Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

...

  • Ein beliebiger Router stellt eine Internet-Verbindung zur Verfügung und gibt intern das lokale Netzwerk mit dem Adressbereich 192.168.91.0/24 als DHCP-Server aus.
  • Alle LANCOM-Kompontenten, die im lokalen Netzwerk verwendet werden, befinden sich im Auslieferungszustand und erhalten vom vorgeschalteten Router eine IP-Adresse aus dem Netzwerk 192.68.91.0/24.
  • Die Konfigurationsoberfläche der LMC im Internet kann mit einem Konfigurations-PC, der am zentralen Switch angeschlossen ist, erreicht werden.
    • Die LMC ist ausreichend lizenziert (siehe Voraussetzungen), es ist ein Projekt und ein Standort in der LMC konfiguriert.

Szenario-Grafik einer unkonfigurierten Unified Firewall und weiteren LANCOM Komponenten mit einem beliebigen vorgeschaltetem RouterImage Modified

Soll-Zustand:

  • Der beliebige Router soll weiterhin die Internet-Verbindung zur Verfügung stellen. Er wird NICHT von der LMC verwaltet.
  • Das bisherige lokale Netzwerk 192.168.91.0/24 wird per DHCPoE-Verbindung zum Transfer-Netz umfunktioniert, über welches die Unified Firewall ihren WAN-Zugang am Port eth0 bezieht.
  • Das lokale Netzwerk soll dann den IP-Adressbereich 192.168.0.0/24 erhalten und die Unified Firewall soll als zentrales Gateway die lokalen IP-Adressen per DHCP an ale alle Netzwerk-Komponenten verteilen. Das neue lokale Netzwerk wird am Port eth1 der Unified Firewall ausgegeben.
  • Ein zweites lokales Netzwerk mit dem IP-Adressbereich 172.16.0.0/24, welches keinen Zugriff auf das Firmen-Netz besitzt (Trennung per VLAN), soll für Gäste des Unternehmens verwendet werden. Es wird ebenfalls am Firewall-Port eth1 ausgegeben.
  • Ein Einer oder meherere LANCOM Access Points stellen WLAN-Netzwerke für Mitarbeiter und Gäste des Unternehmens zur Verfügung.

Szenario-Grafik einer LMC verwalteten Unified Firewall und weiteren LANCOM Komponenten und vorgeschaltetem RouterImage Modified


Vorgehensweise:

...

1.1 Öffnen Sie die Konfigurationsoberfläche der Unified Firewall im Webbrowser (https://<lokale IP-Adresse der Firewall>:3438) und ändern Sie im ersten Schritt das Administrator- und Support-Passwort in eines Ihrer Wahl.

1.2 Klicken Sie dann auf Akzeptieren und Anmelden.

Ändern der Passwörter für Administrator und Support im Setup-AssistentenImage Modified

1.3 Verwenden Sie nach der erneuten Anmeldung den deutschen Setup-Assistent.

Auswahl der Sprache für den Setup-AssistentenImage Modified

1.4 Es wird kein Konfigurations-Backup eingespielt.

Fortsetzen des Setup-Assistenten ohne BackupImage Modified

1.5 Konfigurieren Sie die allgemeinen Einstellungen nach Ihren Wünschen.

Anpassen der allgemeinen Einstellungen im Setup-AssistenenImage Modified

1.6 Das Ethernet-Interface eth0 wirnd wird in diesem Beispiel für den Internet-Zugang verwendet, Der Internetzugriff muss auf DHCP eingestellt sein.

Info

Bei einigen Unified Firewall-Modellen (z.B. bei einer UF-260) wird der SFP-Port als eth0 verwendet. Wenn Sie diesen nicht als Internet-Interface verwenden wollen/können, müssen Sie eines der Ethernet-Interfaces für den Internet-Zugang auswählen und den weiteren Konfigurationsvorgang Ihren Gegebenheiten entprechend anpassen.

Konfigurationsmenü für den Internetzugriff im Setup-AssitentenImage Modified

1.7 Deaktivieren Sie die LAN-Konfigurationen auf den Interfaces eth1 und eth2.

...

