...
- LANCOM R&S® Unified Firewall mit Firmware ab Version 10.6
- LANCOM Managed managed Switch
- Optional: LANCOM Access Points für WLAN-Zugang mit LCOS ab Version 10.50 (download aktuelle Version)
- LANtools ab Version 10.50 (download aktuelle Version)
- Web-Browser zur Konfiguration der Unified Firewall und LMC.
Es werden folgende Browser unterstützt:- Google Chrome
- Chromium
- Mozilla Firefox
- LMC Zugang (kostenpflichtig) mit vorhandenem LMC-Projekt und Lizenzen für alle benötigten eingesetzten LANCOM Geräte
- Funktionaler ADSL- oder VDSL- Internetzugang für den Kontakt zur LMC
...
- Ein beliebiger Router stellt eine Internet-Verbindung zur Verfügung und gibt intern das lokale Netzwerk mit dem Adressbereich 192.168.91.0/24 als DHCP-Server aus.
- Alle LANCOM-Kompontenten, die im lokalen Netzwerk verwendet werden, befinden sich im Auslieferungszustand und erhalten vom vorgeschalteten Router eine IP-Adresse aus dem Netzwerk 192.68.91.0/24.
- Die Konfigurationsoberfläche der LMC im Internet kann mit einem Konfigurations-PC, der am zentralen Switch angeschlossen ist, erreicht werden.
- Die LMC ist ausreichend lizenziert (siehe Voraussetzungen), es ist ein Projekt und ein Standort in der LMC konfiguriert.
Soll-Zustand:
- Der beliebige Router soll weiterhin die Internet-Verbindung zur Verfügung stellen. Er wird NICHT von der LMC verwaltet.
- Das bisherige lokale Netzwerk 192.168.91.0/24 wird per DHCPoE-Verbindung zum Transfer-Netz umfunktioniert, über welches die Unified Firewall ihren WAN-Zugang am Port eth0 bezieht.
- Das lokale Netzwerk soll dann den IP-Adressbereich 192.168.0.0/24 erhalten und die Unified Firewall soll als zentrales Gateway die lokalen IP-Adressen per DHCP an alle Netzwerk-Komponenten verteilen. Das neue lokale Netzwerk wird am Port eth1 der Unified Firewall ausgegeben.
- Ein zweites lokales Netzwerk mit dem IP-Adressbereich 172.16.0.0/24, welches keinen Zugriff auf das Firmen-Netz besitzt (Trennung per VLAN), soll für Gäste des Unternehmens verwendet werden. Es wird ebenfalls am Firewall-Port eth1 ausgegeben.
- Einer oder meherere LANCOM Access Points stellen WLAN-Netzwerke für Mitarbeiter und Gäste des Unternehmens zur Verfügung.
Vorgehensweise:
...
1.2 Klicken Sie dann auf Akzeptieren und Anmelden.
1.3 Verwenden Sie nach der erneuten Anmeldung den deutschen Setup-Assistent.
1.4 Es wird kein Konfigurations-Backup eingespielt.
1.5 Konfigurieren Sie die allgemeinen Einstellungen nach Ihren Wünschen.
1.6 Das Ethernet-Interface eth0 wird in diesem Beispiel für den Internet-Zugang verwendet, Der Internetzugriff muss auf DHCP eingestellt sein.
Info |
---|
Bei einigen Unified Firewall-Modellen (z.B. bei einer UF-260) wird der SFP-Port als eth0 verwendet. Wenn Sie diesen nicht als Internet-Interface verwenden wollen/können, müssen Sie eines der Ethernet-Interfaces für den Internet-Zugang auswählen und den weiteren Konfigurationsvorgang Ihren Gegebenheiten entprechend anpassen. |
1.7 Deaktivieren Sie die LAN-Konfigurationen auf den Interfaces eth1 und eth2.
...
Die Konfiguration des Interface eth3 können Sie in den Standard-Einstellungen aktiviert belassen. So haben Sie im Fall, dass bei der Konfiguration der Unified Firewall ein Fehler auftritt, immer die Möglichkeit, das Gerät über ein Ethernet-Interface zu erreichen.
1.8 Bestätigen Sie den folgenden Dialog mit OK.
1.9 Lesen Sie sich die Informationen der Zusamenfassung durch und klicken Sie dann auf Fertigstellen um die Grundkonfiguration abzuschließen.
2. Netz- und Gerätekonfiguration in der LMC:
...
2.1.2 Stellen Sie sicher, dass im Menü Projektvorgaben → Inbetriebnahme von Geräten die Option "Default Netze keim Konfigurations-Rollout..." aktiviert ist.
2.1.3 Wechseln Sie in das Menü Projektvorgaben → SDN und stellen Sie sicher, dass neben SD-WAN, SD-LAN und SD-WLAN auch die Option Funktion SD-Security aktiviert ist.
2.1.4 Wechseln Sie in das Menü Geräte → Aktivierungscodes und klicken Sie auf die Schaltfläche Aktivierungscode erstellen.
2.1.5 Wählen Sie einen gewünschten Gültigkeitszeitraum aus und klicken Sie auf Jetzt generieren.
2.1.6 Kopieren Sie den erstellten Aktivierungscode in die Zwischenablage und speichern Sie diesen z.B. in einer *.txt-Datei auf Ihrem Konfigurations-PC.
2.2 Erstellen der lokalen Netze:
...
