Hallo,
ich versuche vergeblich einen LC 1721 VPN (Annex B) mit LCOS 5.21 bzw. 5.20 von Anfang Dezember 2005 mit der aktuellen Lanconfig-Software anzusprechen und zu konfigurieren. Ich bekomme keine Verbindung, das Prüfen ist nicht erfolgreich. Im LAN selber geht alles einwandfrei.
Ich kann auch vom WAN her mit dem LANmonitor alle Daten einsehen und abrufen, jedoch nicht mit Lanconfig etwas erreichen. HTTP, HTTPS, TFTF, SNMP, SSH sind alle schreib&lesbar offen für lokal und entfernte Netze, Host-Ausnahmen sind nicht eingestellt...
Brauche dringend Hilfe,
Grüße Pascal
1721 VPN Annex B vom WAN mit Lanconfig konfigurieren
Moderator: Lancom-Systems Moderatoren
-
pascalgrabe
- Beiträge: 63
- Registriert: 15 Okt 2005, 18:47
- Wohnort: Kassel
Vom WAN her einstellen reicht nicht, falls mit WAN das DSL-Interface (oder interne ADSL-Modem) gemeint ist. Dann muessen die entsprechenden Ports auch in der Servicetabelle weitergeleitet werden, nur ... wer will schon einen Lancom, der dadurch von aussen evtl. angreifbar wird ?
In so einem Fall konfiguriert man sich normalerweise einen ISDN-Einwahlzugang und konfiguriert das Lancom via ISDN, dann entfallen auch die Portweiterleitungen in der Servicetabelle.
In so einem Fall konfiguriert man sich normalerweise einen ISDN-Einwahlzugang und konfiguriert das Lancom via ISDN, dann entfallen auch die Portweiterleitungen in der Servicetabelle.
Gruß
Ort: Niedereschach
Router: LC1783VAW Annex B
ISP: T-Online
T-Home VDSL 25000 / 5000
Weitere Standorte: 2x1783VAW, 2x1783VA, 1x 1781VA, 6x 1781VAW, 2x 1781AW, 3x 1722, 1x 1711+, 1x 1681V
Ort: Niedereschach
Router: LC1783VAW Annex B
ISP: T-Online
T-Home VDSL 25000 / 5000
Weitere Standorte: 2x1783VAW, 2x1783VA, 1x 1781VA, 6x 1781VAW, 2x 1781AW, 3x 1722, 1x 1711+, 1x 1681V
-
pascalgrabe
- Beiträge: 63
- Registriert: 15 Okt 2005, 18:47
- Wohnort: Kassel
Hi pascalgrabe
Leider bedeutet das noch lange nicht, daß du mit LANconfig dran kommst. Spätestens wenn du hinter einer Firewall hängst - z.B. dem ISA-Server - hast du ein Problem. Viele Firewalls - so auch der allseits beliebte ISA-Server - können nämlich nicht mit TFTP umgehen und verwerfen die Antwort des LANCOMs als "Angriff von aussen", weil die Antwort nicht von dem Port kommt, an den der Request geschickt wurde...
Gruß
Backlsash
Dann solltest du auch per Telnet oder HTTP(S) dran kommen.Komme jetzt nur per SSH dran von hier außen.
Leider bedeutet das noch lange nicht, daß du mit LANconfig dran kommst. Spätestens wenn du hinter einer Firewall hängst - z.B. dem ISA-Server - hast du ein Problem. Viele Firewalls - so auch der allseits beliebte ISA-Server - können nämlich nicht mit TFTP umgehen und verwerfen die Antwort des LANCOMs als "Angriff von aussen", weil die Antwort nicht von dem Port kommt, an den der Request geschickt wurde...
