Skip to end of metadata
Go to start of metadata



Beschreibung:

Dieses Dokument beschreibt wie eine LANCOM R&S®Unified Firewall in ein bestehendes Netzwerk eingebunden werden kann, in welchem ein über die LANCOM Management Cloud (LMC) verwalteter LANCOM Router als Gateway eingesetzt ist (LANCOM Protected Uplink).

Es wird nach der Konfiguration sämtlicher Datenverkehr aus allen lokal am LANCOM Router anliegenden Netzwerken über die Unified Firewall geroutet. Es ist nicht möglich nur einzelne Netzwerke über die Unified Firewall zu routen.

Die von der LMC in der Unified Firewall erstellten Netzwerk-Objekte können nicht manuell bearbeitet werden!


Voraussetzungen:

  • LCOS ab Version 10.20 (download aktuelle Version
  • LANtools ab Version 10.20 (download aktuelle Version
  • LANCOM R&S®Unified Firewall mit LCOS FX ab Version 10.4
  • Zugang zur LMC samt eigenem Projekt 
  • LMC-Lizenzen für den LANCOM Router und für die Unified Firewall
  • Eingerichtetes und funktionsfähiges Netzwerk samt Internetzugang auf dem LANCOM Router
  • Web-Browser zur Konfiguration der Unified Firewall.

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox

LANCOM Router, welche maximal zwei ARF-Kontexte unterstützen, wie z.B.

  • LANCOM 883 VoIP
  • LANCOM 884 VoIP
  • LANCOM 730VA
  • LANCOM 730-4G(+)
  • LANCOM 1631E
  • LANCOM 1640E

können zur Umsetzung des hier beschriebenen Szenarios nicht verwendet werden, da die Anzahl der benötigten ARF-Kontexte bei diesen Geräten zu gering ist.


Szenario:

Ist-Zustand:

  • In diesem Dokument wird von einem einfachen Netzwerk-Szenario ausgegangen, bei welchem ein LANCOM Router als zentrales Gateway die internen Netzwerkdienste (z.B. DHCP) und einen Internetzugang bereit stellt.
  • Die Internet-Verbindung wird über das integrierte xDSL-Modem des LANCOM Routers oder (bei Geräten ohne Modem) über die WAN-Schnittstelle realisiert.
  • Das lokale Netzwerk (IP-Adressbereich 192.168.1.0/24) ist an der Ethernet-Schnittstelle ETH-1 mit einem LANCOM Switch verbunden, an welchem die lokalen Netzwerk-Komponenten (PC, Notebook, Server etc.) angeschlossen sind. An allen anderen Ethernet-Schnittstellen des LANCOM Routers (z.B. ETH-2 bis ETH-4) liegt das lokale Netzwerk ebenfalls an (Standard-Einstellung).


Soll-Zustand:

Die in diesem Dokument beschriebene Möglichkeit zur Einbindung der Unified Firewall wird auch als Layer-3-Scheife bezeichnet.

  • Die Unified Firewall wird mit dem Port eth0 an den Port ETH-4 des LANCOM Routers angeschlossen.
  • Die Unified Firewall fungiert auf dem Port eth0 als DHCP-Client und bezieht somit ihre IP-Parameter vom DHCP-Server in diesem Netzwerk (in diesem Beispiel der LANCOM Router). 
  • Die LANCOM Management Cloud konfiguriert zwei Transfer-Netzwerke auf dem LANCOM Router und auf der Unified Firewall (169.254.1.0/24 und 169.254.254.0/24).

Wird ein weiteres Netzwerk erstellt, welches auf dem LANCOM Router und der Unified Firewall ausgerollt wird, wird von der LANCOM Management Cloud ein weiteres Transfer-Netzwerk auf dem LANCOM Router und der Unified Firewall erstellt. Dabei wird ausgehend von dem Transfer-Netzwerk 169.254.1.0/24 der jeweils nächste Adressbereich verwendet. Ein weiteres Transfer-Netzwerk verwendet also den Adressbereich 169.254.2.0/24, danach den Adressbereich 169.254.3.0/24, usw.. 



Vorgehensweise:

1. Vorbereitende Schritte bei Verwendung eines der Standard-Netzwerke der Unified Firewall:

Die Unified Firewall verwendet im Standard folgende IP-Adressen. 

  • eth1: 192.168.1.254/24
  • eth2: 192.168.2.254/24
  • eth3: 192.168.3.254/24

Diese bleiben aktiv, wenn von einem DHCP-Server auf dem Interface eth0 eine IP-Adresse aus diesem Netzwerk bezogen wird. Die Unified Firewall ist dann nicht über die vom DHCP-Server bezogene IP-Adresse ansprechbar, sondern über die jeweilige Standard IP-Adresse.

Verwendet ein Gerät in Ihrem Netzwerk bereits eine der Standard IP-Adressen der Unified Firewall, kommt es zu einem IP-Adresskonflikt. Dies führt zu erheblichen Kommunikations-Problemen!

