Habe Lcos 5.08
Wenn ich mit dem Advanced VPN client eine Einwahlverbindung hergestellt habe (LAN over IP), möchte ich den 1721 über diese Verbindung mit Hilfe von LANconfig einsehen bzw. Konfigurationen ändern.
(Ich kann mit WEBconfig auf den 1721 remote zugreifen aber das ist für mich als Lancom Neuling sehr viel unübersichtlicher und gefahrvoller als der Zugriff mit LANconfig)
Wenn ich nun bei bestehender Verbindung in LANconfig "Gerät suchen" klicke, wird kein Gerät gefunden, weder bei "Lokales Netz durchsuchen" mit Angabe der (internen) Netzadresse vom Netz, wo der 1721 steht, noch bei "Entferntes Netz durchsuchen" mit Angabe der externen Netzadresse des 1721.
Wo ist mein Problem und wie beseitige ich es?
Konkret: 1721 interne IP = 192.168.178.11
(von mir in LANconfig "Gerät suchen" angegebene Netzadresse = 192.168.178.0/255.255.255.0)
1721 externe IP = 84.157.182.193
(von mir in LANconfig "Gerät suchen" angegebene Netzadresse = 84.157.182.0/255.255.255.0)
remote client IP = 192.168.178.240
Remote Konfiguration mit LANconfig
Moderator: Lancom-Systems Moderatoren
Hi akku99
Desweiteren funktioniert ein WAN-Zugriff nur, wenn das Gerät mit auch ein Paßwort hat....
Gruß
Backslash
unabhängig von deinem Problem, würde ich immer die aktuellste Firmware verwenden...Habe Lcos 5.08
wenn du die Adresse des 1721 doch kennst, warum fügst du das Gerät nicht einfach hinzu...Konkret: 1721 interne IP = 192.168.178.11
Das solltest du tunlichst nicht machen, sondern - wie cosoft beweits angemerkt hat - einen Zugriff von entfernten Netzen nur über VPN zulassen.ich hatte bereits per WEBconfig unter "Management/Admin/Zugriffsrechte/von entfernten Netzen" alle Protokolle erlaubt, also auch TFTP.
Desweiteren funktioniert ein WAN-Zugriff nur, wenn das Gerät mit auch ein Paßwort hat....
Gruß
Backslash
Hi backslash,
1) Mein Kunde will nicht, daß neue Firmware aufgespielt wird. Und er will auch nicht für meine Anfahrt zahlen, wenn ich nur "kleine" Änderungen an seinem 1721 vornehmen muß. "Das können Sie doch auch per Fernzugriff, oder?...."
2) Das ist ja gerade das Problem, das ich oben beschrieb: wenn ich bei "Gerät hinzufügen" die externe oder interne IP Adresse eingebe, behauptet LANconfig nach einige Sekunden Suche im lokalen und/oder entfernten Netz: "kein Gerät gefunden".
Das gleiche passiert bei "Gerät suchen" und Eingabe der entsprechenden Netzwerkadressen.
3) Die Protokolle hatte ich alle nur deshalb freigegeben, weil es nicht funzte und ich das Problem schon dort vermutet hatte
Prinzipiell ist die Fernkonfiguration im 1721 erlaubt, da ich ja per Fernzugriff über WEBconfig die Konfiguration sehen und ändern kann. Nur LANconfig sieht den 1721 erst gar nicht aus der Ferne.
Alle Firewalls auf meinem Client sind aus. Welche Ports müssen für LANconfig denn eigentlich geöffnet sein?
1) Mein Kunde will nicht, daß neue Firmware aufgespielt wird. Und er will auch nicht für meine Anfahrt zahlen, wenn ich nur "kleine" Änderungen an seinem 1721 vornehmen muß. "Das können Sie doch auch per Fernzugriff, oder?...."
2) Das ist ja gerade das Problem, das ich oben beschrieb: wenn ich bei "Gerät hinzufügen" die externe oder interne IP Adresse eingebe, behauptet LANconfig nach einige Sekunden Suche im lokalen und/oder entfernten Netz: "kein Gerät gefunden".
Das gleiche passiert bei "Gerät suchen" und Eingabe der entsprechenden Netzwerkadressen.
3) Die Protokolle hatte ich alle nur deshalb freigegeben, weil es nicht funzte und ich das Problem schon dort vermutet hatte
Prinzipiell ist die Fernkonfiguration im 1721 erlaubt, da ich ja per Fernzugriff über WEBconfig die Konfiguration sehen und ändern kann. Nur LANconfig sieht den 1721 erst gar nicht aus der Ferne.
Alle Firewalls auf meinem Client sind aus. Welche Ports müssen für LANconfig denn eigentlich geöffnet sein?
Hi akku99
Auch der AVC hat eine eigene Firewall...
