Beschreibung:

Dieses Dokument beschreibt die initiale Konfiguration zur Verwendung einer LANCOM R&S® Unified Firewall als zentrales Gateway in der LANCOM Management Cloud (LMC) mit gleichzeitiger Nutzung der SD-Security-Funktionalität für das von der LMC verwaltete lokale Netzwerk und deren Komponenten.

Voraussetzungen:

Szenario:

  • Es soll ein komplett neues lokales Netzwerk konfiguriert werden, in welchem die LANCOM R&S®Unified Firewall neben den Sicherheitsaufgaben auch die Funktionen eines zentralen Gateway (wie z.B. Bereitstellung Internetzugang & DHCP-Server für lokales Netzwerk) übernehmen soll.
  • Das lokale Netzwerk und alle verwendeten Komponenten (hier LANCOM R&S®Unified Firewall, LANCOM Managed Switch und einige LANCOM Access Points) sollen von der LANCOM Management Cloud (LMC) verwaltet werden.
  • In der LMC soll SD-Security zur optimalen Absicherung des lokalen Netzwerkes eingesetzt werden.

Ausgangslage:

  • Ein beliebiger Router stellt eine Internet-Verbindung zur Verfügung und gibt intern das lokale Netzwerk mit dem Adressbereich 192.168.91.0/24 als DHCP-Server aus.
  • Alle LANCOM-Kompontenten, die im lokalen Netzwerk verwendet werden, befinden sich im Auslieferungszustand und erhalten vom vorgeschalteten Router eine IP-Adresse aus dem Netzwerk 192.68.91.0/24.
  • Die Konfigurationsoberfläche der LMC im Internet kann mit einem Konfigurations-PC, der am zentralen Switch angeschlossen ist, erreicht werden.
    • Die LMC ist ausreichend lizenziert (siehe Voraussetzungen), es ist ein Projekt und ein Standort in der LMC konfiguriert.

Soll-Zustand:

  • Der beliebige Router soll weiterhin die Internet-Verbindung zur Verfügung stellen. Er wird NICHT von der LMC verwaltet.
  • Das bisherige lokale Netzwerk 192.168.91.0/24 wird per DHCPoE-Verbindung zum Transfer-Netz umfunktioniert, über welches die Unified Firewall ihren WAN-Zugang am Port eth0 bezieht.
  • Das lokale Netzwerk soll dann den IP-Adressbereich 192.168.0.0/24 erhalten und die Unified Firewall soll als zentrales Gateway die lokalen IP-Adressen per DHCP an alle Netzwerk-Komponenten verteilen. Das neue lokale Netzwerk wird am Port eth1 der Unified Firewall ausgegeben.
  • Ein zweites lokales Netzwerk mit dem IP-Adressbereich 172.16.0.0/24, welches keinen Zugriff auf das Firmen-Netz besitzt (Trennung per VLAN), soll für Gäste des Unternehmens verwendet werden. Es wird ebenfalls am Firewall-Port eth1 ausgegeben.
  • Einer oder meherere LANCOM Access Points stellen WLAN-Netzwerke für Mitarbeiter und Gäste des Unternehmens zur Verfügung.


Vorgehensweise:

1. Grundkonfiguration der Unified Firewall mit dem Setup-Assistent:

1.1 Öffnen Sie die Konfigurationsoberfläche der Unified Firewall im Webbrowser (https://<lokale IP-Adresse der Firewall>:3438) und ändern Sie im ersten Schritt das Administrator- und Support-Passwort in eines Ihrer Wahl.

1.2 Klicken Sie dann auf Akzeptieren und Anmelden.

1.3 Verwenden Sie nach der erneuten Anmeldung den deutschen Setup-Assistent.

1.4 Es wird kein Konfigurations-Backup eingespielt.

1.5 Konfigurieren Sie die allgemeinen Einstellungen nach Ihren Wünschen.

1.6 Das Ethernet-Interface eth0 wird in diesem Beispiel für den Internet-Zugang verwendet, Der Internetzugriff muss auf DHCP eingestellt sein.

Bei einigen Unified Firewall-Modellen (z.B. bei einer UF-260) wird der SFP-Port als eth0 verwendet. Wenn Sie diesen nicht als Internet-Interface verwenden wollen/können, müssen Sie eines der Ethernet-Interfaces für den Internet-Zugang auswählen und den weiteren Konfigurationsvorgang Ihren Gegebenheiten entprechend anpassen.

