LANCOM als Internetrouter - Firewall dahinter für IPsec VPN
Moderator: Lancom-Systems Moderatoren
LANCOM als Internetrouter - Firewall dahinter für IPsec VPN
Guten Tag allerseits!
Wir haben im Moment einen LC1926 Router, der für WAN und IPsec VPN zuständig ist.
Wir würden gerne in nächster Zeit eine Firewall zwischen LANCOM und LAN hinstellen.
Nun meine Frage:
Da zurzeit der LANCOM Router IPsec aktiv hat: Reicht es aus, VPN am LANCOM Router zu deaktivieren, damit ich dann Weiterleitungsregeln auf die Firewall für ESP/Port500/Port4500 machen kann?
Sorgt die Deaktivierung dafür, dass die Weiterleitungsregel greift, und nicht der LANCOM Router diese IPsec Pakete für sich behält?
Ich vermute ja, aber ich dachte ich frage vorher mal nach, um sicherzugehen.
Ich bedanke mich schon mal für Antworten, ich wünsche eine schöne Restwoche und verbleibe
mfG BestFred
Wir haben im Moment einen LC1926 Router, der für WAN und IPsec VPN zuständig ist.
Wir würden gerne in nächster Zeit eine Firewall zwischen LANCOM und LAN hinstellen.
Nun meine Frage:
Da zurzeit der LANCOM Router IPsec aktiv hat: Reicht es aus, VPN am LANCOM Router zu deaktivieren, damit ich dann Weiterleitungsregeln auf die Firewall für ESP/Port500/Port4500 machen kann?
Sorgt die Deaktivierung dafür, dass die Weiterleitungsregel greift, und nicht der LANCOM Router diese IPsec Pakete für sich behält?
Ich vermute ja, aber ich dachte ich frage vorher mal nach, um sicherzugehen.
Ich bedanke mich schon mal für Antworten, ich wünsche eine schöne Restwoche und verbleibe
mfG BestFred
-
- Beiträge: 2893
- Registriert: 12 Jan 2010, 14:10
Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN
Reicht aus. Also den zentralen Schalter umlegen unter VPN / Allgemein / Virtual Private Network > Deaktiviert
Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN
Vielen Dank für diese Antwort!Dr.Einstein hat geschrieben: ↑25 Apr 2023, 13:16 Reicht aus. Also den zentralen Schalter umlegen unter VPN / Allgemein / Virtual Private Network > Deaktiviert
Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN
Nochmals guten Tag!
Ich würde mich über eine Bestätigung freuen, dass die folgende Konfiguration korrekt für einen LANCOM Router ist, um Port 500 und 4500 weiterzuleiten an 192.168.5.254. (die auf die Schnittstelle "Internet" trifft)
( IP-Router -> Maskierung -> Port-Forwarding-Tabelle )
Auch würde ich mich über eine Bestätigung freuen, dass folgende ESP Regel korrekt ist
( Firewall/QoS -> IPv4-Regeln -> Regeln.. -> Hinzufügen )
Ich hoffe, dass die ESP Freischaltung auch dafür sorgt, dass ESP-Pakete an die Firewall weitergeleitet werden und keine zusätzliche Konfiguration notwendig ist.
( da kein Ziel eingetragen wurde wie z.B. bei Port-Forwarding )
Auch hoffe ich, dass die Einstellungen korrekt sind und auf Anhieb funktionieren, wenn wir es testen.
Über Feedback ob alles richtig ist, freue ich mich sehr!
Grüße! BestFred
Ich würde mich über eine Bestätigung freuen, dass die folgende Konfiguration korrekt für einen LANCOM Router ist, um Port 500 und 4500 weiterzuleiten an 192.168.5.254. (die auf die Schnittstelle "Internet" trifft)
( IP-Router -> Maskierung -> Port-Forwarding-Tabelle )
Auch würde ich mich über eine Bestätigung freuen, dass folgende ESP Regel korrekt ist
( Firewall/QoS -> IPv4-Regeln -> Regeln.. -> Hinzufügen )
Ich hoffe, dass die ESP Freischaltung auch dafür sorgt, dass ESP-Pakete an die Firewall weitergeleitet werden und keine zusätzliche Konfiguration notwendig ist.
