Hallo zusammen,
ich besitze einen T-Systems Business LAN R800+ Firmware habe ich die LCOS 7.21 [Stand: 20.08.2007] drauf.
Im Moment ist er an einen Telekom DSL Anschluss angeschlossen über das WAN-Interface.
Ich spiele aber mit dem Gedanken mir eventuell einen Zugang über Kabel Deutschland zu besorgen.
Was stelle ich mir in Zukunft vor:
Also zum einen soll es da einen Netzwerkbereich geben den ich „privat“ nutze (Tower) und einen über den mein Laptop dann per VPN-Tunnel auf unser Firmennetzwerk zugreifen soll.
Die beiden Netzwerke sollen so streng es geht von einander getrennt sein, bis auf verschiedene Netzwerkresourcen z.b. NAS die in meinem „privaten“ Netz hängen wird oder wenn es geht in einem separaten Netz wo beide „Privatnetz“ und „Arbeitsnetz“ zugreifen können.
Ich bin sozusagen ein Netzwerker mit gefährlichem Halbwissen deshalb meine erste Frage:
Könnte jemand so freundlich sein und mir kurz skizzieren wie ich dieses Szenario am besten gelöst bekomme? Und geht das mit meinem Gerät mit einem Überschaubaren Aufwand.
Ok wenn ich dies soweit habe wäre meine zweite Frage ob ich denn mit meinem Gerät einen solchen Zugang (über Kabelmodem) nutzen kann ohne auf Sicherheitsrelevant Funktionen verzichten zu müssen
Mfg
fleXfuX
T-Systems Business LAN R800+ (Kabelmodem und Netzwerkaufbau)
Moderator: Lancom-Systems Moderatoren
Hi fleXfuX
Achtung: das ist eine zweistufige Geschichte: als erstes weist du die Ethernetports logischen LAN-Interfaces zu (Schnittstellen -> LAN -> Ethernetport -> ETHx -> Interface-Verwendung). Hier kannst du zwischen LAN1...LAN4 oder DSL (das ist für deinen nächste Frage interressant, w.g. Kabelmodem) auswählen. Eine Sinnvolle zuordung wäere in deinem Fall etwa
ETH1 -> LAN-1 (das ist für dein Heimnetz)
ETH2 -> LAN-1 (ebenfalls Heimnetz)
ETH3 -> LAN-2 (hier kommt dein Laptop dran)
ETH4 -> DSL (hier kommt später dein Kabelmodem dran...)
Als nächstes richtest du die Netze ein und bindest diese an LAN-1 und LAN-2. Achte darauf, daß beide Netze den Typ "Intranet" haben
Die VPN-Verbindung zur Firma richtest du am einfachsten mit dem LAN-LAN-Kopplingswizard ein
Nun können sich alle sehen, was du aber auf ganz elegante Weise verhindern kannst: Vergib den Netzen unterschidliche Schnittstellen-Tags, z.B. deinem Heimnetz das Tag 1 und dem "Firmennetz" das Tag 2.
Damit nun das "Firmennetz" noch über den VPN-Tunnel erreicht werden kann mußt du zum Abschluß nur noch die Route, die auf den VPN-Tunnel verweist ebenfalls mit dem Tag des Fimrmennetzes (also 2) versehen.
Nun ist das Firmennetz vollständig von deinem Heimnetz getrennt.
Wenn du nun aus dem lokalen "Firmennetz" auf irgendwelche Server in deinem Heimnetz zugreigfen willst, dann kannst du das über die Firewall erlauben, indem du eine passende Allow-Regel erstellst und diese mit dem Schnittstellen-Tag deines Heimnetzes versiehts.
Das war's schon
Gruß
Backslash
Das geht sogar recht einfach: Du richtest zwei Netze ein und bindest diese an unterschiedliche Ethernet-Ports:Könnte jemand so freundlich sein und mir kurz skizzieren wie ich dieses Szenario am besten gelöst bekomme? Und geht das mit meinem Gerät mit einem Überschaubaren Aufwand.
Achtung: das ist eine zweistufige Geschichte: als erstes weist du die Ethernetports logischen LAN-Interfaces zu (Schnittstellen -> LAN -> Ethernetport -> ETHx -> Interface-Verwendung). Hier kannst du zwischen LAN1...LAN4 oder DSL (das ist für deinen nächste Frage interressant, w.g. Kabelmodem) auswählen. Eine Sinnvolle zuordung wäere in deinem Fall etwa
ETH1 -> LAN-1 (das ist für dein Heimnetz)
ETH2 -> LAN-1 (ebenfalls Heimnetz)
ETH3 -> LAN-2 (hier kommt dein Laptop dran)
ETH4 -> DSL (hier kommt später dein Kabelmodem dran...)
Als nächstes richtest du die Netze ein und bindest diese an LAN-1 und LAN-2. Achte darauf, daß beide Netze den Typ "Intranet" haben
Die VPN-Verbindung zur Firma richtest du am einfachsten mit dem LAN-LAN-Kopplingswizard ein
Nun können sich alle sehen, was du aber auf ganz elegante Weise verhindern kannst: Vergib den Netzen unterschidliche Schnittstellen-Tags, z.B. deinem Heimnetz das Tag 1 und dem "Firmennetz" das Tag 2.
Damit nun das "Firmennetz" noch über den VPN-Tunnel erreicht werden kann mußt du zum Abschluß nur noch die Route, die auf den VPN-Tunnel verweist ebenfalls mit dem Tag des Fimrmennetzes (also 2) versehen.
Nun ist das Firmennetz vollständig von deinem Heimnetz getrennt.
Wenn du nun aus dem lokalen "Firmennetz" auf irgendwelche Server in deinem Heimnetz zugreigfen willst, dann kannst du das über die Firewall erlauben, indem du eine passende Allow-Regel erstellst und diese mit dem Schnittstellen-Tag deines Heimnetzes versiehts.
Code: Alles auswählen
Quelle: alle Stationen im lokalen Netz "FIRMA"
Ziel: IP-Adresse des Servers
Dienste: TCP, Zielport... (je nach bedarf)
Aktion: übertragen
Rtg-Tag: 1ja. Dazu läßt du einfach den Internet-Wizard laufen und wählst zunächst als Interface das DSL-Interface (NICHT ADSL-Interface) aus. Danach wähst du den Ethernet-Port, an dem das Modem hängen soll aus (hier also ETH4). Als nächstes wählst du dein Land (Deutschland) aus und danach den Provider (Internetzugang über Plain Ethernet, IPoE IPoEoA). Danach gibst du der Verbindung einen Namen und wählst auf der Seite mit den IP-Parametern "IP-Parameter automatisch beziehen" aus.Ok wenn ich dies soweit habe wäre meine zweite Frage ob ich denn mit meinem Gerät einen solchen Zugang (über Kabelmodem) nutzen kann ohne auf Sicherheitsrelevant Funktionen verzichten zu müssen
Das war's schon
Gruß
Backslash
Vielen Dank!!!
Vielen dank backslash für diese, doch recht ausführlichen Lösungen meiner Problem:!:
Es ist selten das eine Com so schnell und kompetent Fragen beantwortet.
Ich konnte bis jetzt leider nur den "ersten Schritt" umsetzen. Laptop und Tower in getrennte Netze zu setzen.
Ich war schon auf dem richtigen Weg und hatte fast alles schon selbst so konfiguriert wie du es beschrieben hast aber vermutlich hat da das berühmt berüchtigte "kleine Häckchen" gefehlt
Mein Admin hat zur Zeit recht wenig Zeit
um mir die nötigen VPN-Infos zugeben und ich selbst steck da nicht tief genug in der Materie drin als das ich an unserem Firmengateway was schraube.
Aber wenn es fertig ist werde ich hier noch kurz meine Erfahrungen posten.
Was mich noch interesieren würde ist die Komunikation zwischen "Firmennetz" und "Homenetz". Es soll wirklich nur eine NAS (im IP-Bereich vom "Homenetzwerk") welche über Netzwerkkabel an einem Switch hängt von dem Laptop "Firmennetz" aus angesprochen werden. Praktisch als Datentransferplattform. Ich will die Komuniktation an dieser Stelle auf das allernötigste reduzieren.
Ist das möglich?
Es ist selten das eine Com so schnell und kompetent Fragen beantwortet.
Ich konnte bis jetzt leider nur den "ersten Schritt" umsetzen. Laptop und Tower in getrennte Netze zu setzen.
Ich war schon auf dem richtigen Weg und hatte fast alles schon selbst so konfiguriert wie du es beschrieben hast aber vermutlich hat da das berühmt berüchtigte "kleine Häckchen" gefehlt
Mein Admin hat zur Zeit recht wenig Zeit
um mir die nötigen VPN-Infos zugeben und ich selbst steck da nicht tief genug in der Materie drin als das ich an unserem Firmengateway was schraube.Aber wenn es fertig ist werde ich hier noch kurz meine Erfahrungen posten.