1.7 Deaktivieren Sie die LAN-Konfigurationen auf den Interfaces eth1 und eth2.

Die spätere lokale Netzwerk-Konfiguration, welche Sie über die LMC an die Unified Firewall ausrollen, wird immer auf dem Interface eth1 erstellt.

Die Konfiguration des Interface eth3 können Sie in den Standard-Einstellungen aktiviert belassen. So haben Sie im Fall, dass bei der Konfiguration der Unified Firewall ein Fehler auftritt, immer die Möglichkeit, das Gerät über ein Ethernet-Interface zu erreichen.

1.8 Bestätigen Sie den folgenden Dialog mit OK.

1.9 Lesen Sie sich die Informationen der Zusamenfassung durch und klicken Sie dann auf Fertigstellen um die Grundkonfiguration abzuschließen.

2. Netz- und Gerätekonfiguration in der LMC:

2.1 Prüfen der benötigten Voreinstellungen & Erstellen eines Aktivierungscode:

2.1.1 Öffnen Sie die Konfigurationsoberfläche der LMC im Webbrowser und wechseln Sie in das Projekt, in welchem Sie die Konfiguration für Ihr Szenario durchführen möchten.

2.1.2 Stellen Sie sicher, dass im Menü Projektvorgaben → Inbetriebnahme von Geräten die Option "Default Netze keim Konfigurations-Rollout..." aktiviert ist.

2.1.3 Wechseln Sie in das Menü Projektvorgaben → SDN und stellen Sie sicher, dass neben SD-WAN, SD-LAN und SD-WLAN auch die Funktion SD-Security aktiviert ist.

2.1.4 Wechseln Sie in das Menü Geräte → Aktivierungscodes und klicken Sie auf die Schaltfläche Aktivierungscode erstellen.

2.1.5 Wählen Sie einen gewünschten Gültigkeitszeitraum aus und klicken Sie auf Jetzt generieren.

2.1.6 Kopieren Sie den erstellten Aktivierungscode in die Zwischenablage und speichern Sie diesen z.B. in einer *.txt-Datei auf Ihrem Konfigurations-PC.

2.2 Erstellen der lokalen Netze:

2.2.1 In diesem Konfigurationsbeispiel wurde der Standard-IP-Adressbereich des vorhandenen Netzes INTRANET auf den Adressbereich 192.168.0.0/16 angepasst. Sie können jedoch auch den Standard-Bereich verwenden. Alle anderen Einstellungen dieses Netzes wurden bei den Standard-Einstellungen belassen.

Wichtig ist, dass dieses Netzwerk den Zugriff auf das Internet bereitstellt und die DHCP- & DNS-Funktion aktiviert ist. Dies sind u.a. die Standard-Einstellungen.

2.2.2 Wechseln Sie in das Menü Standorte → <Standortname> → Netze.

2.2.3 Weisen Sie Ihrem Standort das NETZ INTRANET zu.

2.2.4 Wechseln Sie wieder in das Menü Netze und erstellen Sie eines neues Netz, welches später für ein Gast-WLAN verwendet werden soll.

2.2.5 Vergeben Sie einen Namen und eine Beschreibung für das neue Netz.

  • Als Adressbereich wird in diesem Beispiel 172.16.0.0/16 verwendet.
  • Weisen Sie dem Netz unter Daten netzspezifisch markieren unbedingt eine VLAN-ID zu (hier 999).
  • Alle anderen Parameter belassen Sie bei den Standard-Einstellungen.

2.2.6 Die Tabelle im Menü Netze muss dann folgendermaßen aussehen:

2.2.7 Das neue Netz müssen Sie nun auch wieder im Menü Standorte → <Standortname> → Netze Ihrem Standort zuweisen:

3. Koppeln der Unified Firewall mit der LMC:

3.1 Öffnen Sie die Konfiguration der Unified Firewall im Webbrowser.

3.2 Wenn Sie sich das erste Mal nach durchgeführter Grundkonfiguration an der Konfigurationsoberfläche der Unified Firewall anmelden, werden Ihnen die für den Internet- und Mail-Zugang benötigten Proxy-CA-Zertifikate zum Download angeboten.

