Lancom Konfig => Ich habe Fragen....

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
theHias
Beiträge: 7
Registriert: 02 Jun 2022, 21:36
Wohnort: Augsburg

Lancom Konfig => Ich habe Fragen....

Beitrag von theHias »

Guten Abend zusammen,

ich bin absoluter LanCom neuling und stehe vor einer Mammutaufgabe :D

Ein 1781EF+ mit LCOS 10.50 soll als VPN-Gateway konfiguriert werden.
Den 1781EF+ hatten wir in der Firma noch rum liegen. Der hat auch ne VPN25 Option drauf:

Hier das Ausgangsszenario:

Der 1781EF+ ist mit einer öffentlichen IP im Internet an der WAN Schnittstelle.
Das Eth1 Interface soll mit einem Transfernetz 192.168.195.0/24 (ich weiß, viel zu groß) in der DMZ einer Checkpoint-Firewall stehen.
Über dieses Transfernetz werden die Netze 192.168.0.0/24 und 192.168.1.0/24 in der DMZ geroutet.

Irgendwie komm ich mit den LanCom Geräten nicht klar.
Mein Standart- Portfolio ist Cisco. Leider bin ich auf die LanCom Hardware fixiert, weil Chef das so will...

Kann mir jemand dabei helfen?
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Lancom Konfig => Ich habe Fragen....

Beitrag von Dr.Einstein »

Hey,

- Ersteinrichtungsassistent durchklicken, IP Adresse 192.168.195.2/24 oder was auch immer
- Interneteinrichtungsassistent durchklicken
- Routerkonfiguration manuell öffnen mittels LanConfig oder WebConfig
-- Im Menüpunkt IP-Router / Routing / IPv4-Routingtabelle zwei Einträge hinzufügen: 192.168.0.0/24 + 192.168.1.0/24, Gateway (nicht irritieren lassen vom Dropdown, man kann dort händsich was reinschreiben) 192.168.195.1 (oder was auch immer deine Checkpoint hat), Maskierung aus.

Viel Erfolg

Gruß Dr.Einstein
theHias
Beiträge: 7
Registriert: 02 Jun 2022, 21:36
Wohnort: Augsburg

Re: Lancom Konfig => Ich habe Fragen....

Beitrag von theHias »

OK, Danke.

Die Frage wäre jetzt noch folgende:

Es sollen sich 2 Aussenstellen über dieses "VPN-Gateway" in unser Firmennetz einbuchen.
Sie sollen über eine VPN-Verbindung die Netze 192.168.1.0/24 (Voice VL200) und 192.168.0.0/24 (Data VL100) zugewiesen bekommen.

Wir haben dafür 1790EF besorgt. Der Plan war Data auf Eth1 auszugeben und Voice auf Eth2 auszugeben.
Um die Netze über die VPN-Verbindung Transportieren zu können, muss ich die Ja auf dem "VPN-GateWay 1781EF+" auch anlegen?
Oder täusche ich mich da?

Muss ich, wenn ich die VPN-Verbindung erstellt habe, dem Router sagen, dass er beide VL tagged über das "VPN-Interface" transportieren soll?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von theHias am 02 Jun 2022, 23:34, insgesamt 1-mal geändert.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Lancom Konfig => Ich habe Fragen....

Beitrag von Dr.Einstein »

Ehrlich gesagt verstehe ich die Frage nicht. So würdest du das doch auch nicht mit Ciscos realisieren oder machst du da VPN mittels GRE-Tunneln? Die Außenlokationen bekommen natürlich andere IP-Adressen als dein Zentralstandort. Wie sollte sonst ein Routing funktionieren?

Sag am besten, was du anstelle von Lancom Router mit Ciscos gebaut hättest und ich versuche dir zu beschreiben, was du wo dafür einstellen musst.
theHias
Beiträge: 7
Registriert: 02 Jun 2022, 21:36
Wohnort: Augsburg

Re: Lancom Konfig => Ich habe Fragen....

Beitrag von theHias »

Hi,

klar du hast Recht. Scheiß Tunnelblick wenn man sich in was verkopft....
Diese GUI Config hat mich echt umgehauen, und die Console ist auch "gewöhnungsbedürftig" :D ....

Ich leg in den Aussenstellen natürlich andere Netze an und Route die dann durch.

