Beschreibung:

Bei Verwendung von LTA auf einem LANCOM Router (LCOS) müssen zwei Gateways verwendet werden, Eines als dediziertes LTA-Gateway und eines für die Bereitstellung des Internet-Zugangs. Dies ist dadurch bedingt, dass die automatisch erstellten Firewall-Regeln für den LTA-Zugang das Routing-Tag des Erreichbaren Netzwerks verwenden (in der Regel das INTRANET mit dem Routing-Tag 1). Dadurch ist eine Kommunikation mit weiteren Netzwerken aber nicht möglich, da diese ein anderes Routing-Tag verwenden.

Damit die Kommunikation in weitere Netzwerke möglich ist, müssen in den automatisch erstellten Firewall-Regeln die korrekten Routing-Tags gesetzt werden. Dies muss per Add-in-Skript erfolgen.

In diesem Artikel wird beschrieben, wie die Kommunikation eines LTA-Benutzers in weitere Netzwerke mittels eines Add-ins erlaubt werden kann. Dadurch kann für den Internet- und LTA-Zugang das gleiche Gateway verwendet werden.

LANCOM R&S®Unified Firewalls können ohne weitere Konfigurationsschritte als Internet- und LTA-Gateway eingesetzt werden, da diese keine Routing-Tags unterstützen.

Es wird für jedes Netzwerk und jeden LTA-Benutzer eine separate Firewall-Regel erstellt. Die Regeln für die weiteren Netzwerke müssen alle angepasst werden, sofern der LTA-Benutzer mit dem Netzwerk kommunizieren soll. Dadurch wird die Konfiguration sehr schnell sehr aufwendig! Die im Folgenden beschriebene Vorgehensweise ist daher eher für kleinere Szenarion gedacht.


Voraussetzungen:


Szenario:

In einem LTA-Szenario sind folgende Netzwerke konfiguriert:

  • INTRANET: Netzadresse 10.0.0.0/8, VLAN untagged, Routing-Tag 1
  • Intranet2: Netzadresse 192.168.10.0/24, VLAN 10, Routing-Tag 10, Name des LTA-Verbindungsziels Netz10
  • Intranet3: Netzadresse 192.168.20.0/24, VLAN 20, Routing-Tag 20, Name des LTA-Verbindungsziels Netz20

Bildschirmansicht einer Netzwerkkonfigurationstabelle mit Status, Namen, IP-Bereich, VLAN und Internetzugangsoptionen für verschiedene Intranet-Netzwerke.

Es gibt einen LTA-Zugang mit dem Namen LTA-BENUTZER. Da es sich bei dem INTRANET um das Erreichbare Netzwerk handelt, kann der LTA-BENUTZER mit diesem Netzwerk bereits kommunizieren. Die Kommunikation mit den Netzwerken Intranet 2 und Intranet 3 ist aufgrund der unterschiedlichen Routing-Tags allerdings nicht möglich. 

Durch Anpassung der Routing-Tags in den Firewall-Regeln soll die Kommunikation des LTA-BENUTZERs in alle Netzwerke ermöglicht werden.


Vorgehensweise:

1. Import des Add-ins:

1.1 Laden Sie das folgende Add-in herunter.

LCOS Firewall-Rule.json

Weitere Informationen zu diesem Add-in finden Sie in unserem Add-in Handbuch:

Konfiguration von Firewall-Regeln

1.2 Wechseln Sie in der LMC in das Menü Add-ins und klicken auf Import

Screenshot eines technischen Dashboard-Interfaces, das verschiedene Abschnitte zeigt, einschließlich Sicherheitsstatus, Name, Kommentar und eine Meldung, dass keine Add-ins zu den gewählten Filtereinstellungen gefunden wurden.

1.3 Klicken Sie auf Datei auswählen und wählen anschließend das Add-in aus.

Bildschirmdarstellung eines Importfensters für Addins, das den Prozess der Importierung von Addins und zugehörigen Variablen aus einer JSON-Datei in ein Projekt zeigt, wobei darauf hingewiesen wird, dass bereits vorhandene gleichnamige Elemente überschrieben werden können.

1.4 Wählen Sie das Add-in FirewallRule aus und klicken auf Importieren.

Bildschirmansicht einer Software-Schnittstelle für den Import von Addins und zugehörigen Variablen aus einer JSON-Datei, wobei Optionen zur Übernahme vorhandener Namen und Auswahl bestimmter Variablen dargestellt sind.

1.5 Bestätigen Sie die Meldung mit einem Klick auf Schließen.

Screenshot einer technischen Benutzeroberfläche, die anzeigt, dass Add-Ins erfolgreich importiert wurden mit einem Schließen-Button.



