DMZ einrichten

cpuprofi · Beitrag von **cpuprofi** » 18 Jan 2011, 18:47

Hallo,

ich habe gestern mal eine DMZ bei meinem Lancom 1722 eingerichtet, leider funktioniert diese nicht so wie geplant. Ich möchte die DMZ dafür nutzen, das ich dort ein VoIP-Telefon oder eine VoIP-TK-Anlage anschließen kann um diese dann zu testen.

Ich stelle mal die einzelnen Schritte da, welche ich gemacht habe:

1. Ich habe unter "Konfiguration -> Schnitstellen -> LAN -> Ethernet-Ports -> ETH4 als Lan-3" für die DMZ gewählt.

Bild

2. Dann habe ich ein DMZ-Netz unter "Konfiguration -> TCP/IP -> Allgemein -> IP-Netzwerke angelegt und dieses der Schnittstelle "Lan-3" zugeordnet und als Netzwerktyp "DMZ" gewählt. Achtung: Die DMZ-IP-Adresse entspricht NICHT der öffentlichen vom meinem ISP Congstar vergebenen IP-Adresse!

Bild

3. Danach habe ich noch einen DHCP-Server unter "Konfiguration -> TCP/IP -> DHCP -> DHCP-Netzwerke" mit der (einen) IP 192.168.200.10 eingerichtet. Dieses tat ich, da das nacher in der DMZ laufende VOIP-Telefon eine feste IP zugewiesen bekommen soll. Als Standart-Gateway und Erster-DNS habe ich die DMZ-IP des Lancom 1722 (192.168.200.1) eingetragen.

Bild

4. Als nächstes habe ich unter "Konfiguration -> IP-Router -> Routing -> Routing-Tabelle" die Default-Route geöffnet (255.255.255.255) und die Option "Nur Intranet maskieren" ausgewählt.

Bild

5. Dann habe ich unter "Konfiguration -> IP-Router -> Routing -> Maskierung -> Port-Forwarding-Tabelle" die Ports 1-65535 auf die WAN-IP 84.137.154.114 (die zu dem Zeitpunkt vom Meinen ISP Congstar vergebene WAN Adresse) weitergeleitet.

Dazu hätte ich noch eine Frage: Kann man die in der "Port-Forwarding-Tabelle" einzutragene WAN-IP auch automatisch z.B. über Dyn.DNS definieren lassen?

Bild

6. Danach habe ich unter "Konfiguration -> IP-Router -> Routing -> N:N-Mapping -> N:N-NAT-Tabelle" die Quell-IP 192.168.200.10 auf die WAN-IP 84.137.154.114 (die zu dem Zeitpunkt vom Meinen ISP Congstar vergebene WAN Adresse) umgesetzt.

Dazu hätte ich auch noch ein paar Fragen:

A. Muß bei der "N:N-NAT-Tabelle" die Netzwerkmaske "255.255.255.255" bei der "Quell-IP 192.168.200.10" sein (laut Lancom-Anleitung) oder kann ich auch die Netzwerkmaske "255.255.255.0" nehmen (wie sonste in den anderen gemachten Einstellungen auch)?

B. Kann man die in der "N:N-NAT-Tabelle" einzutragene Umgesetzte-(WAN)-IP auch automatisch z.B. über Dyn.DNS definieren lassen?

Bild

7. Als nächstes habe ich noch unter "Konfiguration -> Firewall/QoS -> Regeln -> Firewall-Regeln" für den IP-Bereich 192.168.200.10-20 alle Dienste sowohl ankommend als auch gehend in der per "Deny-All"-Regel definierten Firewall freigegeben.

Bild

Normalerweise sollte jetzt alles laufen, tut es aber nicht:

In der ober eingerichteten Konstellation kann ich zwar vom WAN (Internet) auf das angeschlossene VoIP-Telefon zugreifen, dieses hat aber seinerseits KEINE Verbindung ins Internet... ? Schließe ich einen Laptop an, so kann der ebenfalls nicht auf das WAN (Internet) zugreifen.

Wo liegt der oder die Fehler?

Ist alles von mir richtig gemacht worden oder ist vielleicht auch zuviel gemacht worden (vielleicht braucht man ja ein paar Einstellungen nicht machen)?

