LANCOM -> Speedport -> DSL -> Internet

[gm]

Hallo Leute,

wie kann ich folgendes hinbekommen, ohne dass ich am Speedport spezielle Routen hinterlegen muss? Klar mit NAT am LANCOM, aber irgendwie geht das nicht. Ist das evtl. ein Bug in der Firmware 7.22?

Code: Alles auswählen

int. Netzwerk 
(192.168.1.0/24)
       |
       |
(192.168.1.2/24)
Router
(192.168.4.1/24)
       |
       |
(192.168.4.2/24)
LANCOM-Router 
(192.168.2.2/24)
       |
       |
(192.168.2.99/24)
Speedport 
(Internet)

Ich habe das 192.168.2.0/24 Netz am Lancom ganz normal als Netz (über VLAN) eingerichtet und kann von der LANCOM-Console aus auch den Speedport anpingen. Dann habe ich noch beim Routing die Defaultroute auf den Speedport umgestellt und das Kreuzchen bei Maskierung für LAN/DMZ gesetzt. Leider funktioniert das so nicht. Komisch ist ferner, dass ich bei einer DENY-ALL-Firewall den Router aus dem 192.168.2.0/24 Netz einfach so anpingen oder das WEB-Config aufmachen kann, ohne dass ich dazu irgendentwas freigeben musste!?! Da kann doch etwas nicht stimmen....

Viele Grüße
Gerhard

[backslash]

Hi gm,

Ich habe das 192.168.2.0/24 Netz am Lancom ganz normal als Netz (über VLAN) eingerichtet und kann von der LANCOM-Console aus auch den Speedport anpingen. Dann habe ich noch beim Routing die Defaultroute auf den Speedport umgestellt und das Kreuzchen bei Maskierung für LAN/DMZ gesetzt. Leider funktioniert das so nicht

Maskierung geht nur auf WAN-Interfaces, d.h. du mußt im LANCOM eine IPOE-Verbindung konfigurieren...

Komisch ist ferner, dass ich bei einer DENY-ALL-Firewall den Router aus dem 192.168.2.0/24 Netz einfach so anpingen oder das WEB-Config aufmachen kann, ohne dass ich dazu irgendentwas freigeben musste!?! Da kann doch etwas nicht stimmen....

nun ja, wenn du das LANCOM aus dem ersten Netz erreichen kannst, wieso solltest du es nicht aus dem selben unter seiner Adresse im anderen Netz ansprechen können. Die Abfrage, ob die Zieladresse eines Pakets, die eigene Adresse des LANCOMs ist, erfolgt, bevor das Paket an den Router abgegeben wird und geht somit an der Firewall vorbei...


Gruß
Backslash

[gm]

Hallo backslash,

danke für den Hinweis mit der Maskierung. Werde das nachher mal probieren.

erfolgt, bevor das Paket an den Router abgegeben wird und geht somit an der Firewall vorbei...

Was kann ich da tun?

Gruß
gm

[backslash]

Hi gm

Was kann ich da tun?

bis auf weiteres: nichts...

Die Firewall des LANCOMs greift nunmal nicht im Inbound-Zweig, sondern nur im Forwarding-Zweig (einzige Ausnahme: DNS-Forwarding - da hier der Inbound-Fall implizit zum Forwarding-Fall wird...)

Wie gesagt: wenn du die Konfiguration auf der einen Adresse erlaubst, wieso sollte sie auf der anderen verboten sein - der "Angreifer" landet ja wieder auf dem selben Gerät?

Gruß
Backslash

[gm]

Hi backslash,

"bis auf weiteres" lässt noch hoffen....

Wie gesagt: wenn du die Konfiguration auf der einen Adresse erlaubst, wieso sollte sie auf der anderen verboten sein - der "Angreifer" landet ja wieder auf dem selben Gerät?

Wenn durch die Firewall alle Ports des Routers zur DMZ verrammelt sind, kann der Angreifer schon mal keine Verbindung mit dem LANCOM herstellen. Ferner sollte die LANCOM-Firewall sicher stellen, dass niemand von der DMZ ins lokale Netz ausbüchsen kann und dort auf die offenen Port's am Lancom zugreifen kann.
Habe eben mit entsetzen festegestellt, dass ich von der DMZ aus auf die interne LAN-Schnittstelle des LANCOM zugreifen kann. Den Test habe ich mit nmap auf einem Rechner in der DMZ durchgeführt, wobei der LANCOM-Router anschließend einfach stehengeblieben ist. Erst ein manuelles Aus- und wieder Einschalten hat das Geärt wieder zum Leben erweckt... Habe ich da etwas falsch an der Firewall konfiguriert? *panikhab*

Ziel sollte es sein, so wenig Angriffsfläche wie nur irgendmöglich zu bieten.

Gruß
gm