Was mich noch interesieren würde ist die Komunikation zwischen "Firmennetz" und "Homenetz". Es soll wirklich nur eine NAS (im IP-Bereich vom "Homenetzwerk") welche über Netzwerkkabel an einem Switch hängt von dem Laptop "Firmennetz" aus angesprochen werden. Praktisch als Datentransferplattform. Ich will die Komuniktation an dieser Stelle auf das allernötigste reduzieren.
Ist das möglich?
Hi fleXfuX
Gruß
Backslash
wie ich schon geschrieben habe: erstelle eine passende Regel in der Firewall. Jenachdem, welches Protokoll das NAS-Device spricht, mußt du als Zielport 21 (FTP), 80 (HTTP/WebDAV), 139 (NetBIOS) oder 445 (SMB) eintragen (wenn du dir nicht sicher bist, einfach auch alles), also z.B. für SMB:Ich will die Komuniktation an dieser Stelle auf das allernötigste reduzieren.
Ist das möglich?
Code: Alles auswählen
Quelle: alle Stationen im lokalen Netz "FIRMA"
Ziel: IP-Adresse des NAS-Device
Dienste: TCP, Zielport 445
Aktion: übertragen
Rtg-Tag: 1 Backslash
Hallo backslash,
heute war es endlich soweit. Ich habe endlich einen Internetanschluss von Kabel Deutschland.
Es funktioniert alles... so lange der Lancom Router nicht dazwischen hängt.
Ich habe alles so eingestellt wie du es in deinem ersten Post aufgeführt hast, leider fruchtet es nicht.
Ich habe auch schon verschiedene andere Dinge eingestellt in der Hoffnung das sich dadurch Besserung einstellt aber auch hier Fehlanzeige.
Konfiguriere ich das Gerät so wie von dir skizziert zeigt er auch an das er online wäre. Versuche ich aber eine Seite per Browser zu öffnen tut sich nichts.
Hänge ich mein Laptop dran funktioniert es ohne Probleme.
Ich bin leider etwas ratlos.
heute war es endlich soweit. Ich habe endlich einen Internetanschluss von Kabel Deutschland.
Es funktioniert alles... so lange der Lancom Router nicht dazwischen hängt.
Ich habe alles so eingestellt wie du es in deinem ersten Post aufgeführt hast, leider fruchtet es nicht.
Ich habe auch schon verschiedene andere Dinge eingestellt in der Hoffnung das sich dadurch Besserung einstellt aber auch hier Fehlanzeige.
Konfiguriere ich das Gerät so wie von dir skizziert zeigt er auch an das er online wäre. Versuche ich aber eine Seite per Browser zu öffnen tut sich nichts.
Hänge ich mein Laptop dran funktioniert es ohne Probleme.
Ich bin leider etwas ratlos.
Hi fleXfuX,
hast du die Kabel-Deutschland Verbindung wirklich wie beschreiben mit dem Wizard eingerichtet (d.h. hast du auch den richtigen Port angegeben):
Hast du das Kabelmodem mal für 5 Minuten abgeschaltet (siehe: http://www.lancom-forum.de/topic,1586,- ... hland.html)?
Gruß
Backslash
hast du die Kabel-Deutschland Verbindung wirklich wie beschreiben mit dem Wizard eingerichtet (d.h. hast du auch den richtigen Port angegeben):
letztendlich kann ich mir nicht vorstellen, daß das nicht funktionieren sollte - zumal es genügend Leute gibt, die das benutzen..Dazu läßt du einfach den Internet-Wizard laufen und wählst zunächst als Interface das DSL-Interface (NICHT ADSL-Interface) aus. Danach wähst du den Ethernet-Port, an dem das Modem hängen soll aus (hier also ETH4). Als nächstes wählst du dein Land (Deutschland) aus und danach den Provider (Internetzugang über Plain Ethernet, IPoE IPoEoA). Danach gibst du der Verbindung einen Namen und wählst auf der Seite mit den IP-Parametern "IP-Parameter automatisch beziehen" aus.
Hast du das Kabelmodem mal für 5 Minuten abgeschaltet (siehe: http://www.lancom-forum.de/topic,1586,- ... hland.html)?
Gruß
Backslash
So da bin ich wieder.
Zuerst einmal danke für die rasche Antwort backslash.
Vorweg noch eines. Ich bin heilfroh, dass es supereinfach ist, eine gespeicherte Konfiguration zurückzuspielen!
Also es sieht wie folgt aus.
Das zurücksetzen des Kabelmodems via 5 Min. stromlos machen hat auch keine Früchte getragen.
Ich habe danach einige Tests durchgeführt.
z.B. Habe ich ohne zurücksetzen mein Laptop angeschlossen und siehe da es geht. Sogar die richtige MAC Adresse wird in der "Modemverwaltung" angezeigt.
Dies gab mir zu denken.
Also habe ich meinen Tower angeschlossen. Zu meiner Überraschung stelle ich fest, dass der Tower auch ohne Probleme ins Internet kommt. Ein Blick auf die "Modemverwaltung" offenbarte mir dann wunderliches. Zu der MAC-Adresse meines Laptops hat sich auch die MAC-Adresse meines Towers gesellt.
Die MAC-Adresse des Lancoms taucht allerdings nirgends auf.
Das macht mich jetzt schon ein wenig stutzig
Für mich hat es den Anschein als würde dieser von mir genutzte Lancom sich nicht "ordentlich" bei dem Kabelmodem vorstellen. Wie wäre es denn zu erklären das jeder Rechner sich mit seiner MAC-Adresse dort verewigt?
Ich habe auch schon diverse andere Dinge versucht.
Mittels Wizzard alle Gegenstellen und Zugänge gelöscht. Danach deiner Anleitung folge geleistet backslash.
Die Firewall ausgeschaltet -> leider auch kein erfolg.
per Telnet Pings abgesetzt - immer 100% loss
Ich habe meine Konfiguration (für Kabelmoden konfiguriert) in ein *.tif gedruckt würde ein Blick in diese dem Fachmann aufzeigen wo hier der Hase im Pfeffer liegt?
Je mehr ich teste umso mehr stehe ich auf dem Schlauch
Zuerst einmal danke für die rasche Antwort backslash.
Vorweg noch eines. Ich bin heilfroh, dass es supereinfach ist, eine gespeicherte Konfiguration zurückzuspielen!
Also es sieht wie folgt aus.
Das zurücksetzen des Kabelmodems via 5 Min. stromlos machen hat auch keine Früchte getragen.
Ich habe danach einige Tests durchgeführt.
z.B. Habe ich ohne zurücksetzen mein Laptop angeschlossen und siehe da es geht. Sogar die richtige MAC Adresse wird in der "Modemverwaltung" angezeigt.
Dies gab mir zu denken.
Also habe ich meinen Tower angeschlossen. Zu meiner Überraschung stelle ich fest, dass der Tower auch ohne Probleme ins Internet kommt. Ein Blick auf die "Modemverwaltung" offenbarte mir dann wunderliches. Zu der MAC-Adresse meines Laptops hat sich auch die MAC-Adresse meines Towers gesellt.
Die MAC-Adresse des Lancoms taucht allerdings nirgends auf.
Das macht mich jetzt schon ein wenig stutzig
Für mich hat es den Anschein als würde dieser von mir genutzte Lancom sich nicht "ordentlich" bei dem Kabelmodem vorstellen. Wie wäre es denn zu erklären das jeder Rechner sich mit seiner MAC-Adresse dort verewigt?
Ich habe auch schon diverse andere Dinge versucht.
Mittels Wizzard alle Gegenstellen und Zugänge gelöscht. Danach deiner Anleitung folge geleistet backslash.
Die Firewall ausgeschaltet -> leider auch kein erfolg.
per Telnet Pings abgesetzt - immer 100% loss
Ich habe meine Konfiguration (für Kabelmoden konfiguriert) in ein *.tif gedruckt würde ein Blick in diese dem Fachmann aufzeigen wo hier der Hase im Pfeffer liegt?
Je mehr ich teste umso mehr stehe ich auf dem Schlauch
So ich hab es endlich geschafft.
Allerdings muss ich anmerken, dass dieser Wizzard scheinbar nur halbe arbeit geleistet hat.
Wie folgt bin ich vorgegangen.
Kabelmodem ausgeschaltet
per Wizzard im Lancom alle "Gegenstellen oder Zugänge löschen"
per Wizzard "Internet-Zugang einrichten" (wie von backslash aufgezeigt)
Unter Kommunikation -> Kommunikations-Layer den Layername "INTERN" (derjenige welcher vom Wizzard eingerichtet wurde?) ausgewählt und folgende Änderungen durchgeführt.