Grüße
cpuprofi

backslash · Beitrag von **backslash** » 18 Jan 2011, 19:12

Hi cpuprofi

wie Jirka dir schon im anderen Thread schrieb, liegt das Problem darin, daß du auf der Defaultroute die Maskierungs-Option auf "nur Intranet maskieren" gestellt hast. Diese Option ist nur dann sinnvoll, wenn die DMZ ein öffentliches Netz aufspannt. Da sie bei dier aber ein 192.168.200.x- und damit privates Netz aufspannt, muß du die DMZ auch maskieren, wenn du von ihr aus ins Internet willst.

Daher mußt du die Maskierungsoption auf "Intranet und DMZ maskieren (Standard)" stellen und schon wird es funktionieren...

Gruß
Backslash

Dr.Einstein · Beitrag von **Dr.Einstein** » 18 Jan 2011, 19:16

Also ich würde eigentlich alles nochmal löschen, was mit DMZ zutun hat

Du hast eine öffentliche IP Adresse, leitest aber ALLE öffentliche Ports weiter an eine IP-Adresse ? Ist doch dann kein Wunder, dass niemand mehr ins Internet kommt. Die dynamisch-geöffneten Ports für alle UDP/TCP Verbindungen sind doch dann auch weitergeleitet ...

Ich frage mich ernsthaft, was du da machen möchtest. Erst richtest du eine DMZ ein, dann wiederrum sagst du in der Firewall, dass es eine LAN Verbindung ist.

Wenn es dir darum geht, einfach nur Tests machen zu können, dass du direkt auf das Gerät raufkommst von extern, solltest du entweder einen zweiten Anschluss zum Testen dir besorgen, oder ein Anschluss mit mehreren öffentlichen IP Adressen.

Gruß Dr.Einstein

cpuprofi · Beitrag von **cpuprofi** » 18 Jan 2011, 19:41

Hallo Dr.Einstein,

Dr.Einstein hat geschrieben:Du hast eine öffentliche IP Adresse, leitest aber ALLE öffentliche Ports weiter an eine IP-Adresse ?

die öffentliche IP Adresse (WAN) die ich unter Punt 5. und 6. eingetragen habe, ist nur temporär gültig max. 24h. ( wegen der Zwangsabwahl vom ISP Provider CONGSTAR). Ich wußte mir leider nicht besser zu helfen, als alles auf die interne IP-Adresse 192.168.200.10 weiterzuleiten.

Wenn es anders geht, bin ich für jeden Tip dankbar! Geht es vielleicht irgendwie über Dyn.DNS?

Dr.Einstein hat geschrieben:Ich frage mich ernsthaft, was du da machen möchtest.

Ich möchte in der DMZ einen Testanschluß haben, an dem ich VoIP-Equipment testen kann. Der Zugriff auf dieses Equipment soll sowohl vom internen Netz (Intranet) als auch vom Internet (WAN) aus erfolgen. Die DMZ sollte sowohl von der Firewall, als auch vom Portbereich nicht eingeschränkt sein.

Mehr will ich nicht...

Eine feste öffentliche IP vom ISP Provider kann ich NICHT bekommen und auch ein zweiter Anschluß ist nicht möglich.

Vielleicht gibt es ja eine Möglichkeit, die betreffenden WAN-Einträge unter 5. und 6. "automatisch" setzen zu lassen?

Grüße
cpuprofi

Dr.Einstein · Beitrag von **Dr.Einstein** » 18 Jan 2011, 20:01

Hallo cpuprofi,

Punkt 5 kannst du mit WAN IP 0.0.0.0 abdecken, dann wird diese ignoriert.
Punkt 6 wirst du extrem umständlich über die Aktionstabelle hinbekommen, %a war glaube die aktuelle WAN-IP-Adresse

Gezielte Portweiterleitungen z.B. SIP 5060 reichen dir nicht aus für deine Testumgebung?

cpuprofi · Beitrag von **cpuprofi** » 18 Jan 2011, 21:42

Hallo Jirka, Backslash und Dr.Einstein,

Ich habe mal die Einstellungen so geändert wie von euch vorgeschlagen:

backslash hat geschrieben:...liegt das Problem darin, daß du auf der Defaultroute die Maskierungs-Option auf "nur Intranet maskieren" gestellt hast. Diese Option ist nur dann sinnvoll, wenn die DMZ ein öffentliches Netz aufspannt. Da sie bei dier aber ein 192.168.200.x- und damit privates Netz aufspannt, muß du die DMZ auch maskieren, wenn du von ihr aus ins Internet willst.