Der Client sendet ein Paket von Port X an port 69
Der Server antwortet darauf mit einem Paket von Port Y an Port X.
Es gibt viele Firewalls, die das nicht abkönnen...
Gib im Ernstfall in deiner Firewall LANconfig für eingehende UDP-Verbindungen frei...
Gruß
Backslash
sicher? Die XP-Firewall ist da manchmal sehr hartnäckig...Alle Firewalls auf meinem Client sind aus.
Auch der AVC hat eine eigene Firewall...
eigentlich nur Port 69... Das Problem ist, daß LANconfig mit TFTP arbeitet und genau das führt bei manchen Firewalls zu massiven Problemen, da sich dabei der entfernte Port ändert:Welche Ports müssen für LANconfig denn eigentlich geöffnet sein?
Der Client sendet ein Paket von Port X an port 69
Der Server antwortet darauf mit einem Paket von Port Y an Port X.
Es gibt viele Firewalls, die das nicht abkönnen...
Gib im Ernstfall in deiner Firewall LANconfig für eingehende UDP-Verbindungen frei...
Gruß
Backslash
Hi backslash,
Personal Firewall hab ich keine, die XP Firewall ist deaktiviert.
ABER: ich habe eine FritzBox und die HAT eine Firewall! Dumm nur, daß die sich nicht generell abschalten läßt und auch eine Regel, die alle UDP Ports öffnet (1-65534), akzeptiert sie nicht.
Und auch ein Log der verworfenen reinkommenden Pakete hat sie nicht.
Personal Firewall hab ich keine, die XP Firewall ist deaktiviert.
ABER: ich habe eine FritzBox und die HAT eine Firewall! Dumm nur, daß die sich nicht generell abschalten läßt und auch eine Regel, die alle UDP Ports öffnet (1-65534), akzeptiert sie nicht.
Und auch ein Log der verworfenen reinkommenden Pakete hat sie nicht.
Ich hab jetzt mit 'nem Netgear Router herausgefunden, daß die Anforderungen der Gerätesuche von LANconfig auf UDP Ports zwischen 2700 und 2800 abgehen und auch wieder ankommen. Nach dem Einrichten einer entsprechenden Freigabe, hat es mit der externen IP des 1721 gefunzt, d.h. LANconfig hat ihn gefunden!!!
Nochmals vielen Dank für die Info, backslash!
Gibts denn von Lancom evtl. eine offizielle Aussage in welchem Portbereich sich die Anfragen abspielen, so daß man den freigegebenen Portbereich möglichst klein halten kann?
Das Problem mit der Freigabe eines großen Portbereiches bei meiner Hardware Firewall ist, daß an dem Router noch andere User hängen und die Freigabe genau genommen ein Port-Forwarding ist.
Ich muß also bei der Freigabe genau sagen, an welchen Client diese Ports weitergeleitet werden. Wenn nun für einen anderen Client was zwischen 2700 und 2800 ankommt, bekommt der das nie zu sehen!!
Nachtrag: jetzt werden Ports zwischen 3000 und 4000 benutzt!!
So kann ich das ja nie unter Kontrolle bringen!
Nochmals vielen Dank für die Info, backslash!
Gibts denn von Lancom evtl. eine offizielle Aussage in welchem Portbereich sich die Anfragen abspielen, so daß man den freigegebenen Portbereich möglichst klein halten kann?
Das Problem mit der Freigabe eines großen Portbereiches bei meiner Hardware Firewall ist, daß an dem Router noch andere User hängen und die Freigabe genau genommen ein Port-Forwarding ist.
Ich muß also bei der Freigabe genau sagen, an welchen Client diese Ports weitergeleitet werden. Wenn nun für einen anderen Client was zwischen 2700 und 2800 ankommt, bekommt der das nie zu sehen!!
Nachtrag: jetzt werden Ports zwischen 3000 und 4000 benutzt!!
So kann ich das ja nie unter Kontrolle bringen!
Hi akku99
Gruß
Backslash
tja, wäre da ein LANCOM, dann würde das auch klappen. Beschwer dich bei AVM darüber, daß sie nicht in der Lage sind TFTP zu maskieren...ABER: ich habe eine FritzBox und die HAT eine Firewall!
Der Port wird von Windows dynamisch vergeben...Gibts denn von Lancom evtl. eine offizielle Aussage in welchem Portbereich sich die Anfragen abspielen, so daß man den freigegebenen Portbereich möglichst klein halten kann?
Ich dachte du wolltest den Router durch den VPN-Tunnel konfigurieren und nicht im Klartext über das Internet. Wenn das TFTP durch den Tunnel läuft, dann bekommt deine Fritzbox doch gar nichts davon mit...Das Problem mit der Freigabe eines großen Portbereiches bei meiner Hardware Firewall ist
Gruß
Backslash
Offensichtlich blicke ich den mechanismus von LANconfig noch nicht ganz.backslash hat geschrieben:Ich dachte du wolltest den Router durch den VPN-Tunnel konfigurieren und nicht im Klartext über das Internet. Wenn das TFTP durch den Tunnel läuft, dann bekommt deine Fritzbox doch gar nichts davon mit...