( da kein Ziel eingetragen wurde wie z.B. bei Port-Forwarding )
Auch hoffe ich, dass die Einstellungen korrekt sind und auf Anhieb funktionieren, wenn wir es testen.
Über Feedback ob alles richtig ist, freue ich mich sehr!
Grüße! BestFred
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
- Beiträge: 2893
- Registriert: 12 Jan 2010, 14:10
Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN
Lancom hat leider eine versteckte Konfiguration, die soweit mir bekannt ist nicht wirklich dokumentiert ist. Sobald du Port 500 UDP weiterleitest, so ist damit automatisch das Protokoll 50 ESP weitergeleitet. Firewallregeln brauchst du nur dann, wenn du eine explizite DENY-(ALL)-Regel hast, die den Verkehr sonst blockieren würde. Ohne Regeln genügen die beiden Portweiterleitungen für UDP500+4500.
Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN
Hi Dr.Einstein,
Heutzutage sollte man aber eigentlich immer mit NAT-T arbeiten, statt mit "blankem" ESP - dazu müssen die UDP-Ports 500 *UND* 4500 weitergeleitet werden. NAT-T ist i.Ü. explizit Bestandteil von IKEv2, was man heutzutage ebenfalls nutzen sollte...
Gruß
Backslash
das ist keine versteckte Funktion, das ist explizites NAT für IPSec und auch dokumentiert. Dafür schaut das LANCOM in die IKE-Pakete, und versucht die Verhandlung nachzuhalten, um ESP-Pakete korrekt zuordnen zu können (dazu ist ein tiefer Blick in Kaffeesatz und Kristallkugel gleichzeitig nötig, funktioniert aber).Lancom hat leider eine versteckte Konfiguration, die soweit mir bekannt ist nicht wirklich dokumentiert ist. Sobald du Port 500 UDP weiterleitest, so ist damit automatisch das Protokoll 50 ESP weitergeleitet.
Heutzutage sollte man aber eigentlich immer mit NAT-T arbeiten, statt mit "blankem" ESP - dazu müssen die UDP-Ports 500 *UND* 4500 weitergeleitet werden. NAT-T ist i.Ü. explizit Bestandteil von IKEv2, was man heutzutage ebenfalls nutzen sollte...
Gruß
Backslash
-
- Beiträge: 2893
- Registriert: 12 Jan 2010, 14:10
Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN
Wo? https://www.lancom-systems.de/docs/LCOS ... 41979.html
Das kann alles und auch nichts bedeuten.Einzelne IP-Protokolle verwenden zwar TCP oder UDP, kommunizieren allerdings nicht ausschließlich über Ports. Derartige Protokolle verlangen beim IP-Masquerading eine entsprechende Sonderbehandlung. Zu den vom IP-Masquerading im Gerät unterstützten Protokollen mit Sonderbehandlung gehören:
FTP (über die Standardports)
H.323 (im Umfang, wie ihn Microsoft Netmeeting verwendet)
PPTP
IPSec
IRC
Zuletzt geändert von Dr.Einstein am 25 Apr 2023, 15:42, insgesamt 1-mal geändert.
Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN
Danke Ihr beiden!
Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN
Hi Dr.Einstein
da steht doch explizit
Gruß
Backslash
da steht doch explizit
undDerartige Protokolle verlangen beim IP-Masquerading eine entsprechende Sonderbehandlung. Zu den vom IP-Masquerading im Gerät unterstützten Protokollen mit Sonderbehandlung gehören:
das bedeutet, daß es eine Sonderbehandlung für IPSec gibt - und damit ist *NICHT* NAT-T gemeint, denn NAT-T ist ja darauf ausgelegt, daß es *KEINE* Sonderbehandlung geben muß...IPSec
Gruß
Backslash
Re: LANCOM als Internetrouter - Firewall dahinter für IPsec VPN
Hi Dr.Einstein,
dennoch ist auf der Seite ein "Fehler"... Denn die Sonderbehandlung für H.323 wurde zur 10.40 entfernt...
Gruß
Backslash
dennoch ist auf der Seite ein "Fehler"... Denn die Sonderbehandlung für H.323 wurde zur 10.40 entfernt...
Gruß
Backslash