Fernzugriff auf eine LANCOM R&S®Unified Firewall durch den LANCOM Support ermöglichen

Beschreibung:

Für die Konfiguration und Fehler-Analyse ist ein Zugriff auf die Unified Firewall erforderlich. Steht kein Zugriff über eine Fernwartung zur Verfügung, kann es erforderlich sein über das Internet auf die Unified Firewall zuzugreifen.

In diesem Artikel wird beschrieben wie der Zugriff für den Webclient sowie per SSH erlaubt werden kann und welche IP-Adressen eingetragen werden müssen, damit ein Fernzugriff durch den Support von LANCOM Systems ermöglicht wird.

Voraussetzungen:

• LANCOM R&S® Unified Firewall mit Firmware ab Version 10.2
• Web-Browser zur Konfiguration der Unified Firewall.
  
  Es werden folgende Browser unterstützt:
  • Google Chrome
  • Chromium
  • Mozilla Firefox

Vorgehensweise:

1. Zugriff per SSH erlauben:

1.1 Öffnen Sie die Konfiguration der Unified Firewall im Browser und wechseln in das Menü Firewall → Firewall-Zugriff → SSH-Einstellungen.

Screenshot einer technischen Benutzeroberfläche mit Menüoptionen wie Firewall, Backup, Benutzerauthentifizierung, Command Center, Firewall-Zugriff, Ping-Einstellungen, SSH-Einstellungen und Webclient-Einstellungen zur Verwaltung der Hochverfügbarkeit.

1.2 Die Zugriffs-Beschränkungen sind in Form einer Whitelist implementiert. Ein Zugriff auf die Unified Firewall ist nur dann möglich, wenn die IP-Adresse oder das Interface hinterlegt ist.

Ein Zugriff per SSH aus dem Internet kann durch Setzen des Hakens bei Internet ermöglicht werden. Dies ist allerdings nicht empfehlenswert, da der Zugriff in diesem Fall unbeschränkt ist. Stattdessen sollte der Zugriff auf bestimmte IP-Adressen eingeschränkt werden.

Für den Zugriff durch das LANCOM Support Team (Rohde & Schwarz...) sind bereits zwei Einträge in der Whitelist vorhanden. Aufgrund eines weiteren Standorts ist es erforderlich eine weitere IP-Adresse zu hinterlegen.

Bildschirmansicht einer technischen Benutzeroberfläche zur Konfiguration von SSH-Einstellungen, Kennwortauthentifizierung und Zugriffsbeschränkungen, mit Optionen für verschiedene Netzwerktypen wie LAN, WAN und VPN.

1.3 Tragen Sie bei Quelle die IP-Adresse 212.117.89.9 in CIDR-Schreibweise ein (Classless Inter-Domain Routing), um den Zugriff per SSH zu erlauben und geben bei Titel eine aussagekräftige Bezeichnung an.

Klicken Sie anschließend auf das "Plus-Zeichen", um den Eintrag zu hinterlegen.

Erforderliche Einträge:

• 212.117.89.9 /32
• 217.6.21.90/32 (nur vor LCOS FX 10.4)

Bildschirmansicht einer technischen Benutzeroberfläche mit SSH-Einstellungen, einschließlich Feldern für gespeicherte Version, Passwortauthentifizierung, öffentliche Schlüssel und Zugriffsbeschränkungen, wobei keine Schlüssel vorhanden sind und verschiedene Netzwerkoptionen aufgeführt sind.

1.4 Setzen Sie die Haken bei LANCOM Customer Support, Rohde & Schwarz Internet Gateway und Rohde & Schwarz Cybersecurity Customer Support und klicken auf Speichern.

Screenshot einer technischen Benutzeroberfläche mit Einstellungen für SSH, darunter Optionen für Passwortauthentifizierung, öffentliche Schlüssel, sowie Zugriffsbeschränkungen für verschiedene Netzwerktypen wie LAN, WAN und VPN.

2. Zugriff per HTTPS erlauben: 

2.1 Öffnen Sie die Konfiguration der Unified Firewall im Browser und wechseln in das Menü Firewall → Firewall-Zugriff → Webclient-Einstellungen.

Screenshot einer technischen Benutzeroberfläche mit Einstellungen und Optionen für Firewall, Backup, Benutzerauthentifizierung, Hochverfügbarkeit und weitere Netzwerkfunktionen.

2.2 Die Zugriffs-Beschränkungen sind in Form einer Whitelist implementiert. Ein Zugriff auf die Unified Firewall ist nur dann möglich, wenn die IP-Adresse oder das Interface hinterlegt ist.