@Backslash und Jirka: Ja, jetzt komme ich auch ins Internet (WAN), hätte ich ja auch selber drauf kommen können

Dr.Einstein hat geschrieben:Punkt 5 kannst du mit WAN IP 0.0.0.0 abdecken, dann wird diese ignoriert.

@Dr.Einstein: Was bewirkt dieses "ignorieren"? Wird die vom ISP temporär vergebene IP-Adresse automatisch für die 0.0.0.0 genommen?

Dr.Einstein hat geschrieben:Punkt 6 wirst du extrem umständlich über die Aktionstabelle hinbekommen, %a war glaube die aktuelle WAN-IP-Adresse

Über ein Skript, welches hier mal veröffentlicht wurde habe ich die Dyn.DNS aktualisierung meines Accounts per Aktionstabelle hinbekommen. Kann man so etwas auch für N:N-NAT-Tabelle zur internen Aktualisierung erstellen?

Dr.Einstein hat geschrieben:Gezielte Portweiterleitungen z.B. SIP 5060 reichen dir nicht aus für deine Testumgebung?

@Dr.Einstein: Das Problem dabei ist, das die VoIP-Provider alle unterschiedliche Ports und Portbereiche benötigen (SIP,STUN,RTP).

Grüße
cpuprofi

Jirka · Beitrag von **Jirka** » 19 Jan 2011, 12:11

Hallo cpuprofi,

cpuprofi hat geschrieben:@Dr.Einstein: Was bewirkt dieses "ignorieren"? Wird die vom ISP temporär vergebene IP-Adresse automatisch für die 0.0.0.0 genommen?

Ja, natürlich.

cpuprofi hat geschrieben:Über ein Skript, welches hier mal veröffentlicht wurde habe ich die Dyn.DNS aktualisierung meines Accounts per Aktionstabelle hinbekommen. Kann man so etwas auch für N:N-NAT-Tabelle zur internen Aktualisierung erstellen?

Die Frage dürfte sich erübrigt haben nach dem Lesen obiger Antwort.

cpuprofi hat geschrieben:@Dr.Einstein: Das Problem dabei ist, dass die VoIP-Provider alle unterschiedliche Ports und Portbereiche benötigen (SIP,STUN,RTP).

Was aber nicht unbedingt ein Problem darstellen muss.

Dein erstes Posting in diesem Thread wird ab Punkt 5 sehr konfus. Ich habe das nur noch überflogen, aber das meiste davon ist vermutlich ansatzweise völlig falsch. Alleine schon ein Portforwarding aller Ports kann vom Gerät nur ignoriert werden, da sonst alles nur zu dem Client in der DMZ gehen würde.

Bzgl. VoIP befindest Du Dich in diesem Fall schon mal immer hinter einem NAT (weil Du nur die eine öffentliche IP hast). Das kann man mit Portforwardings (und ohne STUN) übergehen (z. B. funktioniert das so mit sipgate) oder aber mit STUN und ähnlichen Geschichten (z. B. erforderlich bei 1&1). Im Normalfall sollte ein Portforwarding einiger Ports genügen. Details zu den RTP-Ports hängen mehr vom Endgerät ab, als vom Provider. Beim SIP-Port ist es eigentlich auch nicht anders.

Viele Grüße,
Jirka

cpuprofi · Beitrag von **cpuprofi** » 19 Jan 2011, 12:35

Hallo Jirka,

vielen Dank für Deine Antwort, aber bei manchen "Sachen" habe ich noch Fragen:

Jirka hat geschrieben:
cpuprofi hat geschrieben:Über ein Skript, welches hier mal veröffentlicht wurde habe ich die Dyn.DNS aktualisierung meines Accounts per Aktionstabelle hinbekommen. Kann man so etwas auch für N:N-NAT-Tabelle zur internen Aktualisierung erstellen?
Die Frage dürfte sich erübrigt haben nach dem Lesen obiger Antwort.

