Server veröffentlichen (inv. Maskieren oder ähnliches)

[cjs]

Hi,

Habe einen Lancom 8011 VPN, auf dem 2 Internetleitungen (1 * 8 IP, 1 * 32 IP) hängen. Soweit funktioniert auch alles perfekt. (loadbalaning, vpns).
Mein großes Problem ist es, ein inverses Maskieren einzurichten, um einige Server mit unterschiedlichsten Protokollen auf den verbleibenden IP-Adressen (8011 verwendet nur je 1 auf den beiden WAN-Interfaces) zu veröffentlichen.

Habs schon mit Portforwarding probiert, aber ich bekomme beim besten Willen keine Verbindung. (die weiteren IP sind von außen einfach) nicht greifbar.

eine DMZ ist vorläufig noch nicht eingerichtet. Funktioniert das überhaupt mit diesem Ding ???
Bin eigentlich kein Newbie, aber bei Cisco Pix und anderen Produkten ist das ein Einzeiler und funktioniert einwandfrei.

LCOS 7.22

[cjs]

Hi,

Habe einen Lancom 8011 VPN, auf dem 2 Internetleitungen (1 * 8 IP, 1 * 32 IP) hängen. Soweit funktioniert auch alles perfekt. (loadbalaning, vpns).
Mein großes Problem ist es, ein inverses Maskieren einzurichten, um einige Server mit unterschiedlichsten Protokollen auf den verbleibenden IP-Adressen (8011 verwendet nur je 1 auf den beiden WAN-Interfaces) zu veröffentlichen.

Habs schon mit Portforwarding probiert, aber ich bekomme beim besten Willen keine Verbindung. (die weiteren IP sind von außen einfach) nicht greifbar.

eine DMZ ist vorläufig noch nicht eingerichtet. Funktioniert das überhaupt mit diesem Ding ???
Bin eigentlich kein Newbie, aber bei Cisco Pix und anderen Produkten ist das ein Einzeiler und funktioniert einwandfrei.

LCOS 7.22

[gm]

Hi cjs,

hast Du die Portweiterleitung auch in der Firewall freigegeben?

Gruß
gm

[backslash]

Hi cjs

eine DMZ ist vorläufig noch nicht eingerichtet. Funktioniert das überhaupt mit diesem Ding ???

klar...

Bin eigentlich kein Newbie, aber bei Cisco Pix und anderen Produkten ist das ein Einzeiler und funktioniert einwandfrei.

ist auch beim LANCOM ein "Einzeiler": gib dem jeweiligen Netz einfach die öffentlichen Adressen und stelle den Netzwerktyp auf DMZ um... (das funktioniert natürlich nur, wenn du auf der Default-Route die Maskierungsoption auf "nur Intranet maskieren" setzt)

Gruß
Backslash

[backslash]

Hi cjs

ach ja noch etwas: die 85.126.168.210 ist doch eine der Adressen, die das LANCOM auf der Gegenstelle INT_AAX besitzt, oder?

Gruß
Backslash

[cjs]

Hallo, vorerst einmal danke für die Beiträge.

Momentan will ich keine DMZ einrichten, sondern nur für Testzwecke den SSH-Port auf das interne Netz (10.10.10.0/24) mappen.

10.10.10.205 ist der Host, auf den ich SSH ZUgriff von außen benötigen würde.

85.126.168.210 ist die IP, mit der Lancom Router im Internet (1. Leitung) hängt.

Nachdem es in diesem Netz weitere IP-Adressen gibt, möchte ich eine der folgende Adressen (85.126.168.211) verwenden, um nicht den SSH-Server des Routers nicht zu beeinflussen.

Auf der Firewall habe ich dür die IP 10.10.10.205 eine Route auf die richtige Leitung (da es 2 gibt) gelegt und die Maskierung abgedreht.

Beim Forwarding anfangs, end bzw. Mapping port auf 22, nur tcp, interface die entsprechende Leitung, Intranet: 10.10.10.105 und WAN: 85.126.168.211 (also die folgende).

Auf der Firewall habe ich eine Regel eingerichtet, welche alle von allen Hosts auf 10.10.102.205 ssh (zielport: 22) zulässt, bzw. auch die richtige Leitung gewählt (inkl. Syslog für Monitor)

Es lässt sich leider keine Verbindung herstellen (Defaultgateway = richtig), auch im Lanmonitor tauchen keine Einträge auf, obwohl die Protokollierung aufgedreht ist.


Die betreffenden Zeilen aus der Konfiguration

Code: Alles auswählen

#    Peer                IP-Address       IP-Netmask       Masq.-IP-Addr.   Gateway          DNS-Default      DNS-Backup       NBNS-Default     NBNS-Backup    
#    ---------------------------------------------------------------------------------------------------------------------------------------------------------------
tab 1 2 3 9 4 5 6 7 8
add "INT_AAX" 85.126.168.210 255.255.255.248 0.0.0.0 85.126.168.209 195.58.160.194 195.58.161.122 0.0.0.0 0.0.0.0
add "INT_ITS" 81.223.127.196 255.255.255.224 0.0.0.0 81.223.127.193 195.58.160.194 195.58.161.122 0.0.0.0 0.0.0.