Laden Sie alle angebotenen Zertifikate herunter. Sie benötigen diese später auf jedem Netzwerk-Client für den Zugang zum Internet und zum Senden bzw. Abrufen von E-Mails (siehe auch LANCOM R&S®Unified Firewall: Konfiguration des HTTP(S)-Proxy zur Nutzung von UTM-Funktionen).

3.3 Wechseln Sie in das Menü Firewall → LMC-Einstellungen.

  • Aktivieren Sie die Kopplungs-Funktion.
  • Tragen Sie im Feld Aktivierungscode den Code ein, welchen Sie im Schritt 2.1.5 erstellt haben.

3.4 Klicken Sie dann auf Speichern.

Die Unified Firewall wird nach kurzer Zeit mit der LMC gekoppelt und erscheint im LMC-Menü Geräte.


4. Erstellen der WLAN-Netze (SSIDs):

4.1 Öffnen Sie die Konfigurationsoberfläche der LMC und wechseln Sie in das Menü Netze.

4.2 Markieren Sie zunächst das Netz INTRANET und wechseln Sie im unteren Menü auf die Registerkarte WLAN.

4.3 Klicken Sie auf die Schaltfläche Neue WLAN SSID erstellen.

  • In diesem Beispiel soll im Netzwerk INTRANET ein WLAN-Netzwerk mit der SSID "Company" für die Mitarbeiter zur Verfügung gestellt werden, an welchem sich die Mitarbeiter mit einem Passwort (WPA-PSK) anmelden müssen.

4.4 Klicken Sie auf Speichern.

4.5 Markieren Sie dann das Netz GAST und wechseln Sie im unteren Menü auf die Registerkarte WLAN.

4.6 Klicken Sie auf die Schaltfläche Neue WLAN SSID erstellen.

  • In diesem Beispiel soll im Netzwerk GAST ein WLAN-Netzwerk mit der SSID "GUEST" zur Verfügung gestellt werden, an welchem sich die Gäste des Unternehmens mit einem Passwort (WPA-PSK) anmelden müssen.

4.7 Klicken Sie auf Speichern.


5. Konfiguration der Switch-Ports:

5.1 Damit alle konfigurierten Netze auch an den (gewünschten) Ports des zentralen Switch ausgegeben werden, müssen diese im Menü Netze in einer Matrix zugewiesen werden.

5.2 Markieren Sie zunächst das Netz INTRANET und wechseln Sie im unteren Menü auf die Registerkarte Switches.

In diesem Beispiel wird ein 10-Port LANCOM managed Switch (GS-2310P+) verwendet und alle Netze sollen an allen Ports ausgegeben werden.

5.3 Öffnen Sie die Registerkarte 10-Port-Modelle und klicken Sie auf alle angezeigten Ports, damit sich diese in der Farbe, welche dem Netz zugewiesen wurde, einfärben.

5.4 Klicken Sie dann auf Speichern.

5.5 Verfahren Sie in gleicher Weise mit dem Netz GAST.


6. Aktivieren der Sicherheits-Funktionen für ein Netz:

6.1 In diesem Konfigurationsbeispiel sollen die Sicherheitsfunktionen im Netz INTRANET verwendet werden. Dies wird auch im Menü Netze konfiguriert.

6.2 Markieren Sie zunächst das Netz INTRANET und wechseln Sie im unteren Menü auf die Registerkarte Sicherheit.

6.3 Aktivieren Sie die folgenden Funktionen:

  • Datenverkehr aus diesem Netz ins Internet erlauben.
  • Anti-Virus
  • SSL Inspection

6.4 Klicken Sie auf Speichern.

  • Alternativ können Sie in den Registerkarten Application Management und Content Filter weitere Sicherheits-Funktionen aktivieren.
  • Für das Netzwerk GAST bietet es sich an, nur die Funktionen "Application Management" und "Content Filter" einzusetzen, da hierfür keine Zertifikate auf den Endgeräten der Besucher verwendet werden müssen.

7. Ausrollen der gesamten Konfiguration an die Unified Firewall:

Es sind nun alle nötigen Konfigurationsschritte in der LMC abgearbeitet. Die erstellte Konfiguration kann jetzt an die Unified Firewall ausgerollt werden.

Beachten Sie, dass sich mit dem Ausrollen der Konfiguration die komplette Konfiguration Ihres lokalen Netzwerks ändert.

Alle Geräte erhalten u.a. zwei neue lokale Netzwerke und die Unified Firewall operiert als zentrales Gateway und DHCP-Server für das lokale Netzwerk.

