Description:
Bei Verwendung von LTA auf einem LANCOM Router (LCOS) müssen zwei Gateways verwendet werden, Eines als dediziertes LTA-Gateway und eines für die Bereitstellung des Internet-Zugangs. Dies ist dadurch bedingt, dass die automatisch erstellten Firewall-Regeln für den LTA-Zugang das Routing-Tag des Erreichbaren Netzwerks verwenden (in der Regel das INTRANET mit dem Routing-Tag 1). Dadurch ist eine Kommunikation mit weiteren Netzwerken aber nicht möglich, da diese ein anderes Routing-Tag verwenden.
Damit die Kommunikation in weitere Netzwerke möglich ist, müssen in den automatisch erstellten Firewall-Regeln die korrekten Routing-Tags gesetzt werden. Dies muss per Add-in-Skript erfolgen.
In diesem Artikel wird beschrieben, wie die Kommunikation eines LTA-Benutzers in weitere Netzwerke mittels eines Add-ins erlaubt werden kann. Dadurch kann für den Internet- und LTA-Zugang das gleiche Gateway verwendet werden.
LANCOM R&S®Unified Firewalls können ohne weitere Konfigurationsschritte als Internet- und LTA-Gateway eingesetzt werden, da diese keine Routing-Tags unterstützen.
Es wird für jedes Netzwerk und jeden LTA-Benutzer eine separate Firewall-Regel erstellt. Die Regeln für die weiteren Netzwerke müssen alle angepasst werden, sofern der LTA-Benutzer mit dem Netzwerk kommunizieren soll. Dadurch wird die Konfiguration sehr schnell sehr aufwendig! Die im Folgenden beschriebene Vorgehensweise ist daher eher für kleinere Szenarion gedacht.
Requirements:
- Zugang zur LMC samt eigenem Projekt (kostenpflichtig)
- LANCOM Router als Internet- und LTA-Gateway
- LCOS ab Version 10.80 Rel (download latest version)
- Bereits konfiguriertes LTA-Szenario
- Beliebiger Web-Browser für den Zugriff auf die LMC
Scenario:
In einem LTA-Szenario sind folgende Netzwerke konfiguriert:
- INTRANET: Network address 10.0.0.0/8, VLAN untagged, Routing Tag 1
- Intranet2: Network address 192.168.10.0/24, VLAN 10, Routing Tag 10, Name of the LTA connection target NETWORK10
- Intranet3: Network address 192.168.20.0/24, VLAN 20, Routing Tag 20, Name of the LTA connection target NETWORK20
Es gibt einen LTA-Zugang mit dem Namen LTA-USER. Da es sich bei dem INTRANET um das Erreichbare Netzwerk handelt, kann der LTA-USER mit diesem Netzwerk bereits kommunizieren. Die Kommunikation mit den Netzwerken Intranet 2 und Intranet 3 ist aufgrund der unterschiedlichen Routing-Tags allerdings nicht möglich.
Durch Anpassung der Routing-Tags in den Firewall-Regeln soll die Kommunikation des LTA-USER in alle Netzwerke ermöglicht werden.
Procedure
1. Import des Add-ins:
1.1 Laden Sie das folgende Add-in herunter.
Weitere Informationen zu diesem Add-in finden Sie in unserem Add-in Handbuch:
1.2 Wechseln Sie in der LMC in das Menü Add-ins und klicken auf Import.
1.3 Klicken Sie auf Select file und wählen anschließend das Add-in aus.
1.4 Wählen Sie das Add-in FirewallRule aus und klicken auf Import.
1.5 Bestätigen Sie die Meldung mit einem Klick auf Close.
2. Auslesen der Netzwerk-Informationen:
Wiederholen Sie diesen Schritt gegebenenfalls für weitere LTA-Benutzer.
2.1 Wechseln Sie in der LMC in das Menü Devices und klicken auf den Name of the LTA Gateway, um in die erweiterte Konfiguration zu gelangen.
2.2 Wechseln Sie in den Reiter Detail configuration und klicken auf Rollout configuration (preview), um die automatisch durch die LMC erstellten Konfigurations-Bestandteile einzublenden.
2.3 Wechseln Sie in der Detail-Konfiguration in das Menü Firewall/QoS → IPv4 Rules → Rule table.
2.4 Klicken Sie auf die Firewall-Regel des zweiten Netzwerks (in diesem Beispiel Intranet2), um die Parameter der Regel einsehen zu können.
Der Name der Firewall-Regel wird im Format LTA-<Name of the LTA connection target> gespeichert. Daraus ergibt sich für das Intranet2 der Name LTA-NETWORK10 und für das Intranet3 der Name LTA-NETWORK20 (siehe auch die Szenario-Beschreibung).
