Umstieg/Rückkehr von Securepoint

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

GrafPacula
Beiträge: 30
Registriert: 01 Jan 2023, 11:31

Umstieg/Rückkehr von Securepoint

Beitrag von GrafPacula »

Hallo zusammen,

ich habe eine komplette IT übernommen und muss nun das Problem lösen eine Securepoint UTm Firewall bis Mitte Januar abzulösen. Also Umstieg auf die Firewall der 1793VAW.

Es sind zwar nicht viele Umleitungen, aber...

Also zum Szenario:

Wir setzen als Router die 1793VAW ein. Diese wird über die Weboberfläche konfiguriert.
Diese ist über eine feste IP mit dem Internet verbunden und alle Mails kommen über einen MX Record auf diese IP und gehen dann zur Securepoint, die diese über ein Mailrelay und eine Portweiterleitung des Ports 25 an den Exchange weiterleitet.

Die 1793 hat auf Port ETH4 (LAN1) die IP 192.xxx.1.1 und von dort geht es auf die Securepoint mit der Adresse 192.xxx.0.1. Die Securepoint ist auch Gateway. DNS/DHCP gehen über einen Windows Server.
Von der Securepoint geht es auf die Switche und von dort an die Endgeräte/Server.


+-------------+
! 1793 ! 192.xxx.1.1
+-------------+
|4
|
+----------------------+
! SECUREPOINT ! 192.xxx.0.1
+-----------------------+
|
+-----------------------+
! SWITCH !
+------------------------+
|
ENDGERÄTE

Auf der Securepoint sind insgesamt ca. 10 Weiterleitungen vorhanden. Wie schon erwähnt z. B. Port 25 an 192.xxx.0.200 (Exchange). Manche nur als TCP andere auch mit UDP.

So lautet z. B. eine Weiterleitung:

SERVER ----> INTERNET ---> 5438 TCP / 5438 UDP
Verbindungen.

Nun soll ja die Securepoint weg. Ich habe mir es dann so vorgestellt, dass der Port ETH4 der 1793 die IUP 192.xxx.0.1 bekommt. Keine DHCP/DNS auf diesen Port. Dann die entsprechenden Portumleitungen. Wäre das ok?

+-------------+
! 1793 ! 192.xxx.0.1
+-------------+
|4
|
+-----------------------+
! SWITCH !
+------------------------+
|
ENDGERÄTE
Die Portumleitung habe ich gefunden. WIe muss ich dass z. B. für Port 25 und 443 konfigurieren?

Auf der Securepoint läuft ausserdem ein OpenVPN Server für die VPN Muss ich den VPN von Lancom nutzern oder kann die 1793 auch OpenVPN.?


Für eine schnelle Hilfe wäre ich euch SEHR DANKBAR. Ich denke für einen LANCOm Prodi keine große Sache, oder?

VG
Der Graf
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Umstieg/Rückkehr von Securepoint

Beitrag von tstimper »

Hallo,

ganz kurz:

Weiterleitungen machst Du auf dem Lancom LCOS Router mit Lanconfig unter Configuration > IP- Router > Masq. > Port forwarding table

SSL VPN (OPENVPN) kann LCOS nicht, die UF-60 von LANCOM könnte das.
LCOS kann nur IPSEC, wird von vielen (von mir auch) immernoch als die sicherste VPN Variante angesehen.

Wenn Du zwingend kein IPSEC einsetzen kannst, bleibt dir wie gesagt eine LACOM UF-60 hinter dem LCOS Router.
Oder was anderes, was SSL VPN kann, wie z.b. eine (virtuelle) OPNsense.

Wichtig noch: der 1793VAW hat default 5 VPN Lizenzen, kann mittels Option maximal 25.


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Umstieg/Rückkehr von Securepoint

Beitrag von C/5 »

Hallo,

ein 1793VAW kann eine SecurePoint nicht vollständig ersetzen. Wie Du schon schreibst, ist die SecurePoint eine UTM-Appliance aber ein Lancom 1793VAW ist ein Router mit einer SPI-Firewall. Wenn schon, wäre eine UF aus dem Portfolio von Lancom erforderlich, wollte man das halbwegs 1:1 ersetzen.

Konzeptionell erfolgt das Scannen von Mails in einer SecurePoint-Umgebung auf der UTM. Das fällt dann weg. Gerade in Verbindung mit einem Exchangeserver dahinter solltest Du dann eigentlich irgendetwas anderes an den Start bringen.

Weiter handhabt eine SecurePoint sicherlich auch ein UTM-Regelwerk für den Schutz von u.a. Exchange (IDS, Deep Packet Inspection, SSL-Proxy, ...). Das bildet ein 1793VAW ebenfalls alles nicht ab. Man mag davon jetzt halten was man möchte, aber für die Reduzierung an Mitteln und Werkzeugen durch Entfernung der SecurePoint solltest Du an anderer Stelle etwas gleichwertiges ergänzen.

CU
C/5
GrafPacula
Beiträge: 30
Registriert: 01 Jan 2023, 11:31

Re: Umstieg/Rückkehr von Securepoint

Beitrag von GrafPacula »

Hallo,

danke schon mal. Dass die 1793 die UTM nicht ersetzten kann ist ok.

Ich habe nun einmal für einen Test OpenVPn Server (Synolgy) den Port 11944 eingerichtet:

Anfang: 11944
Ende 11944
Gegenstelle: INTERNET
INTRANET: IP der Synology 192.xxx.0.27
Map 0

FIREWALL an der 1793 ist aus.

