Beschreibung:

In stark heterogenen Umgebungen mit Netzwerk-Geräten unterschiedlicher Hersteller kann es herausfordernd sein, eine LANCOM R&S®Unified Firewall mit UTM-Funktionen in einem vorhandenen Netzwerk einzubinden. Die einfachste Lösung ist der Einsatz des transparenten Bridge Mode. Dadurch können alle Features der vorhandenen Netzwerk-Geräte weiterverwendet werden (etwa bestehende VPN-Verbindungen).

In diesem Artikel wird beschrieben, wie die UTM-Funktionen einer LANCOM R&S®Unified Firewall in heterogenen Netzwerk-Umgebungen mittels transparentem Bridge Mode verwendet werden können.

In diesem Szenario können alle UTM-Funktionen verwendet werden.



Voraussetzungen:

  • LANCOM R&S®Unified Firewall mit LCOS FX ab Version 10.13 RU8
  • Basic oder Full License (Full License erforderlich für UTM-Funktionen)
  • Bereits eingerichtetes und funktionsfähiges Netzwerk-Szenario
  • Die Unified Firewall muss sich im Werkszustand befinden
  • Web-Browser zur Konfiguration der Unified Firewall.

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Szenario:

  • Auf dem Router ist das IP-Netzwerk  192.168.100.0/24 mit der IP-Adresse  192.168.100.254  eingerichtet. 
  • Der Router fungiert als Standard-Gateway und stellt auch den DHCP- und DNS-Server zur Verfügung.
  • Auf der Unified Firewall werden die Interfaces eth1 und eth2 in der der Bridge br0 zusammengefasst und dieser die IP-Adresse 192.168.100.253 zugewiesen.

Diagramm einer technischen Benutzeroberfläche, die eine UnifiedFirewall und einen Router zeigt, verbunden mit dem Internet und einem lokalen Netzwerk (LAN), mit verschiedenen IP-Adressen und Netzwerkschnittstellen.



Vorgehensweise:

1. Konfiguration des transparenten Bridge Mode auf der Unified Firewall: 

1.1 Verbinden Sie sich per Web-Browser mit der Unified Firewall, wechseln in das Menü Netzwerk → Verbindungen → Netzwerk-Verbindungen und löschen zwei nicht verwendete Verbindungen über die "Mülltonnen-Symbole", damit zwei Ethernet-Ports für die Bridge zur Verfügung stehen (in diesem Beispiel die Interfaces eth1 und eth2).

Ein Bildschirmfoto einer technischen Benutzeroberfläche mit verschiedenen Netzwerkeinstellungen einschließlich Firewall, DNS-Einstellungen, Verbindungenstypen wie WAN und LAN, sowie ein Bereich mit Monitoring-Statistiken.

1.2 Wechseln Sie in das Menü Netzwerk → Interfaces → Bridge Interfaces und klicken auf das "Plus-Zeichen", um ein neues Interface zu erstellen.

Screenshot eines Netzwerkverwaltungstools, das Menüoptionen wie Firewall-Einstellungen, Bridge- und Ethernet-Interfaces, DNS-Einstellungen sowie Monitoring-Statistiken zeigt.

1.3 Tragen Sie die in Schritt 1.1 gelöschten Ports ein (in diesem Beispiel eth1 und eth2) und klicken auf Erstellen.

Bildschirmfoto einer technischen Konfigurationsoberfläche mit Optionen zur Anpassung von Hardwareadressen, Ports, Priorität und Spanning Tree Protocol-Einstellungen, sowie Buttons zum Erstellen oder Abbrechen von Änderungen.

1.4 Wechseln Sie in das Menü Netzwerk → Verbindungen → Netzwerk-Verbindungen und klicken auf das "Plus-Zeichen", um ein neues Interface zu erstellen.

Screenshot einer technischen Benutzeroberfläche zur Überwachung von Netzwerkverbindungen, inklusive DNS-Einstellungen, Routing und verschiedenen Verbindungstypen wie WAN und LAN.

1.5 Passen Sie die folgenden Paramater an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel Bridge-Interface).
  • Interface: Wählen Sie das in Schritt 1.3 erstellte Bridge-Interface aus (in diesem Beispiel br0).
  • IP-Adressen: Tragen Sie eine freie IP-Adresse im CIDR-Format aus dem Netzwerk ein, in das die Unified Firewall eingebunden werden soll (in diesem Beispiel 192.168.100.253/24).

Im Reiter WAN darf anschließend kein Standard-Gateway hinterlegt werden!

