Seitenhistorie

...

Seiteneigenschaften

Description:

In stark heterogenen Umgebungen mit Netzwerk-Geräten unterschiedlicher Hersteller kann es herausfordernd sein, eine highly heterogeneous environments with network devices from different manufacturers, integrating a LANCOM R&S®Unified Firewall mit UTM-Funktionen in einem vorhandenen Netzwerk einzubinden. Die einfachste Lösung ist der Einsatz des transparenten Bridge Mode. Dadurch können alle Features der vorhandenen Netzwerk-Geräte weiterverwendet werden (etwa bestehende VPN-Verbindungen).with UTM features can be a challenge. The simplest solution is to use the transparent bridge mode. This allows all of the features of existing network devices to remain in use (e.g. existing VPN connections).

This article describes how the UTM features of a In diesem Artikel wird beschrieben, wie die UTM-Funktionen einer LANCOM R&S®Unified Firewall in heterogenen Netzwerk-Umgebungen mittels transparentem Bridge Mode verwendet werden könnenare operated in heterogeneous network environments by means of the transparent bridge mode.

Info
In diesem Szenario können alle UTM-Funktionen verwendet werdenAll UTM functions can be operated in this scenario.

Requirements:

LANCOM R&S®Unified Firewall mit with LCOS FX ab Version as of version 10.4
Basic oder Full License (Full License erforderlich für UTM-Funktionen)
Bereits eingerichtetes und funktionsfähiges Netzwerk-Szenario
Die Unified Firewall muss sich im Werkszustand befinden
or full license (full license required for UTM functions)
Installed and functional network scenario
The Unified Firewall must be in its ex-factory state
Web browser for configuring the Unified Firewall.

The following browsers are supportedWeb-Browser zur Konfiguration der Unified Firewall.
Es werden folgende Browser unterstützt:
- Google Chrome
- Chromium
- Mozilla Firefox

Scenario:

Auf dem Router ist das IP-Netzwerk The router supports the IP network 192.168.100.0/24 mit der IP-Adresse and operates with the IP address 192.168.100.254 eingerichtet.
Der Router fungiert als Standard-Gateway und stellt auch den DHCP- und DNS-Server zur Verfügung.
The router works as the default gateway and also operates the DHCP and DNS servers.
On the Unified Firewall, the interfaces eth1 and eth2 are collected in bridge br0 and this is assigned the IP address Auf der Unified Firewall werden die Interfaces eth1 und eth2 in der der Bridge br0 zusammengefasst und dieser die IP-Adresse 192.168.100.253 zugewiesen.

Image RemovedImage Added

Procedure:

1. Konfiguration des transparenten Bridge Mode auf der ) Configuring transparent bridge mode on the Unified Firewall:

1.1 Verbinden Sie sich per Web-Browser mit der Unified Firewall, wechseln in das Menü Netzwerk → Verbindungen → Netzwerk-Verbindungen und löschen zwei nicht verwendete Verbindungen über die "Mülltonnen-Symbole", damit zwei Ethernet-Ports für die Bridge zur Verfügung stehen (in diesem Beispiel die Interfaces eth1 und ) Connect to the Unified Firewall using a web browser, switch to the menu Network → Connections → Network Connections, and use the “trash can” icons to delete two unused connections so that the two Ethernet ports are available for the bridge (in this example the interfaces eth1 and eth2).

Image Modified

1.2 Wechseln Sie in das Menü Netzwerk ) Navigate to the menu Network → Interfaces → Bridge Interfaces und klicken auf das "Plus-Zeichen", um ein neues Interface zu erstellen. and click on the “+” icon to create a new interface.

Image AddedImage Removed

1.3 Tragen Sie die in Schritt ) Enter the ports deleted in step 1.1 gelöschten Ports ein (in diesem Beispiel this example eth1 und and eth2) und klicken auf Erstellenand click Create.

Image RemovedImage Added

1.4 Wechseln Sie in das Menü Netzwerk → Verbindungen → Netzwerk-Verbindungen und klicken auf das "Plus-Zeichen", um ein neues Interface zu erstellen.

