Beschreibung:
Bei Verwendung von LTA auf einem LANCOM Router (LCOS) müssen zwei Gateways verwendet werden, Eines als dediziertes LTA-Gateway und eines für die Bereitstellung des Internet-Zugangs. Dies ist dadurch bedingt, dass die automatisch erstellten Firewall-Regeln für den LTA-Zugang das Routing-Tag des Erreichbaren Netzwerks verwenden (in der Regel das INTRANET mit dem Routing-Tag 1). Dadurch ist eine Kommunikation mit weiteren Netzwerken aber nicht möglich, da diese ein anderes Routing-Tag verwenden.
Damit die Kommunikation in weitere Netzwerke möglich ist, müssen in den automatisch erstellten Firewall-Regeln die korrekten Routing-Tags gesetzt werden. Dies muss per Add-in-Skript erfolgen.
In diesem Artikel wird beschrieben, wie die Kommunikation eines LTA-Benutzers in weitere Netzwerke mittels eines Add-ins erlaubt werden kann. Dadurch kann für den Internet- und LTA-Zugang das gleiche Gateway verwendet werden.
LANCOM R&S®Unified Firewalls können ohne weitere Konfigurationsschritte als Internet- und LTA-Gateway eingesetzt werden, da diese keine Routing-Tags unterstützen.
Es wird für jedes Netzwerk und jeden LTA-Benutzer eine separate Firewall-Regel erstellt. Die Regeln für die weiteren Netzwerke müssen alle angepasst werden, sofern der LTA-Benutzer mit dem Netzwerk kommunizieren soll. Dadurch wird die Konfiguration sehr schnell sehr aufwendig! Die im Folgenden beschriebene Vorgehensweise ist daher eher für kleinere Szenarion gedacht.
Voraussetzungen:
- Zugang zur LMC samt eigenem Projekt (kostenpflichtig)
- LANCOM Router als Internet- und LTA-Gateway
- LCOS ab Version 10.80 Rel (download aktuelle Version)
- Bereits konfiguriertes und funktionsfähiges LTA-Szenario
- Beliebiger Web-Browser für den Zugriff auf die LMC
Szenario:
In einem LTA-Szenario sind folgende Netzwerke konfiguriert:
- INTRANET: Netzadresse 10.0.0.0/8, VLAN untagged, Routing-Tag 1
- Intranet2: Netzadresse 192.168.10.0/24, VLAN 10, Routing-Tag 10, Name des LTA-Verbindungsziels Netz10
- Intranet3: Netzadresse 192.168.20.0/24, VLAN 20, Routing-Tag 20, Name des LTA-Verbindungsziels Netz20
Da es sich bei dem INTRANET um das Erreichbare Netzwerk handelt, kann der LTA-Benutzer mit diesem Netzwerk bereits kommunizieren. Die Kommunikation mit den Netzwerken Intranet 2 und Intranet 3 ist aufgrund der unterschiedlichen Routing-Tags allerdings nicht möglich.
Durch Anpassung der Routing-Tags in den Firewall-Regeln soll die Kommunikation des LTA-Benutzers in alle Netzwerke ermöglicht werden.
Vorgehensweise:
1. Import des Add-ins:
1.1 Laden Sie das folgfende Add-in herunter.
Weitere Informationen zu diesem Add-in finden Sie in unserem Add-in Handbuch:
1.2 Wechseln Sie in der LMC in das Menü Add-ins und klicken auf Import.
1.3 Klicken Sie auf Datei auswählen und wählen anschließend das Add-in aus.
1.4 Wählen Sie das Add-in FirewallRule aus und klicken auf Importieren.
1.5 Bestätigen Sie die Meldung mit einem Klick auf Schließen.
2. Auslesen der Netzwerk-Informationen:
2.1 Wechseln Sie in der LMC in das Menü Geräte und klicken auf den Namen des Gateways, um in die erweiterte Konfiguration zu gelangen.
2.2 Wechseln Sie in den Reiter Detail-Konfiguration und klicken auf Rolloutkonfiguration (Vorschau), um die automatisch durch die LMC erstellten Konfigurations-Bestandteile einzublenden.
2.3 Wechseln Sie in der Detail-Konfiguration in das Menü Firewall/QoS → IPv4-Regeln → Regel-Tabelle.
2.4 Klicken Sie auf die Firewall-Regel des zweiten Netzwerks (in diesem Beispiel Intranet2), um die Parameter der Regel einsehen zu können.
Der Name der Firewall-Regel wird im Format LTA-<Name des LTA-Verbindungsziels> gespeichert. Daraus ergibt sich für das Intranet2 der Name LTA-Netz10 und für das Intranet3 der Name LTA-Netz20 (siehe auch die Szenario-Beschreibung).