Gruß
Backlsash
Ach so, ist ja WAN IP ... sorry.backslash hat geschrieben:Hi EDDI
nein. Wenn er das LANCOM selbst ansprechen will, dann reicht es, die Konfigurationsprotokolle freizuschalten - natürlich muß er das LANCOM dann auch unter seiner WAN-Adresse ansprechen.Dann muessen die entsprechenden Ports auch in der Servicetabelle weitergeleitet werden
Gruß
Backslash
Aber bei einer Deny-All auf der Firewall muss ich die Ports dort mit Hilfe von Regeln freischalten, oder ?
Gruß
Ort: Niedereschach
Router: LC1783VAW Annex B
ISP: T-Online
T-Home VDSL 25000 / 5000
Weitere Standorte: 2x1783VAW, 2x1783VA, 1x 1781VA, 6x 1781VAW, 2x 1781AW, 3x 1722, 1x 1711+, 1x 1681V
Ort: Niedereschach
Router: LC1783VAW Annex B
ISP: T-Online
T-Home VDSL 25000 / 5000
Weitere Standorte: 2x1783VAW, 2x1783VA, 1x 1781VA, 6x 1781VAW, 2x 1781AW, 3x 1722, 1x 1711+, 1x 1681V
Hi,
Ciao
LoUiS
Nein, musst Du nicht. Es reicht dies in der Admin Konfiguration zu erlauben. Das geht nicht durch die Firewall.Aber bei einer Deny-All auf der Firewall muss ich die Ports dort mit Hilfe von Regeln freischalten, oder ?
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Hi EDDI
Für die Konfiguration stellst du die Zugangsrechte unter Management -> Admin -> Zugriffs-Rechte bzw. Zugriffs-Stationen ein
Gruß
Backslash
nein. Die Firewall ist nur für den "Forwarding"-Zweig da. Ein "Inbound" oder "Outbound" Zweig ist unnötig, da du ja keine weitere Software auf dem gerät installieren kannst, die du "manuell" absichern (d.h. Zugangsrechte verteilen etc.) müßtest.Aber bei einer Deny-All auf der Firewall muss ich die Ports dort mit Hilfe von Regeln freischalten, oder ?
Für die Konfiguration stellst du die Zugangsrechte unter Management -> Admin -> Zugriffs-Rechte bzw. Zugriffs-Stationen ein
Gruß
Backslash
-
pascalgrabe
- Beiträge: 63
- Registriert: 15 Okt 2005, 18:47
- Wohnort: Kassel
So Leute,
danke für die Diskussion, leider komme ich auf keinen grünen Zweig. Habe nochmal als ich gestern in der Firma war direkt vor Ort die Konfig geprüft mit Lanconfig, mit dem ssh ist immer leicht was übersehen....
Also, ich habe die Einstellungen:
Management --> Admin --> Zugriffs-Rechte --> Von entfernten Netzen **> alles erlaubt
dto. --> Zugriffs-Stationen **> alle
Ich kann dennoch nicht mit Lanconfig vom Wan-Interface her zugreifen, verwende dazu die IP, die vom Provider her statisch vergeben wurde. Hab auch schon ein Loopback definiert mit einer IP aus unserem IP Adress-Pool und mit der versucht, geht auch nicht. Kann aber z.B. vom Firmen-Netz aus unter der internen als auch unter der externen wan-ip auf den LC mit Lanconfig zugreifen. Ich verstehe das nicht. Von hier außen geht auch mit ssh und https und http, aber eben nicht mit dem Lanconfig was ich so gern nehmen möchte.
Ideen??
Danke schonmal,
Pascal
danke für die Diskussion, leider komme ich auf keinen grünen Zweig. Habe nochmal als ich gestern in der Firma war direkt vor Ort die Konfig geprüft mit Lanconfig, mit dem ssh ist immer leicht was übersehen....