Verwenden Sie eines der Standard-Netzwerke der Unified Firewall, müssen Sie als Workaround ein temporäres Transfer-Netzwerk anlegen mit einem Netzbereich außerhalb der Standard-Netzwerke der Unified Firewall. 

Sofern Sie ein von den Standard-Netzwerken der Unified Firewall abweichendes Netzwerk verwenden, können Sie Schritt 1. überspringen.

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IPv4 → Allgemein → IP-Netzwerke.

1.2 Klicken Sie auf Hinzufügen, um das Transfer-Netzwerk anzulegen.

1.3 Passen Sie folgende Parameter an:

  • Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das Transfer-Netzwerk.
  • IP-Adresse: Vergeben Sie eine IP-Adresse aus einem bisher nicht verwendeten Netzbereich. Diese darf nicht Bestandteil der Standard IP-Netzwerke der Unified Firewall sein!
  • Netzmaske: Vergeben Sie eine zu dem Netzbereich passende Subnetzmaske.
  • Schnittstellen-Zuordnung: Wählen Sie im Dropdownmenü LAN-4 aus.

1.4 Wechseln Sie in das Menü IPv4 → DHCPv4 → DHCP-Netzwerke.

1.5 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

  • Netzwerkname: Wählen Sie im Dropdownmenü das in Schritt 1.3 erstellte Transfer-Netzwerk aus.
  • DHCP-Server aktiviert: Wählen Sie im Dropdownmenü Ja aus, um den DHCP-Server zu aktivieren.

1.6 Wechseln Sie in das Menü Schnittstellen → LAN → Ethernet-Ports.

1.7 Bearbeiten Sie den Ethernet-Port ETH-4 und setzen die Interface-Verwendung auf LAN-4.

1.8 Die vorbereitenden Konfigurations-Schritte sind damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.


2. Generieren eines Aktivierungscodes zur Kopplung von Geräten mit der LMC:

2.1 Verbinden Sie sich mit der LANCOM Management Cloud und wechseln in das Menü Geräte → Aktivierungscodes.

2.2 Klicken Sie auf Aktivierungscode erstellen.

2.3 Wählen Sie eine Gültigkeitsdauer aus und klicken auf Jetzt generieren.

Da der Aktivierungscode nur einmalig zur Kopplung der Geräte mit der LMC benötigt wird, ist in der Regel eine Gültigkeit von 1 Tag absolut ausreichend.

2.4 Kopieren Sie den Aktivierungscode mit einem Klick auf das "Kopieren"-Symbol und speichern sich diesen zur späteren Verwendung in einer Textdatei ab.


3. Kopplung der Geräte mit der LMC:

3.1 Kopplung der Unified Firewall mit der LMC:

Die Unified Firewall muss von einem DHCP-Server eine IP-Adresse beziehen. Dabei kann es sich um den integrierten DHCP-Server des LANCOM Routers handeln oder um einen separaten DHCP-Server. Die Unified Firewall kann dann über die LANconfig-Suche ausfindig gemacht werden.

3.1.1 Öffnen Sie LANconfig und klicken auf Geräte suchen.

Alternativ können Sie die Geräte-Suche auch über die Taste <F3> aufrufen.

3.1.2 Wählen Sie Lokales Netz durchsuchen aus, sofern sich die Firewall im gleichen Netzwerk wie der PC / das Notebook mit LANconfig befindet.

Befindet sich die Firewall in einem anderen Netzwerk, wählen Sie IP-Bereich durchsuchen aus und geben den zu durchsuchenden Adress-Bereich an.

3.1.3 Klicken Sie auf Ausgewählte Geräte übernehmen, nachdem die Unified Firewall gefunden wurde.

3.1.4 Führen Sie einen Doppelklick auf die Unified Firewall in LANconfig aus, um das Webinterface aufzurufen (verfügbar ab LANconfig 10.40).

3.1.5 Klicken Sie bei der Warnmeldung bezüglich des Zertifikats zuerst auf Erweitert und anschließend auf Weiter zu <IP-Adresse> (unsicher).

3.1.6 Da die Unified Firewall noch unkonfiguriert ist, müssen die Standard-Zugangsdaten eingegeben werden.

  • Benutzer: admin
  • Passwort: admin

3.1.7 Vergeben Sie ein neues Admin-Kennwort für den Zugriff auf das Webinterface sowie ein neues Support-Passwort für den Zugriff auf die Konsole und klicken anschließend auf Akzeptieren & Anmelden.