2. Auslesen der Netzwerk-Informationen:

Wiederholen Sie diesen Schritt gegebenenfalls für weitere LTA-Benutzer.

2.1 Wechseln Sie in der LMC in das Menü Geräte und klicken auf den Namen des LTA-Gateways, um in die erweiterte Konfiguration zu gelangen.

Screenshot eines technischen Dashboards zeigt verschiedene Benutzereinstellungen und -informationen wie Sicherheitsoptionen, Aktivierungscodes, Standorte, Gerätestatus, Modelle, Seriennummern, IP-Adressen und Firmware-Daten.

2.2 Wechseln Sie in den Reiter Detail-Konfiguration und klicken auf Rolloutkonfiguration (Vorschau), um die automatisch durch die LMC erstellten Konfigurations-Bestandteile einzublenden.

Screenshot einer technischen Benutzeroberfläche mit Menüoptionen wie Basiskonfiguration, Rolloutkonfiguration, Konfigurationsvergleich und Quickfinder Management zur Geräteeinstellung und Systeminformation.

2.3 Wechseln Sie in der Detail-Konfiguration in das Menü Firewall/QoS → IPv4-Regeln → Regel-Tabelle.

Screenshot einer technischen Benutzeroberfläche für die Verwaltung und Konfiguration von Firewall-Regeln, Objekten, Qualitätsservice und verschiedenen Netzwerkdiensten, mit Abschnitten für DNS, IP-Router und Wireless LAN.

2.4 Klicken Sie auf die Firewall-Regel des zweiten Netzwerks (in diesem Beispiel Intranet2), um die Parameter der Regel einsehen zu können. 

Der Name der Firewall-Regel wird im Format LTA-<Name des LTA-Verbindungsziels> gespeichert. Daraus ergibt sich für das Intranet2 der Name LTA-Netz10 und für das Intranet3 der Name LTA-Netz20 (siehe auch die Szenario-Beschreibung).

Die Abbildung zeigt eine technische Benutzeroberfläche mit verschiedenen Konfigurationsoptionen für Netzwerkeinstellungen einschließlich WLAN, Schnittstellen, DNS, Routing, Firewall, IPv6-Regeln und Systemprotokollen.

2.5 Kopieren Sie die Werte der folgenden Parameter in eine Textdatei.

  • Name dieser Regel
  • Protokolle
  • Quelle
  • Ziel
  • Aktionen
  • Quell-Tag

2.6 Klicken Sie auf die Firewall-Regel des dritten Netzwerks (in diesem Beispiel Intranet3), um die Parameter der Regel einsehen zu können. 

Der Name der Firewall-Regel wird im Format LTA-<Name des LTA-Verbindungsziels> gespeichert. Daraus ergibt sich für das Intranet2 der Name LTA-Netz10 und für das Intranet3 der Name LTA-Netz20 (siehe auch die Szenario-Beschreibung).

Screenshot einer technischen Benutzeroberfläche für Netzwerkkonfigurationen, einschließlich Einstellungen für WLAN, Routingprotokolle, Firewall, DNS-Konfiguration und Sicherheitseinstellungen.

2.7 Kopieren Sie die Werte der folgenden Parameter in eine Textdatei:

  • Name dieser Regel
  • Protokolle
  • Quelle
  • Ziel
  • Aktionen
  • Quell-Tag

Screenshot einer Netzwerkkonfigurationsregel namens 'LTANETZO', die es erlaubt, Datenpakete zwischen 'LTABENUTZER' als Quelle und 'ANYLONETZZO' als Ziel mit dem Protokoll 'ANY' zu übertragen, mit der Aktion 'ACCEPT' und höchster Priorität.



3. Anpassung und Zuweisung des Add-ins:

Erstellen Sie gegebenenfalls weitere Firewall-Regeln für weitere LTA-Benutzer.

3.1 Wechseln Sie in der LMC in das Menü Add-ins und klicken auf das in Schritt 1. importierte Add-in, um dieses im Add-in Editor zu öffnen.

Screenshot eines technischen Dashboards mit verschiedenen Abschnitten, darunter Sicherheitsstatus, Name, Kommentar und Projektvorgaben, sowie Auswahloptionen für Geräte.

