Beschreibung:Dieses Dokument beschreibt eine Möglichkeit zur Integration einer LANCOM R&S®Unified Firewall in ein bestehendes Netzwerk, in welchem ein LANCOM Router als Gateway verwendet wird.
Voraussetzungen:- Web-Browser zur Konfiguration der Unified Firewall
- Funktionsfähig eingerichtetes Netzwerk mit Internet-Zugang
Szenario-Grafiken:Ist-Zustand:- In diesem Dokument wird von einem einfachen Netzwerk-Szenario ausgegangen, bei welchem ein LANCOM Router als zentrales Gateway die internen Netzwerkdienste (z.B. DHCP) und einen Internetzugang bereit stellt.
- Die Internet-Verbindung wird über das integrierte xDSL-Modem des LANCOM Routers oder (bei Geräten ohne Modem) über die WAN-Schnittstelle realisiert.
- Das lokale Netzwerk (IP-Adressbereich 192.168.1.0/24) ist an der Ethernet-Schnittstelle ETH-1 mit einem LANCOM Switch verbunden, an welchem die lokalen Netzwerk-Komponenten (PC, Notebook, Server etc.) angeschlossen sind.
An allen anderen Ethernet-Schnittstellen des LANCOM Routers (z.B. ETH-2 bis ETH-4) liegt das lokale Netzwerk ebenfalls an (Standard-Einstellung).
- Dieses Netzwerk-Szenario soll mit möglichst geringem Konfigurationsaufwand um eine weitere Komponente, eine LANCOM R&S®Unified Firewall, erweitert werden.
Soll-Zustand:Die in diesem Dokument beschriebene Möglichkeit zur Einbindung der Unified Firewall wird auch
als Layer-3-Scheife bezeichnet.
- Hierbei wird die Firewall an zwei weitere Ethernet-Ports des LANCOM Routers angeschlossen (hier ETH-2 und ETH-4) und über ein zusätzliches "Transfer"-Netzwerk, welches auf dem LANCOM Router konfiguriert werden muss, angesprochen bzw. integriert.
- Es werden die Standard-Netzwerke, verwendet, welche im Auslieferungszustand auf der Unified Firewall konfiguriert sind:
- eth1: 192.168.1.0/24
- eth0: 192.168.0.0/24
Da das
bestehende lokale Netzwerk, welches durch den LANCOM Router bereit gestellt wird, bereits den
IP-Adressbereich 192.168.1.0/24 aufweist, kann die
Unified Firewall nach dem Anschluss des Firewall Ports ETH-1 an den LANCOM Ethernet-Port ETH-2 im lokalen Netzwerk
unter der Adresse https://192.168.1.254.3438 erreicht werden.Die hier beschriebene Möglichkeit der parallelen Einbindung weist
folgende Vor- und Nachteile auf:Vorgehensweise:1. Anschluss der Unified Firewall an den LANCOM Router:1.1 Verbinden Sie den
LANCOM Router und die Unified Firewall mit Ethernet-Kabeln, wie es in der
Grafik "Soll-Zustand" abgebildet ist:
- LANCOM Port ETH-2 <-> Unified Firewall Port eth1
- LANCOM Port ETH-4 <-> Unified Firewall Port eth0
1.2
Schalten Sie die Unified Firewall ein und warten Sie einen kurzen Moment.
1.3 Prüfen Sie, ob Sie die
Unified Firewall im dem lokalen Netzwerk unter der
IP-Adresse 192.168.1.254 erreichen können (z.B. mit einem Ping).
1.4 Öffnen Sie die
Konfigurationsoberfläche der Unified Firewall in einem Browser mit der URL
https://192.168.1.254:3438.
1.5 Führen Sie die
Grundeinrichtung der Unified Firewall durch. Die
Vorgehensweise ist
im Kapitel 2, "Getting Started", des
Unified Firewall User Manuals beschrieben.
2. Erste Konfigurationsschritte auf dem LANCOM Router:2.1 Öffnen Sie die
Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü
IPv4 -> Allgemein -> IP-Netzwerke.
2.2 Öffnen Sie die
Konfiguration des bestehenden Netzwerks INTRANET mit der Schaltfläche
Bearbeiten.
2.3 Ändern Sie das
Schnittstellen-Tag von
0 auf
1.
2.4 Fügen Sie ein
neues IP-Netzwerk hinzu und konfigurieren Sie folgende Parameter:
- Vergeben Sie einen aussagekräftigen Namen.
- Als IP-Adresse und Netzmaske müssen Sie 192.168.0.1 bzw. 255.255.255.0 eintragen.
Dies ist die IP-Adresse des LANCOM Routers im Transfer-Netz, welches mit dem eth0 Port der Unified Firewall verbunden ist.
- Stellen Sie die logische Schnittstelle LAN-2 ein.
- Als Schnittstellen-Tag müssen Sie den Wert 2 eintragen.
2.5 Klicken Sie auf
OK um die Werte zu übernehmen und wechseln Sie dann in das Menü
Schnittstellen -> LAN -> Ethernet-Ports -> ETH-4.- Da der LANCOM Ethernet-Port ETH-4 mit dem Unified Firewalll-Port eth0 verbunden ist, an welchem das lokale Netzwerk 192.168.0.0/24 anliegt, muss am LANCOM Ethernet-Port ETH-4 ebenfalls das gleiche IP-Netzwerk anliegen.
Dies erreichen Sie, indem Sie als Interface-Verwendung das logische Netzwerk LAN-2 einstellen.
2.6 Die
Konfiguration der LAN-Schnittstellen im LANCOM Router muss dann
folgendermaßen aussehen.2.7 Schreiben Sie die Konfiguration in den LANCOM Router zurück.
Die Unified Firewall ist zu diesem Zeitpunkt noch nicht vollständig in das Netzwerk integriert. Jeglicher Internet-Datenverkehr läuft noch an der Unified Firewall vorbei.
Dies wird im abschließenden Schritt 4 durch eine Modifikation der Routing-Regeln im LANCOM Router geändert.3. Konfigurationsschritte auf der Unified Firewall:3.1 Grundlegende Netzwerk-Konfiguration:3.1.1 Melden Sie sich in der Konfigurationsoberfläche der Unified Firewall mit
administrativen Rechten an.
3.1.2 Wechseln Sie in das Menü
Netzwerk -> Netzwerk-Verbindungen und
bearbeiten Sie das
Standard-Netzwerk für die Ethernet-Schnittstelle eth0.
- Tragen Sie einen ausagekräftigen Namen für das Netzwerk ein. Da dieses Netzwerk aus Sicht der Unified Firewall auf der WAN-Seite liegt, vergeben wir beispielsweise den Namen WAN_LANCOM.
- Tragen Sie als Standard-Gateway die IP-Adresse des LANCOM Routers in diesem Netzwerk ein. In diesem Beispiel ist das die 192.168.0.1 (siehe Schritt 2.4).
- Speichern Sie die Änderungen.
3.1.3
Bearbeiten Sie das
Standard-Netzwerk für die Ethernet-Schnittstelle eth1.
- Tragen Sie einen ausagekräftigen Namen für das Netzwerk ein. Da dieses Netzwerk aus Sicht der Unified Firewall auf der LAN-Seite liegt, vergeben wir beispielsweise den Namen LAN_LANCOM.
- Speichern Sie die Änderungen.
3.1.4 Da die beiden
übrigen Standard-Netzwerke (eth2 & eth3) nicht benötigt werden, können Sie diese
aus der Konfiguration löschen.
3.2 Konfiguration des Paket-Filters in der Unified Firewall:3.2.1 Mit der Einrichtung des
Paket-Filters wird die grundlegende Funktionalität der Unified Firewall konfiguriert.
Dazu muss zunächst ein
Internet-Objekt über die Desktop-Objekte-Leiste angelegt werden:
- Vergeben Sie einen aussagekräftigen Namen für das neue Internet-Objekt.
- Als Verbindung muss über das "+" Zeichen im blauen Kreis die im Schritt 3.1.2 erstellte WAN_LANCOM-Verbinding hinzugefügt werden.
- Erstellen Sie dann das Internet-Objekt.
3.2.2 Im nächsten Schritt muss ein
Netzwerk über die Desktop-Objekte-Leiste zur Konfiguration hinzugefügt werden.
- Vergeben Sie einen aussagekräftigen Namen für das neue Netzwerk-Objekt.
- Da das LAN aus Sicht der Firewall das lokale Netzwerk 192.168.1.0/24 darstellt müssen Sie die Ethernet-Schnittstelle eth1 auswählen und den IP-Adressbereich im Feld Netzwerk-IP eintragen.
