Beschreibung:
Für die Konfiguration und Fehler-Analyse ist ein Zugriff auf die Unified Firewall erforderlich. Steht kein Zugriff über eine Fernwartung zur Verfügung, kann es erforderlich sein über das Internet auf die Unified Firewall zuzugreifen.
In diesem Artikel wird beschrieben wie der Zugriff für den Webclient sowie per SSH erlaubt werden kann und welche IP-Adressen eingetragen werden müssen, damit ein Fernzugriff durch den Support von LANCOM Systems ermöglicht wird.
In Szenarien mit einem vorgeschalteten Router muss für den Zugriff auf die Unified Firewall ein Portforwarding eingerichtet werden. Für LANCOM Router wird dies in Schritt 3 beschrieben.
Ist der Zugriff durch den LANCOM Support nicht mehr erforderlich, empfiehlt LANCOM Systems den Fern-Zugriff zu deaktivieren.
Für den Fernzugriff erforderliche IP-Adressen:
SSH:
- 212.117.89.9 /32
- 217.6.21.90/32 (vorhandener Eintrag LANCOM Customer Support, muss vor LCOS FX 10.4 manuell hinterlegt werden)
- 80.246.32.0/24 (vorhandener Eintrag Rohde & Schwarz Internet Gateway)
- 213.238.47.128/29 (vorhandener Eintrag Rohde & Schwarz Cybersecurity Customer Support)
Webclient:
- 212.117.89.9/32
- 217.6.21.90/32
- 62.153.130.132/32 (vorhandener Eintrag LANCOM Customer Support, muss vor LCOS FX 10.4 manuell hinterlegt werden)
- 80.246.32.0/24 (vorhandener Eintrag Rohde & Schwarz Internet Gateway)
- 213.238.47.128/29 (vorhandener Eintrag Rohde & Schwarz Cybersecurity Customer Support)
Voraussetzungen:
- LANCOM R&S® Unified Firewall mit Firmware ab Version 10.2
- Web-Browser zur Konfiguration der Unified Firewall.
Es werden folgende Browser unterstützt:- Google Chrome
- Chromium
- Mozilla Firefox
Vorgehensweise:
1. Zugriff per SSH erlauben:
1.1 Öffnen Sie die Konfiguration der Unified Firewall im Browser und wechseln in das Menü Firewall → Firewall-Zugriff → SSH-Einstellungen.
1.2 Die Zugriffs-Beschränkungen sind in Form einer Whitelist implementiert. Ein Zugriff auf die Unified Firewall ist nur dann möglich, wenn die IP-Adresse oder das Interface hinterlegt ist.
Ein Zugriff per SSH aus dem Internet kann durch Setzen des Hakens bei Internet ermöglicht werden. Dies ist allerdings nicht empfehlenswert, da der Zugriff in diesem Fall unbeschränkt ist. Stattdessen sollte der Zugriff auf bestimmte IP-Adressen eingeschränkt werden.
Für den Zugriff durch das LANCOM Support Team (Rohde & Schwarz...) sind bereits zwei Einträge in der Whitelist vorhanden. Aufgrund eines weiteren Standorts ist es erforderlich eine weitere IP-Adresse zu hinterlegen.
1.3 Tragen Sie bei Quelle die IP-Adresse 212.117.89.9 in CIDR-Schreibweise ein (Classless Inter-Domain Routing), um den Zugriff per SSH zu erlauben und geben bei Titel eine aussagekräftige Bezeichnung an.
Klicken Sie anschließend auf das "Plus-Zeichen", um den Eintrag zu hinterlegen.
Vor LCOS FX 10.4 muss zusätzlich noch die IP-Adresse 217.6.21.90 in CIDR-Schreibweise eingetragen werden.
Erforderliche Einträge:
- 212.117.89.9 /32
- 217.6.21.90/32 (nur vor LCOS FX 10.4)
1.4 Setzen Sie die Haken bei LANCOM Customer Support, Rohde & Schwarz Internet Gateway und Rohde & Schwarz Cybersecurity Customer Support und klicken auf Speichern.
2. Zugriff per HTTPS erlauben:
2.1 Öffnen Sie die Konfiguration der Unified Firewall im Browser und wechseln in das Menü Firewall → Firewall-Zugriff → Webclient-Einstellungen.
2.2 Die Zugriffs-Beschränkungen sind in Form einer Whitelist implementiert. Ein Zugriff auf die Unified Firewall ist nur dann möglich, wenn die IP-Adresse oder das Interface hinterlegt ist.
Ein Zugriff per HTTPS aus dem Internet kann durch Setzen des Hakens bei Internet ermöglicht werden. Dies ist allerdings nicht empfehlenswert, da der Zugriff in diesem Fall unbeschränkt ist. Stattdessen sollte der Zugriff auf bestimmte IP-Adressen eingeschränkt werden.
Für den Zugriff durch das LANCOM Support Team (Rohde & Schwarz...) sind bereits zwei Einträge in der Whitelist vorhanden. Aufgrund eines weiteren Standorts ist es erforderlich eine weitere IP-Adresse zu hinterlegen.
2.3 Tragen Sie bei Quelle die IP-Adressen 212.117.89.9 und 217.6.21.90 in CIDR-Schreibweise ein (Classless Inter-Domain Routing), um den Zugriff per HTTPS zu erlauben und geben bei Titel eine aussagekräftige Bezeichnung an.
Klicken Sie anschließend jeweils auf das "Plus-Zeichen", um den Eintrag zu hinterlegen.
Vor LCOS FX 10.4 muss zusätzlich noch die IP-Adresse 62.153.130.132 in CIDR-Schreibweise eingetragen werden.
Erforderliche Einträge:
- 212.117.89.9/32
- 217.6.21.90/32
- 62.153.130.132/32 (nur vor LCOS FX 10.4)
2.4 Setzen Sie die Haken bei LANCOM Customer Support, Rohde & Schwarz Internet Gateway und Rohde & Schwarz Cybersecurity Customer Support und klicken auf Speichern.
3. Portforwarding im LANCOM Router einrichten (Optional)
Wird ein LANCOM Router als vorgeschalter Router verwendet, muss auf diesem ein Portforwarding eingerichtet werden, um den Zugriff auf die Unified Firewall zu ermöglichen. Dies ist bei Verwendung der Layer-3-Schleife und der Reihenschaltung der Fall.
3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.
3.2 Portforwarding für den Zugriff auf SSH einrichten:
3.2.1 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:
- Anfangs-Port: Tragen Sie den Port 22 ein.
- End-Port: Tragen Sie den Port 22 ein.
- Gegenstelle: Wählen Sie im Dropdownmenü die verwendete Internet-Gegenstelle aus.
- Intranet-Adresse: Geben Sie die IP-Adresse der Unified Firewall aus dem Transfernetzwerk an.
- Protokoll: Wählen Sie im Dropdown-Menü TCP aus.
3.3 Portforwarding für den Zugriff auf den Web-Client einrichten:
3.3.1 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:
- Anfangs-Port: Tragen Sie den Port 3438 ein.
- End-Port: Tragen Sie den Port 3438 ein.
- Gegenstelle: Wählen Sie im Dropdownmenü die verwendete Internet-Gegenstelle aus.
- Intranet-Adresse: Geben Sie die IP-Adresse der Unified Firewall aus dem Transfernetzwerk an.
- Protokoll: Wählen Sie im Dropdown-Menü TCP aus.
3.4 Die Konfigurationsschritte im LANCOM Router sind damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