3.2 Tragen Sie die Befehle zum Erstellen der Firewall-Regeln ein und klicken auf Erstellen:

Der Befehl zum Erstellen einer Firewall-Regel muss in dem folgenden Format eingegeben werden:

addFirewallRule("<Name der Firewall-Regel>", "<Protokoll>", "<Quelle>", "<Ziel>", "<Aktion>", "<Quell-Tag>", "<Routing-Tag>");

  • Firewall-Regel für das Netzwerk Intranet2:
    • Tragen Sie die in Schritt 2.5 kopierten Werte in den Befehl ein. Als Routing-Tag muss der in der Szenario-Beschreibung angebene Wert verwendet werden (in diesem Beispiel das Tag 10).
      • Der Befehl zum Erstellen der Firewall-Regel für das Intranet2 lautet somit wie folgt: addFirewallRule("LTA-NETZ10", "ANY", "LTA-BENUTZER", "ANY LO^NETZ10_192", "ACCEPT", "1", "10");
  • Firewall-Regel für das Netzwerk Intranet3:
    • Tragen Sie die in Schritt 2.7 kopierten Werte in den Befehl ein. Als Routing-Tag muss der in der Szenario-Beschreibung angebene Wert verwendet werden (in diesem Beispiel das Tag 20).
      • Der Befehl zum Erstellen der Firewall-Regel für das Intranet3 lautet somit wie folgt: addFirewallRule("LTA-NETZ20", "ANY", "LTA-BENUTZER", "ANY LO^NETZ20_192", "ACCEPT", "1", "20");
  • Die einzelnen Parameter müssen in Anführungszeichen oben (") angegeben werden, da die LMC diese als String benötigt.
  • Weiterhin müssen die einzelnen Parameter durch ein Komma (,) voneinander getrennt werden.
  • Jeder Befehl muss durch ein Semikolon (;) abgeschlossen werden.

Screenshot eines technischen Konfigurationsmenüs, das verschiedene Optionen für Firewall-Regeln enthält, einschließlich Namen, Kommentarfeldern und spezifischen Netzwerkregeln wie IP-Adressen, Netzmasken und Protokolloptionen.

3.3 Wechseln Sie in der LMC in das Menü Add-ins und klicken auf Zuweisung.

Screenshot einer technischen Benutzeroberfläche mit einem Dashboard, das Bereiche wie Sicherheit, Standorte und Projektvorgaben zeigt, jedoch keine Addins für ausgewählte Filtereinstellungen gefunden wurden.

3.4 Wählen Sie ein Netzwerk aus, welches dem LTA-Gateway zugewiesen ist (in diesem Beispiel das INTRANET) und wählen bei Add-ins hinzufügen das Add-in FirewallRule aus. Klicken Sie anschließend auf Hinzufügen.

Bildschirmansicht einer technischen Benutzeroberfläche im Intranet, die verschiedene projektspezifische und globale Netzwerk-Add-ins zeigt, zusammen mit einer Dropdown-Schaltfläche zur Auswahl und Konfigurationsoptionen, um verwaltete Geräte individuell anzupassen.

3.5 Klicken Sie auf Speichern, um die Zuweisung abzuschließen.

Screenshot einer technischen Benutzeroberfläche mit Einstellungen für Projekt-spezifische und globale Add-ins sowie Angaben zum Netzwerkstatus und Firewall-Regeln für ein Intranet.

Kontrollieren Sie anschließend in der Rolloutkonfiguration in den beiden Firewall-Regeln (siehe Schritt 2), ob die eingegebenen Parameter durch das Add-in korrekt gesetzt wurden.

Bildschirmfoto einer technischen Benutzeroberfläche zur Konfiguration von Firewall-Regeln, das Felder wie Regelname, Protokolle, Quelle, Ziel, Aktionen und Priorität anzeigt sowie spezifische Anweisungen bezüglich der Verbindungszustände und Routing-Optionen enthält. Screenshot einer technischen Firewall-Konfigurationsseite, die verschiedene Regel-Details anzeigt, einschließlich Protokoll, Quelle, Ziel, Aktionen und spezielle Parameter wie 'EIDynamicPathSelectionSessionSwitchover' und 'Priorität'.



4. Rollout der Konfiguration auf den Router:

4.1 Wechseln Sie in der LMC in das Menü Geräte und klicken bei dem LTA-Gateway unter Konfiguration auf Nicht aktuell, um den Rollout-Vorgang zu starten.

Ein Bildschirmfoto eines technischen Dashboards zeigt verschiedene Geräteinformationen wie Modell, Seriennummer, Standort, IP-Adresse und Firmwarestatus, sowie Optionen zur Aktivierung und Filterung.

4.2 Bestätigen Sie die Abfrage mit einem Klick auf Ausrollen.

4.3 Die Konfiguration des Szenarios ist damit abgeschlossen. Der LTA-Benutzer kann nun mit allen Netzwerken kommunizieren.

Weitere Artikel zu diesem Thema:

 

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH