Routing- oder Port-Forwardingprobleme mit LCOS 7.60.0160

vinkemar · Beitrag von **vinkemar** » 19 Mär 2009, 15:37

Hallo zusammen,

vielleicht kann mir hier jemand helfen.
Ich habe da wir im Unternehmen iPhones per VPN anbinden wollen die neueste LCOS 7.60.0160 auf unseren Lancom 1711 VPN gebracht. Soweit sah ersteinmal alles gut aus, die Router-Router-Kopplungen funktionierten, VPN-Einwahlzugänge klappten, sogar die neue iPhone-Einwahl funktionierte auf Anhieb. Soweit also alles gut.

Nur: unser Lancom-Router stellt auch den Zugriff auf Dienste auf hintergeschalteten Rechnern zur Verfügung (Webserver, Emailserver etc). Das ist realisiert mittels Port-Forwarding. Und genau das ist das einzige was nicht mehr zu funktionieren scheint. Beispiel am Port 25 (SMTP):
Ich habe mitgetraced, die IP-Pakete kommen von extern über das WAN-Interface rein. Ich kann mir das sogar per Firewall-Rule im LANmonitor anzeigen lassen, die Pakete sind da. Im Trace sehe ich dann, dass die Pakete auf die richtige Route geschickt werden (ausgehend LAN-1). Die Route ist auch richtig gesetzt.

Die Netzstruktur ist etwas komplexer:

Code: Alles auswählen

     +-------------+       
     |  Internet   |       
     |             |       
 *   | LANCOM-WAN  |       
L*   +-------------+       
A*         |               
N*  +-------------------+  
C*  |  LANCOM-1711      |  
O*  | in Class-C Netz   |  
M*  |        |          |  
 *  |      LAN-1        |  
    |        |          |  
F*  | Firewall-IF-ETH0  |  
I*  |        |          |  
R*  +-------------------+  
E*           |             
W*  +-------------------+  
A*  | Firewall-IF-ETH1  |  
    |                   |  
    | CLASS-A-Netz      |  
**  | -> Mailserver     |  
    +-------------------+

Der Lancom-Router sitzt also mit einer Seite (WAN) im Internet und ist über LAN-1 an eine weitere Firewall an ETH0 angeschlossen. Die Firewall hat an ETH1 dann ein weiteres Netz in dem sich die Services befinden (Webserver, Mailserver, etc.)

Bisehr mit der Firmware 7.30 hat auch alles geklappt: Die Pakete sind aud sem Internet über das WAN-Interface auf den LANCOM, von dort weiter über LAN-1 per Forwarding durch die Firewall auf den richtigen Rechner.

Konkretes Beispiel Mailserver:
LANCOM-Router sitzt im Netz 192.168.2.0/24
LANCOM-Router über LAN-1 erreichbar über 192.168.2.1
Class-A-netz ist 10.0.0.0/8, Mailserver ist 10.1.4.4
Firewall-ETH0: 192.168.2.99
Firewall-ETH1: 10.1.4.254
Im Lancom eingetragen: Forward TCP-Port 25 auf 10.1.4.4:25

Mit der Firmware 7.60.0160 kommen die Pakete am WAN des Lancom an, sollen angeblich auch am LAN-1 rausgehen. Auf der Firewall an ETH0 kommt aber kein Paket an. Auf dem eigentlichen Server natürlich auch nicht....

Ich habe letzte Nacht so ziemlich alles versucht, leider ohne Erfolg. Da wir auf den Router angewiesen sind musste ich letztendlich die alte Firmware wieder aufspielen.

Es wäre klasse, wenn jemand von euch eine Idee hätte. Ich hoffe ich habe mich halbwegs verständlich ausgedrückt.
Ach so: das VLAN-Modul ist deaktiviert, mit falschen Tags sollte es also nicht zusammenhängen.

Gruß
Markus

vinkemar · Beitrag von **vinkemar** » 24 Apr 2009, 11:40

Nur zur Info: es ist wohl tatsächlich ein Fehler in der Firmware, der beim Portforwarding unter bestimmten Umständen zu Problemen führen kann.
An dieser Stelle vielen Dank an den Lancom-Support, die sehr bemüht waren und mir geholfen haben das Problem genauer zu lokalisieren.
Es wird wohl in der nächsten Firmware behoben sein.

COMCARGRU · Beitrag von **COMCARGRU** » 24 Apr 2009, 13:42

Moin,

also vmtl. bin ich Blind, der Netzplan ist etwas unübersichtlich aber entweder sind hier ja noch ein paar Routingeinträge nötig, oder hier ist ein Denkfehler vorhanden.

Ich für meinen Teil würde doch denken, das die Pakte aus dem WAN an den die "WAN-IP" des Lancom gesandt werden, dieser es an die "WAN-IP" der zweiten Firewall forwardet und diese zweite Firewall es an den Mailserver forwardet.

Laut deiner Beschreibung forwarded es dein Lancom, aber direkt an den Mailserver, was natürlich enstprechende Routing und Firewall Regeln erfordert was klar sein sollte, zumal ja auch das 10er Netz erstmal ein im Lancom per Default geblocktes privates Netzwerk ist...

Oder täusche ich mich jetzt? Oder anderes, wäre dann diese Variante ein Workaround?

Gruß
COMCARGRU

vinkemar · Beitrag von **vinkemar** » 24 Apr 2009, 16:06

Hallo comcargru,

die Routingeinträge sind natürlich notwendig und vorhanden.
Sicherlich wäre es eine Alternative doppel zu Forwarden, aber bringt das irgendeinen Vorteil? Sicherer ist es nicht und auch nicht einfacher.
An der zweiten Firewall mache ich Packet-Inspection und filtere die erlaubten Ports in beide Richtungen. Im Grunde ist eine so ähnliche Konstellation ja auch vom BSI empfohlen.
Der in der Firmware festgestellte Fehler ist wohl auch eher dass die Interfaces nicht mehr sauber genutzt werden, wenn ich das richtig verstanden habe. Die IP des Mailserver ist natürlich dem LANCOM auch bekannt und erlaubt.

Gruß
Markus

COMCARGRU · Beitrag von **COMCARGRU** » 24 Apr 2009, 18:06

Hi,

natürlich bringt dir das Doppelforwarden nichts im Hinblick auf das mailen, aber jetzt nutzt du doch wieder die 7.30? und damit sind deine iPhones aussen vor?

Sollte das Doppelforwarden mit der 7.60 klappen anstelle des Routings, dann hast du den Vorteil auch deine IPhones am laufen zu haben...

Gruß
COMCARGRU

vinkemar · Beitrag von **vinkemar** » 24 Apr 2009, 20:00

Hallo,
ich nutze inzwischen zwei Lancom-Router, einen ausschließlich für die iphones, den anderen fürs forwarden. Somit sind meine Probleme erstmal gelöst.
Aber ich wollt meine Erkenntnisse hier mal kundtun, falls jemand ebenfalls Probleme hat.

Schönen Abend.
Markus

COMCARGRU · Beitrag von **COMCARGRU** » 27 Apr 2009, 14:50

Na das nenne ich mal verkaufsfördernde Maßnahmen (äh Bugs...)...