Ein Bildschirmfoto einer technischen Benutzeroberfläche für Netzwerkkonfigurationen, die verschiedene Optionen und Statusinformationen wie BridgeInterface, Netzwerktyp, Status und IP-Adressen zeigt.

1.6 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der bereits vorhandenen Tabelle 254 auf das "Stift-Symbol", um die Einstellungen zu bearbeiten.

Bildschirmansicht eines Konfigurationsmenüs in einem Netzwerksystem, das Optionen wie Routing-Tabellen, Firewall-Einstellungen, DHCP-Interfaces, DNS-Einstellungen und Netzwerk-Monitoring-Statistiken zeigt.

1.7 Klicken Sie auf das "Plus-Zeichen", um einen weiteren Routing-Eintrag zu erstellen.

Bildschirmabbildung einer Routing-Tabelle mit Spalten für Ziel, Interface, Gateway und Typ, aufgelistet sind mehrere Routen wie ethO und bro, alle als unicast Typ gekennzeichnet.

1.8 Passen Sie die folgenden Parameter an und klicken auf OK:

  • Interface: Wählen Sie im Dropdownmenü das in Schritt 1.3 erstellte Bridge-Interface aus (in diesem Beispiel br0).
  • Ziel: Tragen sie die Adresse 0.0.0.0/0 ein. Dadurch werden Pakete für beliebige Ziele über diese Route geleitet (Default-Route).
  • Gateway: Tragen Sie die IP-Adresse des Standard-Gateways in dem vorhandenen Netzwerk ein.

Screenshot eines Konfigurationsmenüs zur Bearbeitung von Routen, verbunden mit ausgewählten Subnetzen.

1.9 Klicken Sie auf Speichern.

Bild einer Routing-Tabelle in einer Benutzeroberfläche mit Spalten für Nummer, Routenziel, Interface, Gateway und Typ, wobei Änderungen bis zum Zurücksetzen oder Abmelden erhalten bleiben.

1.10 Klicken Sie auf das Symbol zum Erstellen eines Netzwerks, um ein Objekt für das lokale Netzwerk anzulegen.

Screenshot einer Benutzeroberfläche für Firewall-Monitoring mit Statistiken.

1.11 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel Produktion).
  • Interface: Wählen Sie das in Schritt 1.3 erstellte Bridge-Interface aus (in diesem Beispiel br0).
  • Netzwerk-IP: Tragen Sie die Netz-Adresse des vorhandenen Netzwerks im CIDR-Format ein (in diesem Beispiel 192.168.100.0/24).

Screenshot einer technischen Benutzeroberfläche für ein Produktionsnetzwerk, der verschiedene Konfigurationsoptionen wie Name, Beschreibung, Farbe und Netzwerktyp zeigt, sowie Schaltflächen für das Beenden des Dialogs oder Abmelden.

1.12 Klicken Sie erneut auf das Symbol zum Erstellen eines Netzwerks, um ein Objekt für die Internet-Verbindung anzulegen.

Technische Benutzeroberfläche mit der Beschriftung Firewall und Untermenüs für Monitoring und Statistiken.

1.13 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel Internet).
  • Interface: Wählen Sie die Schnittstelle any aus.
  • Netzwerk-IP: Tragen Sie die Adresse 0.0.0.0/0 ein. Diese steht für beliebige Ziele.

Screenshot einer technischen Benutzeroberfläche zur Verwaltung von Internetnetzwerkeinstellungen, mit Optionen zum Anmelden, Änderungen beibehalten, Abbrechen und Abmelden.



2. Erlauben der DHCP-Kommunikation:

Damit die DHCP-Kommunikation zwischen den Endgeräten und dem DHCP-Server auf dem Router möglich ist, muss eine entsprechende Firewall-Regel erstellt werden.

Wird ein DHCP-Server "hinter" der Unified Firewall verwendet, durchlaufen die DHCP-Pakete die Unified Firewall nicht. In diesem Fall müssen die folgenden Konfigurations-Schritte nicht umgesetzt werden.

2.1 Klicken Sie auf das Symbol zum Erstellen eines Hosts, um ein Objekt für die DHCP-Quelle anzulegen.

Screenshot einer technischen Benutzeroberfläche mit Optionen zum Erstellen eines Hos, SEO-Features, Firewall-Einstellungen und Monitoring-Statistiken.

2.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel DHCP_Source).
  • Interface: Wählen Sie das Interface any aus.
  • IP-Adresse: Tragen Sie die IP-Adresse 0.0.0.0 ein. Eine DHCP-Anfrage wird immer mit dieser Quell-Adresse durchgeführt.  

