Hi Leute!
Ein Kunde möchte einen LANCOM 1721 in sein Netz integrieren. Die derzeitige Firewall soll dadurch ersetzt werden (3 Interfaces - eth0,eth1, eth2).
Der Internetanschluss wird durch einen Cisco-Router seitens TCOM bereitgestellt, auf den der Kunde keinen Zugriff hat.
Der Kunde hat 2 öffentliche IP-Ranges die über den Cisco-Router bei ihm ankommen.
Eine Range mit Maske/31 (Verbindung von TCOM zu Firewall-eth0). Die zweite Range mit Maske/30 (DMZ, 2 Server zu Firewall-eth1).
An eth2 hängt das LAN mit einem privaten Adressbereich. Zur Veranschaulichung hier mal eine kleine Skizze:
Internet:62.123.123.216/31 (eth0=.218)
DMZ :62.456.456.80/30 (eth1=.81)
LAN :10.1.1.0/24 (eth2=.1)
[TCOM]-.217---62.123.123.216/31---.218-[FW(später LANCOM)]-.1---10.1.1.0/24---.11-[LANSwitch]
___________________________________________|
___________________________________________.81
___________________________________________|
___________________________________________|
___________________________________________62.456.456.80/30
___________________________________________|
___________________________________________|
___________________________________________.82-[DMZ-Server01]
___________________________________________|
___________________________________________|
___________________________________________.84-[DMZ-Server02]
Ziel ist es, eine Möglichkeit zu schaffen, nach belieben zwischen diesen Netzen Routen zu können.
Die LANCOM-Firewall soll nach dem Deny-All-Prinzip arbeiten und jeglichen nicht erwünschten Traffic zwischen den einzelnen Netzen blocken.
Die LAN-Schnittstellen auf dem LANCOM habe ich folgendermaßen konfiguriert:
ETH1:LAN-1
ETH2:LAN-2
ETH3:LAN-3
Die einzelnen Netze habe ich unter TCP/IP->IP-Netzwerke eingerichtet und den Schnittstellen zugeordnet.
Da ich noch nicht soviel mit LANCOM gemacht habe, tauchen an dieser Stelle schon erste Fragen auf:
1) Wie setze ich die Schnittstellen-Tags? Da letzten Endes ja jedes Netz mit jedem kommunizieren muss lass ich die auf Null, oder!?
2) Was muss ich unter Kommunikation konfigurieren? Da der Internet-Zugang ja bereits durch den Cisco-Router realisiert wird,
weiß ich nicht, ob und wenn ja, welche Werte ich unter Gegenstellen/Protokolle(PPP-Liste; IP-Parameter etc.) eintragen soll!?
Wo sage ich dem Teil, dass diese Adresse (62.123.123.2167/31) dein Internet-GW ist?
Wenn es später ums Routing geht, brauche ich doch irgendeine vorher definierte Gegenstelle, die ich dann unter Routing->Routing-Tabelle->Hinzufügen...->Router: auswählen kann!?
Vielleicht hat ja jmd. eine Idee, wie man so eine Konstellation konfiguriert. Mir wäre damit für den Einstieg schon sehr geholfen.
P.S.: Noch was anderes.. kann ich in der LANCOM-FW eigentlich die einzelnen ICMP-Typen unterschiedlich behandeln? Oder nur ICMP ja/nein schalten?
Vielen Dank!
Gruß
PP
1721 öffentliche IP-Ranges
Moderator: Lancom-Systems Moderatoren
Hi 1521WADSL
ETH1:LAN-1
ETH2:LAN-2
ETH4:DSL-1 [/quote]
den verbleibenden 4. Port kannst du nun nach belieben LAN-1 oder LAN-2 zuweisen, oder du deaktivierst ihn einfach.
dafür verwendest du am einfachsten den Internet-Wizard...
Auf der ersten Seite wählst du als Interface "DSL-Interface (externes Modem)
Danach wählst du auf der zweiten Seite den Ethernet-Port aus, an den du den Router hängst - hier also ETH-4
Auf der dritten Seite wählst du als Land "Deutschland" aus
Auf der vierten Seite wählst du deinen Provider aus, hier also "CompanyConnect"
Auf der fünften Seite kannst du der Verbindung einen Namen geben, oder einfach den Vorschlag T-COMPCO beibehalten.
Auf der sechsten Seite gibst du nun die Parameter der WAN-Seite ein, also IP-Adresse (62.123.123.216), Netzmaske (255.255.255.252), Gateway(62.123.123.217) und DNS-Server (vermutlich auch 62.123.123.217) ein.