Was ich verstanden habe:
+ "Gerät suchen" passiert durch UDP 69 und wird vom remote 1721 über irgend einen anderen UDP Port bestätigt. Wenn dieser Port in meiner Hardwarefirewall offen ist (dazu am Besten temporär ganze Bereiche öffnen), dann meldet LANconfig: "Gerät gefunden".
Was mir nicht klar ist: Muss dann für die eigentliche Nutzung von LANconfig zur Konfiguration des remote 1721 kein UDP Port mehr offen sein? Evtl. dann andere Ports?
Hab ich überhaupt was gewonnen, wenn ich durch Öffnen der UDP Ports den 1721 gefunden habe?
Hi akku 90
Der Client (also LANconfig) schickt ein Paket an Port 69. Das Paket braucht aber auch einen Absenderport und der wird von Windows dynamisch ausgewählt - nennen wir ihn X.
Das Paket kommt beim LANCOM an und es wird eine Antwort geschickt. Diese Antwort hat den Zielport X (also den, den sich Windows dynamisch ausgedacht hat). Nun ist es so, daß dieses Antwortpaket als Quellport aber nicht den port 69 haben darf. Also sucht sich das LANCOM auch wieder dynamisch einen Port aus. Nennen wir ihn Y
Ab nun erfolgt die Datenübertragung zwischen den ports X und Y. Und genau damit hat wohl die Fritzbox ein Problem.
nein, außer du öffnest alle Ports, da die nächste TFTP-Anfrage wieder einen neuen Port nimmt.
Aber wieseo kümmerst du dich heir überhaupt darum?
Wenn du das über VPN machen würdest, dann wäre das doch egal (du mußt das LANCOM dabei nur unter seiner internen Adresse ansprechen)...
Gruß
Backslash
TFTP läuft wie folgt ab (habe ich oben schon beschrieben):Was ich verstanden habe:
+ "Gerät suchen" passiert durch UDP 69 und wird vom remote 1721 über irgend einen anderen UDP Port bestätigt. Wenn dieser Port in meiner Hardwarefirewall offen ist (dazu am Besten temporär ganze Bereiche öffnen), dann meldet LANconfig: "Gerät gefunden".
Der Client (also LANconfig) schickt ein Paket an Port 69. Das Paket braucht aber auch einen Absenderport und der wird von Windows dynamisch ausgewählt - nennen wir ihn X.
Das Paket kommt beim LANCOM an und es wird eine Antwort geschickt. Diese Antwort hat den Zielport X (also den, den sich Windows dynamisch ausgedacht hat). Nun ist es so, daß dieses Antwortpaket als Quellport aber nicht den port 69 haben darf. Also sucht sich das LANCOM auch wieder dynamisch einen Port aus. Nennen wir ihn Y
Ab nun erfolgt die Datenübertragung zwischen den ports X und Y. Und genau damit hat wohl die Fritzbox ein Problem.
Eine funktionierende Firewall würde das automatisch erkennen und es müßten keine Ports manuell "geöffnet" werden.Was mir nicht klar ist: Muss dann für die eigentliche Nutzung von LANconfig zur Konfiguration des remote 1721 kein UDP Port mehr offen sein? Evtl. dann andere Ports?
Hab ich überhaupt was gewonnen, wenn ich durch Öffnen der UDP Ports den 1721 gefunden habe
nein, außer du öffnest alle Ports, da die nächste TFTP-Anfrage wieder einen neuen Port nimmt.
Aber wieseo kümmerst du dich heir überhaupt darum?
Wenn du das über VPN machen würdest, dann wäre das doch egal (du mußt das LANCOM dabei nur unter seiner internen Adresse ansprechen)...
Gruß
Backslash
Ich häng mich mal hier an:
ist es möglich den 'weiteren Administratoren' den Zugriff auf das Hauptgeräte Passwort zu entziehen? Die Admins melden sich per Lanconfig im VPN Netz an. Sie arbeiten direkt an der Konfig. Ich möchte aber nun vermeiden das sie sich das Hauptgeräte Passwort anzeigen lassen können. Ist das möglich?
Gruß
JI
ist es möglich den 'weiteren Administratoren' den Zugriff auf das Hauptgeräte Passwort zu entziehen? Die Admins melden sich per Lanconfig im VPN Netz an. Sie arbeiten direkt an der Konfig. Ich möchte aber nun vermeiden das sie sich das Hauptgeräte Passwort anzeigen lassen können. Ist das möglich?
Gruß
JI