ARF-Netz: Ausnahme hinzufügen (FTP-Server)

[fildercom]

Hallo zusammen,

folgendes Szenario:
Es gibt verschiedene ARF-Netze auf einem Router. Das Haupt-Netz ist "0", weitere Netze sind "1", "2" usw.
Den Netzen sind verschiedene VLANs zugeordnet.

Vom Haupt-Netz hat man Zugriff auf die weiteren Netze, umgekehrt jedoch nicht.

Wie ist es möglich, von einem Netz "2" Zugriff auf eine bestimme IP aus Netz "0" zuzulassen bzw. genauer gesagt nur der Port 21 für FTP?

Der Grund ist folgender:
Unify IP-Telefone bekommen ihre Firmware-Updates per FTP. Im Voice-Netz gibt es keinen FTP-Server, weshalb ich gerne diese Ausnahme als Zugriffsregel ins Hauptnetz erlauben würde.

Wie lässt sich das bewerkstelligen?

Gibt es einen KB-Artikel oder eine Anleitung hier im Forum?

Viele Grüße und vielen Dank
fildercom.

[Jirka]

Hi,

verstehe die Frage nicht. Firewall-Regel?!

Viele Grüße,
Jirka

[Bernie137]

Hi,

mit einer Firewall Regel:
Quelle: Netz2
Ziel: Haupt-Netz
Ziel-Port: ftp
Routing-Tag: 65535 (explizites Routing Tag für das Haupt-Netz ohne Tag)
Quell-Tag: Das des Netz 2

Gruß Bernie

[Koppelfeld]

Unify IP-Telefone bekommen ihre Firmware-Updates per FTP. Im Voice-Netz gibt es keinen FTP-Server, weshalb ich gerne diese Ausnahme als Zugriffsregel ins Hauptnetz erlauben würde.

Wenn das "Openstage" sind:
Paß' auf, daß man Dich nicht für 300 'gebrickte' Telephone verantwortlich macht.
Es gibt bestimmte Anforderungen an den FTP-Server (u.a. FTP SIZE implementiert), teilweise müssen zwingend "Zwischenupdates" durchgeführt werden.

[fildercom]

Danke für eure Antworten. Klar, Firewall-Regel. Wie dumm von mir, danach zu fragen. Werde es so einrichten wie von Bernie beschrieben!

@ Koppelfeld:
Das mit den "Zwischenupdates" betrifft aber nur das Umflashen von HFO auf SIP und umgekehrt. Da muss zuerst die neueste Version der aktuellen Linie geflasht werden, bevor das Umflashen der Protokoll-Variante durchgeführt werden kann.

Was ist mit FTP-SIZE?

Ich wollte das mit einem handelsüblichen Synology NAS realisieren:
https://www.synology.com/de-de/knowledg ... AS_via_FTP

Spricht da etwas dagegen?

[Koppelfeld]

@ Koppelfeld:
Das mit den "Zwischenupdates" betrifft aber nur das Umflashen von HFO auf SIP und umgekehrt. Da muss zuerst die neueste Version der aktuellen Linie geflasht werden, bevor das Umflashen der Protokoll-Variante durchgeführt werden kann.

Das würde ich an Deiner Stelle im http://www.telefonanlagenforum.de/ verifizieren lassen.
Da gibt es einige Freaks, die haben außer Siemens keine anderen Hobbies.

Die helfen Dir sicher auch mit eventuellen Protokollbesonderheiten.

[fildercom]

Hallo zusammen,

ich habe noch eine andere artverwandte Frage, für die ich mal kein neues Thema aufmachen möchte:
1. Wie schon geschrieben gibt es mehrere Netze, (Haupt-Netz mit Tag 0, VoIP-Netz mit Tag 2 usw.).
Damit klappt der Zugriff vom Haupt-Netz auf das VoIP-Netz prima, um z.B. die TK-Anlage zu konfigurieren.
2. Nun war die Überlegung, beim VoIP-Netz den Internetzugriff in beiden Richtungen zu sperren.
Die schnellste Methode wäre, eine Firewall-Regel für das VoIP-Netz nach folgendem Beispiel einzurichten:
https://www2.lancom.de/kb.nsf/1275/7FAE ... enDocument
(nur eben ohne Zeitsteuerung).
3. Die Fragen sind nun:
- Als Quelle trägt man die Netzadresse des VoIP-Netzes ein.
- Wenn man als Ziel nicht einträgt, hat man somit vom Haupt-Netz noch Zugriff auf das VoIP-Netz?
- Kann sich die TK-Anlage noch beim LANCOM VCM registrieren sowie NTP-Informationen abrufen?