- Erstellen Sie dann das Netzwerk-Objekt.
3.2.3 Klicken Sie nun im
Desktop der Firewall-Konfigurationsoberfläche auf das LAN-Netzwerk-Objekt und wählen Sie dort das
Verbindungs-Symbol aus.
3.2.4 Klicken Sie dann mit der Maus auf das
erstellte Internet-Objekt (es wird eine
blaue gestrichelte Linie zwischen den beiden Objekten gezeichnet).
3.2.5 Im Dialog
Verbindung können Sie nun aus der
Auswahl-Liste am rechten Rand vordefinierte Dienste in die Regel-Liste einfügen, indem Sie jeweils das
"+" Zeichen vor dem Dienst anklicken.
- Wenn Sie komplette Dienst-Gruppen hinzufügen möchten, klicken Sie auf das "+" Zeichen vor der jeweiligen Dienst-Gruppe (z.B. "Internet").
In diesem Konfigurationsbeispiel soll die Unified Firewall die
ausgehende Kommunikation der Protokolle ICMP, SSH, HTTP und HTTPS ins Internet erlauben.3.2.6
Erstellen Sie dann die neue Verbindungsregel.
3.2.7 Um die
Konfiguration wirksam zu schalten, müssen Sie in der
Menüleiste auf die Schaltfläche
Aktivieren klicken.
Die
Internetverbindung der Unified Firewall ist nun eingerichtet, jedoch wird der
Status der Verbindung "WAN_LANCOM" im Menü
Netzwerk > Verbindungen -> Netzwerk-Verbindungen noch mit dem Status
ROT angezeigt.
Ein auf einem PC ausgeführter
Traceroute auf die IP-Adresse 8.8.8.8 (tracert 8.8.8.8) zeigt, dass die
Daten noch nicht durch die Unified Firewall fließen, sondern dass der
LANCOM Router die Verbindung direkt ins Internet weiterleitet. Dies wird mit den
folgenden Konfigurationsschritten im Punkt 4 geändert.4. Abschließende Konfigurationsschritte auf dem LANCOM Router:Mit diesen
abschließenden Konfigurationsschritten wird die Unified Firewall in das Netzwerk integriert sodass
jeglicher Internet-Datenverkehr durch die Firewall fließt und von dieser reglementiert wird.
4.1 Öffnen Sie die
Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü
IP-Router -> Routing -> IPv4-Routing-Tabelle.
4.2 Öffnen Sie die
Konfiguration der bestehenden Default-Route mit der Schaltfläche
Bearbeiten.
4.3 Ändern Sie das
Routing-Tag von
0 auf
2.
4.4 Fügen Sie ein
neuen Routing-Eintrag hinzu und konfigurieren Sie folgende Parameter:
- Vergeben Sie die IP-Adresse 255.255.255.255 und die Netzmaske 0.0.0.0.
- Als Schnittstellen-Tag müssen Sie den Wert 1 eintragen.
- Aktivieren Sie die Route.
- Im Feld Router müssen Sie die IP-Adresse der Unified Firewall eintragen, unter welcher diese aus dem lokalen Netzwerk 192.168.1.0/24 zu erreichen ist. In diesem Beispiel ist das die Adresse 192.168.1.254 (siehe Schritte 1.3 und 1.4).
- Schalten Sie die IP-Maskierung für diese Route ab.
4.5 Die Konfiguration der beiden Default-Routen muss dann
folgendermaßen aussehen.4.6 Schreiben Sie die Konfiguration in den LANCOM Router zurück.
Jeglicher Internet-Datenverkehr durchläuft nun die Unified Firewall.Info:Dies können Sie testenKommandozeile eines PC ein Traceroute auf die öffentliche IP-Adresse 8.8.8.8 durchführen (tracert 8.8.8.8)Konfiguration der Unified FirewallNetzwerk-Verbindung WAN_LANCOM als AktivGrünTIPP:Um die
Unified Firewall aus der Kommunikation heraus zu nehmen und den
gesamten Internet-Datenverkehr wieder ausschließlich über den LANCOM Router fließen zu lassen, reicht es in diesem Szenario aus, die
Default-Route zur Unified-Firewall zu deaktivieren und die
urspüngliche Default-Route wieder auf das Routing-Tag 0 zu konfigurieren (siehe folgende Abbildung).