Auf der siebten Seite wirst du noch gefragt, ob du ein ISDN-Backup haben willst.
Danach ist die Verbindung (fast) komplett eingerichtet.
Da du eine DMZ mit öffentlichen Adressen hast mußt du nun noch die Maskierungsoption der Defaultroute (unter IP-Router -> Routing -> Routing-Tabelle -> 255.255.255.255) auf "nur Intranet maskieren" umsetzen.
Als letztes solltest du für den DSL-Port auch noch die korrekten Up- und Downstreamraten (Schnittstellen -> WAN -> Interface-Einstellungen -> DSL-1) einstellen, damit du später auch QoS korrekt konfigurieren kannst.
fertig...
Was du allerdings nicht filtern kannst sind "Destination-Unreachable" Meldungen, die sich auf erlaubte IP-Verbindungen beziehen - die kommen immer durch
Gruß
Backslash
das ist so nicht sinnvoll. Einen Ethernet-Port mußt du schonmal als DSL-Port deklarieren, z.B. ETH-4 -> DSL-1. Es erigbt sich also folgende Zurodnung:Die LAN-Schnittstellen auf dem LANCOM habe ich folgendermaßen konfiguriert:
ETH1:LAN-1
ETH2:LAN-2
ETH3:LAN-3
ETH1:LAN-1
ETH2:LAN-2
ETH4:DSL-1 [/quote]
den verbleibenden 4. Port kannst du nun nach belieben LAN-1 oder LAN-2 zuweisen, oder du deaktivierst ihn einfach.
Wenn du beliebig zwischen den Interfaces routen willst, dann setzt du sie auf 0. Da deine Server aber in der DMZ stehen sollen, würde ich für Intranet und DMZ verschiedene Tags ungleich 0 verwenden, damit blockierst du direkt den Zugriff aus der DMZ auf dein internes LAN (INTRANET). Solange du die DMZ auch als DMZ deklarierst, kannst du trotzdem ungehindert aus deinem Intranet auf die DMZ zugreifen...1) Wie setze ich die Schnittstellen-Tags? Da letzten Endes ja jedes Netz mit jedem kommunizieren muss lass ich die auf Null, oder!?
2) Was muss ich unter Kommunikation konfigurieren? Da der Internet-Zugang ja bereits durch den Cisco-Router realisiert wird,
weiß ich nicht, ob und wenn ja, welche Werte ich unter Gegenstellen/Protokolle(PPP-Liste; IP-Parameter etc.) eintragen soll!?
Wo sage ich dem Teil, dass diese Adresse (62.123.123.2167/31) dein Internet-GW ist?
Wenn es später ums Routing geht, brauche ich doch irgendeine vorher definierte Gegenstelle, die ich dann unter Routing->Routing-Tabelle->Hinzufügen...->Router: auswählen kann!?
dafür verwendest du am einfachsten den Internet-Wizard...
Auf der ersten Seite wählst du als Interface "DSL-Interface (externes Modem)
Danach wählst du auf der zweiten Seite den Ethernet-Port aus, an den du den Router hängst - hier also ETH-4
Auf der dritten Seite wählst du als Land "Deutschland" aus
Auf der vierten Seite wählst du deinen Provider aus, hier also "CompanyConnect"
Auf der fünften Seite kannst du der Verbindung einen Namen geben, oder einfach den Vorschlag T-COMPCO beibehalten.
Auf der sechsten Seite gibst du nun die Parameter der WAN-Seite ein, also IP-Adresse (62.123.123.216), Netzmaske (255.255.255.252), Gateway(62.123.123.217) und DNS-Server (vermutlich auch 62.123.123.217) ein.
Auf der siebten Seite wirst du noch gefragt, ob du ein ISDN-Backup haben willst.
Danach ist die Verbindung (fast) komplett eingerichtet.
Da du eine DMZ mit öffentlichen Adressen hast mußt du nun noch die Maskierungsoption der Defaultroute (unter IP-Router -> Routing -> Routing-Tabelle -> 255.255.255.255) auf "nur Intranet maskieren" umsetzen.
Als letztes solltest du für den DSL-Port auch noch die korrekten Up- und Downstreamraten (Schnittstellen -> WAN -> Interface-Einstellungen -> DSL-1) einstellen, damit du später auch QoS korrekt konfigurieren kannst.
fertig...
ICMP-Pakete können auch einzeln geschaltet werden, dazu sind Typ und Code zusammen als 16 Bitwert als "Quellport" einzutragen, d.h. für ein Ping wäre das 0x0800 (oder 2048).P.S.: Noch was anderes.. kann ich in der LANCOM-FW eigentlich die einzelnen ICMP-Typen unterschiedlich behandeln? Oder nur ICMP ja/nein schalten?
