Moin,
nein, der wird 'no' sein. Das haben wir bei ähnlichen Fällen in der Vergangenheit auch so gemacht (z.B. CAPWAP ins WAN oder RADIUS-Server). An der Stelle wäre mir ein Support-Call lieber als ein ungewollt offener Port.
Gruß Alfred
COMport-Server immer über WAN erreichbar!
Moderator: Lancom-Systems Moderatoren
Re: COMport-Server immer über WAN erreichbar!
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: COMport-Server immer über WAN erreichbar!
Hi,
zunächst einmal @alf29: Ich wollte niemanden anbrüllen (mir war auch nicht klar, dass GROSS automatisch anschreien heissen soll). Insofern mea culpa für die Irritation, und, wie ich zwischen den Zeilen lese, die Aktivitäten hinter den Kulissen.
Ich hatte groß geschrieben, um den Grad meines Erschreckens auszudrücken, denn der war beträchtlich. Denn dass Telnet eben bequem aber zum Mitlesen ist, macht ja die Brisanz aus, wenn auf diese Weise kleine Linuxboxen am Border-Gateway eines kleinen Standort hängen. Ich hatte einfach nie damit gerechnet, dass die Interfaceauswahl im COMport-Server-Menü nicht bedeutet, dass der Port am WAN-Interface hängt. Natürlich kann man mit Fug und Recht auch argumentieren, dass ich es hätte ausprobieren müssen...
Der Thread ist inzwischen ja versachlicht und nimmt eine erfreuliche Wendung mit Fix in der Pipeline. Das freut mich, und ein paar andere wohl auch.
Gruß,
rougu
zunächst einmal @alf29: Ich wollte niemanden anbrüllen (mir war auch nicht klar, dass GROSS automatisch anschreien heissen soll). Insofern mea culpa für die Irritation, und, wie ich zwischen den Zeilen lese, die Aktivitäten hinter den Kulissen.
Ich hatte groß geschrieben, um den Grad meines Erschreckens auszudrücken, denn der war beträchtlich. Denn dass Telnet eben bequem aber zum Mitlesen ist, macht ja die Brisanz aus, wenn auf diese Weise kleine Linuxboxen am Border-Gateway eines kleinen Standort hängen. Ich hatte einfach nie damit gerechnet, dass die Interfaceauswahl im COMport-Server-Menü nicht bedeutet, dass der Port am WAN-Interface hängt. Natürlich kann man mit Fug und Recht auch argumentieren, dass ich es hätte ausprobieren müssen...
Der Thread ist inzwischen ja versachlicht und nimmt eine erfreuliche Wendung mit Fix in der Pipeline. Das freut mich, und ein paar andere wohl auch.
Gruß,
rougu
Re: COMport-Server immer über WAN erreichbar!
Hallo,
das kann gerne mal mit den aktuellen 10.12er Versionen von LCOS und LANconfig getestet werden.
Ciao
LoUiS
das kann gerne mal mit den aktuellen 10.12er Versionen von LCOS und LANconfig getestet werden.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Re: COMport-Server immer über WAN erreichbar!
Hi,
Verwendet wurde LANconfig 10.12.0023 und LCOS 10.12.0053. Ich kann - nach Stichprobe mit zwei Geräten - erfreut bestätigen.
Konfiguration
1. via CLI: ok
2. via LANconfig: ok
3.1 via WebGUI - LCOS-Menübaum: ok
3.2 via WebGUI - Konfiguration - COM-Ports, ...: Auswahl WAN-Zugriff fehlt.
Funktion:
Connect: Telnet-Connect zu COMport-Server via WAN funktioniert wie konfiguriert.
Loch gestopft. Danke für die schnelle Lösung.
Gruß,
rougu
Verwendet wurde LANconfig 10.12.0023 und LCOS 10.12.0053. Ich kann - nach Stichprobe mit zwei Geräten - erfreut bestätigen.
Konfiguration
1. via CLI: ok
2. via LANconfig: ok
3.1 via WebGUI - LCOS-Menübaum: ok
3.2 via WebGUI - Konfiguration - COM-Ports, ...: Auswahl WAN-Zugriff fehlt.