2.5 Kopieren Sie die Werte der folgenden Parameter in eine Textdatei.
- Name dieser Regel: LTA-NETZ10
- Protokolle: ANY
- Quelle: LTA-BENUTZER
- Ziel: ANY LO^NETZ10_192
- Aktionen: ACCEPT
- Quell-Tag: 1
2.6 Klicken Sie auf die Firewall-Regel des dritten Netzwerks (in diesem Beispiel Intranet3), um die Parameter der Regel einsehen zu können.
Der Name der Firewall-Regel wird im Format LTA-<Name des LTA-Verbindungsziels> gespeichert. Daraus ergibt sich für das Intranet2 der Name LTA-Netz10 und für das Intranet3 der Name LTA-Netz20 (siehe auch die Szenario-Beschreibung).
2.7 Kopieren Sie die Werte der folgenden Parameter in eine Textdatei:
- Name dieser Regel: LTA-NETZ20
- Protokolle: ANY
- Quelle: LTA-BENUTZER
- Ziel: ANY LO^NETZ20_192
- Aktionen: ACCEPT
- Quell-Tag: 1
3. Anpassung und Zuweisung des Add-ins:
3.1 Wechseln Sie in der LMC in das Menü Add-ins und klicken auf das in Schritt 1. importiere Add-in, um dieses im Add-in Editor zu öffnen.
3.2 Tragen Sie die Befehle zum Erstellen der Firewall-Regeln ein und klicken auf Erstellen:
Der Befehl zum Erstellen einer Firewall-Regel muss in dem folgenden Format eingegeben werden:
addFirewallRule("<Name der Firewall-Regel>", "<Protokoll>", "<Quelle>", "<Ziel>", "<Aktion>", "<Quell-Tag>", "<Routing-Tag>");
- Firewall-Regel für das Netzwerk Intranet2:
- Tragen Sie die in Schritt 2.5 kopierten Werte in den Befehl ein. Als Routing-Tag muss der in der Szenario-Beschreibung angebene Wert verwendet werden (in diesem Beispiel das Tag 10).
- Der Befehl zum Erstellen der Firewall-Regel für das Intranet2 lautet somit wie folgt: addFirewallRule("LTA-NETZ10", "ANY", "LTA-BENUTZER", "ANY LO^NETZ10_192", "ACCEPT", "1", "10");
- Tragen Sie die in Schritt 2.5 kopierten Werte in den Befehl ein. Als Routing-Tag muss der in der Szenario-Beschreibung angebene Wert verwendet werden (in diesem Beispiel das Tag 10).
- Firewall-Regel für das Netzwerk Intranet3:
- Tragen Sie die in Schritt 2.7 kopierten Werte in den Befehl ein. Als Routing-Tag muss der in der Szenario-Beschreibung angebene Wert verwendet werden (in diesem Beispiel das Tag 20).
- Der Befehl zum Erstellen der Firewall-Regel für das Intranet3 lautet somit wie folgt: addFirewallRule("LTA-NETZ20", "ANY", "LTA-BENUTZER", "ANY LO^NETZ20_192", "ACCEPT", "1", "20");
- Tragen Sie die in Schritt 2.7 kopierten Werte in den Befehl ein. Als Routing-Tag muss der in der Szenario-Beschreibung angebene Wert verwendet werden (in diesem Beispiel das Tag 20).
- Die einzelnen Parameter müssen in Anführungszeichen oben (") angegeben werden, da die LMC diese als String benötigt.
- Weiterhin müssen die einzelnen Parameter durch ein Komma (,) voneinander getrennt werden.
- Jeder Befehl muss durch ein Semikolon (;) abgeschlossen werden.
3.3 Wechseln Sie in der LMC in das Menü Add-ins und klicken auf Zuweisung.
3.4 Wählen Sie ein Netzwerk aus, welches dem LTA-Gateway zugewiesen ist (in diesem Beispiel das INTRANET) und wählen bei Add-ins hinzufügen das Add-in Firewall-Rule aus. Klicken Sie anschließend auf Hinzufügen.
3.5 Klicken Sie auf Speichern, um die Zuweisung abzuschließen.
Kontrollieren Sie anschließend in der Rolloutkonfiguration in den beiden Firewall-Regeln (siehe Schritt 2), ob die Routing-Tags durch das Add-in korrekt gesetzt wurden.
4. Rollout der Konfiguration auf den Router:
4.1 Wechseln Sie in der LMC in das Menü Geräte und klicken bei dem LTA-Gateway unter Konfiguration auf Nicht aktuell, um den Rollout-Vorgang zu starten.
4.2 Bestätigen Sie die Abfrage mit einem Klick auf Ausrollen.
Führen Sie die Schritte 2. und 3. erneut aus, um die Kommunikation für weitere LTA-Benutzer bzw. weitere Netzwerke zu erlauben.