Was du allerdings nicht filtern kannst sind "Destination-Unreachable" Meldungen, die sich auf erlaubte IP-Verbindungen beziehen - die kommen immer durch
Gruß
Backslash
Hi Backslash!
Vielen Dank für die schnelle Antwort. Ich habe soweit alles eingerichtet
.
DSL ist jetzt auf LAN-1 konfiguriert.
TCP/IP->IP-Netzwerke:
Intranet
IP-Adresse: 10.1.1.1/24
Netzwerktyp: Intranet
Schnittstelle: LAN-2
Tag:0
DMZ
IP-Adresse: 62.153.57.81/30
Netzwerktyp: DMZ
Schnittstelle: LAN-3
Tag:0
Ich habe beiden Schnittstellen die gleichen Tags gegeben, da in naher Zukunft zwischen Intranet und DMZ in beide Richtungen verschiedene IP-Protokolle gefahren werden sollen. Solange ich eine Deny-All-Regel habe, sollte das doch kein Problem darstellen oder!?
In der Routing-Tabelle existieren die Standard-Einträge zum blocken der privaten IP-Bereiche sowie die neu erstellte Route (255.255.255.255 - 0.0.0.0 - Tag 0 - Router T-COMPCO - Maskierung An (nur Intranet)).
Ich hoffe, dass das funzt. Testen kann ich das derzeit noch nicht.
Ich werde mich nun um die Firewall kümmern und die erforderlichen Regeln erstellen. Sollten noch Fragen auftauchen, melde ich mich gerne wieder.
Danke nochmal und ein ruhiges Wochenende!
Gruß
PP
Vielen Dank für die schnelle Antwort. Ich habe soweit alles eingerichtet
.Bei IP-Adresse habe ich allerdings die .218 eingetragen.Auf der sechsten Seite gibst du nun die Parameter der WAN-Seite ein, also IP-Adresse (62.123.123.216), Netzmaske (255.255.255.252), Gateway(62.123.123.217) und DNS-Server (vermutlich auch 62.123.123.217) ein.
DSL ist jetzt auf LAN-1 konfiguriert.
TCP/IP->IP-Netzwerke:
Intranet
IP-Adresse: 10.1.1.1/24
Netzwerktyp: Intranet
Schnittstelle: LAN-2
Tag:0
DMZ
IP-Adresse: 62.153.57.81/30
Netzwerktyp: DMZ
Schnittstelle: LAN-3
Tag:0
Ich habe beiden Schnittstellen die gleichen Tags gegeben, da in naher Zukunft zwischen Intranet und DMZ in beide Richtungen verschiedene IP-Protokolle gefahren werden sollen. Solange ich eine Deny-All-Regel habe, sollte das doch kein Problem darstellen oder!?
In der Routing-Tabelle existieren die Standard-Einträge zum blocken der privaten IP-Bereiche sowie die neu erstellte Route (255.255.255.255 - 0.0.0.0 - Tag 0 - Router T-COMPCO - Maskierung An (nur Intranet)).
Ich hoffe, dass das funzt. Testen kann ich das derzeit noch nicht.
Ich werde mich nun um die Firewall kümmern und die erforderlichen Regeln erstellen. Sollten noch Fragen auftauchen, melde ich mich gerne wieder.
Danke nochmal und ein ruhiges Wochenende!
Gruß
PP
Hi Leute!
It's me again
Irgendwie macht mich das mit der ICMP-Filterung etwas stutzig. Backslash, du sagtest, man müsse Typ/Code als 16-Bit-Wert bei "Quell-Ports" eintragen. Die Hilfe schreibt allerdings, dass dies unter "Ziel-Ports" geschehen müsse!?
Was ist nun richtig?
Anderweitige Dokumente, die das Thema ausführlich behandeln, habe ich leider nicht gefunden.
Wenn
0x0800 = Echo Request
wäre dann
0x0000 = Echo Reply
0x1100 = Time Exceeded
0x1200 = Parameter Problem, etc..?
Ist die Schreibweise so richtig?
Doof. Ich habe das so verstanden, dass der entsprechenden Code durch das niedrigere Byte wiedergegeben wird, quasi:
1x0300 = Destination unreachable (Code 1 Host unreachable), bzw.
2x0300 = Destination unreachable (Code 2 Protocol unreachable), a.s.o.