Image Removed

1.5 Passen Sie die folgenden Paramater an und klicken auf Erstellen:

) Change to the menu Network → Connections → Network Connections and click on the “+” icon to create a new interface.

Image Added

1.5) Modify the following parameters and then click Create:

Name: Enter a descriptive name (in this example Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel Bridge-Interface).
Interface: Wählen Sie das in Schritt Select the bridge interface created in step 1.3 erstellte Bridge-Interface aus (in diesem Beispiel this case br0).
IP -Adressen: Tragen Sie eine freie IP-Adresse im CIDR-Format aus dem Netzwerk ein, in das die Unified Firewall eingebunden werden soll (in diesem Beispiel Addresses: Enter a free IP address in CIDR format on the network where the Unified Firewall is to be integrated (in this example 192.168.100.253/24).

Hinweis
Im Reiter WAN darf anschließend kein Standard-Gateway hinterlegt werden!

Image Removed

1.6 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der bereits vorhandenen Tabelle 254 auf das "Stift-Symbol", um die Einstellungen zu bearbeiten.

Image Removed

1.7 Klicken Sie auf das "Plus-Zeichen", um einen weiteren Routing-Eintrag zu erstellen.

Image Removed

1.8 Passen Sie die folgenden Parameter an und klicken auf OK:

On the WAN tab, do not set a default gateway!

Image Added

1.6) Change to the menu Network → Routing → Routing Tables and click on the “edit” icon to modify the settings of the Table 254.

Image Added

1.7) Click on the “+” icon to create an additional routing entry.

Image Added

1.8) Modify the following parameters and then click OK:

Interface: From the drop-down menu select the bridge interface created in step 1.3 (in this case br0).
Destination: Enter the address
Interface: Wählen Sie im Dropdownmenü das in Schritt 1.3 erstellte Bridge-Interface aus (in diesem Beispiel br0).
Ziel: Tragen sie die Adresse 0.0.0.0/0 ein. Dadurch werden Pakete für beliebige Ziele über diese Route geleitet (Default-Route. This routes packets for any destination via this route (default route).
Gateway: Tragen Sie die IP-Adresse des Standard-Gateways in dem vorhandenen Netzwerk ein.Enter the IP address of the default gateway on the available network.

Image AddedImage Removed

1.9 Klicken Sie auf Speichern.) Click on Save.

Image RemovedImage Added

1.10 Klicken Sie auf das Symbol zum Erstellen eines Netzwerks, um ein Objekt für das lokale Netzwerk anzulegen.

Image Removed

1.11 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

) Click the icon to create a new network to create an object for the local network.

Image Added

1.11) Modify the following parameters and then click Create:

Name: Enter a descriptive name (in this example Production).
Interface: Select the bridge interface created in step 1.3 (in this case br0).
Network IP: Enter the network address of the existing network in CIDR format (in this example
Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel Produktion).
Interface: Wählen Sie das in Schritt 1.3 erstellte Bridge-Interface aus (in diesem Beispiel br0).
Netzwerk-IP: Tragen Sie die Netz-Adresse des vorhandenen Netzwerks im CIDR-Format ein (in diesem Beispiel 192.168.100.0/24).

Image RemovedImage Added

1.12 Klicken Sie erneut auf das Symbol zum Erstellen eines Netzwerks, um ein Objekt für die Internet-Verbindung anzulegen.

Image Removed

1.13 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

) Click the icon to create a new network once again to create an object for the Internet connection.

Image Added

1.13) Modify the following parameters and then click Create:

Name: Enter a descriptive name (in this example Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel Internet).
Interface: Wählen Sie die Schnittstelle any ausSelect the interface any.
Netzwerk-Network IP: Tragen Sie die Adresse Enter the address 0.0.0.0/0 ein. Diese steht für beliebige Ziele. This stands for any destination.

Image RemovedImage Added

2. Erlauben der DHCP-Kommunikation:

Damit die DHCP-Kommunikation zwischen den Endgeräten und dem DHCP-Server auf dem Router möglich ist, muss eine entsprechende Firewall-Regel erstellt werden.

