Manuelle Einrichtung einer Layer-3-Schleife zwischen einem LANCOM Router und einer LANCOM R&S®Unified Firewall (Variante 2)

Beschreibung:

Dieses Dokument beschreibt wie eine LANCOM R&S®Unified Firewall in ein bestehendes Netzwerk eingebunden wird, in welchem ein LANCOM Router als Gateway eingesetzt ist.

Mit diesem Szenario kann genau ein Produktiv-Netzwerk verwaltet werden. Soll mehr als ein Netzwerk verwaltet werden empfiehlt LANCOM Systems eines der anderen Szenarien zur Einbindung einer Unified Firewall zu verwenden (Reihenschaltung oder Stand-Alone-Betrieb ).

Voraussetzungen:

• LCOS ab Version 10.20 (download aktuelle Version) 
• LANtools ab Version 10.20 (download aktuelle Version) 
• LANCOM R&S®Unified Firewall mit LCOS FX ab Version 10.3
  
• Eingerichtetes und funktionsfähiges Netzwerk samt Internetzugang auf dem LANCOM Router
• Web-Browser zur Konfiguration der Unified Firewall.
  
  Es werden folgende Browser unterstützt:
  • Google Chrome
  • Chromium
  • Mozilla Firefox

Wichtig:
LANCOM Router, welche maximal zwei ARF-Kontexte unterstützen, wie z.B.

• LANCOM 883 VoIP
• LANCOM 884 VoIP
• LANCOM 730VA
• LANCOM 730-4G(+)
• LANCOM 1631E
• LANCOM 1640E

können zur Umsetzung des hier beschriebenen Szenarios nicht verwendet werden, da die Anzahl der benötigten ARF-Kontexte bei diesen Geräten zu gering ist.

Szenario:

Ist-Zustand:

• In diesem Dokument wird von einem einfachen Netzwerk-Szenario ausgegangen, bei welchem ein LANCOM Router als zentrales Gateway die internen Netzwerkdienste (z.B. DHCP) und einen Internetzugang bereit stellt.
• Die Internet-Verbindung wird über das integrierte xDSL-Modem des LANCOM Routers oder (bei Geräten ohne Modem) über die WAN-Schnittstelle realisiert.
• Das lokale Netzwerk (IP-Adressbereich 192.168.1.0/24) ist an der Ethernet-Schnittstelle ETH-1 mit einem LANCOM Switch verbunden, an welchem die lokalen Netzwerk-Komponenten (PC, Notebook, Server etc.) angeschlossen sind. An allen anderen Ethernet-Schnittstellen des LANCOM Routers (z.B. ETH-2 bis ETH-4) liegt das lokale Netzwerk ebenfalls an (Standard-Einstellung).

Soll-Zustand:

Die in diesem Dokument beschriebene Möglichkeit zur Einbindung der Unified Firewall wird auch als Layer-3-Schleife bezeichnet.

• Die Unified Firewall wird mit dem Port eth0 an den Port ETH-4 des LANCOM Routers angeschlossen. Der Port eth1 der Unified Firewall wird an den Port ETH-3 des LANCOM Routers angeschlossen.

Vorgehensweise:

Die Unified Firewall darf noch nicht per LAN-Kabel mit dem LANCOM Router oder generell mit dem Netzwerk verbunden werden!

1. Grundlegende Konfigurations-Schritte auf dem LANCOM Router:

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IPv4 → Allgemein → IP-Netzwerke.

1.2 Erstellen Sie das erste Transfer-Netzwerk mit einem Klick auf Hinzufügen. Dieses dient dazu, Pakete vom Produktiv-Netzwerk (hier das INTRANET) zur Unified Firewall zu senden.

Hinterlegen Sie folgende Parameter:

• Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das erste Transfer-Netzwerk.
• IP-Adresse: Vergeben Sie eine IP-Adresse aus dem IP-Adressbereich 192.168.11.0/24.
  • Wichtig:  Folgende IP-Adressbereiche dürfen nicht verwendet werden, da diese bereits von der Unified Firewall im Standard verwendet werden:
    • 192.168.1.0/24
    • 192.168.2.0/24
    • 192.168.3.0/24

• Netzmaske: Vergeben Sie die Subnetzmaske 255.255.255.0.
• Schnittstellen-Zuordnung: Wählen Sie im Dropdownmenü die logische Schnittstelle LAN-3 aus.

1.3 Erstellen Sie das zweite Transfer-Netzwerk mit einem Klick auf Hinzufügen. Dieses dient dazu, Pakete von der Unified Firewall zu empfangen.

Hinterlegen Sie folgende Parameter:

• Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das zweite Transfer-Netzwerk.
• IP-Adresse: Vergeben Sie eine IP-Adresse aus dem IP-Adressbereich 192.168.12.0/24.
  • Wichtig:  Folgende IP-Adressbereiche dürfen nicht verwendet werden, da diese bereits von der Unified Firewall im Standard verwendet werden:
    • 192.168.1.0/24
    • 192.168.2.0/24
    • 192.168.3.0/24

• Netzmaske: Vergeben Sie die Subnetzmaske 255.255.255.0.
• Schnittstellen-Zuordnung: Wählen Sie im Dropdownmenü die logische Schnittstelle LAN-4 aus.

1.4 Wechseln Sie in das Menü IPv4 → DHCPv4 → DHCP-Netzwerke.

1.5 Erstellen Sie ein neues DHCP-Netzwerk und passen folgende Parameter an:

• Wählen Sie im Dropdownmenü bei Netzwerkname das zweite Transfer-Netzwerk aus.
• Aktivieren Sie den DHCP-Server, indem Sie bei DHCP-Server aktiviert im Dropdownmenü Ja auswählen.
• Hinterlegen Sie bei Erste Adresse und Letzte Adresse eine IP-Adresse aus dem zweiten Transfer-Netzwerk (192.168.12.0/24). Es muss in beiden Feldern die gleiche IP-Adresse hinterlegt werden, damit die Unified Firewall immer diese IP-Adresse bezieht.

Info:
Es ist sinnvoll der Unified Firewall eine "feste" IP-Adresse zuzuweisen, damit bei Bedarf ein Portforwarding eingerichtet werden kann. 

1.6 Wechseln Sie in das Menü Schnittstellen → LAN → Ethernet-Ports.

1.7 Weisen Sie der Schnittstelle ETH-3 das Interface LAN-3 und der Schnittstelle ETH-4 das Interface LAN-4 zu.

1.8 Wechseln Sie in das Menü Schnittstellen → LAN → Port-Tabelle.

1.9 Stellen Sie sicher, dass bei den logischen Schnittstellen LAN-3 und LAN-4 keine Bridge-Gruppe hinterlegt ist (Bridge-Gruppe: keine).

Info:
Bei WLAN-Routern ist allen Schnittstellen im Standard die Bridge-Gruppe 1 (BRG-1) zugewiesen.

1.10 Die Konfigurationsschritte auf dem LANCOM Router sind damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.

2. Konfigurations-Schritte auf der Unified Firewall:

Schließen Sie die Unified Firewall mit dem Port eth0 an den Port ETH-4 des LANCOM Routers an.

Wichtig:
Der Port eth1 der Unified Firewall darf noch nicht mit dem Port ETH-3 des LANCOM Routers verbunden werden!

2.1 Geben Sie die IP-Adresse 192.168.12.253 gefolgt von der Portangabe :3438 im Browser ein, um auf das Webinterface der Unified Firewall zu gelangen (192.168.12.253:3438).

2.2 Klicken Sie bei der Warnmeldung bezüglich des Zertifikats zuerst auf Erweitert und anschließend auf Weiter zu 192.168.12.253 (unsicher).

Info:
Die Zertifikatswarnung bezüglich des unsicheren Zertifikats kann durch Erstellen eines Webserver-Zertifikats auf der Unified Firewall und anschließendem Import des Zertifikats im Betriebssystem beseitigt werden.

2.3 Da die Unified Firewall noch unkonfiguriert ist, müssen die Standard-Zugangsdaten eingegeben werden.

• Benutzer: admin
• Passwort: admin

2.4 Vergeben Sie ein neues Admin-Kennwort für den Zugriff auf das Webinterface sowie ein neues Support-Passwort für den Zugriff auf die Konsole und klicken anschließend auf Akzeptieren & Anmelden.

2.5 Es öffnet sich automatisch der Setup-Assistent. Klicken Sie auf Einrichtung auf deutsch beginnen.

2.6 Da die Unified Firewall manuell konfiguriert werden soll, müssen Sie hier auf Assistent abbrechen klicken.

2.7 Wechseln Sie in das Menü Netzwerk → Verbindungen → Netzwerk-Verbindungen und klicken auf das "Stift"-Symbol bei eth1, um das Netzwerk zu bearbeiten.

2.8 Bearbeiten Sie die IP-Adresse und hinterlegen eine IP-Adresse aus dem ersten Transfer-Netzwerk 192.168.11.0/24.

2.9 Klicken Sie auf das Symbol zum Erstellen eines Netzwerks auf dem Desktop.

2.10 Hinterlegen Sie folgende Parameter:

• Name: Vergeben Sie einen aussagekräftigen Namen.
• Interface: Wählen Sie aus dem Dropdownmenü die Schnittstelle eth1 aus.
• Netzwerk-IP: Hinterlegen Sie das auf dem LANCOM Router bereits vorhandene Produktiv-Netzwerk 192.168.1.0/24 in CIDR-Schreibweise (Classless Inter Domain Routing).

Info:
Das Produktiv-Netzwerk des LANCOM Routers muss auf der Unified Firewall als Desktop-Objekt angelegt werden, damit die Kommunikation über die Firewall erlaubt werden kann.

2.11 Bestätigen Sie die Warnmeldung mit einem Klick auf Dennoch Speichern.

2.12 Klicken Sie auf dem Desktop auf das in Schritt 2.10 erstellte Netzwerk-Objekt und wählen das Verbindungswerkzeug aus. Verknüpfen Sie das Netzwerk-Objekt mit dem Internet-Objekt.

2.13 Fügen Sie die für die ausgehende Kommunikation erforderlichen Protokolle über die "Plus-Zeichen" hinzu.

2.14 Klicken Sie auf die Schaltfläche Aktivieren, um die Änderungen zu übernehmen und zu aktivieren.

2.15 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken auf das "Stift"-Symbol, um die Tabelle 254 zu bearbeiten.

2.16 Klicken Sie auf das "Plus"-Zeichen, um einen neuen Routing-Eintrag zu erstellen.

2.17 Hinterlegen Sie folgende Parameter und klicken anschließend auf OK.

• Interface: Wählen Sie im Dropdownmenü eth1 aus.
• Ziel: Hinterlegen Sie das auf dem LANCOM Router bereits vorhandene Produktiv-Netzwerk in CIDR-Schreibweise.
• Gateway: Geben Sie die IP-Adresse des LANCOM Routers im ersten Transfer-Netzwerk an (siehe Schritt 1.2).

Info:
Durch diese Rückroute ist ein Zugriff aus dem Produktiv-Netzwerk des LANCOM Routers (192.168.1.0/24) auf die IP-Adresse der Unified Firewall im ersten Transfer-Netzwerk (192.168.11.0/24) möglich. 

2.18 Speichern Sie die Tabelle 254 ab.

Wichtig:
Nach dem Setzen dieser Route ist der Zugriff auf die Unified Firewall nur noch auf die IP-Adresse der Unified Firewall im ersten Transfer-Netzwerk möglich (192.168.11.253)! Die aktuelle Verbindung zum Webinterface bricht direkt nach dem Speichern ab!

2.19 Die Konfigurationsschritte auf der Unified Firewall sind damit abgeschlossen.

Schließen Sie nun den Port eth1 der Unified Firewall an den Port ETH-3 des LANCOM Routers an.

3. Abschließende Konfigurations-Schritte auf dem LANCOM Router:

3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IPv4 → Allgemein → IP-Netzwerke.

3.2 Markieren Sie das vorhandene Netzwerk (in diesem Beispiel das Netzwerk INTRANET) und klicken auf Bearbeiten.

3.3 Hinterlegen Sie das Schnittstellen-Tag 1 .

3.4 Bearbeiten Sie das erste Transfer-Netzwerk (hier UF-TRANSFER) und hinterlegen das Schnittstellen-Tag 1.

Info:
Die Netzwerke INTRANET und UF-TRANSFER müssen das gleiche Schnittstellen-Tag haben, damit diese miteinander kommunizieren können.

3.5 Bearbeiten Sie das zweite Transfer-Netzwerk (hier UF-CONNECT) und hinterlegen das Schnittstellen-Tag 2.

3.6 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.

3.7 Markieren Sie die vorhandene Default-Route für die Internet-Verbindung und klicken auf Bearbeiten.

3.8 Ändern Sie das Routing-Tag auf den Wert 2 ab.

3.9 Erstellen Sie einen weiteren Routing-Eintrag und hinterlegen folgende Parameter:

• IP-Adresse: Hinterlegen Sie die Adresse 255.255.255.255.
• Netzmaske: Hinterlegen Sie die Netzmaske 0.0.0.0.
• Routing-Tag: Hinterlegen Sie das Routing-Tag 1.
• Router: Geben Sie die IP-Adresse der Unified Firewall im ersten Transfer-Netzwerk 192.168.11.0/24 an.
• IP-Maskierung: Setzen Sie den Radio-Button bei IP-Maskierung abgeschaltet.

3.10 Wechseln Sie in das Menü IPv4 → DNS → Weiterleitungen.

3.11 Erstellen Sie einen Eintrag und hinterlegen folgende Parameter:

• Domäne: Hinterlegen Sie die Wildcard *, damit alle DNS-Anfragen weitergeleitet werden.
• Routing-Tag: Hinterlegen Sie das Tag 1, damit Anfragen aus dem INTRANET über diesen Eintrag weitergeleitet werden.
• Gegenstelle: Tragen Sie die IP-Adresse der Unified Firewall im ersten Transfer-Netzwerk ein (siehe Schritt 2.8), damit alle DNS-Anfragen aus dem Produktiv-Netzwerk des LANCOM Routers (in diesem Beispiel das INTRANET) an die Unified Firewall weitergeleitet werden.

3.12 Erstellen Sie einen weiteren Eintrag und hinterlegen folgende Parameter:

• Domäne: Hinterlegen Sie die Wildcard *, damit alle DNS-Anfragen weitergeleitet werden.
• Routing-Tag: Hinterlegen Sie das Tag 2, damit DNS-Anfragen der Unified Firewall aus dem zweiten Transfer-Netzwerk beantwortet werden können.
• Gegenstelle: Tragen Sie einen beliebigen DNS-Server ein (in diesem Beispiel der Google DNS-Server 8.8.8.8).

3.13 Die Konfigurations-Schritte auf dem LANCOM Router sind damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.