LANCOM als Internetrouter - Firewall dahinter für IPsec VPN

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
BestFred
Beiträge: 4
Registriert: 25 Apr 2023, 12:44

LANCOM als Internetrouter - Firewall dahinter für IPsec VPN

Beitrag von BestFred »

Guten Tag allerseits!

Wir haben im Moment einen LC1926 Router, der für WAN und IPsec VPN zuständig ist.

Wir würden gerne in nächster Zeit eine Firewall zwischen LANCOM und LAN hinstellen.

Nun meine Frage:
Da zurzeit der LANCOM Router IPsec aktiv hat: Reicht es aus, VPN am LANCOM Router zu deaktivieren, damit ich dann Weiterleitungsregeln auf die Firewall für ESP/Port500/Port4500 machen kann?
Sorgt die Deaktivierung dafür, dass die Weiterleitungsregel greift, und nicht der LANCOM Router diese IPsec Pakete für sich behält?
Ich vermute ja, aber ich dachte ich frage vorher mal nach, um sicherzugehen. :)

Ich bedanke mich schon mal für Antworten, ich wünsche eine schöne Restwoche und verbleibe
mfG BestFred
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN

Beitrag von Dr.Einstein »

Reicht aus. Also den zentralen Schalter umlegen unter VPN / Allgemein / Virtual Private Network > Deaktiviert
BestFred
Beiträge: 4
Registriert: 25 Apr 2023, 12:44

Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN

Beitrag von BestFred »

Dr.Einstein hat geschrieben: 25 Apr 2023, 13:16 Reicht aus. Also den zentralen Schalter umlegen unter VPN / Allgemein / Virtual Private Network > Deaktiviert
Vielen Dank für diese Antwort! :D
BestFred
Beiträge: 4
Registriert: 25 Apr 2023, 12:44

Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN

Beitrag von BestFred »

Nochmals guten Tag! :D

Ich würde mich über eine Bestätigung freuen, dass die folgende Konfiguration korrekt für einen LANCOM Router ist, um Port 500 und 4500 weiterzuleiten an 192.168.5.254. (die auf die Schnittstelle "Internet" trifft)
( IP-Router -> Maskierung -> Port-Forwarding-Tabelle )

Firewall Regel 500 und 4500 richtig 01.png

Auch würde ich mich über eine Bestätigung freuen, dass folgende ESP Regel korrekt ist
( Firewall/QoS -> IPv4-Regeln -> Regeln.. -> Hinzufügen )

ESP Freischaltung Firewall 01.jpg

Ich hoffe, dass die ESP Freischaltung auch dafür sorgt, dass ESP-Pakete an die Firewall weitergeleitet werden und keine zusätzliche Konfiguration notwendig ist.
( da kein Ziel eingetragen wurde wie z.B. bei Port-Forwarding )

Auch hoffe ich, dass die Einstellungen korrekt sind und auf Anhieb funktionieren, wenn wir es testen. :D

Über Feedback ob alles richtig ist, freue ich mich sehr! :)

Grüße! BestFred
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN

Beitrag von Dr.Einstein »

Lancom hat leider eine versteckte Konfiguration, die soweit mir bekannt ist nicht wirklich dokumentiert ist. Sobald du Port 500 UDP weiterleitest, so ist damit automatisch das Protokoll 50 ESP weitergeleitet. Firewallregeln brauchst du nur dann, wenn du eine explizite DENY-(ALL)-Regel hast, die den Verkehr sonst blockieren würde. Ohne Regeln genügen die beiden Portweiterleitungen für UDP500+4500.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN

Beitrag von backslash »

Hi Dr.Einstein,
Lancom hat leider eine versteckte Konfiguration, die soweit mir bekannt ist nicht wirklich dokumentiert ist. Sobald du Port 500 UDP weiterleitest, so ist damit automatisch das Protokoll 50 ESP weitergeleitet.
das ist keine versteckte Funktion, das ist explizites NAT für IPSec und auch dokumentiert. Dafür schaut das LANCOM in die IKE-Pakete, und versucht die Verhandlung nachzuhalten, um ESP-Pakete korrekt zuordnen zu können (dazu ist ein tiefer Blick in Kaffeesatz und Kristallkugel gleichzeitig nötig, funktioniert aber).

Heutzutage sollte man aber eigentlich immer mit NAT-T arbeiten, statt mit "blankem" ESP - dazu müssen die UDP-Ports 500 *UND* 4500 weitergeleitet werden. NAT-T ist i.Ü. explizit Bestandteil von IKEv2, was man heutzutage ebenfalls nutzen sollte...

Gruß
Backslash
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN

Beitrag von Dr.Einstein »

backslash hat geschrieben: 25 Apr 2023, 14:59 das ist keine versteckte Funktion, das ist explizites NAT für IPSec und auch dokumentiert.
Wo? https://www.lancom-systems.de/docs/LCOS ... 41979.html
Einzelne IP-Protokolle verwenden zwar TCP oder UDP, kommunizieren allerdings nicht ausschließlich über Ports. Derartige Protokolle verlangen beim IP-Masquerading eine entsprechende Sonderbehandlung. Zu den vom IP-Masquerading im Gerät unterstützten Protokollen mit Sonderbehandlung gehören:

FTP (über die Standardports)
H.323 (im Umfang, wie ihn Microsoft Netmeeting verwendet)
PPTP
IPSec
IRC
Das kann alles und auch nichts bedeuten.
Zuletzt geändert von Dr.Einstein am 25 Apr 2023, 15:42, insgesamt 1-mal geändert.
BestFred
Beiträge: 4
Registriert: 25 Apr 2023, 12:44

Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN

Beitrag von BestFred »

Danke Ihr beiden! :D
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN

Beitrag von backslash »

Hi Dr.Einstein

da steht doch explizit
Derartige Protokolle verlangen beim IP-Masquerading eine entsprechende Sonderbehandlung. Zu den vom IP-Masquerading im Gerät unterstützten Protokollen mit Sonderbehandlung gehören:
und
IPSec
das bedeutet, daß es eine Sonderbehandlung für IPSec gibt - und damit ist *NICHT* NAT-T gemeint, denn NAT-T ist ja darauf ausgelegt, daß es *KEINE* Sonderbehandlung geben muß...

Gruß
Backslash
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN

Beitrag von backslash »

Hi Dr.Einstein,

dennoch ist auf der Seite ein "Fehler"... Denn die Sonderbehandlung für H.323 wurde zur 10.40 entfernt...

Gruß
Backslash
Antworten