Info
Wird ein DHCP-Server "hinter" der Unified Firewall verwendet, durchlaufen die DHCP-Pakete die Unified Firewall nicht. In diesem Fall müssen die folgenden Konfigurations-Schritte nicht umgesetzt werden.

2.1 Klicken Sie auf das Symbol zum Erstellen eines Hosts, um ein Objekt für die DHCP-Quelle anzulegen.

Image Removed

2.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

) Allow DHCP communication:

A firewall rule is required to enable DHCP communication between the end devices and the DHCP server on the router.

Info
If a DHCP server is operated “behind” the Unified Firewall, the DHCP packets do not pass through it. In this case, the following configuration steps are not necessary.

2.1) Click the icon to create a host to create an object for the DHCP source.

Image Added

2.2) Modify the following parameters and then click Create:

Name: Enter a descriptive name (in this example Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel DHCP_Source).
Interface: Wählen Sie das Interface any ausSelect the interface any.
IP -Adresse: Tragen Sie die IP-Adresse address: Enter the IP address 0.0.0.0 ein. Eine DHCP-Anfrage wird immer mit dieser Quell-Adresse durchgeführtAll DHCP requests are performed with this source address.

Image Removed Image Added

2.3 Klicken Sie erneut auf das Symbol zum Erstellen eines Hosts, um ein Objekt für das DHCP-Ziel anzulegen.

Image Removed

2.4 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

) Click the icon to create a host once again to create an object for the DHCP target.

Image Added

2.4) Modify the following parameters and then click Create:

Name: Enter a descriptive name (in this example Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel DHCP_Target).
Interface: Wählen Sie das Interface any ausSelect the interface any.
IP -Adresse: Tragen Sie die IP-Adresse address: Enter the IP address 255.255.255.255 ein. Eine DHCP-Anfrage wird immer mit dieser Ziel-Adresse durchgeführt. Es handelt sich dabei um eine Broadcast-Adresse.

Image Removed

2.5 Wechseln Sie in das Menü Desktop → Dienste → Benutzerdef. Dienste und klicken auf das "Plus-Zeichen", um einen benutzerdefinierten Dienst zu erstellen.

Image Removed

2.6 Vergeben Sie einen aussagekräftigen Namen und klicken auf das "Plus-Zeichen", um Ports und Protokolle hinzuzufügen.

Image Removed

2.7 Tragen Sie die Ports von 67 bis 68 ein und wählen das Protocol UDP aus. Klicken Sie anschließend auf OK.

Image Removed

2.8 Klicken Sie auf Erstellen.

Image Removed

2.9 Klicken Sie auf dem Desktop auf das in Schritt 2.2 erstellte Objekt für die DHCP-Quelle (DHCP_Source), wählen das Verbindungswerkzeug aus und klicken auf das in Schritt 2.4 erstellte Objekt für das DHCP-Ziel (DHCP_Target).

Image Removed

2.10 Fügen Sie den in Schritt 2.6 - 2.8 erstellten benutzerdefinierten Dienst für DHCP über einen Klick auf das "Plus-Zeichen" hinzu.

Image Removed Image Removed

2.11 Klicken Sie auf Erstellen, um die Firewall-Regel anzulegen.

Image Removed

2.12 Die Konfiguration der transparenten Bridge ist damit abgeschlossen. Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

Image Removed

3. Konfiguration von UTM-Funktionen:

All DHCP requests are performed with this target address. This is the broadcast address.

Image Added

2.5) Change to the menu Desktop → Services → User-defined Services and click on the “+” icon to create a user-defined service.

Image Added

2.6) Give it a descriptive name and click on the “+” icon to add the Ports and Protocols.

Image Added

2.7) Enter the ports 67 to 68 and select the UDP protocol. Then click on OK.

Image Added

2.8) Click on Create.

Image Added

2.9) On the desktop, click the DHCP source object (DHCP_Source) created in step 2.2, select the connection tool and click the DHCP target object (DHCP_Target) created in step 2.4.

Image Added

2.10) Use the “+” icon to add the user-defined service created for DHCP in step 2.6 - 2.8.

Image Added Image Added