---
#    Network-name      IP-Address       IP-Netmask       VLAN-ID  Interface   Src-check      Type      Rtg-tag  Comment                                                         
#    --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
tab 1 2 3 4 5 6 7 8 9
add "INTRANET" 10.10.10.1 255.255.255.0 0 65535 0 1 0 "local intranet"

----


#    IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment                                                         
#    -----------------------------------------------------------------------------------------------------------------------------------------------------------------
tab 1 2 8 3 4 5 6 7
add 10.10.10.205 255.255.255.255 1 "INT_AAX" 0 0 0 ""

------

#    Name                              Prot.       Source                                    Destination                               Action                                    Linked  Prio   Firewall-  VPN-Rule   Stateful  Rtg-tag  Comment                                                         
#    ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
tab 1 2 3 4 7 8 9 10 11 12 14 13
add "_SSH_TEST" "TCP" "ANYHOST" "%S22 %A10.10.10.205-255.255.255.255" "%Lcd0 %A %S %N" 0 2 0 0 0 1 "SSH ber LTG 1"


# Setup/IP-Router/1-N-NAT/Service-Table
cd /2/8/9/4 
del *
#    D-port-from  D-port-to    Protocol   Peer              WAN-Address      Intranet-Addres  Map-Port     Active   Comment                                                         
#    ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
tab 1 3 8 7 9 2 4 5 6
add 22 22 1 "INT_AAX" 85.126.168.211 10.10.10.205 22 0 ""

Leider sind die Manuals und Praxisbeispiele im LCOS-Manual (und auf der offiziellen Support-Homepage) nicht wirklich geeignet, um hier weiterzukommen. Hoffe daher auf Hilfe aus diesem Forum.

danke im Voraus für die Hilfe, cjs

[backslash]

Hi cjs

was willst du denn mit dieser Route?

Code: Alles auswählen

#    IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment                                                          
#    ----------------------------------------------------------------------------------------------------------------------------------------------------------------- 
tab 1 2 8 3 4 5 6 7 
add 10.10.10.205 255.255.255.255 1 "INT_AAX" 0 0 0 "" 

Die leitet doch alle Daten für den *lokalen* Host 10.10.10.205 wieder auf das Interface INT_AAX. Damit kann das nicht funktionieren! (selbst auf einem Cisco würde das so nicht gehen...)

Stattdessen brauchst du eine getaggte und maskierte Default-Route, die auf das Verbindung INT_AAX verweist, also

Code: Alles auswählen

#    IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment                                                          
#    ----------------------------------------------------------------------------------------------------------------------------------------------------------------- 
tab 1 2 8 3 4 5 6 7 
add 255.255.255.255 0.0.0.0 1 "INT_AAX" 0 1 0 ""

Als nächstes ist auch in der Firewallregel ein Fehler: Du hast als Ziel *alle* Adressen von 10.10.10.255 bis 255.255.255.255 angegeben:

Code: Alles auswählen

"%S22 %A10.10.10.205-255.255.255.255"

Stattdessen muß dort

Code: Alles auswählen

"%S22 %A10.10.10.205 %M255.255.255.255"

stehen.

Ebenso ist die Angabe des Routing-Tags fasch! Das Ziel ist doch im Netz INTRANET - und das hat das Tag 0, daher muß auch in der Firewall das Tag 0 stehen

ich wage langsam an deiner Behauptung

Bin eigentlich kein Newbie,

zu zweifeln

Gruß
Backslash

[cjs]

Hi backshlash,

vorerst einmal besten dank!

hat mit deiner hilfe auch dann gleich gefunkt.

An meinen Einträgen hab ich - ehrlich gesagt - selbst schon einwenig gezweifelt, hab solche Dinge auf anderen Appliances schon zigfach erfolgreich eingerichtet, und da war - für mich - alles wesentlich logischer und einfacher. (ca. 30 Pix, einige Netscreen, Fortinet und ISA)

Die Route war natürlich absoluter Schwachsinn, die 2. (default route) war eh vorhanden, die firewall regel (ok-sollte ein Hostroute sein, wollte das Subnet angeben).

Trotzdem muss ich feststellen, dass die LCOS Manuals zwar sehr gut um umfangreich sind, aber die wenigen (teilweise stark veralteten) Praxisbeispiele im Lancom-Support-Bereich alles andere als hilfreich sind.

So muss man zwangsläufig "experimentieren", und an die Lösung herantasten, und dann kommt es (leider) auch zu absolut falschen Annahmen und Einträgen, Konfussion, viele versch..... Stunden und auch ein wenig Frustration.

Zumindest weiss ich jetzt, wie und wo ich die "Missing Links" anfinde.

Nochmals besten Dank!

LG
- cjs