Für Data in
Aussenstelle1 das 192.168.2.0/24
Aussenstelle2 das 192.168.3.0/24
Die Data-Netze dann geroutet auf 192.168.0.0/24

Für Voice in
Aussenstelle1 das 192.168.11.0/24
Aussenstelle2 das 192.168.12.0/24
Die Voice-Netze dann geroutet auf 192.168.0.1.0/24

So wird ein Schuh draus...
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Lancom Konfig => Ich habe Fragen....

Beitrag von Dr.Einstein »

theHias hat geschrieben: 02 Jun 2022, 23:51 Die Voice-Netze dann geroutet auf 192.168.0.1.0/24
IPv5 unterstützt der Lancom leider nicht. Spaß beiseite.

Ok, erstmal die Zentrale so einrichten, wie von mir beschrieben. Danach gehst du beide Außenstellen mit dem Ersteinrichtungsassistenten durch und vergibst dort das Datennetz. Editiere danach die Konfiguration und gehe unter IPv4 / Allgemein / IP-Netzwerke und ergänze dort dein 2. Netzwerk. An dieser Stelle kannst du auch den beiden Netzwerk eine logische Schnittstelle (LAN-1 / LAN-2) zuweisen, falls du aufgrund der Ethernet Ports trennen möchtest. Die Zuordnung der logischen Netzwerke (LAN-x) zu einem Ethernetport kannst du unter Schnittstellen / LAN / Ethernet_ports vornehmen.

Sind auf allen Seiten die Grundeinrichtungen erledigt, so kannst du auf der Zentrale mit dem Einrichtungsassistenten für VPN fortfahren, IKEv2 auswählen, und die Abfragen alle beantworten so wie du es von Cisco kennst. Gateway lässt du bei der Zentrale auf 0.0.0.0 stehen, sollten die Außenlokationen keine Feste IP besitzen. Als IP-Netz trägst du erst einmal nur das Datennetz ein. Nachdem du mit dem VPN Assistenten fertig bist, öffnest du erneut manuell die Konfiguration und kopierst unter IP-Router / Routing / IPv4-Routing den bestehenden Eintrag, der auf die VPN Verbindung zeigst und änderst dort nur die IP-Adresse zum Voicenetz ab.

Das wars, viel Erfolg

Gruß Dr.Einstein
theHias
Beiträge: 7
Registriert: 02 Jun 2022, 21:36
Wohnort: Augsburg

Re: Lancom Konfig => Ich habe Fragen....

Beitrag von theHias »

Guten Abend Dr. Einstein,

vielen Dank noch einmal. Hat alles reibungslos geklappt.

Eine Frage habe ich noch
Gibt es die Möglichkeit für die Konfig-Seite ein SSL HTTPS Zertifikat bei z.B. LetsEncrypt zu erstellen?

Also kein Self-Sign Zertifikat...
Das wäre natürlich sehr cool...

Beste Grüße
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Lancom Konfig => Ich habe Fragen....

Beitrag von 5624 »

Möglich ja, aber nicht so, wie du es dir vorstellst.

certbot-fähiges System an den Router, Portweiterleitung von Port 80 extern an Port 80 auf das System, certbot laufen lassen und dann das Zertifikat in den Router laden.

Einen entsprechenden Client hat der Router aber nicht an Bord, ebenso wie die meisten professionellen Geräte. Hier findet man häufiger eine eigene PKI, der intern vertraut wird, was sogar sicherer ist, als eine öffentliche PKI dafür zu nutzen.
LCS NC/WLAN
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Lancom Konfig => Ich habe Fragen....

Beitrag von Dr.Einstein »

Hey,

du kannst ein SSL Zertifikat für die Konfigurationsseite in den Lancom Router reinladen, z.B. über LanConfig rechtsklick aufs Gerät / Konfigurationsverwaltung / Konfiguration oder Zertifikat hochladen und dann hast du dort die ganzen SSL-Zertifikate als Möglichkeit. Einen Automatismus ähnlich z.B. einer Fritzbox gibt es (noch?) nicht. Immerhin hat Lancom in Zusammenhang mit der Cloud schon einen eigenen DynDNS Service erstellt. Der Weg zum öffentlich gültigen Zertifikat ist dann gar nicht mehr so weit. Ähnliche Schritte hatte damals auch AVM vorgenommen.

Gruß Dr.Einstein
Antworten