Bild einer technischen Benutzeroberfläche mit verschiedenen Einstellungsoptionen, darunter DHCP-Quellenhosts, Farbeinstellungen, Benutzerauthentifizierungsoptionen und Abbruch- sowie Anmeldeknöpfe.  

2.3 Klicken Sie erneut auf das Symbol zum Erstellen eines Hosts, um ein Objekt für das DHCP-Ziel anzulegen.

Screenshot einer technischen Benutzeroberfläche mit Optionen für KlickenzumErstellen eines Hosis, os e Seo, Firewall und MonitoringStatistiken.

2.4 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel DHCP_Target).
  • Interface: Wählen Sie das Interface any aus.
  • IP-Adresse: Tragen Sie die IP-Adresse 255.255.255.255 ein. Eine DHCP-Anfrage wird immer mit dieser Ziel-Adresse durchgeführt. Es handelt sich dabei um eine Broadcast-Adresse.

Bildschirmfoto einer technischen Konfigurationsoberfläche mit Optionen zur Anmeldungserlaubnis, IP-Adresseneinstellung und Dialogabbruch-Buttons.

2.5 Wechseln Sie in das Menü Desktop → Dienste → Benutzerdef. Dienste und klicken auf das "Plus-Zeichen", um einen benutzerdefinierten Dienst zu erstellen.

Screenshot eines technischen Konfigurationsmenüs mit verschiedenen Optionen wie MonitoringStatistiken, Netzwerk, Benutzerdefinierte Dienste, DesktopObjekte und DienstGruppen.

2.6 Vergeben Sie einen aussagekräftigen Namen und klicken auf das "Plus-Zeichen", um Ports und Protokolle hinzuzufügen.

Bildschirmansicht eines technischen Konfigurationsmenüs, das Optionen für einen DHCP-Dienst, Benutzeranpassungen, Port- und Protokolleinstellungen zeigt, mit Hinweisen darauf, dass Änderungen bis zum Abbrechen des Dialogs oder Abmelden erhalten bleiben.

2.7 Tragen Sie die Ports von 67 bis 68 ein und wählen das Protocol UDP aus. Klicken Sie anschließend auf OK.

Bildschirmfoto einer technischen Benutzeroberfläche zur Bearbeitung von Diensten mit Protokolloptionen wie TCP, UDP, ICMP, IPsec, ESP und GRE.

2.8 Klicken Sie auf Erstellen.

Bildschirmdarstellung eines Konfigurationsdialogs für einen benutzerdefinierten DHCP-Dienst, der Einstellungen für Name, UDP-Ports und Protokolle zeigt, mit Optionen zum Erstellen oder Abbrechen, wobei Änderungen bis zum Schließen des Dialogs oder Abmelden erhalten bleiben.

2.9 Klicken Sie auf dem Desktop auf das in Schritt 2.2 erstellte Objekt für die DHCP-Quelle (DHCP_Source), wählen das Verbindungswerkzeug aus und klicken auf das in Schritt 2.4 erstellte Objekt für das DHCP-Ziel (DHCP_Target). 

Bildschirmansicht eines technischen Konfigurationsmenüs, möglicherweise für Netzwerkeinstellungen, mit fragmentierten Beschriftungen und unvollständigem Text.

2.10 Fügen Sie den in Schritt 2.6 - 2.8 erstellten benutzerdefinierten Dienst für DHCP über einen Klick auf das "Plus-Zeichen" hinzu. 

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von Netzwerkeinstellungen mit Optionen für DHCP, URL-Inhaltsfilter, Anwendungsfilter und anwendungsorientiertes Routing, mit einem Hinweis zur Hinzufügung neuer Einträge durch Klicken auf ein Symbol.  Bildschirmansicht eines technischen Konfigurationsmenüs mit verschiedenen Benutzerdefinierten und Standarddienste-Optionen.

2.11 Klicken Sie auf Erstellen, um die Firewall-Regel anzulegen.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von DHCP mit Optionen für URLContentFilter, ApplicationFilter und ApplicationBasedRouting, wobei Einstellungen bis zum Logout oder Dialogabbruch erhalten bleiben.

2.12 Die Konfiguration der transparenten Bridge ist damit abgeschlossen. Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden. 

Screenshot einer technischen Benutzeroberfläche mit Optionen zum Aktivieren einer Firewall und zum Anzeigen von Monitoring-Statistiken.



3. Konfiguration von UTM-Funktionen:

Anschließend können die UTM-Funktionen eingerichtet werden: