GRE von Host hinter LANCOM freigeben

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
mako42
Beiträge: 2
Registriert: 09 Jan 2019, 15:10

GRE von Host hinter LANCOM freigeben

Beitrag von mako42 »

Hallo,
hinter einem 1781VA soll ein Cisco-Router von BelWü (www.belwue.de) eingesetzt werden, welcher eine GRE-Verbindung aufbauen will. Diese wird jedoch vom LANCOM-Gerät geblockt, Die im Syslog erscheinende Meldung lautet: "Alarm Dst: 193.196.190.140, Src: 192.168.199.229
{es-kab-aws2-gw} (GRE): connection refused". Ein Test des BelWü-Routers hinter einer Fritzbox bzw. hinter einer Zyxel-Firewall war erfolgreich (GRE-Verbindung wurde in beiden Fällen selbständig aufgebaut), daher meine Frage: wo kann ich beim LANCOM-Gerät die GRE-Verbindung des dahinter angeschlossenen BelWü-Routers freigeben bzw. das Blockieren abschalten? Im Handbuch habe ich nur Einträge gefunden für den Fall, dass der LANCOM selber GRE-Verbindungen aufbauen soll, aber nicht wenn ich Client dahinter diese aufbauen will.
Vielen Dank für Eure Hilfe.
cu
Markus
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: GRE von Host hinter LANCOM freigeben

Beitrag von backslash »

Hi mako42

da GRE nicht maskierbar ist, bekommst du es auch nicht über eine maskierte Verbindung übertragen.... Die einzige Möglichkeit im LANCOM GRE über eine Maskierung zu bekommen ist im Rahmen eines PPTP...
Verwende im Cisco also ein anderes Tunnelprotokoll, das auch maskierbar ist, z.B. L2TP

Gruß
Backslash
mako42
Beiträge: 2
Registriert: 09 Jan 2019, 15:10

Re: GRE von Host hinter LANCOM freigeben

Beitrag von mako42 »

Hallo Backslash,
danke für Deine Antwort.
Im KB-Artikel https://www2.lancom.de/kb.nsf/b8f10fe56 ... enDocument wird angegeben, dass wenn man den TCP Port 1723 freigibt (PPTP), GRE dann automatisch weitergeleitet wird. Meinst Du das?
Wie/wo kann denn der Port freigegeben werden? Sorry für diese Anfängerfrage, ich habe leider keine Erfahrung mit LANCOM, sondern setzte Geräte anderer Hersteller ein. Der LANCOM wird jedoch von der Telekom bei der Umstellung auf IP-Telefonie vorgegeben, daher beschäftige ich mich aktuell damit. Er wird eigentlich auch _nur_ für die IP-ISDN-Umsetzung benötigt, Firewall etc. ist durch bereits vorhandene Hardware realisiert. D.h. der LANCOM braucht eigentlich gar nichts blocken, sondern soll nur Telefonie machen und alle anderen Pakete einfach durchreichen.
cu
Markus
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: GRE von Host hinter LANCOM freigeben

Beitrag von backslash »

Hi mako42,
Im KB-Artikel https://www2.lancom.de/kb.nsf/b8f10fe56 ... enDocument wird angegeben, dass wenn man den TCP Port 1723 freigibt (PPTP), GRE dann automatisch weitergeleitet wird. Meinst Du das?
ja, baer das funltzioniert nur, wenn du wirklich GRE machst. Beim PPTP werden sog. "Call-IDs" ausgehandel, die in den GRE-Paketen abgelegt werden. Die Firewall und die Maskierung achten auf diese und lassen nur die GRE-Pakete mit passende "Call-IDs" durch.
Wie/wo kann denn der Port freigegeben werden? Sorry für diese Anfängerfrage, ich habe leider keine Erfahrung mit LANCOM, sondern setzte Geräte anderer Hersteller ein.
Ein Port-Forwarding trägst du uunter IP-Router -> Maskierung -> Port-Forwarding-Tabelle ein dort trägst du für PPTP dann den Port 1723, als Protokoll nur TCP und als "Intranet-Adresse" die IP ein, an die weitergeleitet werden soll. Alles andere läßt du einfach im Default.

Falls du in der Firewall eine Deny-All-Strategie nutzt, dann mußt du zusätzlich in der Firewall noch eine Regel aufnehmen die PPTP zuläßt (unter Firewall/Qos -> IPv4-Regeln -> Regeln...)

Code: Alles auswählen

Name:       ALLOW-PPTP
Aktion:     übertrtagen
Quelle:     alle Stationen
Ziel:       IP des PPTP-Servers
Dinetse:    Zieldienst PPTP  (oder hat TCP, Port 1723)
auch hier läßt du alles andere im Deafult


Aber wie gesagt: Das funktioniert nur, wenn du auch wirklich PPTP machst. Ein Cisco bietet aber direkt GRE als Übertragungsprotokoll an - und dafür hast du im LANCOM keine Chance, ein Portforwarding einzurichten. Da solltest du lieber zwischen dem Cisco und dem LANCOM einen VPN-Tunnel aufbauen und auf das GRE komplett verzichten. Falls du es wirklich brauchst, kannst du das GRE natürlich immer noch durch den VPN-Tunnel schicken

Gruß
Backslash
Antworten