Funktion:
Connect: Telnet-Connect zu COMport-Server via WAN funktioniert wie konfiguriert.
Loch gestopft. Danke für die schnelle Lösung.
Gruß,
rougu
Re: COMport-Server immer über WAN erreichbar!
Hi,
Punkt 3.2 wird prinzipbedingt in einer der naechsten Version des LCOS drin sein.
Aber schon mal vielen Dank fuers parallele Testen!
Ciao
LoUiS
P.S.: Ich weise noch mal darauf hin, dass der Default nun auf dem WAN verboten ist!
Da es sich bei dem Schalter um eine neue Funktion handelt, ist der Zugriff auf dem WAN nun auch bei allen bestehenden Installationen verboten!
Sprich: In allen Installationen wo der Zugriff ueber das WAN genutzt wurde, muss nach dem Update der Zugriff erst wieder auf WAN erlaubt gestellt werden!
Die Anmerkung kommt dann auch in die Releasenotes.
Punkt 3.2 wird prinzipbedingt in einer der naechsten Version des LCOS drin sein.
Aber schon mal vielen Dank fuers parallele Testen!
Ciao
LoUiS
P.S.: Ich weise noch mal darauf hin, dass der Default nun auf dem WAN verboten ist!
Da es sich bei dem Schalter um eine neue Funktion handelt, ist der Zugriff auf dem WAN nun auch bei allen bestehenden Installationen verboten!
Sprich: In allen Installationen wo der Zugriff ueber das WAN genutzt wurde, muss nach dem Update der Zugriff erst wieder auf WAN erlaubt gestellt werden!
Die Anmerkung kommt dann auch in die Releasenotes.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Re: COMport-Server immer über WAN erreichbar!
Hallo,
Vielen Dank und viele Grüße,
Jirka
hmm, demnach kommt die neue (IPv4-)Firewall also erst mal nicht. Muss man denn jetzt auch bei anderen Diensten noch über so einen Schalter nachdenken? Also nehmen wir zum Beispiel LCOSCap oder RPCap. Wenn man diese Dienste einschaltet, sind die über WAN erreichbar. Ok, jetzt nicht ungeschützt, also nur mit Passwort, aber das heißt ja nicht, dass das nicht auch potentielle Angriffspunkte sein könnten. Sollte also hier auch so ein Schalter nachgerüstet werden, damit man diese Dienste einfach angeschaltet lassen kann, weil man sie - über LAN oder VPN - erst wieder in ein paar Tagen braucht? Oder anders gefragt, ist es fahrlässig, LCOSCap oder RPCap laufen zu lassen, auch wenn man die Dienste gerade nicht nutzt? (Ich kenne die Protokolle dahinter ehrlich gesagt nicht, wird das Passwort eigentlich verschlüsselt übertragen?)alf29 hat geschrieben:als der geschrieben wurde, hieß es demnächst kommt die neue Firewall, und die hat dann auch Inbound-Filter (so wie IPv6 von Anfang an). Das war vor mindestens fünf Jahren, und wir sind immer noch an dem Punkt, daß jeder LCOS-interne Dienst für IPv4 seine eigenen 'über WAN ja/nein/nur-VPN'-Schalter einbauen darf
Vielen Dank und viele Grüße,
Jirka
Re: COMport-Server immer über WAN erreichbar!
Moin,
also sowohl LCOScap und RPCap wird man wohl nur einschalten, solange man sie braucht. Das sind Dienste, die man nicht dauerhaft sondern nur zum Debugging eines Problems braucht.
Gruß Alfred
also sowohl LCOScap und RPCap wird man wohl nur einschalten, solange man sie braucht. Das sind Dienste, die man nicht dauerhaft sondern nur zum Debugging eines Problems braucht.
Bei RPCap läuft es im Klartext übers Netz, bei LCOScap geht es nur in einen Hash ein.Oder anders gefragt, ist es fahrlässig, LCOSCap oder RPCap laufen zu lassen, auch wenn man die Dienste gerade nicht nutzt? (Ich kenne die Protokolle dahinter ehrlich gesagt nicht, wird das Passwort eigentlich verschlüsselt übertragen?)
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015