Das mit 0.0.0.0 als IP-Adresse geht bei der Einstellung der "N:N-NAT-Tabelle" nicht! Es wird nicht angenommen. Wie kann man das lösen?

Jirka hat geschrieben:Dein erstes Posting in diesem Thread wird ab Punkt 5 sehr konfus.

Tut mir leid

Jirka hat geschrieben:Alleine schon ein Portforwarding aller Ports kann vom Gerät nur ignoriert werden, da sonst alles nur zu dem Client in der DMZ gehen würde.

Das wäre für "Testzwecke" und fallweise einschaltbar nicht unbedingt schlecht.

Jirka hat geschrieben: Bzgl. VoIP befindest Du Dich in diesem Fall schon mal immer hinter einem NAT (weil Du nur die eine öffentliche IP hast). Das kann man mit Portforwardings (und ohne STUN) übergehen (z. B. funktioniert das so mit sipgate)

Hast Du da zufällig die Werte bzw. eine Anleitung?

Grüße
cpuprofi

cpuprofi · Beitrag von **cpuprofi** » 20 Jan 2011, 18:05

Hallo Jirka, Backslash und Dr.Einstein,

ich habe gerade etwas im Internet gefunden, mit dem ich vielleicht doch eine "Feste IP" auf meinem Router für die DMZ bekommen kann:

http://www.portunity.de/portal/access-d ... 46639.html

Es ist ein PPTP VPN-Tunnel ohne Verschlüsselung mir fester IP-Adresse.

Nun habe ich da noch die Frage, ob der Lancom 1722 überhaupt PPTP als Client kann?

Grüße
cpupro

Jirka · Beitrag von **Jirka** » 20 Jan 2011, 22:40

Hallo cpuprofi,

cpuprofi hat geschrieben:Das mit 0.0.0.0 als IP-Adresse geht bei der Einstellung der "N:N-NAT-Tabelle" nicht! Es wird nicht angenommen. Wie kann man das lösen?

Sorry, ich habe immer noch nicht begriffen, was Du mit der N:N-NAT-Tabelle da anstellen willst... Das ergibt vermutlich überhaupt keinen Sinn. Die N:N-NAT-Tabelle wird für Mappings benutzt, wenn man auf 2 Seiten die gleichen IP-Netze hat...

cpuprofi hat geschrieben:Das wäre für "Testzwecke" und fallweise einschaltbar nicht unbedingt schlecht.

Das benötigt man aber nicht. Ich meine wenn es sein muss, dann leite Dir 10 oder 20 Ports weiter, aber dann reicht das auch...

cpuprofi hat geschrieben:Hast Du da zufällig die Werte bzw. eine Anleitung?

Nein, da ich bereits schrieb, dass das vom Endgerät und vom Provider abhängt... Ich hab's halt im Kopf, aber das nieder zu schreiben ist fast unmöglich.
Was hast Du überhaupt für ein IP-Telefon?! Ich meine da kann man doch die RTP-Ports einstellen. Und SIP auch.
Nehmen wir mal als Beispiel ein Gigaset IP-Telefon.
Da leitest Du die Ports 5004, 5006, 5008 und 5010 (UDP) für RTP weiter und 5060 (UDP) für SIP. Dann stellst Du im Gigaset noch ein, dass er die Ports für RTP auch wirklich auf den Bereich beschränken soll und dann hast Du aber auch wirklich schon mehr als nötig getan. Das hilft aber nicht bei jedem Provider. Für 1&1 ist z. B. zwingend die Angabe eines STUN-Servers erforderlich.

cpuprofi hat geschrieben:Nun habe ich da noch die Frage, ob der Lancom 1722 überhaupt PPTP als Client kann?

Nur unverschlüsselt.

Ich bin aber nach wie vor der Meinung, dass Du keine feste IP brauchst. Die eine reicht. Probiert das doch erst mal aus.

Viele Grüße,
Jirka

Dr.Einstein · Beitrag von **Dr.Einstein** » 21 Jan 2011, 07:48

Für die N:N Mapping Tabelle verwendest du in der Aktionstabelle folgenden Eintrag:

Aktiv: ja
Name: ...
Gegenstelle: Congstar
Sperrzeit: 0
Verbindungsereignis: Aufbau
Aktion:
exec: set /Setup/IP-Router/N-N-NAT/1 * * * %a
(die 1 steht für den ersten Eintrag)

Also ich brauchte auch schon öfters direkten Zugang auf das VoIP-Gerät ohne NAT/PAT dazwischen. Dafür habe ich aber einen Company Connect mit mehreren öffentlichen IPs zur Verfügung.

Bei deiner Konstellation vermute ich, wirst du für die Testphase dein internes Netzwerk ausser Betrieb nehmen müssen, bzw. kann es dann nicht richtig die Congstar-Leitung nutzen.

Was dir eventuell weiterhelfen könnte: Über ein DSL Modem lassen sich je nach Provider auch mehrere DSL-PPPoE Sessions parallel aufbauen. Dann kannst du für diese eine Testkomponente ihr die öffentliche IP-Adresse zuordnen.

Gruß Dr.Einstein

Jirka · Beitrag von **Jirka** » 21 Jan 2011, 10:38

Hallo zusammen,

davon weiß der VoIP UA, der in der DMZ mit einer privaten IP sitzt, aber immer noch nichts von seiner WAN-IP...

Viele Grüße,
Jirka

backslash · Beitrag von **backslash** » 21 Jan 2011, 10:58

Hi cpuprofi

ich habe gerade etwas im Internet gefunden, mit dem ich vielleicht doch eine "Feste IP" auf meinem Router für die DMZ bekommen kann:

http://www.portunity.de/portal/access-dsl-...46639.html

Es ist ein PPTP VPN-Tunnel ohne Verschlüsselung mir fester IP-Adresse.

Nun habe ich da noch die Frage, ob der Lancom 1722 überhaupt PPTP als Client kann?

das LANCOM kann zwar auch als PPTP-Client arbeiten, aber es kann kein IPv6...

Gruß
Backslash

Jirka · Beitrag von **Jirka** » 21 Jan 2011, 11:46

Hi Backslash,

da gibt es auch Tarife mit IPv4-Adressen - ok, nicht kostenlos, aber vermutlich wollte cpuprofi in die Richtung.
Mal ganz davon abgesehen, dass VoIP und IPv6 glaube ich noch keine so gute Idee ist... Obwohl das ja langfristig durchaus einige Problemfelder eliminieren könnte...

Viele Grüße,
Jirka

cpuprofi · Beitrag von **cpuprofi** » 24 Jan 2011, 20:40

Hallo an Alle,

erstmal vielen Dank für die Hilfe. Ich habe jetzt so manches von euren Tips ausprobiert und versucht umzusetzten.

Jirka hat geschrieben:Die N:N-NAT-Tabelle wird für Mappings benutzt, wenn man auf 2 Seiten die gleichen IP-Netze hat.

@Jirka: was macht man mit der N:N-NAT-Tabelle nun genau? Ich dachte die N:N-NAT-Tabelle enthält Regeln, auf welche IP-Adressen die Quell-Adressen einzelner Stationen oder ganzer IP-Netze umgesetzt werden sollen.

Jirka hat geschrieben:Was hast Du überhaupt für ein IP-Telefon?!

Ein SNOM 370.

Jirka hat geschrieben:Da leitest Du die Ports 5004, 5006, 5008 und 5010 (UDP) für RTP weiter und 5060 (UDP) für SIP.

Habe ich gemacht und mit SIPGATE funktioniert es schon

, nur Easybell und Dus.net gehen nicht... refused with code 403

Dr.Einstein hat geschrieben:Für die N:N Mapping Tabelle verwendest du in der Aktionstabelle folgenden Eintrag:

Aktiv: ja
Name: ...
Gegenstelle: Congstar
Sperrzeit: 0
Verbindungsereignis: Aufbau
Aktion:
exec: set /Setup/IP-Router/N-N-NAT/1 * * * %a
(die 1 steht für den ersten Eintrag)

@Dr.Einstein: das mit "1 * * *" (die 1 steht für den ersten Eintrag) kann ich noch nicht ganz nachvollziehen, welcher Eintrag? Bitte aufklären

Grüße
cpuprofi