DMZ mit dyn. IP an LANCOM 883+ VoIP

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
mbu
Beiträge: 3
Registriert: 04 Mär 2021, 17:30

DMZ mit dyn. IP an LANCOM 883+ VoIP

Beitrag von mbu »

Hallo zusammen,

ich mache derzeit meine 1. Gehversuche mit einem Lancom Router, da ich zu Hause eine Nextcloud Instanz in einer DMZ mit dynamischer Internet IP betreiben möchte. Um das restliche Netzwerk erst mal zu lassen, wie es ist, habe ich die vorhandene Fritzbox umkonfiguriert, so dass diese nun nicht mehr das Internet aufbaut, sondern, über den LANCOM Router versorgt wird. Dies klappt alles bereits, auch der VoIP Telefonanschluss der Telekom wird von der Fritzbox aufgebaut. Dazu habe ich ein Portforwarding vom Lancom Router eingerichtet.
Die dyn. IP wird per DynDNS bei all-inkl auch bereits auf einer Subdomain gesetzt, so dass der Router immer über einer festen Domain aus dem Internet erreichbar ist.

Ich scheitere allerdings daran, die DMZ einzurichten.
Was ich bereits eingestellt habe:
  • lokales Netzwerk 10.50.0.0/16
  • IP des Routers 10.50.0.1
  • Hardware Ethernet Port ETH-1 verbunden mit LAN-1
  • ETH-1 Privater Modus aus
  • DMZ Netzwerk 10.60.0.0/24
  • IP des Routers 10.60.0.1
  • Hardware Ethernet Port ETH-4 verbunden mit LAN-2
  • ETH-2 Privater Modus an
  • Fritzbox Gateway IP 10.50.0.2
  • Server in DMZ 10.60.0.2
  • Server in DMZ erreicht das Routerwebinterface (10.50.0.1), das sollte nicht sein
  • Server in DMZ kann Fritzbox WAN Interface (10.50.0.2) pingen, das sollte nicht sein
Ich habe mir die offizielle Anleitung von Lancom bei Youtube für eine DMZ mit offizieller statischer IP angesehen, da wird leider nicht darauf eingegangen, was bei einer dyn. IP alles anders eingestellt werden muss. Deshalb komme ich hier nicht mehr weiter.

Mir geht es zunächst primär darum, wie ich das private Netzwerk von der DMZ abschotte, so dass die Rechner in der DMZ keinen Zugriff darauf haben.

Nachdem das Abschotten der DMZ funktioniert, gehe ich davon aus, dass ich noch ein Portforwarding auf die IP des Servers (10.60.0.2) für alle am Server laufenden Dienste einrichten muss. Sehe ich das richtig?

Vielen Dank für jede Unterstützung!

Grüße
Michael
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DMZ mit dyn. IP an LANCOM 883+ VoIP

Beitrag von backslash »

Hi mbu,

eine DMZ ist anders als bei der Fitzbox erstmal ein ganz normales Netz - mit zwei weiteren Eigenschaften:
  • wenn die Maskierungs-Option der Defaultz-Route auf "nur intranetmaskieren" steht, wirden Adessen aus der DMZ nicht maskiert
  • wenn du mit Routig- bzw. Schnisttstellen-Tags arbeitest, ist eine DMZ aus allen Kontexten sichtbar
Server in DMZ erreicht das Routerwebinterface (10.50.0.1), das sollte nicht sein
wieso nicht? Er kann doch den Router in der DMZ auch erreichen (10.60.0.1). Das kannst du nur verhindern, wenn du mit Schnittstellen-Tags (z.B. 1 für dein LAN, und 2 für die DMZ) arbeitest und darüber die Sichtbarkeiten der Netze steuerst.
Server in DMZ kann Fritzbox WAN Interface (10.50.0.2) pingen, das sollte nicht sein
Auch das regelst du mit Schnittstellen-Tags und steuerst darüber die Sichtbarkeiten. Und andersherum willst du sicherlich auch vom LAN aus auf deinen Server zugreifen können. Hier kommt das mit der Sichtbarkeit einer DMZ aus allen Kontexten zum Tragen...

Du kannst natürlich auch anfangen Firewallregeln zu erstellen, die den Zugriff zwischen DMZ und LAN - bzw. auch anders herum regeln.
Nachdem das Abschotten der DMZ funktioniert, gehe ich davon aus, dass ich noch ein Portforwarding auf die IP des Servers (10.60.0.2) für alle am Server laufenden Dienste einrichten muss. Sehe ich das richtig?
das siehst du richtig

Gruß
Backslash
mbu
Beiträge: 3
Registriert: 04 Mär 2021, 17:30

Re: DMZ mit dyn. IP an LANCOM 883+ VoIP

Beitrag von mbu »

Hallo Backslash,

vielen Dank für deine Antwort. Meine DMZ funktioniert nun wie gewünscht.
Der Schlüssel zum Erfolg waren diese Schnittstellen-Tags. Ich habe das Konzept dahinter zwar noch nicht ganz verstanden, mit dem Vergeben der Tags konnte ich die DMZ so abschotten, wie gewollt.
Ich habe zusätzlich noch bei der LAN-Bridge Einstellung die Funktion "Verbindung über Router herstellen" eingestellt. Weiß aber nicht, ob ich das gebraucht hätte.
  • die DMZ ist normal aus dem lokalen Netz erreichbar
  • von der DMZ aus gelange ich per Ping noch bis zum DMZ Interface des Routers 10.60.0.1
  • das lokale Interface 10.50.0.1 des Routers lässt sich aus der DMZ nicht mehr pingen
  • generell ist kein Zugriff auf das lokale Netz aus der DMZ möglich
  • den Zugriff von der DMZ aus auf das Webinterface des Routers über die 10.60.0.1 konnte ich abstellen, indem ich Zugriffseinschränkungen auf die Konfig einstellte
  • die DMZ hat Internetzugriff
  • per Portforwarding sind meine Serverdienste nun aus dem Internet über meinen DNS Eintrag erreichbar
Das war ein ganz schönes Stück Arbeit :wink:

Gibt es irgenwo ein gutes Howto, welches mir diese Schnittstellen-Tag Funktion genauer erklärt?

Danke
Grüße MBU
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Re: DMZ mit dyn. IP an LANCOM 883+ VoIP

Beitrag von CyberT »

Hallo MBU,

mbu hat geschrieben: 07 Mär 2021, 19:44Gibt es irgenwo ein gutes Howto, welches mir diese Schnittstellen-Tag Funktion genauer erklärt?
Ja klar. Das ganze läuft unter der Abkürzung ARF (Advanced Routing and Forwarding).

Bei einer Suche in der LANCOM Support Knowledge Base nach ARF erhält man hierzu auch einige Treffer, wie u.a.:
- ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellentags (bei Geräten mit WLAN)
- LANCOM HowTo-Video: Die Möglichkeiten von Advanced Routing and Forwarding (ARF)


HTH.
Gruß.
mbu
Beiträge: 3
Registriert: 04 Mär 2021, 17:30

Re: DMZ mit dyn. IP an LANCOM 883+ VoIP

Beitrag von mbu »

Hallo HTH,

vielen Dank für die nützlichen Links.
Eine Verständnisfrage habe ich allerdings dazu noch.

Mein Intranet hat Schnittstellentag 1, meine DMZ Schnittstellentag 2.
Somit sollte ja laut dieser Dokumentation von Lancom keine Kommunikation von einem dieser beiden Netze in das jeweilige andere Netz möglich sein.
Ich kann aber vom Intranet (Schnittstellentag 1) auf die DMZ (Schnittstellentag 2) zugreifen.
Liegt das daran, dass ich einen Firewalleintrag habe:
  • Quelle Tag 1 & 10.50.0.0 / 255.255.0.0
  • Quell Dienste alle
  • Ziel beliebig
  • Ziel Dienst alle
  • Aktion Übertragen
Und wenn ich den rausnehme, komme ich auch nicht mehr vom internen LAN in die DMZ?

Welche Komponente ist für das Verhalten dieser Schnittstellentags im Router verantwortlich?
Ist das die LAN-Bridge?
Ich habe diese bei mir auf den Modus "Verbinden über Router" (isolierter Modus) gestellt.
Was alles bewirkt diese Einstellung. Wird dann die ganze Kommunikation durch die Firewall geleitet und ich kann z.B. trotzdem, wenn 2 Netzwerke das gleiche Tag haben eine Kommunikation zwischen ihnen unterbinden?

Danke für jeden Tipp.
Grüße
MBU
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DMZ mit dyn. IP an LANCOM 883+ VoIP

Beitrag von backslash »

Hi mbu
Mein Intranet hat Schnittstellentag 1, meine DMZ Schnittstellentag 2.
Somit sollte ja laut dieser Dokumentation von Lancom keine Kommunikation von einem dieser beiden Netze in das jeweilige andere Netz möglich sein.
doch, weil eine DMZ - also ein Netzwerk mit dem Typ "DMZ" aus ALLEN Kontxten sichtbar ist. Das habe ich aber schon in meinen erten Post geschrieben
Liegt das daran, dass ich einen Firewalleintrag habe:
  • Quelle Tag 1 & 10.50.0.0 / 255.255.0.0
  • Quell Dienste alle
  • Ziel beliebig
  • Ziel Dienst alle
  • Aktion Übertragen

Und wenn ich den rausnehme, komme ich auch nicht mehr vom internen LAN in die DMZ?

nur, wenn du auch eine DENY-ALL Regel hast - aber dann würdest du dir eigentlich auch deinen Internetzugang abklemmen...

Wenn du auf ein Netz mit Schnittstellen-Tag zugreifen willst, das nicht den Typ DMZ hat, dann müßtest du in der Regel auch noch das Tag 2 zuweisen...

Welche Komponente ist für das Verhalten dieser Schnittstellentags im Router verantwortlich?
Ist das die LAN-Bridge?

nein, es ist der Router.
Es werden für jedes Tag einzelne Routing-Tabellen erstellt, in denen zunächst nur Routen und Schnittstellen mi dem gleichen Tag enthalten aufgenommen werden. Und dann kommen halt noch ein paar Sonderregeln hinzu, z.B. daß Interfaces mit dem Typ DMZ tauchen in allen Routing-Tabellen aufgenommen werden...

Ein Wechsel zwischen den Routing-Tabellen ist nur über Firewall-Regeln möglich, die das Tag ändern

Die Routing-Tabellen kannst du dir auf dem CLI über das Kommando "show ipv4-fib" anschauen

Gruß
Backslsash
Antworten