7.1 Wechseln Sie in das Menü Geräte und wählen Sie die Unified Firewall aus.

7.2 Wählen Sie aus dem "drei-Punkte-Menü" die Option Konfiguration ausrollen und bestätigen Sie den folgenden Dialog mit OK. Die Konfiguration wird nun ausgerollt.

Warten Sie ca. 5 bis 10 Minuten, bis der Ausrollvorgang abgeschlossen ist. Die Unified Firewall wird aufgrund der Netzwerk-Änderungen nach dem Ausrollen als Offline angezeigt, da die Internet-Verbindung durch die Konfigurationsänderung nicht mehr zur Verfügung steht.

Nach dem Ausroll-Vorgang müssen Sie die Ethernet-Kabel an den Netzwerk-Komponenten Switch, Gateway-Router und Unified Firewall zwingend umstecken (siehe Szenario-Grafiken am Anfang des Artikels)!

  • Die Kabel-Verbindung zwischen dem Firewall-Port eth0 und einem Switch-Port muss vom Switch abgenommen und an einen Ethernet-Port des Gateway-Routers gesteckt werden auf dem das bisherige lokale Netzwerk (192.168.91.0/24) per DHCP-Adressvergabe ausgegeben wird.
  • Es muss eine neue Kabel-Verbindung zwischen dem Firewall-Port eth1 und einem beliebigen Switch-Port gesteckt werden.

7.3 Nach dem Umstecken der Kabelverbindungen dauert es ein paar Minuten, bis alle Netzwerk-Komponenten die neuen Netzwerk-Informationen erhalten haben. Bei Bedarf kann auch der LANCOM Switch und die Access Points einmal neu gestartet werden.

7.4 Nach dem Ausrollen, besitzen alle Geräte zwei Netzwerke.

  • Das Netz INTRANET ist mit dem IP-Adressbereich 192.168.0.0/24 versehen.
  • Das Netz GAST ist mit dem IP-Adressbereich 172.16.0.0/24 versehen.
  • Die Unified Firewall können Sie unter der lokalen IP-Adresse 192.168.0.1 erreichen.

Um von ihrem Konfigurations-PC das Internet (und somit die LMC) wieder erreichen zu können, müssen Sie auf diesem nun zwingend das HTTPS-CA-Zertifikat der Unified Firewall installieren, welches Sie im Schritt 3.2 heruntergeladen haben.


8. Weitere Netzwerk-Geräte zu LMC und Netzkonfiguration hinzufügen:

8.1 Nachdem die LMC-Konfiguration erfolgreich an die Unified Firewall ausgerollt wurde, können Sie nun alle weiteren Netzwerk-Komponenten mit der LMC koppeln.

In diesem Beispiel sind das neben dem zentralen managed Switch noch drei Access Points, welche das Firmen- und Gäste-WLAN zur Verfügung stellen. Die Geräte befinden sich noch im Auslieferungszustand und erhalten ihre IP-Adressen per DHCP von der Unified Firewall.

8.2 Markieren Sie alle weiteren Netzwerk-Komponenten in LANconfig und klicken Sie mit der rechten Maustaste.

8.3. Wählen Sie die Option Gerät mit LANCOM Management Cloud koppeln.

8.4 Geben Sie den Aktivierungscode ein, welchen Sie im Schritt 2.1.5 erstellt haben.

8.5. Nach erfolgreichem Kopplungsvorgang ändert sich das Icon vor den Geräten in ein LMC-Symbol und die Geräte erscheinen im LMC-Dialog Geräte.

8.6 Wechseln Sie in die Konfigurationsoberfläche der LMC und weisen Sie im Menü Standorte → <Standortname> → Geräte alle neuen Geräte dem Standort zu.

8.7 Abschließend müssen Sie die neue LMC-Konfiguration an alle Geräte in Ihrem Projekt ausrollen.

  • Wechseln Sie dazu in das Menü Geräte und markieren Sie alle Geräte mit dem Status "Nicht aktuell".
  • Wählen Sie aus dem "drei-Punkte-Menü" die Option Konfiguration ausrollen und bestätigen Sie den folgenden Dialog mit OK. Die Konfiguration wird nun ausgerollt.

8.8 Nach dem Ausrollen ist die Konfiguration abgeschlossen.


Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH