Hallo,
wir nutzen den Lancom Router jetzt schon 2 Jahre und sind sehr zufrieden, wir haben 2 Netzwerke. Das eine hat Internet und ist quasi nahezu ungeschützt im Internet, dass andere Netzwerk ist mit einer Deny All Strategie geschützt, lediglich VPN Zugriff für RDP ist möglich. Wir nutzen allerdings eine Software in der von einer externen Firma eine Fernwartung durchgeführt werden muss.
Dazu müssen folgende Ports freigeschaltet werden 5500-5510 (TCP) auf eine bestimmte URL/IP.
Meine Vorgehensweise war bislang in die Port-Forwarding-Tabelle die Ports und die IP des Rechners auf dem die Software sich befindet freizuschalten und eine Firewallregel habe ich auch hinzugefügt, die die Ports durchlassen soll, da wir ja Deny ALL nutzen.
Ich nutze Lanconfig, braucht ihr noch weitere Informationen, hab eigentlich alles gemacht wie es in den FAQ's steht, aber es will einfach nicht funktionieren.
Lancom 1711 Ports freischalten Deny All Strategie
Moderator: Lancom-Systems Moderatoren
Hi rbn111
Gruß
Backslash
das ist auch alles, was du machen mußt - so die Software nur Sessions von aussen nach innen öffnen will. Wenn sie aber auch umgekehrt Sessions von innen nach aussen Öffnen will, dann mußt du dies auch mit passenden Firewallregeln zulassen...Meine Vorgehensweise war bislang in die Port-Forwarding-Tabelle die Ports und die IP des Rechners auf dem die Software sich befindet freizuschalten und eine Firewallregel habe ich auch hinzugefügt, die die Ports durchlassen soll, da wir ja Deny ALL nutzen.
Gruß
Backslash
Ich hab auch 2 Regeln dafür definiert, allerdings funktioniert es nicht.
Der Fehler muss doch irgendwo bei den 2 Fernwartungsregeln in der Firewall liegen.
Ich teste die Verbindung mit telnet "ip" 5500 und bekomme keine Verbindung, deaktiviere ich die Deny All Regel geht es.
Ich hab die Regeltabelle eingefügt, aber ich wüsste nicht was falsch ist.
Aktion = Accept, Quelle/Ziel = Gegenstelle"DSL" und das Subnetzwerk und unter Dienste die betreffenden TCP Ports freigeschaltet.[/img]
Der Fehler muss doch irgendwo bei den 2 Fernwartungsregeln in der Firewall liegen.
Ich teste die Verbindung mit telnet "ip" 5500 und bekomme keine Verbindung, deaktiviere ich die Deny All Regel geht es.
Ich hab die Regeltabelle eingefügt, aber ich wüsste nicht was falsch ist.
Aktion = Accept, Quelle/Ziel = Gegenstelle"DSL" und das Subnetzwerk und unter Dienste die betreffenden TCP Ports freigeschaltet.[/img]
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
Elektrolurch
- Beiträge: 29
- Registriert: 17 Sep 2006, 02:18
Hi,
ich denke die Priorisierung der Deny-All Regel ist grundsaetzlich falsch. Die Firewall arbeitet die Regeln von Oben nach Unten ab, die DENY Regel steht aber durch die Prio 1 Oben. Nimm die Prio "1" aus der "DENY-INET" Regel raus, dann sollte diese auch wieder Unten stehen und die "Uebertragen" Regelen darueber.
Ciao
LoUiS
ich denke die Priorisierung der Deny-All Regel ist grundsaetzlich falsch. Die Firewall arbeitet die Regeln von Oben nach Unten ab, die DENY Regel steht aber durch die Prio 1 Oben. Nimm die Prio "1" aus der "DENY-INET" Regel raus, dann sollte diese auch wieder Unten stehen und die "Uebertragen" Regelen darueber.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Ich habe jetzt die Priorität auf 0 gesetzt der Deny ALL Regel und als es trotzdem nicht funktioniert hat habe ich noch den Haken bei weitere Regeln beachten gesetzt, leider auch ohne Erfolg.
Wenn ich telnet ip 5500 eingebe kommt immer Verbindung fehlgeschlagen, dass muss aber funktionieren, irgendwie beachtet er die anderen Regeln nicht oder Sie sind falsch, wenn ich Deny ALL ausschalte läuft es ohne Probleme.
Wenn ich telnet ip 5500 eingebe kommt immer Verbindung fehlgeschlagen, dass muss aber funktionieren, irgendwie beachtet er die anderen Regeln nicht oder Sie sind falsch, wenn ich Deny ALL ausschalte läuft es ohne Probleme.
Hi,
aus Deinen Angaben kann man halt nicht mehr ersehen.
Erstelle auf der CLI des LANCOM mal einen FW-Trace um zu sehen wo die Pakete haengen bleiben. (tr # fire).
Dabei solltest Du die entsprechende Regel angezeigt bekommen die fuer den Fall matched.
Diese musst Du dann bearbeite, so dass es fuer Dein Netz passt und das Paket durchgelassen wird.
Bsp.:
Ciao
LoUiS
aus Deinen Angaben kann man halt nicht mehr ersehen.
Erstelle auf der CLI des LANCOM mal einen FW-Trace um zu sehen wo die Pakete haengen bleiben. (tr # fire).
Dabei solltest Du die entsprechende Regel angezeigt bekommen die fuer den Fall matched.
Diese musst Du dann bearbeite, so dass es fuer Dein Netz passt und das Paket durchgelassen wird.
Bsp.:
Code: Alles auswählen
[Firewall] 2011/12/02 11:53:34,631
Packet matched rule ALW_DNS->
DstIP: 10.98.1.33, SrcIP: 10.98.1.48, Len: 69, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 1029
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Fehler gefunden! Hatte vergessen, dass die Quellports dynamisch sind, jetzt funktioniert es.
Ist es jetzt eigentlich ohne weiteres Möglich die "Fernwartung" auch auf anderen Rechnern im gleichen Subnetzwerk zu benutzen?
Die Firewallregeln erlauben es ja, allerdings steht ja die Portweiterleitung auf einer bestimmten IP? Kann man da was machen?
Danke EUCH!
Ist es jetzt eigentlich ohne weiteres Möglich die "Fernwartung" auch auf anderen Rechnern im gleichen Subnetzwerk zu benutzen?
Die Firewallregeln erlauben es ja, allerdings steht ja die Portweiterleitung auf einer bestimmten IP? Kann man da was machen?
Danke EUCH!