Oder wie konfiguriert man das am saubersten? Die andere Idee wäre, die Standard-Route 255.255.255.255 nicht mehr mit dem Tag 0 zu versehen, sondern für die Netze, die Internet-Zugriff benötigen, jeweils eine separate Standard-Route mit passendem Tag zu hinterlegen.

Was wäre die bessere Lösung?

Viele Grüße und danke
fildercom.

[backslash]

Hi fildercom,

- Als Quelle trägt man die Netzadresse des VoIP-Netzes ein.

oder "alle Stationen lokales Netzwerk: <Name des VoIP-Netzes>"... Damit hast du dann ausgehende Sessions der aus dem VoIP-Netz ins Internet und auch alle anderen Netze gesperrt.

- Wenn man als Ziel nicht einträgt, hat man somit vom Haupt-Netz noch Zugriff auf das VoIP-Netz?

Die Firewall ist eine Statefull-Inspection-Firewall, d.h. die Regeln sind richtungsabhängig und die Antwort auf die Frage lautet: "ja"

- Kann sich die TK-Anlage noch beim LANCOM VCM registrieren sowie NTP-Informationen abrufen?

Die (IPv4)-Firewall hat nur Forwarding-Regeln, daher lautet auch hier die Antwort auf die Frage: "ja"
Die IPv6-Firewall hat zwar auch Inbound-Regel, was hier aber irrelevant ist, weil es hier nur um Forwarding-Regeln geht.

Gruß
Backslash

[fildercom]

Hallo Backslash,

vielen Dank für deine aufschlussreichen Antworten.

Wenn ich es richtig sehe, kann ich die Firewall-Regel so setzen, um das VoIP-Netz vollständig vom Internet abzutrennen. Ausgehende Verbindungen von diesem Netz sind damit nicht mehr möglich.
Wie sieht es mit "eingehenden" Verbindungen aus? Sofern kein Port Forwarding etc. besteht, sollte es doch auch "zu" sein, oder sehe ich das falsch?

Zugriff vom Haupt-Netz auf das VoIP-Netz für Konfigurations- und Wartungs-Zecke benötige ich natürlich weiterhin...

Viele Grüße und vielen Dank
fildercom.

[backslash]

Hi fildercom,

Wie sieht es mit "eingehenden" Verbindungen aus? Sofern kein Port Forwarding etc. besteht, sollte es doch auch "zu" sein, oder sehe ich das falsch?

zumindest solange du nur IPv4 nutzt, hält die Maskierung eingehende Sessions ab. IPv6 hingegen ist immer unmaskiert und würde hier auch Regeln für eingehenden Traffic benötigen.

Gruß
Backslash

[fildercom]

Hi fildercom,

Wie sieht es mit "eingehenden" Verbindungen aus? Sofern kein Port Forwarding etc. besteht, sollte es doch auch "zu" sein, oder sehe ich das falsch?

zumindest solange du nur IPv4 nutzt, hält die Maskierung eingehende Sessions ab. IPv6 hingegen ist immer unmaskiert und würde hier auch Regeln für eingehenden Traffic benötigen.

Gruß
Backslash

Hallo Backslash,

danke, dann war ich auf dem richtigen Weg. Genauso habe ich es mir bereits gedacht. Momentan ist alles aus praktischen Gründen IPv4, weshalb ich mir über IPv6 Firewall-Regeln aktuell (noch) keine Gedanken machen muss.

Viele Grüße
fildercom.