Dieses Dokument beschreibt die initiale Konfiguration zur Verwendung einer LANCOM R&S® Unified Firewall als zentrales Gateway in der LANCOM Management Cloud (LMC) mit gleichzeitiger Nutzung der SD-Security-Funktionalität für das von der LMC verwaltete lokale Netzwerk und deren Komponenten.
1.1 Öffnen Sie die Konfigurationsoberfläche der Unified Firewall im Webbrowser (https://<lokale IP-Adresse der Firewall>:3438) und ändern Sie im ersten Schritt das Administrator- und Support-Passwort in eines Ihrer Wahl.
1.2 Klicken Sie dann auf Akzeptieren und Anmelden.
1.3 Verwenden Sie nach der erneuten Anmeldung den deutschen Setup-Assistent.
1.4 Es wird kein Konfigurations-Backup eingespielt.
1.5 Konfigurieren Sie die allgemeinen Einstellungen nach Ihren Wünschen.
1.6 Das Ethernet-Interface eth0 wird in diesem Beispiel für den Internet-Zugang verwendet, Der Internetzugriff muss auf DHCP eingestellt sein.
Bei einigen Unified Firewall-Modellen (z.B. bei einer UF-260) wird der SFP-Port als eth0 verwendet. Wenn Sie diesen nicht als Internet-Interface verwenden wollen/können, müssen Sie eines der Ethernet-Interfaces für den Internet-Zugang auswählen und den weiteren Konfigurationsvorgang Ihren Gegebenheiten entprechend anpassen |
1.7 Deaktivieren Sie die LAN-Konfigurationen auf den Interfaces eth1 und eth2.
Die spätere lokale Netzwerk-Konfiguration, welche Sie über die LMC an die Unified Firewall ausrollen, wird immer auf dem Interface eth1 erstellt. |
Die Konfiguration des Interface eth3 können Sie in den Standard-Einstellungen aktiviert belassen. So haben Sie im Fall, dass bei der Konfiguration der Unified Firewall ein Fehler auftritt, immer die Möglichkeit, das Gerät über ein Ethernet-Interface zu erreichen.
1.8 Bestätigen Sie den folgenden Dialog mit OK.
1.9 Lesen Sie sich die Informationen der Zusamenfassung durch und klicken Sie dann auf Fertigstellen um die Grundkonfiguration abzuschließen.
2.1.1 Öffnen Sie die Konfigurationsoberfläche der LMC im Webbrowser und wechseln Sie in das Projekt, in welchem Sie die Konfiguration für Ihr Szenario durchführen möchten.
2.1.2 Stellen Sie sicher, dass im Menü Projektvorgaben → Inbetriebnahme von Geräten die Option "Default Netze keim Konfigurations-Rollout..." aktiviert ist.
2.1.3 Wechseln Sie in das Menü Projektvorgaben → SDN und stellen Sie sicher, dass neben SD-WAN, SD-LAN und SD-WLAN auch die Funktion SD-Security aktiviert ist.
2.1.4 Wechseln Sie in das Menü Geräte → Aktivierungscodes und klicken Sie auf die Schaltfläche Aktivierungscode erstellen.
2.1.5 Wählen Sie einen gewünschten Gültigkeitszeitraum aus und klicken Sie auf Jetzt generieren.
2.1.6 Kopieren Sie den erstellten Aktivierungscode in die Zwischenablage und speichern Sie diesen z.B. in einer *.txt-Datei auf Ihrem Konfigurations-PC.
2.2.1 In diesem Konfigurationsbeispiel wurde der Standard-IP-Adressbereich des vorhandenen Netzes INTRANET auf den Adressbereich 192.168.0.0/16 angepasst. Sie können jedoch auch den Standard-Bereich verwenden. Alle anderen Einstellungen dieses Netzes wurden bei den Standard-Einstellungen belassen.
Wichtig ist, dass dieses Netzwerk den Zugriff auf das Internet bereitstellt und die DHCP- & DNS-Funktion aktiviert ist. Dies sind u.a. die Standard-Einstellungen. |
2.2.2 Wechseln Sie in das Menü Standorte → <Standortname> → Netze.
2.2.3 Weisen Sie Ihrem Standort das NETZ INTRANET zu.
2.2.4 Wechseln Sie wieder in das Menü Netze und erstellen Sie eines neues Netz, welches später für ein Gast-WLAN verwendet werden soll.
2.2.5 Vergeben Sie einen Namen und eine Beschreibung für das neue Netz.
2.2.6 Die Tabelle im Menü Netze muss dann folgendermaßen aussehen:
2.2.7 Das neue Netz müssen Sie nun auch wieder im Menü Standorte → <Standortname> → Netze Ihrem Standort zuweisen:
3.1 Öffnen Sie die Konfiguration der Unified Firewall im Webbrowser.
3.2 Wenn Sie sich das erste Mal nach durchgeführter Grundkonfiguration an der Konfigurationsoberfläche der Unified Firewall anmelden, werden Ihnen die für den Internet- und Mail-Zugang benötigten Proxy-CA-Zertifikate zum Download angeboten.
| Laden Sie alle angebotenen Zertifikate herunter. Sie benötigen diese später auf jedem Netzwerk-Client für den Zugang zum Internet und zum Senden bzw. Abrufen von E-Mails (siehe auch LANCOM R&S®Unified Firewall: Konfiguration des HTTP(S)-Proxy zur Nutzung von UTM-Funktionen). |
3.3 Wechseln Sie in das Menü Firewall → LMC-Einstellungen.
3.4 Klicken Sie dann auf Speichern.
Die Unified Firewall wird nach kurzer Zeit mit der LMC gekoppelt und erscheint im LMC-Menü Geräte.
|
4.1 Öffnen Sie die Konfigurationsoberfläche der LMC und wechseln Sie in das Menü Netze.
4.2 Markieren Sie zunächst das Netz INTRANET und wechseln Sie im unteren Menü auf die Registerkarte WLAN.
4.3 Klicken Sie auf die Schaltfläche Neue WLAN SSID erstellen.
4.4 Klicken Sie auf Speichern.
4.5 Markieren Sie dann das Netz GAST und wechseln Sie im unteren Menü auf die Registerkarte WLAN.
4.6 Klicken Sie auf die Schaltfläche Neue WLAN SSID erstellen.
4.7 Klicken Sie auf Speichern.
5.1 Damit alle konfigurierten Netze auch an den (gewünschten) Ports des zentralen Switch ausgegeben werden, müssen diese im Menü Netze in einer Matrix zugewiesen werden.
5.2 Markieren Sie zunächst das Netz INTRANET und wechseln Sie im unteren Menü auf die Registerkarte Switches.
| In diesem Beispiel wird ein 10-Port LANCOM managed Switch (GS-2310P+) verwendet und alle Netze sollen an allen Ports ausgegeben werden. |
5.3 Öffnen Sie die Registerkarte 10-Port-Modelle und klicken Sie auf alle angezeigten Ports, damit sich diese in der Farbe, welche dem Netz zugewiesen wurde, einfärben.
5.4 Klicken Sie dann auf Speichern.
5.5 Verfahren Sie in gleicher Weise mit dem Netz GAST.
6.1 In diesem Konfigurationsbeispiel sollen die Sicherheitsfunktionen im Netz INTRANET verwendet werden. Dies wird auch im Menü Netze konfiguriert.
6.2 Markieren Sie zunächst das Netz INTRANET und wechseln Sie im unteren Menü auf die Registerkarte Sicherheit.
6.3 Aktivieren Sie die folgenden Funktionen:
6.4 Klicken Sie auf Speichern.
|
Es sind nun alle nötigen Konfigurationsschritte in der LMC abgearbeitet. Die erstellte Konfiguration kann jetzt an die Unified Firewall ausgerollt werden.
Beachten Sie, dass sich mit dem Ausrollen der Konfiguration die komplette Konfiguration Ihres lokalen Netzwerks ändert. Alle Geräte erhalten u.a. zwei neue lokale Netzwerke und die Unified Firewall operiert als zentrales Gateway und DHCP-Server für das lokale Netzwerk. |
7.1 Wechseln Sie in das Menü Geräte und wählen Sie die Unified Firewall aus.
7.2 Wählen Sie aus dem "drei-Punkte-Menü" die Option Konfiguration ausrollen und bestätigen Sie den folgenden Dialog mit OK. Die Konfiguration wird nun ausgerollt.
Warten Sie ca. 5 bis 10 Minuten, bis der Ausrollvorgang abgeschlossen ist. Die Unified Firewall wird aufgrund der Netzwerk-Änderungen nach dem Ausrollen als Offline angezeigt, da die Internet-Verbindung durch die Konfigurationsänderung nicht mehr zur Verfügung steht. Nach dem Ausroll-Vorgang müssen Sie die Ethernet-Kabel an den Netzwerk-Komponenten Switch, Gateway-Router und Unified Firewall zwingend umstecken (siehe Szenario-Grafiken am Anfang des Artikels)!
|
7.3 Nach dem Umstecken der Kabelverbindungen dauert es ein paar Minuten, bis alle Netzwerk-Komponenten die neuen Netzwerk-Informationen erhalten haben. Bei Bedarf kann auch der LANCOM Switch und die Access Points einmal neu gestartet werden.
7.4 Nach dem Ausrollen, besitzen alle Geräte zwei Netzwerke.
Um von ihrem Konfigurations-PC das Internet (und somit die LMC) wieder erreichen zu können, müssen Sie auf diesem nun zwingend das HTTPS-CA-Zertifikat der Unified Firewall installieren, welches Sie im Schritt 3.2 heruntergeladen haben. |
8.1 Nachdem die LMC-Konfiguration erfolgreich an die Unified Firewall ausgerollt wurde, können Sie nun alle weiteren Netzwerk-Komponenten mit der LMC koppeln.
| In diesem Beispiel sind das neben dem zentralen managed Switch noch drei Access Points, welche das Firmen- und Gäste-WLAN zur Verfügung stellen. Die Geräte befinden sich noch im Auslieferungszustand und erhalten ihre IP-Adressen per DHCP von der Unified Firewall. |
8.2 Markieren Sie alle weiteren Netzwerk-Komponenten in LANconfig und klicken Sie mit der rechten Maustaste.
8.3. Wählen Sie die Option Gerät mit LANCOM Management Cloud koppeln.
8.4 Geben Sie den Aktivierungscode ein, welchen Sie im Schritt 2.1.5 erstellt haben.
8.5. Nach erfolgreichem Kopplungsvorgang ändert sich das Icon vor den Geräten in ein LMC-Symbol und die Geräte erscheinen im LMC-Dialog Geräte.
8.6 Wechseln Sie in die Konfigurationsoberfläche der LMC und weisen Sie im Menü Standorte → <Standortname> → Geräte alle neuen Geräte dem Standort zu.
8.7 Abschließend müssen Sie die neue LMC-Konfiguration an alle Geräte in Ihrem Projekt ausrollen.
8.8 Nach dem Ausrollen ist die Konfiguration abgeschlossen.