2.5 Kopieren Sie die Werte der folgenden Parameter in eine Textdatei.
- Name of this rule
- Protocols
- Source
- Destination
- Actions
- Source tag
2.6 Klicken Sie auf die Firewall-Regel des dritten Netzwerks (in diesem Beispiel Intranet3), um die Parameter der Regel einsehen zu können.
Der Name der Firewall-Regel wird im Format LTA-<Name of the LTA connection target> gespeichert. Daraus ergibt sich für das Intranet2 der Name LTA-NETWORK10 und für das Intranet3 der Name LTA-NETWORK20 (siehe auch die Szenario-Beschreibung).
2.7 Kopieren Sie die Werte der folgenden Parameter in eine Textdatei:
- Name of this rule
- Protocols
- Source
- Destination
- Actions
- Source tag
3. Anpassung und Zuweisung des Add-ins:
Erstellen Sie gegebenenfalls weitere Firewall-Regeln für weitere LTA-Benutzer.
3.1 Wechseln Sie in der LMC in das Menü Add-ins und klicken auf das in Schritt 1. importierte Add-in, um dieses im Add-in Editor zu öffnen.
3.2 Tragen Sie die Befehle zum Erstellen der Firewall-Regeln ein und klicken auf Save:
Der Befehl zum Erstellen einer Firewall-Regel muss in dem folgenden Format eingegeben werden:
addFirewallRule("<Name of the firewall rule>", "<Protocol>", "<Source>", "<Destination>", "<Action>", "<Source tag>", "<Routing tag>");
- Firewall-Regel für das Netzwerk Intranet2:
- Tragen Sie die in Schritt 2.5 kopierten Werte in den Befehl ein. Als Routing tag muss der in der Szenario-Beschreibung angebene Wert verwendet werden (in diesem Beispiel das Tag 10).
- Der Befehl zum Erstellen der Firewall-Regel für das Intranet2 lautet somit wie folgt: addFirewallRule("LTA-NETWORK10", "ANY", "LTA-USER", "ANY LO^NETWORK10_", "ACCEPT", "1", "10");
- Tragen Sie die in Schritt 2.5 kopierten Werte in den Befehl ein. Als Routing tag muss der in der Szenario-Beschreibung angebene Wert verwendet werden (in diesem Beispiel das Tag 10).
- Firewall-Regel für das Netzwerk Intranet3:
- Tragen Sie die in Schritt 2.7 kopierten Werte in den Befehl ein. Als Routing tag muss der in der Szenario-Beschreibung angebene Wert verwendet werden (in diesem Beispiel das Tag 20).
- Der Befehl zum Erstellen der Firewall-Regel für das Intranet3 lautet somit wie folgt: addFirewallRule("LTA-NETWORK20", "ANY", "LTA-USER", "ANY LO^NETWORK20_", "ACCEPT", "1", "20");
- Tragen Sie die in Schritt 2.7 kopierten Werte in den Befehl ein. Als Routing tag muss der in der Szenario-Beschreibung angebene Wert verwendet werden (in diesem Beispiel das Tag 20).
- Die einzelnen Parameter müssen in Anführungszeichen oben (") angegeben werden, da die LMC diese als String benötigt.
- Weiterhin müssen die einzelnen Parameter durch ein Komma (,) voneinander getrennt werden.
- Jeder Befehl muss durch ein Semikolon (;) abgeschlossen werden.
3.3 Wechseln Sie in der LMC in das Menü Add-ins und klicken auf Allocation.
3.4 Wählen Sie ein Netzwerk aus, welches dem LTA-Gateway zugewiesen ist (in diesem Beispiel das INTRANET) und wählen bei Apply Add-ins das Add-in FirewallRule aus. Klicken Sie anschließend auf Apply.
3.5 Klicken Sie auf Save, um die Zuweisung abzuschließen.
Kontrollieren Sie anschließend in der Rolloutkonfiguration in den beiden Firewall-Regeln (siehe Schritt 2), ob die eingegebenen Parameter durch das Add-in korrekt gesetzt wurden.
4. Rollout der Konfiguration auf den Router:
4.1 Wechseln Sie in der LMC in das Menü Devices und klicken bei dem LTA-Gateway unter Konfiguration auf Outdated, um den Rollout-Vorgang zu starten.
4.2 Bestätigen Sie die Abfrage mit einem Klick auf Roll out.
4.3 Die Konfiguration des Szenarios ist damit abgeschlossen. Der LTA-User kann nun mit allen Netzwerken kommunizieren.