Die Konfiguration des Interface eth3 können Sie in den Standard-Einstellungen aktiviert belassen. So haben Sie im Fall, dass bei der Konfiguration der Unified Firewall ein Fehler auftritt, immer die Möglichkeit, das Gerät über ein Ethernet-Interface zu erreichen.

LAN Interface Einstellungen im Setup-AssistentenImage Modified

1.8 Bestätigen Sie den folgenden Dialog mit OK.

Bestätigung des Dialogfensters nach Änderung der LAN Interface EinstellungenImage Modified

1.9 Lesen Sie sich die Informationen der Zusamenfassung durch und klicken Sie dann auf Fertigstellen um die Grundkonfiguration abzuschließen.

Fertigstellung der Grundkonfiguration durch den Setup-AssistentenImage Modified

2. Netz- und Gerätekonfiguration in der LMC:

...

2.1.2 Stellen Sie sicher, dass im Menü Projektvorgaben → Inbetriebnahme von Geräten die Option "Default Netze keim Konfigurations-Rollout..." aktiviert ist.

Inbetriebnahme von Geräten im Menü Projektvorgaben der LMCImage Modified

2.1.3 Wechseln Sie in das Menü Projektvorgaben → SDN und stellen Sie sicher, dass neben SD-WAN, SD-LAN und SD-WLAN auch die Option Funktion SD-Security aktiviert ist.

SD-Security Funktion im Menü Projektvorgaben SDNImage Modified

2.1.4 Wechseln Sie in das Menü Geräte → Aktivierungscodes und klicken Sie auf die Schaltfläche Aktivierungscode erstellen.

2.1.5 Wählen Sie einen gwünschten gewünschten Gültigkeitszeitraum aus und klicken Sie auf Jetzt generieren.

Erstellen eines Aktiveriungscodes im Menü Geräte AktiveriungscodesImage Modified

2.1.6 Kopieren Sie den erstellten Aktivierungscode in die Zwischenablage und speichern Sie diesen z.B. in einer *.txt-Datei auf Ihrem Konfigurations-PC.

Kopieren des erstellten AktivierungscodesImage Modified

2.2 Erstellen der lokalen Netze:

2.2.1 In diesem Konfigurationsbeispiel wurde der Standard-IP-Adressbereich des vorhandenen Netzes INTRANET auf den Adressbereich 192.168.0.0/16 angepasst. Sie können jedoch auch den Standard-Bereich verwenden. Alle anderen Einstellungen dieses Netzes wurden bei den Standard-Einstellungen belassen.

Info

Wichtig ist, dass dieses Netzwerk den Zugriff auf das Internet bereitstellt und die DHCP- & DNS-Funktion aktiviert ist. Dies sind u.a. die Standard-Einstellungen.

Konfigurationsmenü Netze der LMCImage Modified

2.2.2 Wechseln Sie in das Menü Standorte → <Standortname> → Netze.

Konfigurationsmenü Standorte NetzeImage Modified

2.2.3 Weisen Sie Ihrem Standort das NETZ INTRANET zu.

Zuweisung eines ausgewählten NetzesImage Modified

2.2.4 Wechseln Sie wieder in das Menü Netze und erstellen Sie eines neues Netz, welches später für ein Gast-WLAN verwendet werden soll.

Konfigurationsmaske Netz hinzufügenImage Modified

2.2.5 Vergeben Sie einen Namen und eine Beschreibung für das neue Netz.

  • Als Adressbereich wird in diesem

...

  • Beispiel 172.16.0.0/16 verwendet.
  • Weisen Sie dem Netz unter Daten netzspezifisch markieren unbedingt eine VLAN-ID zu (hier 999).
  • Alle anderen Parameter belassen

...

  • Sie bei den Standard-Einstellungen.

Konfigurationsmenü Neues Netz erstellenImage Modified

2.2.6 Die Netztabelle muss dann Tabelle im Menü Netze muss dann folgendermaßen aussehen:

Menü Netz ÜbersichtImage Modified

2.2.7 Das neue Netz müssen Sie nun auch wieder im Menü Standorte → <Standortname> → Netze Ihrem Standort zuweisen:

Netzzuweisung im Menü StandorteImage Modified

3. Koppeln der Unified Firewall mit der LMC:

3.1Öffnen 1 Öffnen Sie die Konfiguration der Unified Firewall im Webbrowser.

