Skip to end of metadata
Go to start of metadata


Beschreibung:
Dieses Dokument beschreibt eine Möglichkeit zur Integration einer LANCOM R&S®Unified Firewall in ein bestehendes Netzwerk, in welchem ein LANCOM Router als Gateway verwendet wird.

Bei Verwendung einer IPv4/IPv6 Dualstack Internet-Verbindung auf dem LANCOM Router, bei der das öffentliche IPv6-Präfix intern propagiert wird, wird die IPv6 Kommunikation nicht über die Unified Firewall geleitet. Netzwerk-Teilnehmer können dadurch per IPv6 direkt mit dem Internet kommunizieren.

IPv6 darf daher in diesem Szenario nicht verwendet werden!


Voraussetzungen:
  • Web-Browser zur Konfiguration der Unified Firewall
  • Funktionsfähig eingerichtetes Netzwerk mit Internet-Zugang


Szenario-Grafiken:
Ist-Zustand:
  • In diesem Dokument wird von einem einfachen Netzwerk-Szenario ausgegangen, bei welchem ein LANCOM Router als zentrales Gateway die internen Netzwerkdienste (z.B. DHCP) und einen Internetzugang bereit stellt.
  • Die Internet-Verbindung wird über das integrierte xDSL-Modem des LANCOM Routers oder (bei Geräten ohne Modem) über die WAN-Schnittstelle realisiert.
  • Das lokale Netzwerk (IP-Adressbereich 192.168.1.0/24) ist an der Ethernet-Schnittstelle ETH-1 mit einem LANCOM Switch verbunden, an welchem die lokalen Netzwerk-Komponenten (PC, Notebook, Server etc.) angeschlossen sind.

    An allen anderen Ethernet-Schnittstellen des LANCOM Routers (z.B. ETH-2 bis ETH-4) liegt das lokale Netzwerk ebenfalls an (Standard-Einstellung).
  • Dieses Netzwerk-Szenario soll mit möglichst geringem Konfigurationsaufwand um eine weitere Komponente, eine LANCOM R&S®Unified Firewall, erweitert werden.




Soll-Zustand:
Die in diesem Dokument beschriebene Möglichkeit zur Einbindung der Unified Firewall wird auch als Layer-3-Schleife bezeichnet.
  • Hierbei wird die Firewall an zwei weitere Ethernet-Ports des LANCOM Routers angeschlossen (hier ETH-2 und ETH-4) und über ein zusätzliches "Transfer"-Netzwerk, welches auf dem LANCOM Router konfiguriert werden muss, angesprochen bzw. integriert.
  • Es werden die Standard-Netzwerke, verwendet, welche im Auslieferungszustand auf der Unified Firewall konfiguriert sind:
    • eth1: 192.168.1.0/24
    • eth0: 192.168.0.0/24

Da das bestehende lokale Netzwerk, welches durch den LANCOM Router bereit gestellt wird, bereits den IP-Adressbereich 192.168.1.0/24 aufweist, kann die Unified Firewall nach dem Anschluss des Firewall Ports ETH-1 an den LANCOM Ethernet-Port ETH-2 im lokalen Netzwerk unter der Adresse https://192.168.1.254.3438 erreicht werden.



Die hier beschriebene Möglichkeit der parallelen Einbindung weist folgende Vor- und Nachteile auf:




Vorgehensweise:
1. Anschluss der Unified Firewall an den LANCOM Router:
1.1 Verbinden Sie den LANCOM Router und die Unified Firewall mit Ethernet-Kabeln, wie es in der Grafik "Soll-Zustand" abgebildet ist:
  • LANCOM Port ETH-2 <-> Unified Firewall Port eth1
  • LANCOM Port ETH-4 <-> Unified Firewall Port eth0
1.2 Schalten Sie die Unified Firewall ein und warten Sie einen kurzen Moment.
1.3 Prüfen Sie, ob Sie die Unified Firewall im dem lokalen Netzwerk unter der IP-Adresse 192.168.1.254 erreichen können (z.B. mit einem Ping).
1.4 Öffnen Sie die Konfigurationsoberfläche der Unified Firewall in einem Browser mit der URL https://192.168.1.254:3438.
1.5 Führen Sie die Grundeinrichtung der Unified Firewall durch. Die Vorgehensweise ist im Kapitel 2, "Getting Started", des Unified Firewall User Manuals beschrieben.