Info |
---|
Wichtig ist, dass dieses Netzwerk den Zugriff auf das Internet bereitstellt und die DHCP- & DNS-Funktion aktiviert ist. Dies sind u.a. die Standard-Einstellungen. |
2.2.2 Wechseln Sie in das Menü Standorte → <Standortname> → Netze.
2.2.3 Weisen Sie Ihrem Standort das NETZ INTRANET zu.
2.2.4 Wechseln Sie wieder in das Menü Netze und erstellen Sie eines neues Netz, welches später für ein Gast-WLAN verwendet werden soll.
2.2.5 Vergeben Sie einen Namen und eine Beschreibung für das neue Netz.
- Als Adressbereich wird in diesem Beispiel 172.16.0.0/16 verwendet.
- Weisen Sie dem Netz unter Daten netzspezifisch markieren unbedingt eine VLAN-ID zu (hier 999).
- Alle anderen Parameter belassen Sie bei den Standard-Einstellungen.
2.2.6 Die Tabelle im Menü Netze muss dann folgendermaßen aussehen:
2.2.7 Das neue Netz müssen Sie nun auch wieder im Menü Standorte → <Standortname> → Netze Ihrem Standort zuweisen:
3. Koppeln der Unified Firewall mit der LMC:
...
Hinweis |
---|
Laden Sie alle angebotenen Zertifikate herunter. Sie benötigen diese später auf jedem Netzwerk-Client für den Zugang zum Internet und zum Senden bzw. Abrufen von E-Mails (siehe auch LANCOM R&S®Unified Firewall: Konfiguration des HTTP(S)-Proxy zur Nutzung von UTM-Funktionen). |
3.3 Wechseln Sie in das Menü Firewall → LMC-Einstellungen.
- Aktivieren Sie die Kopplungs-Funktion.
- Tragen Sie im Feld Aktivierungscode den Code ein, welchen Sie im Schritt 2.1.5 erstellt haben.
3.4 Klicken Sie dann auf Speichern.
Info |
---|
Die Unified Firewall wird nach kurzer Zeit mit der LMC gekoppelt und erscheint im LMC-Menü Geräte. |
4. Erstellen der WLAN-Netze (SSIDs):
...
4.4 Klicken Sie auf Speichern.
4.5 Markieren Sie dann das Netz GAST und wechseln Sie im unteren Menü auf die Registerkarte WLAN.
...
4.7 Klicken Sie auf Speichern.
5. Konfiguration der Switch-Ports:
...
5.5 Verfahren Sie in gleicher Weise mit dem Netz GAST.
6. Aktivieren der Sicherheits-Funktionen für ein Netz:
...
Info |
---|
|
7. Ausrollen der gesamten Konfiguration an die Unified Firewall:
...
7.2 Wählen Sie aus dem "drei-Punkte-Menü" die Option Konfiguration ausrollen und bestätigen Sie den folgenden Dialog mit OK. Die Konfiguration wird nun ausgerollt.
Warnung |
---|
Warten Sie ca. 5 bis 10 Minuten, bis der Ausrollvorgang abgeschlossen ist. Die Unified Firewall wird aufgrund der Netzwerk-Änderungen nach dem Ausrollen als Offline angezeigt, da die Internet-Verbindung durch die Konfigurationsänderung nicht mehr zur Verfügung steht. Nach dem Ausroll-Vorgang müssen Sie die Ethernet-Kabel an den Netzwerk-Komponenten Switch, Gateway-Router und Unified Firewall zwingend umstecken (siehe Szenario-Grafiken am Anfang des Artikels)!
|
7.3 Nach dem Umstecken der Kabelverbindungen dauert es ein paar Minuten, bis alle Netzwerk-Komponenten die neuen Netzwerk-Informationen erhalten haben. Bei Bedarf kann auch der LANCOM Switch und die Access Points einmal neu gestartet werden.
7.4 Nach dem Ausrollen, besitzen alle Geräte zwei Netzwerke.
- Das Netz INTRANET ist
...
- mit dem IP-Adressbereich 192.168.0.0/24 versehen.
- Das Netz GAST ist mit dem IP-Adressbereich 172.16.0.0/24 versehen.
- Die Unified Firewall können Sie unter der lokalen IP-Adresse 192.168.0.1 erreichen.
Info |
---|
Um von ihrem Konfigurations-PC das Internet (und somit die LMC) wieder erreichen zu können, müssen Sie auf diesem nun zwingend das HTTPS-CA-Zertifikat der Unified Firewall installieren, welches Sie im Schritt 3.2 heruntergeladen haben. |
...
8.5. Nach erfolgreichem Kopplungsvorgang ändert sich das Icon vor den Geräten in ein LMC-Symbol und die Geräte erscheinen im LMC-Dialog Geräte.
8.6 Wechseln Sie in die Konfigurationsoberfläche der LMC und weisen Sie im Menü Standorte → <Standortname> → Geräte alle neuen Geräte dem Standort zu.
8.7 Abschließend müssen Sie die neue LMC-Konfiguration an alle Geräte in Ihrem Projekt ausrollen.
- Wechseln Sie dazu in das Menü Geräte und markieren Sie alle Geräte mit dem Status "Nicht aktuell".
- Wählen Sie aus dem "drei-Punkte-Menü" die Option Konfiguration ausrollen und bestätigen Sie den folgenden Dialog mit OK. Die Konfiguration wird nun ausgerollt.
8.8 Nach dem Ausrollen ist die Konfiguration abgeschlossen.
...