Ein Zugriff per HTTPS aus dem Internet kann durch Setzen des Hakens bei Internet ermöglicht werden. Dies ist allerdings nicht empfehlenswert, da der Zugriff in diesem Fall unbeschränkt ist. Stattdessen sollte der Zugriff auf bestimmte IP-Adressen eingeschränkt werden.

Für den Zugriff durch das LANCOM Support Team (Rohde & Schwarz...) sind bereits zwei Einträge in der Whitelist vorhanden. Aufgrund eines weiteren Standorts ist es erforderlich eine weitere IP-Adresse zu hinterlegen.

Bildschirmfoto einer technischen Benutzeroberfläche mit verschiedenen Netzwerkeinstellungen, einschließlich Local Area Network (LAN), Wide Area Network (WAN), VPN-Tunnel und Kundensupport-Optionen, sowie Konfigurationsmöglichkeiten für private Netzwerke unterschiedlicher Klassen.

2.3 Tragen Sie bei Quelle die IP-Adressen 212.117.89.9 und 217.6.21.90 in CIDR-Schreibweise ein (Classless Inter-Domain Routing), um den Zugriff per HTTPS zu erlauben und geben bei Titel eine aussagekräftige Bezeichnung an.

Klicken Sie anschließend jeweils auf das "Plus-Zeichen", um den Eintrag zu hinterlegen.

Erforderliche Einträge:

• 212.117.89.9/32
• 217.6.21.90/32
• 62.153.130.132/32 (nur vor LCOS FX 10.4)

Screenshot einer technischen Benutzeroberfläche mit Einstellungen für Webclient, Netzwerke und Sicherheitszertifikate, einschließlich Optionen für Ports, VPN-Tunnel und verschiedene Netzwerkklassen.  

Bild eines Netzwerk-Konfigurationsmenüs mit Einstellungen für Webclient, Zertifikate, Zugriffsbeschränkungen und Listen von Netzwerkverbindungen wie LAN, WAN, VPN und private Netzwerkklassen.

2.4 Setzen Sie die Haken bei LANCOM Customer Support,  Rohde & Schwarz Internet Gateway und Rohde & Schwarz Cybersecurity Customer Support und klicken auf Speichern.

Bildschirmansicht einer technischen Benutzeroberfläche zur Konfiguration von Netzwerkeinstellungen mit Optionen für Ports, Webclient-Zertifikatabwicklung, verschiedenen Netzwerkzugriffsbeschränkungen auf LAN-, WAN- und VPN-Ebenen, unterstützt durch Kundenunterstützung verschiedener Anbieter wie LANCOM und Rohde & Schwarz Cybersecurity.

3. Portforwarding im LANCOM Router einrichten (Optional)

Wird ein LANCOM Router als vorgeschalter Router verwendet, muss auf diesem ein Portforwarding eingerichtet werden, um den Zugriff auf die Unified Firewall zu ermöglichen. Dies ist bei Verwendung der Layer-3-Schleife und der Reihenschaltung der Fall.

3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.

Dieses Bild zeigt eine technische Benutzeroberfläche mit diversen Konfigurationsoptionen wie Maskierungsoptionen, Schnittstellen und Kommunikationseinstellungen, einschließlich Zeitangaben in Sekunden für verschiedene Prozesse.

3.2 Portforwarding für den Zugriff auf SSH einrichten:

3.2.1 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

• Anfangs-Port: Tragen Sie den Port 22 ein.
• End-Port: Tragen Sie den Port 22 ein.
• Gegenstelle: Wählen Sie im Dropdownmenü die verwendete Internet-Gegenstelle aus.
• Intranet-Adresse: Geben Sie die IP-Adresse der Unified Firewall aus dem Transfernetzwerk an.
• Protokoll: Wählen Sie im Dropdown-Menü TCP aus.

Bild einer technischen Benutzeroberfläche mit teilweise unleserlichem und verschwommenem Text, der möglicherweise Einträge oder Bezeichnungen wie Iran und verschiedene schwer lesbare Wörter enthält.

3.3 Portforwarding für den Zugriff auf den Web-Client einrichten:

3.3.1 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

• Anfangs-Port: Tragen Sie den Port 3438 ein.
• End-Port: Tragen Sie den Port 3438 ein.
• Gegenstelle: Wählen Sie im Dropdownmenü die verwendete Internet-Gegenstelle aus.
• Intranet-Adresse: Geben Sie die IP-Adresse der Unified Firewall aus dem Transfernetzwerk an.
• Protokoll: Wählen Sie im Dropdown-Menü TCP aus.

Bild eines technischen Interface-Menüs mit teilweise unklaren und fragmentarischen Beschriftungen wie Eintragaktiv, Preonte, ern, wein, anno, MapPot N, Wanrraese und Kommen Frese.

3.4 Die Konfigurationsschritte im LANCOM Router sind damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.