Also, ich habe die Einstellungen:
Management --> Admin --> Zugriffs-Rechte --> Von entfernten Netzen **> alles erlaubt
dto. --> Zugriffs-Stationen **> alle
Ich kann dennoch nicht mit Lanconfig vom Wan-Interface her zugreifen, verwende dazu die IP, die vom Provider her statisch vergeben wurde. Hab auch schon ein Loopback definiert mit einer IP aus unserem IP Adress-Pool und mit der versucht, geht auch nicht. Kann aber z.B. vom Firmen-Netz aus unter der internen als auch unter der externen wan-ip auf den LC mit Lanconfig zugreifen. Ich verstehe das nicht. Von hier außen geht auch mit ssh und https und http, aber eben nicht mit dem Lanconfig was ich so gern nehmen möchte.
Ideen??
Danke schonmal,
Pascal
Hi,
sperrt evtl. Eure Firewall in der Firma TFTP? Waehl Dich mal ueber ISDN/Modem ins Internet ein und probiers nochmal. Am LANCOM selbst muss ausser dem Erwaehnten nichts konfiguriert werden.
Obwohl ich persoenlich Telnet, http, SNMP und TFTP ueber das Internet eh schon fuer grob fahrlaessig halte, da die Passwoerter im Klartext uebertragen werden!
Ciao
LoUiS
sperrt evtl. Eure Firewall in der Firma TFTP? Waehl Dich mal ueber ISDN/Modem ins Internet ein und probiers nochmal. Am LANCOM selbst muss ausser dem Erwaehnten nichts konfiguriert werden.
Obwohl ich persoenlich Telnet, http, SNMP und TFTP ueber das Internet eh schon fuer grob fahrlaessig halte, da die Passwoerter im Klartext uebertragen werden!
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
-
pascalgrabe
- Beiträge: 63
- Registriert: 15 Okt 2005, 18:47
- Wohnort: Kassel
Also wenn würd ich denn dann eh Lanconfig mit der neuen https option verwenden wollen.
Also, ich hab mal ausprobiert, eine modem-einwahl bzw isdn geht auch nicht, hab auch schon von meinem privat-anschluß ohne firewall getestet, geht auch nicht. den lanconfig hab ich auf meinem notebook, mit dem arbeite ich auch in der firma im lan wo es geht, also daran sollte es nicht liegen. hab auch schonmal die windoof-firewall disabled, aber das bringt auch nichts. verstehe das wirklich ganz und gar nicht
Also, ich hab mal ausprobiert, eine modem-einwahl bzw isdn geht auch nicht, hab auch schon von meinem privat-anschluß ohne firewall getestet, geht auch nicht. den lanconfig hab ich auf meinem notebook, mit dem arbeite ich auch in der firma im lan wo es geht, also daran sollte es nicht liegen. hab auch schonmal die windoof-firewall disabled, aber das bringt auch nichts. verstehe das wirklich ganz und gar nicht
-
tunichtgut
- Moderator
- Beiträge: 214
- Registriert: 19 Okt 2005, 10:21
-
pascalgrabe
- Beiträge: 63
- Registriert: 15 Okt 2005, 18:47
- Wohnort: Kassel
Hi,
ich glaube tunichgut meint mit "Service-Tabelle" die Eintraege unter "Konfiguriere: IP-Router/Maskierung/Service-Tabelle". Hast Du da evtl. irgendwelche der benoetigten Ports ge"forwarded"?
Ciao
LoUiS
P.S.: Noch was, auch wenn Du per https auf das LANCOM mit LANconfig ueber WAN zugreifen willst, muss TFTP aktiviert sein, da LANconfig ueber TFTP das Geraet erst prueft. Wenn also TFTP nicht aktiviert ist, funktioniert https auch nicht ueber WAN.
ich glaube tunichgut meint mit "Service-Tabelle" die Eintraege unter "Konfiguriere: IP-Router/Maskierung/Service-Tabelle". Hast Du da evtl. irgendwelche der benoetigten Ports ge"forwarded"?
Ciao
LoUiS
P.S.: Noch was, auch wenn Du per https auf das LANCOM mit LANconfig ueber WAN zugreifen willst, muss TFTP aktiviert sein, da LANconfig ueber TFTP das Geraet erst prueft. Wenn also TFTP nicht aktiviert ist, funktioniert https auch nicht ueber WAN.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.