Beschreibung:
Bei Verwendung von LTA müssen zwei Gateways verwendet werden, Eines als dediziertes LTA-Gateway und eines für die Bereitstellung des Internet-Zugangs. Dies ist dadurch bedingt, dass die automatisch erstellten Firewall-Regeln für den LTA-Zugang das Schnittstellen-Tag des Erreichbaren Netzwerks verwenden (in der Regel das INTRANET mit dem Schnittstellen-Tag 1). Dadurch ist eine Kommunikation mit weiteren Netzwerken aber nicht möglich, da diese ein anderes Schnittstellen-Tag verwenden.
Damit die Kommunikation in weitere Netzwerke möglich ist, müssen in den automatisch erstellten Firewall-Regeln die korrekten Schnittstellen-Tags gesetzt werden. Dies muss per Add-in-Skript erfolgen.
In diesem Artikel wird beschrieben, wie die Kommunikation in weitere Netzwerke mittels eines Add-ins erlaubt werden kann. Dadurch kann für den Internet- und LTA-Zugang das gleiche Gateway verwendet werden.
LANCOM R&S®Unified Firewall können ohne weitere Konfigurationsschritte als Internet- und LTA-Gateway eingesetzt werden, da diese keine Schnittstellen-Tags unterstützt.
Es wird für jedes Netzwerk und jeden LTA-Benutzer eine separate Firewall-Regel erstellt. Die Regeln für die weiteren Netzwerke müssen alle angepasst werden, sofern der LTA-Benutzer mit dem Netzwerk kommunizieren soll. Dadurch wird die Konfiguration sehr schnell sehr aufwendig und ist eher für kleinere Szenarion gedacht!
Voraussetzungen:
- Zugang zur LMC samt eigenem Projekt (kostenpflichtig)
- LANCOM Router als Internet- und LTA-Gateway
- LCOS ab Version 10.80 Rel (download aktuelle Version)
- Bereits konfiguriertes und funktionsfähiges LTA-Szenario
- Beliebiger Web-Browser für den Zugriff auf die LMC
Szenario:
In einem LTA-Szenario sind folgende Netzwerke konfiguriert:
- INTRANET: Netzadresse 10.0.0.0/8, VLAN untagged, Schnittstellen-Tag 1
- Intranet2: Netzadresse 192.168.10.0/24, VLAN 10, Schnittstellen-Tag 10, Name des LTA-Verbindungsziels Netz10
- Intranet3: Netzadresse 192.168.20.0/24, VLAN 20, Schnittstellen-Tag 20, Name des LTA-Verbindungsziels Netz20
Da es sich bei dem INTRANET um das Erreichbare Netzwerk handelt, kann der LTA-Benutzer mit diesem Netzwerk kommunizieren. Die Kommunikation mit den Netzwerken Intranet 2 und Intranet 3 ist aufgrund der unterschiedlichen Schnittstellen-Tags allerdings nicht möglich.
Durch Anpassung der Schnittstellen-Tags in den Firewall-Regeln soll die Kommunikation des LTA-Benutzers in alle Netzwerke ermöglicht werden.
Vorgehensweise:
1. Import des Add-ins:
1.1 Laden Sie das Add-in unserem Add-in Handbuch unter dem folgenden Link herunter:
Konfiguration von Firewall-Regeln
1.2 Wechseln Sie in der LMC in das Menü Add-ins und klicken auf Import.
1.3 Klicken Sie auf Datei auswählen und wählen anschließend das Add-in aus.
1.4 Wählen Sie das Add-in FirewallRule aus und klicken auf Importieren.
1.5 Bestätigen Sie die Meldung mit einem Klick auf Schließen.
2. Auslesen der Netzwerk-Informationen:
2.1 Wechseln Sie in der LMC in das Menü Geräte und klicken auf den Namen des Gateways, um in die erweiterte Konfiguration zu gelangen.
2.2 Wechseln Sie in den Reiter Detail-Konfiguration und klicken auf Rolloutkonfiguration (Vorschau), um die automatisch durch die LMC erstellten Konfigurations-Bestandteile einzublenden.
2.3 Wechseln Sie in der Detail-Konfiguration in das Menü Firewall/QoS → IPv4-Regeln → Regel-Tabelle.
2.4 Klicken Sie auf die Firewall-Regel des zweiten Netzwerks (in diesem Beispiel Intranet2), um die Parameter der Regel einsehen zu können.
Der Name der Firewall-Regel wird im Format LTA-<Name des LTA-Verbindungsziels> gespeichert. Daraus ergibt sich für das Intranet2 der Name LTA-Netz10 und für das Intranet3 der Name LTA-Netz20 (siehe auch die Szenario-Beschreibung).
2.5 Kopieren Sie die Werte der folgenden Parameter in eine Textdatei.
- Name dieser Regel
- Protokolle
- Quelle
- Ziel
- Aktionen
- Quell-Tag
2.6 Klicken Sie auf die Firewall-Regel des dritten Netzwerks (in diesem Beispiel Intranet3), um die Parameter der Regel einsehen zu können.
Der Name der Firewall-Regel wird im Format LTA-<Name des LTA-Verbindungsziels> gespeichert. Daraus ergibt sich für das Intranet2 der Name LTA-Netz10 und für das Intranet3 der Name LTA-Netz20 (siehe auch die Szenario-Beschreibung).
2.7 Kopieren Sie die Werte der folgenden Parameter in eine Textdatei:
- Name dieser Regel
- Protokolle
- Quelle
- Ziel
- Aktionen
- Quell-Tag
3. Anpassung und Zuweisung des Add-ins:
3.1 Wechseln Sie in der LMC in das Menü Add-ins und klicken auf das in Schritt 1. importiere Add-in, um dieses im Add-in Editor zu öffnen.
3.2 Ergänzen Sie
Der Befehl zum Erstellen einer Firewall-Regel muss im folgenden Format eingegeben werden:
addFirewallRule("<Name der Firewall-Regel>", "<Quell-Protokoll>", "<Quelle>", "<Ziel-Protokoll>", "<Ziel>", "<Aktion>", "<Quell-Tag>", "<Schnittstellen-Tag>");
3.3
3.4
3.5
4. Rollout der Konfiguration auf den Router:
4.1
4.2