Hallo,
ich habe mal folgende Fragen an die Profis
folgende Konstellation beim Kunden
QSC Router -> Lancom 1711+ (ist über eine externe IP ansprechbar)
1711+ intern 192.168.1.254
Exchange Server intern 192.168.1.254
von Lancom das DenyAll+ Paket eingerichtet (Elster und NTP gelöscht)
Der Router wird für Outlooksyncronisation und VPN mit Außenstellen genutzt, kein Internet.
Jetzt meine Fragen
1. ist es möglich den Router über die externe IP fernzukonfigurieren mit LanConfig wenn HTTPS nicht geht (Weiterleitung auf Exchange)
2. wie kann ich das HTTPS Protokoll vom Internet auf den Exchange Server weiterleiten für ExchangeWeb
3. wie kann ich den Port 3085 vom Internet auf den Exchange Server weiterleiten für Fernsteuerung.
4. Wenn ich über den Wizard eine Lan-Lan VPN konfiguration mache für mehrere Standorte (nacheinander) sehen die Netze sich dann untereinander oder greifen Sie getrennt voneinander auf den Router zu?
VPN1 Lancom 1711+ -> Lancom 1721+ (Außenstelle 1) .2.?
VPN2 Lancom 1711+ -> Lancom 1721+ (Außenstelle 2) .3.?
VPN3 Lancom 1711+ -> Lancom 1721+ (Außenstelle 3) .4.?
Muß ich zwischen den Außenstellen auch noch VPN Tunnel einrichten?
Ich habe mir mal die Firewalleinträge angeschaut, bin aber noch nicht schlau daraus geworden, da ich Beispiele brauche um etwas zu lernen.
Ich hoffe Ihr könnt mir helfen.
Vielen Dank im Vorraus
Stefan
Anfängerfragen zum Lancom 1711+
Moderator: Lancom-Systems Moderatoren
Hi SBruhn
Beim 1-Click-wizard definierst du ein Gerät als Zentrale und ziehst die anderen einfach darauf. Der Wizard richtet die zusätzlich notwendigen Regeln ein, damit alle Netze miteinander über die Zentrale kommunizieren können.
Ohne 1-Click-Wizard mußt du passende VPN-Regeln in der Firewall anlegen. Insgesamt brauchst du dann bei n Aussenstellen 2n-1 Regeln. Oder aber du faßt die Netze zusammen (alle Filiaen greifen auf das 192.168.0.0/255.255.0.0-Netz zu), dann brauchst du nur eine "jeder darf mit jedem" Regel (192.168.0.0/255.255.0.0 <-> 192.168.0.0/255.255.0.0)
Gruß
Backslash
du kannst im LANCOM den Port umstellen, auf dem es HTTPS annimmt. Das geht aber nur über die Konsole/Telnet/SSH. Hierzu stellst du mittels set /setup/http/SSL-Port <Port> den gewünschten Port ein. Ebenso trägst du im LANconfig in den Eigenschaften des Gerät diesen Port unter HTTPS ein1. ist es möglich den Router über die externe IP fernzukonfigurieren mit LanConfig wenn HTTPS nicht geht (Weiterleitung auf Exchange)
Indem du unter IP-Router -> Maskierung -> Protforwarding-Tabelle einen passenden Eintrag erstellst:2. wie kann ich das HTTPS Protokoll vom Internet auf den Exchange Server weiterleiten für ExchangeWeb
Code: Alles auswählen
Anfangs-Port: 443
End-Port: 443
Gegenstelle:
Intranet-Adresse: IP des Servers
Map-Port: 0
Protokoll: TCP
WAN-Adresse: 0.0.0.0genauso wie für HTTPS3. wie kann ich den Port 3085 vom Internet auf den Exchange Server weiterleiten für Fernsteuerung.
Das kommt darauf an, ob du sie mit dem "1-Klick-Wizard" einrichtest oder nicht.4. Wenn ich über den Wizard eine Lan-Lan VPN konfiguration mache für mehrere Standorte (nacheinander) sehen die Netze sich dann untereinander oder greifen Sie getrennt voneinander auf den Router zu?
