts kaum -> ftp://ftp.lancom.de/Documentation/Refer ... 860-DE.pdf
Kann sein, dass es auch auf der DVD dabei ist.
Dass es nicht mehr als gedrucktes Buch dabei ist, kann man wohl heutzutage schon eher als Vorteil sehen

Ansonsten findest du eine Menge praxisnaher Beispiele in der Knowledge Base -> http://www.lancom-systems.de/kb/
Die Einführung in die Firewall hilft dir hoffentlich erstmal bei der Beantwortung deiner Fragen.

[_Stefan]

sorry wenn ich nerve,

unter Schnittstellen-> LAN sieht es bei mir ganz anders aus und die Menüpunkte IPv4 und IPv6 gibt es unter Konfiguration erst gar nicht ...

[Bernie137]

Wenn es wirklich ein 1722 Voip ist, so wie es bei mir im Bild drüber steht, sollte es bei Schnittstellen so aussehen. Ab der Firmware 8.80 gibt es dann zusätzlich die Unterscheidung zwischen IP4 und IP6, dann mach halt erst mal ein Firmware Update auf die 8.80. Ist aber nicht zwingend notwendig das Update für das was Du vor hast.

Welche Firmware Version hast Du? Hast das Gerät nicht über den Fachhandel bezogen, die Euch bei der Einrichtung des Ganzen behilflich sein könnten?

Gruß Heiko

Edit: In dem Bild mit den 2 IP Netzen habe ich sogar noch nen Fehler drin. Wollte es mit 2 unterschiedlichen IP Kreisen machen, also Provider müsste 192.168.10.1 sein. Der Router muss erst mal als Router eingerichtet werden, sonst nix Firewall.

[_Stefan]

Hi Heiko,

das Ding ist keine Woche alt und im Fachhandel ganz normal erworben.
Die Firmaware ist lt. Gerät: 8.50.0214 / 13.12.2011, Gerätetyp: LANCOM 1722 VoIP (Annex B)

Allerdings bin ich so langsam arg gefrustet. Das hat mit dem Forum und seinen Mitgliedern absolut nix zu tun, alleine mit dem Schrott den Lancom seinen Kunden antut!!!

@cytor: sorry, aber das sogenannte Referenzmanual ist nicht ausführlich, sondern einfach nur Murks. Und dass es nicht mal gedruckt mitgeliefert wird ist kein Vorteil sondern schlichter Geiz der Firma Lancom.

Der Autor dieser Zeilen ist - zugegeben - für Netzwerktechnik ganz sicher kein Experte. Trotzdem beschäftigt er sich seit über 40 Jahren mit Soft- und Hardware, ist dipl. Informatiker und - mag mag's kaum glauben - da sogar promoviert. Aus langjähriger und leidvoller Erfahrung mit meistens guter Hardware aber mieser Dokumentation bin ich mittlerweile - wie leider viel zu Viele - allzu abgehärtet. Aber das was Lancom da abliefert ist schlicht SCHROTTT!!!

Vielleicht treibt sich gelegentlich ja auch mal ein Lancomer hier herum und das ist genau der Grund weshalb ich das hier so deutlich schreibe ... und vielleicht kann er dann mal Hand - meint natürlich Maus - anlegen und ein paar klare Sätze äussern.

Einen schönen Abend euch Allen

Stefan

[_Stefan]

nun ja,

hab' mir grad den Spass gemacht und versucht das Firmwareupdate hochzuladen .... nicht mal das funktioniert.

Fehlermeldung des Routers:

Upload fehlgeschlagen

Fehler-Information-1 [0101]

Fehler-Information-2 no space for firmware

Lustig ... oder?

[Jirka]

Hallo Stefan,

wenn ich das hier so lese, dann komme ich zu dem Ergebnis, dass hier vermutlich einiges schief läuft...

Also die erläuterten Anforderungen sind kein Thema und laufen bei Anderen ohne jegliche Probleme. Hier hakt es vermutlich an anderer Stelle. Hört sich fast so an, als ob hier nicht mal geroutet wird? Jedenfalls ist davon nichts zu lesen. Und wo nicht geroutet wird, da geht auch nichts über die Firewall.

Das mit der Firmware ist für einen Neuling sicher schwierig, aber ab der 8.80 muss man zuvor eine Mini-Firmware einspielen (LC-1722-8M80.0084-Rel.upx). Erst danach passt dann die normale Release rein, weil die Firmware ab der Version 8.80 wegen IPv6 u. a. wesentlich größer geworden ist.

Viele Grüße,
Jirka

[Bernie137]

Hallo Stefan,

vermutlich können wir Dir hier im Forum nicht weiter helfen. Wie gesagt, ein Firmware Update ist sicher nicht notwendig und wenn dann kannst das ja bei Deinem Fachhändler einspielen lassen. Ich vergleiche es mal damit, Du kaufst einen konfigurierten Server und möchtest nun das Betriebssystem einrichten und bist damit hilflos überfordert und beschwerst Dich darüber, wie schlecht doch alles dokumentiert ist. Es ist eben keine primitive Desktop Firewall. Nur weil man in den LANtools rumklicken kann, heißt das nicht, dass es jedermann konfigurieren kann. Bei einem Cisco Router/Firewall scheiterst gleich von vorn herein bei Konfiguration über die Shell und dort ist es üblich die Einrichtung durch Techniker machen zu lassen. Ihr wolltet hier sparen?

Ich bin es leid, jedesmal zu lesen wie schlecht doch alles ist. Und ich bin ein normaler Endkunde, kein Lancom Mitarbeiter.

Entweder Ihr lasst Euch das Teil von einem Profi einrichten, es gibt auch ein Support Ticket gegen Geld bei Lancom oder schafft es eben wieder zurück.

Gruß Heiko