3.2 Wenn Sie sich das erste Mal nach durchgeführter Grundkonfiguration an der Konfigurationsoberflche Konfigurationsoberfläche der Unified Firewall anmelden, werden Ihnen die für den Internet- und Mail-Zugang benötigten Proxy-CA-Zertifikat Zertifikate zum Download angeboten.

Hinweis
Laden Sie alle angebotenen Zertifikate herunter. Sie benötigen diese später auf jedem Netzwerk-Client für den Zugang zum Internet und zum Senden bzw. Abrufen von E-Mails (siehe auch LANCOM R&S®Unified Firewall: Konfiguration des HTTP(S)-Proxy zur Nutzung von UTM-Funktionen).

Benachrichtigungsdialog für das Web-Proxy- und das Mail-Proxy ZertifikatImage Modified

3.3 Wechseln Sie  Sie in das Menü Firewall → LMC-Einstellungen.

  • Aktivieren Sie die Kopplungs-Funktion und.
  • tragen Tragen Sie im Feld Aktivierungscode den Code ein, welchen Sie im Schritt 2.1.5 erstellt hebenhaben.

LMC Einstellungen im Firewall MenüImage Added

3.4 Klicken Sie dann auf Speichern.

Info

Die Unified Firewall wird nach kurzer Zeit mit der LMC gekoppelt und

erscheit

erscheint im LMC-Menü Geräte.

...

LMC-Menü GeräteImage Added


4. Erstellen der WLAN-Netze (SSIDs):

...

  • In diesem Beispiel soll im Netzwerk INTRANET ein WLAN-Netzwerk mit der SSID "Company" für die Mitarbeiter zur Verfügung gestellt werden, an welchem sich die Mitarbeiter mit einem Passwort (WPA-PSK) anmelden müssen.

4.4 Klicken Sie auf Speichernum die Konfiguration zu sichern.

Registerkarte WLAN im Menü NetzeImage Modified

4.5 Markieren Sie dann das Netz GAST und wechseln Sie im unteren Menü auf die Registerkarte WLAN.

...

  • In diesem Beispiel soll im Netzwerk GAST ein WLAN-Netzwerk mit der SSID "GUEST" zur Verfügung gestellt werden, an welchem sich die Gäste des Unternehmens mit einem Passwort (WPA-PSK) anmelden müssen.

4.7 Klicken Sie auf Speichernum die Konfiguration zu sichern.

Registerkarte WLAN im Menü NetzeImage Modified


5. Konfiguration der Switch-Ports:

5.1 Damit alle konfigurierten Netze auch an den (gewünschten) Ports des zentralen Switch ausgegeben werden, müssen diese im Menü Netze in einer Matrix zugewiesen werden.

5.2 . Markieren Sie zunächst das Netz INTRANET und wechseln Sie im unteren Menü auf die Registerkarte Switches.

...

5.3 Öffnen Sie die Registerkarte 10-Port-SwitchModelle und klicken Sie auf alle angezeigten Ports, damit sich diese in der Farbe, welche dem Netz zugeiwesen zugewiesen wurde, einfärben.

5.4 Klicken Sie dann auf Speichern.

5.5 Verfahren Sie in gleicher Weise mit dem Netz GAST.

Registerkarte Switches im Menü NetzeImage Modified


6. Aktivieren der Sicherheits-Funktionen für ein Netz:

...

6.2 Markieren Sie zunächst das Netz INTRANET und wechseln Sie im unteren Menü auf die Registerkarte Sicherheit.

6.3 Aktiveren Aktivieren Sie die folgenden Funktionen:

...

6.4 Klicken Sie auf Speichernum die Konfiguration zu sichern.

Info
  • Alternativ können Sie in den Registerkarten Application Management und Content Filter weitere Sicherheits-Funktionen aktivieren.
  • Für das Netzwerk GAST bietet es sich an, nur die Funktionen "Application Management" und "Content Filter" einzusetzen, da hierfür keine Zertifikate auf den Endgeräten der Besucher verwendet werden müssen.