2. Erste Konfigurationsschritte auf dem LANCOM Router:
2.1 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü IPv4 -> Allgemein -> IP-Netzwerke.
2.2 Öffnen Sie die Konfiguration des bestehenden Netzwerks INTRANET mit der Schaltfläche Bearbeiten.
2.3 Ändern Sie das Schnittstellen-Tag von 0 auf 1.
2.4 Fügen Sie ein neues IP-Netzwerk hinzu und konfigurieren Sie folgende Parameter:
  • Vergeben Sie einen aussagekräftigen Namen.
  • Als IP-Adresse und Netzmaske müssen Sie 192.168.0.1 bzw. 255.255.255.0 eintragen.

    Dies ist die IP-Adresse des LANCOM Routers im Transfer-Netz, welches mit dem eth0 Port der Unified Firewall verbunden ist.
  • Stellen Sie die logische Schnittstelle LAN-2 ein.
  • Als Schnittstellen-Tag müssen Sie den Wert 2 eintragen.
2.5 Klicken Sie auf OK um die Werte zu übernehmen und wechseln Sie dann in das Menü Schnittstellen -> LAN -> Ethernet-Ports -> ETH-4.
  • Da der LANCOM Ethernet-Port ETH-4 mit dem Unified Firewall-Port eth0 verbunden ist, an welchem das lokale Netzwerk 192.168.0.0/24 anliegt, muss am LANCOM Ethernet-Port ETH-4 ebenfalls das gleiche IP-Netzwerk anliegen.

    Dies erreichen Sie, indem Sie als Interface-Verwendung das logische Netzwerk LAN-2 einstellen.
2.6 Die Konfiguration der LAN-Schnittstellen im LANCOM Router muss dann folgendermaßen aussehen.
2.7 Schreiben Sie die Konfiguration in den LANCOM Router zurück.
Die Unified Firewall ist zu diesem Zeitpunkt noch nicht vollständig in das Netzwerk integriert. Jeglicher Internet-Datenverkehr läuft noch an der Unified Firewall vorbei.
Dies wird im abschließenden Schritt 4 durch eine Modifikation der Routing-Regeln im LANCOM Router geändert.



3. Konfigurationsschritte auf der Unified Firewall:
3.1 Grundlegende Netzwerk-Konfiguration:
3.1.1 Melden Sie sich in der Konfigurationsoberfläche der Unified Firewall mit administrativen Rechten an.
3.1.2 Wechseln Sie in das Menü Netzwerk -> Netzwerk-Verbindungen und bearbeiten Sie das Standard-Netzwerk für die Ethernet-Schnittstelle eth0.
  • Tragen Sie einen ausagekräftigen Namen für das Netzwerk ein. Da dieses Netzwerk aus Sicht der Unified Firewall auf der WAN-Seite liegt, vergeben wir beispielsweise den Namen WAN_LANCOM.
  • Tragen Sie als Standard-Gateway die IP-Adresse des LANCOM Routers in diesem Netzwerk ein. In diesem Beispiel ist das die 192.168.0.1 (siehe Schritt 2.4).
  • Speichern Sie die Änderungen.
3.1.3 Bearbeiten Sie das Standard-Netzwerk für die Ethernet-Schnittstelle eth1.
  • Tragen Sie einen ausagekräftigen Namen für das Netzwerk ein. Da dieses Netzwerk aus Sicht der Unified Firewall auf der LAN-Seite liegt, vergeben wir beispielsweise den Namen LAN_LANCOM.
  • Speichern Sie die Änderungen.
3.1.4 Da die beiden übrigen Standard-Netzwerke (eth2 & eth3) nicht benötigt werden, können Sie diese aus der Konfiguration löschen.