Portcheck von aussen auf die feste IP mit Port 11944 sagt immer, dass der Port geschlossen ist. Was mache ich falsch?
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Umstieg/Rückkehr von Securepoint

Beitrag von tstimper »

GrafPacula hat geschrieben: 02 Jan 2023, 12:33 FIREWALL an der 1793 ist aus.
Das ist erstmal falsch, Firewall muss immer Deny-All Regen haben und an sein, dann mit Lanmonitor die Denys auswerten.

GrafPacula hat geschrieben: 02 Jan 2023, 12:33 Anfang: 11944
Ende 11944
Gegenstelle: INTERNET
INTRANET: IP der Synology 192.xxx.0.27
Map 0
Map ist der Port, wo es hin mappen soll, also in diesem Fall 11944

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
GrafPacula
Beiträge: 30
Registriert: 01 Jan 2023, 11:31

Re: Umstieg/Rückkehr von Securepoint

Beitrag von GrafPacula »

Hallo,

die FW ist nur zum Test aus. MAP nun auf den Port 11944. Eintrag ist aktiv. Port ist aber immer noch nicht erreichbar:-(
GrafPacula
Beiträge: 30
Registriert: 01 Jan 2023, 11:31

Re: Umstieg/Rückkehr von Securepoint

Beitrag von GrafPacula »

B1.jpg
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Umstieg/Rückkehr von Securepoint

Beitrag von tstimper »

GrafPacula hat geschrieben: 02 Jan 2023, 13:16 die FW ist nur zum Test aus. MAP nun auf den Port 11944. Eintrag ist aktiv. Port ist aber immer noch nicht erreichbar:-(
Firewalls am Internet dürfen auch zum Test nicht aus sein. (es knallt einfach fiel zu schnell .....)
Zum Test kannst Du alles außer der Deny-ALL Regel ausschalten.
Dann siehst Du im Lanmonitor die Blocks und schaltes die einzelnen Dienste, die Du brauchs wieder frei.

Für den Port 11944 braucht Du natürluch auch eine Incomming Allo Firewall Regel.
Wie gesagt, Du sieht die Blocks im Lanmonitor und kannst dann das benötigte mit einer passenden Allow Regel erlauben.

Zumindest für Testzwecke habe ich auch bei Allow Regeln immer auch die SNMP Meldung angeschaltet, damit siehst Du das auch gut im Lanmonitor

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Umstieg/Rückkehr von Securepoint

Beitrag von tstimper »

GrafPacula hat geschrieben: 02 Jan 2023, 13:16 die FW ist nur zum Test aus. MAP nun auf den Port 11944. Eintrag ist aktiv. Port ist aber immer noch nicht erreichbar:-(
Firewalls am Internet dürfen auch zum Test nicht aus sein. (es knallt einfach fiel zu schnell .....)
Zum Test kannst Du alles außer der Deny-ALL Regel ausschalten.
Dann siehst Du im Lanmonitor die Blocks und schaltes die einzelnen Dienste, die Du brauchs wieder frei.

Für den Port 11944 braucht Du natürluch auch eine Incomming Allo Firewall Regel.
Wie gesagt, Du sieht die Blocks im Lanmonitor und kannst dann das benötigte mit einer passenden Allow Regel erlauben.

Zumindest für Testzwecke habe ich auch bei Allow Regeln immer auch die SNMP Meldung angeschaltet, damit siehst Du das auch gut im Lanmonitor

Ich habe in der Regel bei WAN Adresse die feste IP des Internet-Anschlusses drin. 0.0.0.0 sollte aber auch gehen...


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
GrafPacula
Beiträge: 30
Registriert: 01 Jan 2023, 11:31

Re: Umstieg/Rückkehr von Securepoint

Beitrag von GrafPacula »

OK,

kann ich die Firewall nur für die ETH3 Schnittstelle aktivieren?
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Umstieg/Rückkehr von Securepoint

Beitrag von tstimper »

GrafPacula hat geschrieben: 02 Jan 2023, 13:31 OK,

kann ich die Firewall nur für die ETH3 Schnittstelle aktivieren?
Das geht nicht,Du musst ein kompletes Set an Firewall Regeln bauen, so wie Du es brauchst um das Netzwerk abzusichern.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
GrafPacula
Beiträge: 30
Registriert: 01 Jan 2023, 11:31

Re: Umstieg/Rückkehr von Securepoint

Beitrag von GrafPacula »

OK,

lassen wir die FW mal außen vor. Warum geht das Forwarding nicht? Auf der 1793 ist ein Forwarding für voeöle andere Ports an die Securepoint eingerichtet und die gehen...

VG

Frank
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Umstieg/Rückkehr von Securepoint

Beitrag von tstimper »

GrafPacula hat geschrieben: 02 Jan 2023, 13:45 Auf der 1793 ist ein Forwarding für voeöle andere Ports an die Securepoint eingerichtet und die gehen...

VG
Frank
Dann liegt das Problem am Ziel des Forwarding.
Bei der Analyse helfen Dir die Firewall Block / Allow Notifications.
Oder auch ein Trace mittels Lantracer oder an der CLI.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
GrafPacula
Beiträge: 30
Registriert: 01 Jan 2023, 11:31

Re: Umstieg/Rückkehr von Securepoint

Beitrag von GrafPacula »

Habe es mal mit einem anderen Port (5000) probiert. Geht auch nicht. Wo kann ich noch suchen???
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Umstieg/Rückkehr von Securepoint

Beitrag von tstimper »

GrafPacula hat geschrieben: 02 Jan 2023, 14:27 Habe es mal mit einem anderen Port (5000) probiert. Geht auch nicht. Wo kann ich noch suchen???
Du must erstmal die einkommenden Pakete am Router sehen. Deshalb die Firewall an und dann die Blocks analysieren.
Oder Trace an der CLI oder mit dem LANTracer.

VG

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten