Ich bin neu hier

[fritz_adé]

Daher wollte ich mal hallo an allen Foristen hier senden ....
(Falls mein Beitrag hier nicht richtig sein sollte, bitte in die richtige verschieben)

Warum bin ich hier?

Momentan werkelt noch ne betagte Fritzbox bei mir im Keller. Es ist eine 5070.
Da ich aber bald von ADSL auf VDSL umgestellt werde, muss ein neuer Router her.

Die Wahl ist auf den LANCOM 1781VAW gefallen. Warum ?

- Der LANCOM Router ist als 19" Rackmount erhältlich und kann nun in meinem 19" Schrank eingebaut werden und die optisch nicht passende FB kommt weg.
- Die Fritz 5070 war meines Wissen nach, der einzige AVM Router, der zwei eigene LAN´s parallel betreiben konnte / kann. Die neuen FB können es nicht.
- Die Peformance bei AVM im Bezug auf VPN soll nicht so gut sein. (VPN sollen in Zukunft verstärkt eingesetzt werden)

Damit ich nicht erst am Tag der Umstellung das Gerät konfigurieren muss, habe ich den neuen Router schon mal angeschlossen und bin natürlich von den Möglichkeiten erschlagen.

Kurzer Netzaufbau: 2 Getrennte LAN verwende ich:
- Produktiv (SBS 21011)
- Test (meine zukünftige Umgebung mit VM und sophos utm)
- ISP noch Telekom, bald Netcologne

Verbindung zum IPS funktioniert schon einmal.

Meine Fragen:

Bei Fritz ist es so: dass aus dem Internet alles geblockt wird, sofern der entsprechende Port nicht geöffnet wird und auf den entsprechenden Dienst / Server zeigt (Portforwarding). Aus dem internen Netz darf alles heraus und es findet keine Kontrolle statt.
Wie sieht es bei LANCOM aus? Ich habe es so verstanden, dass alles aus dem Internet in der Default Einstellung geblockt wird (sofern die FW eingeschaltet ist).
Ist das richtig?

In der Default Einstellung lässt LANCOM auch alles aus dem internen Netzt in das Internet raus. Ist das auch richtig?

Nun wollte ich meinen Server im Internet mit dem LANCOM verbinden bzw. "veröffentlichen" aber es funktioniert nicht.
Ich habe einen DYNDNS Account und der ist auch aus meiner Sicht richtig eingetragen. Die notwendigen Ports habe ich auch auf demLANCOM aufgemacht.
Es klappt aber leider nicht. Sicher liegt es an mir . Nur was muss ich noch beachten. Oder muss, obwohl alles aus dem internen Netz raus darf, eine FW Regel erstellt werden?


Des Weiteren gibt es ne Menge Frage zu dem Gerät.

- Ich habe das jeweilige LAN Interface so eingestellt, dass die beiden internen Netzte sich nicht sehen dürfen. Auf dem Interface habe ich jeweils den private Mode auf "an" gesetzt. Ist das so richtig?
Oder anderes herum: Wenn ich es nicht gesetzt hätte, wären dann die beiden Netze im Default so eingestellt gewesen, dass sie sich hätten sehen können?

Mir ist schon bewusst, dass man alle Verbindungen von "innen" in Richtung Internet verbieten sollte und dann bei Bedarf auf machen muss.
Machen das alle hier so? Ist doch sicher ne Menge Arbeit ?! (so mal zu Diskussion).

Erst einmal Danke für Eure Mühen.

Grüße

[MariusP]

Hi,

Mir ist schon bewusst, dass man alle Verbindungen von "innen" in Richtung Internet verbieten sollte und dann bei Bedarf auf machen muss.
Machen das alle hier so? Ist doch sicher ne Menge Arbeit ?! (so mal zu Diskussion).

Warum sollte man das machen?
Das macht die Internetnutzung sehr umständlich, wenn man nur auf whitelist-Basis arbeitet. Oder arbeitest du mit dem Router auf eine Art die ein solches restriktives Vorgehen vorsehen würde?
Auch könnten so mit der Zeit sehr viel Firewalleinträge anfallen was der Performance der FW sicher nicht zuträglich ist.
Gruß

[fritz_adé]

OK, habe es in einigen How to gelesen, dass man so die Sicherheit erhöhen kann.

z.B. hier:
https://www.lancom-systems.de/docs/LCOS ... 63942.html


Grüße

[MariusP]

Hi,
Das Wort Verbindung war irreführend, sofern du quasi Protokolle freigibst und nicht spezifische IP-Adressen( von URLs wie z.b. google.de, wikipedia.de usw) ist das etwas anderes.
Gruß

[fritz_adé]

Me culpa,
man sollte sich, besonders in der Technik präzise ausdrücken.

Kann mir jemand meine "Thesen" besonders im Bezug "im Default ist der LANCOM vom Internet ins Intranet / LAN geschlossen"
bestätigen?

Danke Euch

[backslash]

Hi fritz_adé,

Bei Fritz ist es so: dass aus dem Internet alles geblockt wird, sofern der entsprechende Port nicht geöffnet wird und auf den entsprechenden Dienst / Server zeigt (Portforwarding). Aus dem internen Netz darf alles heraus und es findet keine Kontrolle statt.
Wie sieht es bei LANCOM aus? Ich habe es so verstanden, dass alles aus dem Internet in der Default Einstellung geblockt wird (sofern die FW eingeschaltet ist).
Ist das richtig?

jain...
Wenn du eine einfache Internetverbindung nutzt, dann sorgt die Maskierung (NAT) dafür, daß nur ausgehende Sessions erlaubt sind. Wenn du aber eine unmaskierte Verbindung hast (Maskierungsoption: "keine Maskierung" oder "nur Intranet maskieren"), z.B. für eine DMZ mit öffentlichen Adressen, dann ist der unmaskierte Bereich komplett offen. In diesem Fall solltest du Deny-All-Regel aufnehmen und explizite Allow-Regeln für das, was du wirklich willst.

BTW: Die Maskierung ist nicht vollständig "dicht"... über geöffnete UDP-Ports könnten auch Pakete von aussen injiziert werden. Das kannst du nur durch eine Deny-All-Regel und gerichtete Allow-Regeln (Quelle lokales Netz, Ziel alle Stationen) völlig abdichten

Nun wollte ich meinen Server im Internet mit dem LANCOM verbinden bzw. "veröffentlichen" aber es funktioniert nicht.
Ich habe einen DYNDNS Account und der ist auch aus meiner Sicht richtig eingetragen. Die notwendigen Ports habe ich auch auf demLANCOM aufgemacht.
Es klappt aber leider nicht. Sicher liegt es an mir . Nur was muss ich noch beachten. Oder muss, obwohl alles aus dem internen Netz raus darf, eine FW Regel erstellt werden?

Ohne Deny-All-Regel mußt du nur das Portforwarding einrichten. Wenn du eine Deny-All-Regel hast, dann mußst du auch für den Zugriff auf den Server eine Allow-Regel konfigurieren.

Gruß
Backslash

[fritz_adé]

Ok, danke.

Also bei mir ist es so:

Ich habe eine ganz normale DSL Verbindung von der Telekom, die in der Nacht zwangsgetrennt und eine neue
(dynamische) IP vergeben wird.
Ich denke, das ist mit "einfacher" Verbindung gemeint?

Ich habe keine öffentliche IP von der Telekom.

Wo finde ich denn die Einstellung zur Maskierung die Du genannt hast ?

Zitat... "(Maskierungsoption: "keine Maskierung" oder "nur Intranet maskieren" ... Zitatende

Ist das der Pfad?
WEBconfig: LCOS-Menübaum / Setup / IP-Router / IP-Routing-Tabelle ???

Grüße

[PappaBaer]

Hi,

das Portforwarding findest Du unter Konfiguration->IP-Router->Maskierung->Portforwarding-Tabelle.
Bei Deiner Default-Route sollte in der Routing-Tabelle die Maskierung auf "an" oder zumindest "Nur Intranet maskieren" stehen. Das wird sie aber auch, denn sonst könntest Du mit Deinen vermutlich privaten Adressen im Intranet bereits jetzt nicht surfen.

Ich persönlich setze in der Firewall immer eine DenyAll-Regel und gebe danach alles was gebraucht wird über Allow-Regeln frei (Web, Mail, SecureMail usw.).

Standardmäßig (ohne DenyAll-Regel) gilt am Ende der Firewallregeln ein implizites AllowAll, d.h. alles was Du nicht konkret verbietest ist erlaubt (in beide Richtungen). Aus Richtung Internet hast Du dann nur das NAT als Sicherheit.

Grüße,
Torsten

[fritz_adé]

Ich glaube, ich komme der Sache näher.
Ich habe noch keine route angelegt. Ist alles Default.
Zum raussurfen reicht es. Aber mehr auch nicht ?!


Grüße

[PappaBaer]

Was verstehst Du unter "mehr"?

Wenn Du Surfen kannst, ist auf jeden Fall die Default-Route vorhanden (0.0.0.0 255.255.255.255 Gegenstelle Internet). Und diese ist auch maskiert, sonst könntest Du wie gesagt nicht surfen (glaube nicht, dass Du intern öffentliche IP-Adressen benutzt).

Wenn Du jetzt unter Konfiguration->IP-Router->Maskierung->Port-Forwarding noch Deinen gewünschten Seeverdienst mit Ziel Intranet-Adresse des Servers einträgst, ist dieser Dienst auch von aussen erreichbar (wenn Du nichts an der Firewall verbogen hast).

Grüße,
Torsten

[Carsten1972]

Die Wahl ist auf den LANCOM 1781VAW gefallen. Warum ?

- Der LANCOM Router ist als 19" Rackmount erhältlich und kann nun in meinem 19" Schrank eingebaut werden und die optisch nicht passende FB kommt weg.

Der Einbau eines WLAN-Routers in einen 19" Schrank stellt nicht wirklich eine optimale Konstellation dar.
Du solltest ggf. die Antennen mit möglichst kurzen, hochwertigen Kabeln herausführen.
Setzt du die Serienantennen dann auch direkt auf das Dach des Schranks (also in passend gebohrte Löcher), dann will ich nichts gesagt haben.
Ein befreundeter Funkamateur (für mich gilt eher der Grundsatz: Die Wege [strike]Gottes[/strike]der Hochfrequenz sind unergründlich.) sagte mir mal, dass so eine Masse-Basis HF-technisch immer eine hilfreiche Sache sei. Muss aber nicht stimmen. Siehe: Mein Grundsatz.

[fritz_adé]

Du hast schon Recht mit dem Standort
Ich verwende sehr selten WLAN. Nur ab und zu zum testen und dann auch nur in der Nähe des Schrankes.
Als ich mein Haus gebaut habe, sind ca. 1,5 KM Cat6 verbaut worden.


in den Stockwerken darüber (1. und 2. OG) habe ich als Krücke ein WLAN Bridge von AVM.
Da würde der LANCOM auch nicht gut hinfunken.


Grüße

[fritz_adé]

So, an alle, die mir hier so schnell geantwortet haben.

Warum konnte ich nicht von Extern zugreifen?

Am Dyn-DNS lag es nicht, wird alles schön aufgelöst.

Beim Fritzrouter werden die Ports via TCP freigegeben.
Das habe ich beim LANCOM auch so gemacht.

Jedoch ist es notwendig, gleichzeitig auch UDP mit freizugeben.
Bei meiner Fritzbox kann man entweder TCP oder UDP auswählen.
Wenn man TCP verwendet, dann ist aber auch gleichzeitig UDP gebunden (was aber nicht angezeigt wird).
LANCOM macht es da besser, denn man hat hier die Möglichkeit entweder TCP oder UDP bzw. beide Protokolle zu verwenden.

Kleine Ursache große Wirkung.

Es klappt nun.

Danke euch

[Jirka]

Hallo,

ich habe die Antworten nur überflogen, ich glaube hierzu wurde noch nichts gesagt:

Ich habe das jeweilige LAN Interface so eingestellt, dass die beiden internen Netzte sich nicht sehen dürfen.

Wie hast Du das genau gemacht, so?:

Auf dem Interface habe ich jeweils den private Mode auf "an" gesetzt. Ist das so richtig?

Nein. Der Private-Mode unterbindet das Switchen zwischen den Ports, aber nicht das Routen zwischen den Netzen.
Das Routen zwischen den Netzen unterbindet man per Schnittstellen-Tag oder Firewall-Regel.

Oder anderes herum: Wenn ich es nicht gesetzt hätte, wären dann die beiden Netze im Default so eingestellt gewesen, dass sie sich hätten sehen können

Kommt, wie schon angedeutet, darauf an, was sonst noch so konfiguriert ist. Ich denke mal ja, wenn Du keine Firewall-Regel hast, die das unterbindet. Bin mir aber nicht ganz sicher, da ich das hier nur überflogen habe und Deine genaue Konfig nicht kenne.

Viele Grüße,
Jirka

[fritz_adé]

Das TAG habe ich auch noch gesetzt . Also für jeweils ein Netz ein eigenes.

Danke für deine Erklärung.

Oder anders herum, wenn ich ein TAG für jeweils ein Netz setze, dann kann ich den private Mode wieder rückgängig machen,
aber die Netze sehen sich dennoch nicht.
richtig?


Grüße