Beim 1-Click-wizard definierst du ein Gerät als Zentrale und ziehst die anderen einfach darauf. Der Wizard richtet die zusätzlich notwendigen Regeln ein, damit alle Netze miteinander über die Zentrale kommunizieren können.
Ohne 1-Click-Wizard mußt du passende VPN-Regeln in der Firewall anlegen. Insgesamt brauchst du dann bei n Aussenstellen 2n-1 Regeln. Oder aber du faßt die Netze zusammen (alle Filiaen greifen auf das 192.168.0.0/255.255.0.0-Netz zu), dann brauchst du nur eine "jeder darf mit jedem" Regel (192.168.0.0/255.255.0.0 <-> 192.168.0.0/255.255.0.0)
Das wäre u.U. die sinnvollere Lösung, da du dann nicht den Traffic zwischen den Filialen über die Zentrale leiten mußtMuß ich zwischen den Außenstellen auch noch VPN Tunnel einrichten?
Gruß
Backslash
Vielen Dank Backslash
Eine Frage habe ich noch zur Portweiterleitung.
Brauche ich nur unter Maskierung den Port eintragen oder benötige ich auch noch eine Firewallregel. HTTPS ist über eine Regel freigegeben (ich glaube nur nach extern) (Lancom Script)
Aber Port 3085 ist in der Liste nicht enthalten.
Zur externen Konfiguration
ich schalte auf den Routern externe Fremdzugriff über HTTPS frei und muß dann im Lanconfig die Router über die externe IP und HTTPS Port reinladen.
Wenn ich alle Router drin habe kann ich über den 1-Klick VPN Assistenten sagen, das der Router so und so die Zentrale ist und die anderen die Filialen? Oder wie muß ich mir das Vorstellen. 1 Klick VPN für Benutzer habe ich ja schon gemacht. Ich habe gelesen, das man mit der Version 7.8 die Filialrouter makieren kann und einfach auf den Zentralerouter ziehen soll. Ist das das selbe wie das 1-Klick VPN?
mfG
Stefan
Eine Frage habe ich noch zur Portweiterleitung.
Brauche ich nur unter Maskierung den Port eintragen oder benötige ich auch noch eine Firewallregel. HTTPS ist über eine Regel freigegeben (ich glaube nur nach extern) (Lancom Script)
Aber Port 3085 ist in der Liste nicht enthalten.
Zur externen Konfiguration
ich schalte auf den Routern externe Fremdzugriff über HTTPS frei und muß dann im Lanconfig die Router über die externe IP und HTTPS Port reinladen.
Wenn ich alle Router drin habe kann ich über den 1-Klick VPN Assistenten sagen, das der Router so und so die Zentrale ist und die anderen die Filialen? Oder wie muß ich mir das Vorstellen. 1 Klick VPN für Benutzer habe ich ja schon gemacht. Ich habe gelesen, das man mit der Version 7.8 die Filialrouter makieren kann und einfach auf den Zentralerouter ziehen soll. Ist das das selbe wie das 1-Klick VPN?
mfG
Stefan
Hi SBruhn
Gruß
Backslash
die Maskierung und die Firewall sind unabhängig voneinander, d.h. wenn du eine Deny-All Strategie fährst, dann brauchst du auch für jedes Poprtforwarding eine Firewallregel, die das zuläßt:Brauche ich nur unter Maskierung den Port eintragen oder benötige ich auch noch eine Firewallregel.
Code: Alles auswählen
Aktion: übertragen
Quelle: alle Stationen
Ziel: IP des Servers an den weitergeleitet werden soll
Dienste: Protokoll und (Ziel-) Port, der weitergeleitet wirdgenau... genauer gesagt markierst du einen Router als Zentrale und zwar unter Eigenschaften des Geräts -> VPN -> Als VPN-Zentralgerät einsetzen.Wenn ich alle Router drin habe kann ich über den 1-Klick VPN Assistenten sagen, das der Router so und so die Zentrale ist und die anderen die Filialen?
ja... (nachdem du die Zentrale wie oben beschrieben gekennzeichnet hast)Ich habe gelesen, das man mit der Version 7.8 die Filialrouter makieren kann und einfach auf den Zentralerouter ziehen soll. Ist das das selbe wie das 1-Klick VPN?
Gruß
Backslash