Beschreibung:

Ab der LCOS-Version 10.30 können Sie in der Firewall eines LANCOM Routers anwendungsbezogene Regeln erstellen, mit welchen Internet-Anwendungen (z.B. Office 365, Salesforce, etc.) über eine bestimmte Default-Route geroutet werden können.

Mit der sog. Layer-7-Applikationskontrolle sind Sie somit in der Lage, die Kontrolle über die Nutzung von Anwendungen in Ihrem Netzwerk zu bewahren.

Dieses Dokument beschreibt, wie bestimmte Web-Dienste in einem Szenario mit einer VPN-Verbindung als Defaultroute mittels DNS-Namen lokal ausgekoppelt werden können.


Voraussetzungen:

Der LANCOM Router muss als DNS-Server bzw. DNS-Forwarder im Netz dienen. Clients im lokalen Netzwerk müssen
den Router als DNS-Server verwenden. Zusätzlich muss die direkte Nutzung von DNS-over-TLS und DNS-over-HTTPS (ggf.
browserintern) mit externen DNS-Servern durch Clients verhindert werden.

Dies kann mit den Folgenden Möglichkeiten erreicht werden:
  • Der DHCP-Server muss die IP-Adresse des Routers als DNS-Server verteilen. Dies wird standardmäßig vom Internet-Setup-Assistent eingerichtet.
  • Einrichtung von Firewall-Regeln, welche eine direkte Nutzung von externen DNS-Servern verhindern, z. B. durch Sperrung des ausgehenden UDP-Ports 53 für Clients aus dem entsprechenden Quellnetzwerk.
  • Einrichtung von Firewall-Regeln, welche eine direkte Nutzung von externen DNS-Servern mit Unterstützung von DNS-over-TLS verhindern, z. B. durch Sperrung des ausgehenden TCP-Ports 853 für Clients aus dem entsprechenden Quellnetzwerk.
  • DNS-over-HTTPS (DoH) im Browser deaktivieren.


Hinweise zur Synchronisierung der DNS-Datenbank der Firewall:

Da die Firewall ihre Informationen aus den DNS-Anfragen der Clients lernt, kann es in bestimmten Situationen dazu kommen, dass die DNS-Datenbank noch nicht vollständig ist. Dies kann in folgenden Situationen passieren:
  • Es wird eine neue Firewall-Regel hinzugefügt, der Client hat aber noch einen DNS-Eintrag zwischengespeichert.
  • Kurz nach einem Neustart des Routers, wenn der Client noch einen DNS-Eintrag zwischengespeichert hat.

In diesen Fällen hilft ein Leeren des DNS-Cache auf dem Client, ein Reboot des Clients oder ein Timeout des
DNS-Eintrags auf dem Client.

Eigene Dienste wie z. B. ping vom Router selbst laufen nicht über die erstellten Firewall-Regeln. Mit Hilfe von ping auf einen vollständigen DNS-Namen (nicht Wildcard-Ausdruck) kann die Erzeugung von Regelauflösungen (DNS zu IP-Adressen) bei Bedarf entweder auf der Kommandozeile (einmalig) oder per Cron-Job durchgeführt werden.
    Info:
    Wenn unterschiedliche DNS-Namen auf dieselbe IP-Adresse aufgelöst werden, dann können diese nicht unterschieden werden. In diesem Fall trifft immer die erste Regel zu, die einen dieser DNS-Namen referenziert. Das sollte bei großen Dienstanbietern kein Problem sein. Bei kleinen Websites, die vom selben Anbieter gehostet werden, könnte es jedoch auftreten.



Beispielszenario:

Mit der Layer-7-Applikationskontrolle ist es möglich, die Kommunikation zu verschiedenen Web-Diensten (etwa Cloud-Dienste wie Salesforce) lokal auszukoppeln. Dieser Datenverkehr muss dadurch nicht erst über die VPN-Verbindung zur Zentrale geroutet und dort ausgekoppelt werden.


  • In dieser Beispielkonfiguration ist in der Filiale eine Internet-Verbindung konfiguriert, über welche eine VPN-Verbindung zur Zentrale aufgebaut wird. Jeglicher für das Internet bestimmte Datenverkehr wird über die VPN-Verbindung zur Zentrale geroutet.
  • Es gibt in der Filiale zwei Default-Routen:
    • VPN-Zentrale mit Routing-Tag 0 für die Kommunikation über die VPN-Verbindung zur Zentrale und
    • INTERNET mit Routing-Tag 1 für den Aufbau der Internet-Verbindung
  • Der Datenverkehr zum CRM-Anbieter "Salesforce" soll über die lokale Internet-Verbindung ausgekoppelt und somit nicht über die VPN-Verbindung zur Zentrale geroutet werden (lokaler Internet Break-Out).


Vorgehensweise:

Die Internetverbindung und die VPN-Verbindung sind in diesem Beispiel bereits funktionsfähig eingerichtet.
  • In der IPv4-Routing Tabelle ist für die Verbindung VPN-Zentrale eine Default-Route mit dem Routing-Tag 0 hinterlegt.
  • Für die Verbindung INTERNET ist eine Default-Route mit dem Routing-Tag 1 hinterlegt.





Konfiguration einer Firewall-Regel zwecks Routing des Datenverkehrs zum CRM-Anbieter Salesforce über die lokale Internet-Verbindung:

1. Zur Referenzierung von DNS-Zielen in Firewall-Regeln müssen die jeweiligen Ziele zunächst im Menü Firewall/QoS -> Allgemein -> DNS-Ziele hinterlegt werden.

Standardmäßig sind in der Liste DNS-Ziele bereits Einträge für die Dienste Facebook, Youtube, Netflix und Salesforce enthalten. Weitere Informationen zu den DNS-Ziel-Listen erhalten Sie im LCOS-Referenzhandbuch.



2. Wechseln Sie in das Menü Firewall/QoS -> IPv4-Regeln-> Regeln und fügen Sie eine neue Firewall-Regel hinzu.



3. Vergeben Sie einen aussagekräftigen Namen für die neue Regel.



4. Hinterlegen Sie bei dem Punkt Routing-Tag den Wert 1, damit der Datenverkehr über die Default-Route mit dem Routing-Tag 1 geroutet wird (Gegenstelle INTERNET).



5. Wechseln Sie nun auf den Reiter Aktionen und löschen das Objekt REJECT mit einem Klick auf Entfernen.



6. Fügen Sie mit einem Klick auf Hinzufügen das Objekt ACCEPT hinzu.



7. Wechseln Sie auf den Reiter Stationen und hinterlegen bei Verbindungs-Quelle das Objekt LOCALNET und bei Verbindungs-Ziel das DNS-Ziel SALESFORCE.



8. Speichern Sie zuletzt die Firewall-Regel mit einem Klick auf OK und schreiben die Konfiguration in den Router zurück.

    Info:
    Für das anwendungsbasierte Routing gibt es den neuen Parameter FW-DNS für das trace-Kommando . Mit diesem können die Änderungen an der Firewall-Datenbank der DNS-Ziele überwacht werden:
    • Wenn ein DNS-Paket eintrifft, werden das Paket und die betroffenen Wildcardausdrücke und Ziele ausgegeben.
    • Wenn die TTL (Time-to-Live – Lebensdauer) eines Eintrags abläuft, dann werden dieser Datensatz und die betroffenen Wildcardausdrücke und Ziele ausgegeben.
    • Wenn eine der beiden Firewalls ein DNS-Ziel registriert oder deregistriert, weil sich ihre Konfiguration geändert hat.
    • Wenn sich die Tabellen Setup -> Firewall -> DNS-Ziele oder Setup -> Firewall -> DNS-Ziel-Liste ändern.