Troubleshooting Guide: Anwendung auf Endgerät in Netzwerk einer LANCOM R&S®Unified Firewall kann nicht mit dem Internet kommunizieren

Beschreibung:

In diesem Artikel werden die erforderlichen Schritte und Lösungsmöglichkeiten beschrieben, wenn eine Anwendung auf einem Endgerät in einem Netzwerk einer LANCOM R&S®Unified Firewall nicht mit dem Internet kommunizieren kann und daher nicht funktioniert.

Voraussetzungen:

• LANCOM R&S®Unified Firewall mit LCOS FX ab Version 10.6
  
• Eingerichtetes und funktionsfähiges Netzwerk samt Internetzugang auf der Unified Firewall
• Web-Browser zur Konfiguration der Unified Firewall.
  
  Es werden folgende Browser unterstützt:
  • Google Chrome
  • Chromium
  • Mozilla Firefox

Mögliche Ursachen:

Es sind nicht alle erforderlichen Ports und Protokolle in der Firewall freigegeben:

Da die Unified Firewall eine Deny-All Strategie verwendet, müssen die erforderlichen Ports und Protokolle freigegeben werden. Ist dies nicht der Fall, funktioniert die Kommunikation nicht oder nur eingeschränkt.

• Konsultieren Sie die Dokumentation der Anwendung oder wenden sich an den Hersteller, um die für die Kommunikation erforderlichen Ports und Protokolle in Erfahrung zu bringen und geben diese anschließend frei. Die Vorgehensweise ist in dem folgenden Knowledge Base Artikel beschrieben:
  • LANCOM R&S®Unified Firewall: Konfiguration des Paket-Filters
• Überprüfen Sie das Alarmprotokoll auf blockierte Pakete und erstellen eine Ausnahmeregel. Die Vorgehensweise ist in dem folgenden Knowledge Base Artikel beschrieben:
  • Erstellen einer Ausnahme-Regel für blockierte Pakete auf einer LANCOM R&S®Unified Firewall

Kommunikation zu bestimmten Web-Servern wird bei aktivem HTTP-Proxy unterbunden:

Wird die Kommunikation zu einem Web-Server durch den HTTP-Proxy unterbunden, kann entweder für den DNS-Namen oder für die IP-Adresse des Web-Servers eine Ausnahme erstellt werden. Die Vorgehensweise ist in dem folgenden Knowledge Base Artikel beschrieben:

Erstellen von Ausnahmen für bestimmte Web-Seiten oder Anwendungen bei Verwendung des HTTP(S)-Proxy auf einer LANCOM R&S®Unified Firewall

Pakete werden durch die IDS/IPS verworfen:

Wenn die IDS/IPS erwünschten Datenverkehr fälschlicherweise als schädlichen Datenverkehr erkennt, kann dafür eine Ausnahme erstellt werden. Die Vorgehensweise ist in dem folgenden Knowledge Base Artikel beschrieben:

Erstellen einer Ausnahme-Regel für durch das Intruder Detection System / Intruder Prevention System auf einer LANCOM R&S®Unified Firewall geblockte Pakete (IDS/IPS)

Kommunikation wird durch den Application Filter unterbunden:

Wenn im Application Filter eine ganze Dienst-Kategorie ausgewählt wurde, die Kommunikation mit einem der aufgeführten Dienste aber trotzdem möglich sein soll, muss dieser Dienst in dem verwendeten Filter-Profil wieder erlaubt werden. Wird die Kommunikation durch den Application Filter geblockt, kann dies im Alarmprotokoll eingesehen werden.

1. Wechseln Sie in das Menü Monitoring & Statistiken → Einstellungen.

Screenshot einer technischen Benutzeroberfläche mit Menüoptionen für Firewall-Aktivierung, Überwachungsstatistiken und Benachrichtigungseinstellungen.

2. Wählen Sie im Dropdown-Menü bei Appfilter-Treffer die Option Rohdaten lokal speichern aus und klicken auf Speichern.

Screenshot eines technischen Konfigurationsmenüs, das verschiedene Überwachungs- und Speicherungseinstellungen für Ereignistypen darstellt, einschließlich Optionen zum Speichern von Rohdaten und zum Senden von Daten an externe Syslog-Server, mit Hinweisen auf deren Auswirkungen auf die Systemleistung und SSD-Lebensdauer.

3. Versuchen Sie nun mit der Applikation auf den entsprechenden Dienst zuzugreifen, damit im Alarmprotokoll verifiziert werden kann, dass der Zugriff durch den Application Filter blockiert wird.

4. Wechseln Sie in das Menü Monitoring & Statistiken → Protokolle → Alarmprotokoll.

Screenshot einer technischen Benutzeroberfläche mit Optionen für Firewall, Monitoring, Statistiken, Einstellungen, Benachrichtigungseinstellungen, Connection Tracking, DHCP Leases, sowie Alarm- und Auditprotokolle.

5. Wählen Sie bei Weitere Filter die Option Category: Application Filter aus und prüfen, ob die Kommunikation durch diesen unterbunden wurde. In diesem Beispiel wurde der Zugriff auf Spotify blockiert.

Screenshot einer technischen Benutzeroberfläche mit einem Alarmprotokoll und Filtereinstellungen für Netzwerkverbindungen, die verschiedene Anwendungen und Protokolle wie SSL und Spotify betreffen, wobei einige Verbindungen abgelehnt werden.

6. Wechseln Sie in das Menü UTM → Application-Management → Filter-Profile und editieren das verwendete Filter-Profil über das "Stift-Symbol".

Screenshot einer technischen Benutzeroberfläche zur Anwendungsverwaltung mit Monitoring-Statistiken, Netzwerkfilterprofilen, Desktop-Einstellungen, Regeln für Antivirus und Audio-Streaming sowie Routing-Profilen.

7. Entfernen Sie den Haken bei dem erwünschten Dienst (in diesem beispiel Spotify) und klicken auf Speichern.

Grafische Benutzeroberfläche der DenyAudioStreamingApplicationFitterProfi Box, die verschiedene Audio-Streaming-Dienste wie Receiver Radio, Rhapsody, Samsung Music und Spotify zeigt, mit entsprechenden Beschreibungen und Regeldefinierungen für jedes gelistete Programm.