Hallo zusammen,
ein Kunde von mir hat 2 DSLer zu einem Loadbalancer gebündelt.
Der Lancom hat nur die Funktion sich einzuwählen. Der Kunde möchte aber alle Ports an seiner Firewall anliegen haben, die sich hinter dem Lancom befindet und die komplette Security macht.
Ich habe also die Firewall auf dem Lancom deaktiviert und alle Ports beider Verbindungen auf die IP der Firewall geforwardet (1-65535)
Leider ist der Lancom so nicht mehr managbar, da auch http und https geforwardet werden.
Ich hatte zwar erst 443 zum managen genommen, dann konnte allerdings der Mitarbeiter hinter der Firewall kein Onlinebanking mehr machen.
Ich schätze, das liegt daran, dass durch das forwarden aller Ports NAT nicht mehr funktioniert ?!?
Gibt es eine Möglichkeit, das Management trotdem einzurichten ? tftp über port 69 geht leider auch nicht, schätze da müsste ich noch was anderes freigeben, ähnlich ftp.
Gruß
Port Forwading aller Ports / Fernwartung noch möglich?
Moderator: Lancom-Systems Moderatoren
Hi Genom
Das Problem mit TFTP ist, daß die meisten Firewalls damit nicht umgehen können und die Antwort auf den TFTP-Request als einkommende UDP-Verbindung sehen, d.h. damit TFTP funktioniert, mußt du in diesen Firewalls einkommende UDP-Sessions auf *alle* Ports erlauben, was die Firewall letztendlich aushebelt...
BTW: Die Firewall im LANCOM hat i.Ü. kein Problem mit TFTP...
Ich kann letztendlich von dem ganzen Vorhaben eigentlich nur abraten, weil es einfach zu viele Probleme macht. Desweiteren ist es immer sinnvoll, wenn es mehrere Stellen gibt, die ein Prüfung vornehmen. Außerdem entlastet das Abschalten der Firewall im LANCOM das Gerät nicht. Es bewirkt nur, daß alle Regeln bis auf "DEFAULT (ACCEPT ALL)" deaktiviert werden - ansonsten wird der gleiche Code durchlaufen...
Gruß
Backslash
wozu... Es reicht doch aus, daß nur die Ports "anliegen" die auch von der Firewall durchgelassen werden.Der Kunde möchte aber alle Ports an seiner Firewall anliegen haben, die sich hinter dem Lancom befindet und die komplette Security macht.
Bingo...Ich habe also die Firewall auf dem Lancom deaktiviert und alle Ports beider Verbindungen auf die IP der Firewall geforwardet (1-65535)
Leider ist der Lancom so nicht mehr managbar, da auch http und https geforwardet werden.
Das kommt darauf an, welche Firmware du benutzt. Die 7.60 kann damit umgehen...Ich hatte zwar erst 443 zum managen genommen, dann konnte allerdings der Mitarbeiter hinter der Firewall kein Onlinebanking mehr machen.
Ich schätze, das liegt daran, dass durch das forwarden aller Ports NAT nicht mehr funktioniert ?!?
Wenn du eine Fernwartung machen willst, dann darfst du den Port den du zum Managen nutzen willst, nicht weiterleiten.Gibt es eine Möglichkeit, das Management trotdem einzurichten
nein, TFTP und FTP haben nichts gemeinsam - außer drei Buchstaben im Namen...tftp über port 69 geht leider auch nicht, schätze da müsste ich noch was anderes freigeben, ähnlich ftp.
Das Problem mit TFTP ist, daß die meisten Firewalls damit nicht umgehen können und die Antwort auf den TFTP-Request als einkommende UDP-Verbindung sehen, d.h. damit TFTP funktioniert, mußt du in diesen Firewalls einkommende UDP-Sessions auf *alle* Ports erlauben, was die Firewall letztendlich aushebelt...
BTW: Die Firewall im LANCOM hat i.Ü. kein Problem mit TFTP...
Ich kann letztendlich von dem ganzen Vorhaben eigentlich nur abraten, weil es einfach zu viele Probleme macht. Desweiteren ist es immer sinnvoll, wenn es mehrere Stellen gibt, die ein Prüfung vornehmen. Außerdem entlastet das Abschalten der Firewall im LANCOM das Gerät nicht. Es bewirkt nur, daß alle Regeln bis auf "DEFAULT (ACCEPT ALL)" deaktiviert werden - ansonsten wird der gleiche Code durchlaufen...
Gruß
Backslash
Hallo Backslash,
vielen Dank für Deine ausführliche Antwort.
Achso, scheinbar scheint das komplette Portmapping aber zu funktionieren. Er hat sich auf jeden Fall nicht mehr gemeldet
Gruß
vielen Dank für Deine ausführliche Antwort.
Richtig, nur der Admin hat kaum Ahnung und kann mir nicht genau sagen, was er braucht. Und ich bekomme kein Geld / habe keine Zeit sein Netz zu analysieren. Ich habe ihm das aber als Hausaufgabe bis zu meinem nächsten Besuch gegeben. Bin mir aber nicht sicher, ob er mir da ne definitive Aussage geben kann, die nicht bewirkt das ich noch 100 mal hinfahre.wozu... Es reicht doch aus, daß nur die Ports "anliegen" die auch von der Firewall durchgelassen werden.
Stimmt, wäre eine Möglichkeit, ein internes Portmapping zu machen ? Sprich, dass ich z.B. Port 2323 intern auf 443 mappe und so auch wieder Lanconfig von der Ferne nutzen kann. Oder gibt es eine andere Möglichkeit den Lancom auf andere Ports zu konfigurieren, die eine Fernwartung ermöglichen.Wenn du eine Fernwartung machen willst, dann darfst du den Port den du zum Managen nutzen willst, nicht weiterleiten.
Achso, scheinbar scheint das komplette Portmapping aber zu funktionieren. Er hat sich auf jeden Fall nicht mehr gemeldet
Gruß
Hi Genom
und unter /Setup/config kannst du die Ports für Telnet bzw. SSH eintsellen
Im LANconfig kanns du dann in den Eigenschaften für jedes Gerät festlegen, unter welchem Port es mit HTTP(S) angesprochen werden soll
Gruß
Backslash
Du kannst auf der Kommandozeile unter /setup/http einstellen, auf welchem Port das LANCOM auf HTTP bzw. HTTPS (SSL) hört:Sprich, dass ich z.B. Port 2323 intern auf 443 mappe und so auch wieder Lanconfig von der Ferne nutzen kann. Oder gibt es eine andere Möglichkeit den Lancom auf andere Ports zu konfigurieren, die eine Fernwartung ermöglichen.
Code: Alles auswählen
Document-Root VALUE:
Use-CSS VALUE: Yes
Font-Family VALUE: helvetica,sans-serif
Error-Page-Style VALUE: Standard
Port VALUE: 80
SSL-Port VALUE: 443 <= hier 2323 eintragen
(...)
Code: Alles auswählen
(...)
Telnet-Port VALUE: 23
Telnet-SSL-Port VALUE: 992
(...)
SSH-Port VALUE: 22
SSH-Authentication-Methods TABLE: 2 x [Ifc.,Methods]
Im LANconfig kanns du dann in den Eigenschaften für jedes Gerät festlegen, unter welchem Port es mit HTTP(S) angesprochen werden soll
Gruß
Backslash
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Hallo nochmal,
mittlerweile läuft alles
Habe mir mal die Firewall des Kunden angeschaut und es stellte sich heraus, das er nur einen Port geforwardet bekommen muss %)
Den Remote-Port habe ich dann noch per Telnet umgebogen und auch das hat wunderbar funktioniert.
Was mir aber aufgefallen ist und mich im ersten Moment geschockt hat, ist die Tatsache, das der R800+ mit FW 7.56 und nem kompletten PF immer neu startet und man ihn auch kaum noch resettet bekommt. Mit 7.26 war das nicht der Fall
Vielen Dank noch mal und schönen Gruß
mittlerweile läuft alles
Habe mir mal die Firewall des Kunden angeschaut und es stellte sich heraus, das er nur einen Port geforwardet bekommen muss %)
Den Remote-Port habe ich dann noch per Telnet umgebogen und auch das hat wunderbar funktioniert.
Was mir aber aufgefallen ist und mich im ersten Moment geschockt hat, ist die Tatsache, das der R800+ mit FW 7.56 und nem kompletten PF immer neu startet und man ihn auch kaum noch resettet bekommt. Mit 7.26 war das nicht der Fall
Vielen Dank noch mal und schönen Gruß