Dass ich Typen nicht spezifischer Filtern kann, gilt das "nur" für "Destination unreachable"?
Kann ich für die anderen Typen (zb: Type 12 - Paramter Problem) die unterschiedlichen Codes konfigurieren, sofern der Type weitere Codes ≠ 0 aufweist?
Thx
PP
It's me again
Irgendwie macht mich das mit der ICMP-Filterung etwas stutzig. Backslash, du sagtest, man müsse Typ/Code als 16-Bit-Wert bei "Quell-Ports" eintragen. Die Hilfe schreibt allerdings, dass dies unter "Ziel-Ports" geschehen müsse!?
Was ist nun richtig?
Anderweitige Dokumente, die das Thema ausführlich behandeln, habe ich leider nicht gefunden.
Wenn
0x0800 = Echo Request
wäre dann
0x0000 = Echo Reply
0x1100 = Time Exceeded
0x1200 = Parameter Problem, etc..?
Ist die Schreibweise so richtig?
Was du allerdings nicht filtern kannst sind "Destination-Unreachable" Meldungen, die sich auf erlaubte IP-Verbindungen beziehen - die kommen immer durch
Doof. Ich habe das so verstanden, dass der entsprechenden Code durch das niedrigere Byte wiedergegeben wird, quasi:1x0300 = Destination unreachable (Code 1 Host unreachable), bzw.
2x0300 = Destination unreachable (Code 2 Protocol unreachable), a.s.o.
Dass ich Typen nicht spezifischer Filtern kann, gilt das "nur" für "Destination unreachable"?
Kann ich für die anderen Typen (zb: Type 12 - Paramter Problem) die unterschiedlichen Codes konfigurieren, sofern der Type weitere Codes ≠ 0 aufweist?
Thx
PP
Hi 1521WADSL
0x0301 = Destination unreachable (Code 1 Host unreachable), bzw.
0x0302 = Destination unreachable (Code 2 Protocol unreachable), a.s.o.
Aber wie schon gesagt: ICMP-Fehlermeldungen, die als Antwort auf ein zulässiges Paket kommen kannst du nicht filtern - wozu auch, dadurch würde nur dein Netz "langsamer", weil alle Anwendungen auf einmal in einen Timeout rennen müssen, wenn sie keine ICMP-Meldungen bekommen
Die sinnvollste Konfiguration ist, alle ICMPs verbieten und Echo-Requests erlauben (das Echo-Reply ist damit automatisch erlaubt, weil es eine Antwort auf ein erlaubtes Paket ist...)
Gruß
Backslash
ein Blick in die einschlägigen RFCs zeigt dir, daß in einem ICMP-Paket die Felder Type und Code an der selben Stelle stehen wie der Quellport in einem UDP oder TCP-Paket. Daher mußt du den ICMP-Typ im Quellport eintragen.Irgendwie macht mich das mit der ICMP-Filterung etwas stutzig. Backslash, du sagtest, man müsse Typ/Code als 16-Bit-Wert bei "Quell-Ports" eintragen. Die Hilfe schreibt allerdings, dass dies unter "Ziel-Ports" geschehen müsse!?
Was ist nun richtig?
ja... bis auf eine kleine Ausnahme: Da 0x0000 gleichbedeutend wäre mit "any" muß ein Echo-Reply als 0xff00 gespeichert werden.Wenn
0x0800 = Echo Request
wäre dann
0x0000 = Echo Reply
0x1100 = Time Exceeded
0x1200 = Parameter Problem, etc..?
Ist die Schreibweise so richtig?
wenn überhaupt:Doof. Ich habe das so verstanden, dass der entsprechenden Code durch das niedrigere Byte wiedergegeben wird, quasi:
1x0300 = Destination unreachable (Code 1 Host unreachable), bzw.
2x0300 = Destination unreachable (Code 2 Protocol unreachable), a.s.o.
0x0301 = Destination unreachable (Code 1 Host unreachable), bzw.
0x0302 = Destination unreachable (Code 2 Protocol unreachable), a.s.o.
Aber wie schon gesagt: ICMP-Fehlermeldungen, die als Antwort auf ein zulässiges Paket kommen kannst du nicht filtern - wozu auch, dadurch würde nur dein Netz "langsamer", weil alle Anwendungen auf einmal in einen Timeout rennen müssen, wenn sie keine ICMP-Meldungen bekommen
Die sinnvollste Konfiguration ist, alle ICMPs verbieten und Echo-Requests erlauben (das Echo-Reply ist damit automatisch erlaubt, weil es eine Antwort auf ein erlaubtes Paket ist...)
Gruß
Backslash