3.1.8 Es öffnet sich automatisch der Setup-Assistent. Klicken Sie auf Einrichtung auf deutsch beginnen.

3.1.9 Da die Unified Firewall über die LMC verwaltet werden soll, müssen Sie hier auf Assistent abbrechen klicken.

3.1.10 Wechseln Sie in das Menü Firewall → LMC-Einstellungen.

3.1.11 Geben Sie den in Schritt 2.4 erstellten Aktivierungscode ein und klicken auf Speichern.


3.2 Kopplung des LANCOM Routers mit der LMC:

3.2.1 Markieren Sie den LANCOM Router in LANconfig, führen einen Rechtsklick aus und wählen im Kontextmenü Gerät mit LANCOM Management Cloud koppeln aus.

3.2.2 Klicken Sie in dem Assistenten auf Weiter.

3.2.3 Geben Sie den in Schritt 2.4 erstellten Aktivierungscode ein und klicken auf Weiter.

3.2.4 Klicken Sie auf Koppeln, um den LANCOM Router mit der LMC zu verbinden.


4. Zuweisen der Lizenzen in der LMC:

4.1 Melden Sie sich in der LMC an, wechseln in das Menü Geräte und markieren den LANCOM Router sowie die Unified Firewall.

4.2 Klicken Sie auf das "Punkte"-Symbol und klicken auf Lizenz zuordnen.

4.3 Klicken Sie in diesem Menü auf Lizenzen zuweisen und nach der erfolgten Zuweisung auf Schließen.


5. Konfigurationsschritte in der LMC:

5.1 Wechseln Sie in das Menü Netze und klicken auf Neues Netz erstellen.

5.2 Hinterlegen Sie folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Globaler IP-Bereich (CIDR): Vergeben Sie eine übergeordnete IP-Range in CIDR-Schreibweise (Classless Inter Domain Routing), aus der alle Standorte ihr Netzwerk zugewiesen bekommen.
  • Subnetzgröße je Standort: Die Subnetzgröße stellt die Subnetzmaske in CIDR-Schreibweise dar.

5.3 Wechseln Sie in das Menü Standorte und klicken auf Standort hinzufügen.

5.4 Vergeben Sie einen aussagekräftigen Standortnamen und klicken anschließend auf Speichern.

5.5 Klicken Sie auf den in Schritt 5.4 erstellten Standort, um weitere Einstellungen vornehmen zu können.

5.6 Wechseln Sie in den Reiter Netze und klicken auf Netze zuweisen.

5.7 Wählen Sie das in Schritt 5.2 erstellte Netzwerk aus und klicken auf Zuweisen.

5.8 Klicken Sie auf das in Schritt 5.7 zugewiesene Netzwerk, um weitere Anpassungen vornehmen zu können.

5.9 Ändern Sie die Subnetz-ID auf 1 ab, damit das Netzwerk 192.168.1.0/24 anstatt 192.168.0.0/24 ausgerollt wird.

5.10 Wechseln Sie in den Reiter Geräte und klicken auf Geräte zuweisen.

5.11 Markieren Sie den LANCOM Router sowie die Unified Firewall und klicken auf Zuweisen.

5.12 Wechseln Sie in den Reiter Internet-Security, setzen den Haken bei Datenverkehr über LANCOM R&S®Unified Firewall leiten und klicken auf Speichern.

5.13 Wechseln Sie erneut in das Menü Geräte und markieren den LANCOM Router sowie die Unified Firewall.

5.14 Klicken Sie auf das "Punkte"-Symbol und anschließend auf Konfiguration ausrollen, um die in Schritt 5. vorgenommenen Einstellungen auf die Geräte zu übertragen.

5.15 Bestätigen Sie die Abfrage mit einem Klick auf Ausrollen.

5.16 Die Konfiguration ist damit abgeschlossen.


6. Abschließende Schritte bei Verwendung eines der Standard-Netzwerke der Unified Firewall:

Wenn Sie eines der Standard-Netzwerke der Unified Firewall verwenden, muss das in Schritt 1. erstellte Transfer-Netzwerk wieder gelöscht werden.

6.1 Wechseln Sie in der LMC auf Geräte und klicken auf den LANCOM Router, um das Geräte-Menü aufzurufen.

6.2 Wechseln Sie in den Reiter Detail-Konfiguration und anschließend in das Menü IPv4 → DHCPv4 → DHCP-Netzwerke.

6.3 Setzen Sie den Haken bei dem in Schritt 1. erstellten DHCP-Netzwerk (in diesem Beispiel UF-TEMP), klicken auf das "Punkte-Symbol" und anschließend auf Löschen.

  

6.4 Klicken Sie auf Speichern.

6.5 Wechseln Sie in der Detail-Konfiguration in das Menü IPv4 → Allgemein → IP-Netzwerke.

6.6 Setzen Sie den Haken bei dem in Schritt 1. erstellten Transfer-Netzwerk und klicken auf das "Punkte-Symbol".

6.7 Klicken Sie auf Löschen, um das Transfer-Netzwerk zu entfernen.

6.8 Klicken Sie auf Speichern und ausrollen, damit die vorgenommenen Änderungen über die LMC auf den Router ausgerollt werden.