Registerkarte Sicherheit im Menü NetzeImage Modified

7. Ausrollen der gesamten Konfiguration an die Unified Firewall:

Es sind nun alle nötigen Konfigurationsschritte in der LMC abgearbeitet. Die erstellte Konfiguration kann jetzt an die Unified - Firewall ausgerollt werden.

...

7.2 Wählen Sie aus dem "drei-Punkte-Menü" die Option Konfiguration ausrollen und bestätigen Sie den folgenden Dialog mit OK. Die Konfiguration wird nun ausgerollt.

Konfiguration ausrollen im Menü GeräteImage Modified

Warnung

Warten Sie ca. 5 bis 10 Minuten, bis der Ausrollvorgang abgeschlossen ist. Die Unified Firewall wird aufgrund der Netzwerk-Änderungen nach dem Ausrollen als Offline angezeigt, da die Internet-Verbindung durch die Konfiguration Konfigurationsänderung nicht mehr zur Verfügung steht.

Nach dem Ausroll-Vorgang müssen Sie die Ethernet-Kabel an den Netzwerk-Komponenten Switch, Gateway-Router und Unified Firewall zwingend umstecken (siehe Szenario-Grafiken am Anfang des Artikels)!

  • Die Kabel-Verbindung zwischen dem Firewall-Port eth0 und einem Switch-Port muss vom Switch abgenommen und an einen Ethernet-Port des Gateway-Routers gesteckt werden auf dem das bisherige lokale Netzwerk (192.168.91.0/24) per DHCP-Adressvergabe ausgegeben wird.
  • Es muss eine neue Kabel-Verbindung zwischen dem Firewall-Port eth1 und einem beliebigen Switch-Port gesteckt werden.

7.3 Nach dem Umstecken der Kabelverbindungen dauert es ein paar Minuten, bis alle Netzwerk-Komponenten die neuen Netzwerk-Informationen erhalten haben. Bei Bedarf kann auch der LANCOM Switch und die Access Points einmal neu gestartet werden.

7.4 Nach dem Ausrollen, besitzen alle Geräte zwei Netzwerke.

  • Das Netz INTRANET ist

...

  • mit dem IP-Adressbereich 192.168.0.0/24 versehen.
  • Das Netz GAST ist mit dem IP-Adressbereich 172.16.0.0/24 versehen.
  • Die Unified Firewall können Sie unter der lokalen IP-Adresse 192.168.0.1 erreichen.
Info

Um von ihrem Konfigurations-PC das Internet (und somit die LMC) wieder erreichen zu können, müssen Sie auf diesem nun zwingend das HTTPS-CA-Zertifikat der Unified Firewall installieren, welches Sie im Schritt 3.2 heruntegeladen heruntergeladen haben.


8. Weitere Netzwerk-Geräte zu LMC und Netzkonfiguration hinzufügen:

...

8.4 Geben Sie den Aktivierungscode ein, welchen Sie im Schritt 2,.1,.5 erstellt haben.

8.5. Nach erfolgreichem Kopplungsvorgang ändert sich das Icon vor den Geräten in ein LMC-Symbol und die Geräte erscheinen im LMC-Dialog Geräte.

LANconfig GeräteübersichtImage Modified

8.6 Wechseln Sie in die Konfigurationsoberfläche der LMC und weisen Sie im Menü Standorte → <Standortname> → Geräte alle neuen Geräte dem Standort zu.

Image RemovedRegisterkarte Geräte im Menü StandorteImage Added

8.7 Abschließend müssen Sie die neue LMC-Konfiguration an alle Geräte in Ihrem Projekt ausrollen.

  • Wechseln Sie dazu in das Menü Geräte und markeieren markieren Sie alle Geräte mit dem Status "Nicht aktuell".
  • Wählen Sie aus dem "drei-Punkte-Menü" die Option Konfiguration ausrollen und bestätigen Sie den folgenden Dialog mit OK. Die Konfiguration wird nun ausgerollt.

Image RemovedKonfiguration ausrollen im Menü GeräteImage Added

8.8 Nach dem Ausrollen ist die Konfiguration abgeschlossen.

...