Layer-3 von Transparent auf DHCP
Layer-2 von Transparent auf PPPoE
Kabelmodem eingeschaltet
Und nun schnurrt es wie ein Kätzchen.
Kann mir dennoch jemand erklären was da die ganze Zeit vorher schiefgelaufen ist und warum ich da Änderungen vornehmen musste?[/code]
Allerdings muss ich anmerken, dass dieser Wizzard scheinbar nur halbe arbeit geleistet hat.
Wie folgt bin ich vorgegangen.
Kabelmodem ausgeschaltet
per Wizzard im Lancom alle "Gegenstellen oder Zugänge löschen"
per Wizzard "Internet-Zugang einrichten" (wie von backslash aufgezeigt)
Unter Kommunikation -> Kommunikations-Layer den Layername "INTERN" (derjenige welcher vom Wizzard eingerichtet wurde?) ausgewählt und folgende Änderungen durchgeführt.
Layer-3 von Transparent auf DHCP
Layer-2 von Transparent auf PPPoE
Kabelmodem eingeschaltet
Und nun schnurrt es wie ein Kätzchen.
Kann mir dennoch jemand erklären was da die ganze Zeit vorher schiefgelaufen ist und warum ich da Änderungen vornehmen musste?[/code]
VPN Lancom ->WatchGuard
So jetzt wo alles läuft muss ich feststellen kommt der schwerste Brocken – die VPN-Verbindung.
Es sieht so aus das ich mit dem Lancom gegen eine Watchguard „fahre“.
Mein Kollege, hat mir wie er sagt, alles was nötig ist, mitgegeben.
PSK
Verschlüsselungsmodi
IP Adressen des Gateways (feste IP)
Ich kenne den Adressraum des Zielintranets
Leider habe ich von der Einrichtung einer VPN-Strecke keine Ahnung und mein Kollege keine Zeit sich in das Lancomgerät einzuarbeiten.
Ich hab es schon mit dem Assistenten versucht. Dieser fragt nach einem Passwort für den IP-Austausch (in dem Fenster in dem auch der PSK eingegeben werden muss) mir ist aber kein Passwort für eben dies bekannt.
Ich habe in diesem Forum schon danach geschaut ob jemand Erfahrung mit dieser Konstellation hat leider Fehlanzeige.
Kann mir jemand vielleicht auf die Sprünge helfen?
Es sieht so aus das ich mit dem Lancom gegen eine Watchguard „fahre“.
Mein Kollege, hat mir wie er sagt, alles was nötig ist, mitgegeben.
PSK
Verschlüsselungsmodi
IP Adressen des Gateways (feste IP)
Ich kenne den Adressraum des Zielintranets
Leider habe ich von der Einrichtung einer VPN-Strecke keine Ahnung und mein Kollege keine Zeit sich in das Lancomgerät einzuarbeiten.
Ich hab es schon mit dem Assistenten versucht. Dieser fragt nach einem Passwort für den IP-Austausch (in dem Fenster in dem auch der PSK eingegeben werden muss) mir ist aber kein Passwort für eben dies bekannt.
Ich habe in diesem Forum schon danach geschaut ob jemand Erfahrung mit dieser Konstellation hat leider Fehlanzeige.
Kann mir jemand vielleicht auf die Sprünge helfen?
Hi fleXfuX
ggf. mußt du auch hinterher noch manuell die Verschlüsselungsverfahren anpassen. Der Wizard richtet die Verbindung so ein, daß sie mit folgenden Verfahren aufgebaut werden kann
- AES/MD5
- Blowfish/SHA
- 3DES/MD5
- 3DES/SHA
Gruß
Backslash
Das Paßwort ist für dynamic VPN, das nur zwischen LANCOMs funktioniert. Gib hier irgendetwas an... Es wird ein Eintrag in der PPP-Tabelle erzeugt mit dem Namen der Gegenstelle in der dieses Paßwort abgelegt wird. Den Eintrag mußt du nach dem Wizarddurchlauf manuell löschen.Ich hab es schon mit dem Assistenten versucht. Dieser fragt nach einem Passwort für den IP-Austausch (in dem Fenster in dem auch der PSK eingegeben werden muss) mir ist aber kein Passwort für eben dies bekannt.
ggf. mußt du auch hinterher noch manuell die Verschlüsselungsverfahren anpassen. Der Wizard richtet die Verbindung so ein, daß sie mit folgenden Verfahren aufgebaut werden kann
- AES/MD5
- Blowfish/SHA
- 3DES/MD5
- 3DES/SHA
Gruß
Backslash