3.2 Konfiguration des Paket-Filters in der Unified Firewall:
3.2.1 Mit der Einrichtung des Paket-Filters wird die grundlegende Funktionalität der Unified Firewall konfiguriert.
Dazu muss zunächst ein Internet-Objekt über die Desktop-Objekte-Leiste angelegt werden:
  • Vergeben Sie einen aussagekräftigen Namen für das neue Internet-Objekt.
  • Als Verbindung muss über das "+" Zeichen im blauen Kreis die im Schritt 3.1.2 erstellte WAN_LANCOM-Verbinding hinzugefügt werden.
  • Erstellen Sie dann das Internet-Objekt.
3.2.2 Im nächsten Schritt muss ein Netzwerk über die Desktop-Objekte-Leiste zur Konfiguration hinzugefügt werden.
  • Vergeben Sie einen aussagekräftigen Namen für das neue Netzwerk-Objekt.
  • Da das LAN aus Sicht der Firewall das lokale Netzwerk 192.168.1.0/24 darstellt müssen Sie die Ethernet-Schnittstelle eth1 auswählen und den IP-Adressbereich im Feld Netzwerk-IP eintragen.
  • Erstellen Sie dann das Netzwerk-Objekt.
3.2.3 Klicken Sie nun im Desktop der Firewall-Konfigurationsoberfläche auf das LAN-Netzwerk-Objekt und wählen Sie dort das Verbindungs-Symbol aus.
3.2.4 Klicken Sie dann mit der Maus auf das erstellte Internet-Objekt (es wird eine blaue gestrichelte Linie zwischen den beiden Objekten gezeichnet).
3.2.5 Im Dialog Verbindung können Sie nun aus der Auswahl-Liste am rechten Rand vordefinierte Dienste in die Regel-Liste einfügen, indem Sie jeweils das "+" Zeichen vor dem Dienst anklicken.
  • Wenn Sie komplette Dienst-Gruppen hinzufügen möchten, klicken Sie auf das "+" Zeichen vor der jeweiligen Dienst-Gruppe (z.B. "Internet").
In diesem Konfigurationsbeispiel soll die Unified Firewall die ausgehende Kommunikation der Protokolle ICMP, SSH, HTTP und HTTPS ins Internet erlauben.
3.2.6 Erstellen Sie dann die neue Verbindungsregel.
3.2.7 Um die Konfiguration wirksam zu schalten, müssen Sie in der Menüleiste auf die Schaltfläche Aktivieren klicken.
Die Internetverbindung der Unified Firewall ist nun eingerichtet, jedoch wird der Status der Verbindung "WAN_LANCOM" im Menü Netzwerk > Verbindungen -> Netzwerk-Verbindungen noch mit dem Status ROT angezeigt.
Ein auf einem PC ausgeführter Traceroute auf die IP-Adresse 8.8.8.8 (tracert 8.8.8.8) zeigt, dass die Daten noch nicht durch die Unified Firewall fließen, sondern dass der LANCOM Router die Verbindung direkt ins Internet weiterleitet. Dies wird mit den folgenden Konfigurationsschritten im Punkt 4 geändert.



4. Abschließende Konfigurationsschritte auf dem LANCOM Router:
Mit diesen abschließenden Konfigurationsschritten wird die Unified Firewall in das Netzwerk integriert sodass jeglicher Internet-Datenverkehr durch die Firewall fließt und von dieser reglementiert wird.
4.1 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü IP-Router -> Routing -> IPv4-Routing-Tabelle.
4.2 Öffnen Sie die Konfiguration der bestehenden Default-Route mit der Schaltfläche Bearbeiten.
4.3 Ändern Sie das Routing-Tag von 0 auf 2.
4.4 Fügen Sie ein neuen Routing-Eintrag hinzu und konfigurieren Sie folgende Parameter:
  • Vergeben Sie die IP-Adresse 255.255.255.255 und die Netzmaske 0.0.0.0.
  • Als Schnittstellen-Tag müssen Sie den Wert 1 eintragen.
  • Aktivieren Sie die Route.
  • Im Feld Router müssen Sie die IP-Adresse der Unified Firewall eintragen, unter welcher diese aus dem lokalen Netzwerk 192.168.1.0/24 zu erreichen ist. In diesem Beispiel ist das die Adresse 192.168.1.254 (siehe Schritte 1.3 und 1.4).
  • Schalten Sie die IP-Maskierung für diese Route ab.
4.5 Die Konfiguration der beiden Default-Routen muss dann folgendermaßen aussehen.
4.6 Schreiben Sie die Konfiguration in den LANCOM Router zurück. Jeglicher Internet-Datenverkehr durchläuft nun die Unified Firewall.
Info:
Dies können Sie testen, indem Sie z.B. in der Kommandozeile eines PC ein Traceroute auf die öffentliche IP-Adresse 8.8.8.8 durchführen (tracert 8.8.8.8).
In der Konfiguration der Unified Firewall wird die Netzwerk-Verbindung WAN_LANCOM als Aktiv (Grün) angezeigt.
TIPP:
Um die Unified Firewall aus der Kommunikation heraus zu nehmen und den gesamten Internet-Datenverkehr wieder ausschließlich über den LANCOM Router fließen zu lassen, reicht es in diesem Szenario aus, die Default-Route zur Unified-Firewall zu deaktivieren und die urspüngliche Default-Route wieder auf das Routing-Tag 0 zu konfigurieren (siehe folgende Abbildung).