9
Wie LANCOM Router an Glasfaser Datenfestverbindung (Leased Line) sicher einrichten? Alle Ports sind offen
Moin moin!
Bitte steinigt mich nicht, für diesen Post und die vllt. dämlichen Fragen. Aber ich glaube ich stehe enorm auf dem Schlauch und komme gerade nicht weiter.
Ich habe (u.A.):
- LANCOM 1781A an einem Business DSL-Anschluss mit fester IP
- Im Netzwerk einen LANCOM ISG-1000 als VPN server, vom 1781A waren entsprechende Ports weitergeleitet, sodass die VPNs funktionierten
Ich bekam vor einigen wochen eine synchrone Leased Line / Datenfestverbindung geschaltet, die ich nun in Betrieb nehmen möchte.
Ich habe vom Provider einen IP-Adressbereich zugewiesen bekommen und weiß auch, wie ich diesen im Router zu konfigurieren habe, damit das Internet funktioniert.
Nehmen wir an meine vom Provider zugewiesenen Adressen sind:
87.1.1.201 - 87.1.1.205
Lt. Dokumentation vom Provider ist die 87.1.1.201 mein Gateway an Port 1 des Glasfaser-Routers. Das ist auch alles verständlich und OK.
Ich habe dem LANCOM 1781A via Internetverbindungsassistenten den Internetzugang mehrmals "beigebracht".
Ich habe als Internetzugangsart "Plain Ethernet IPoE" sowie "Internetzugang mit statischer IP" ausprobiert.
IP-Einstellungen:
IP: 87.1.1.202
SN: 255.255.255.248
GW: 87.1.1.201
Die Netzwerkschnittstelle ETH1 mit der IP-Adersse 192.168.1.254 ist bei mir in Verwendung für das interne Netzwerk. Nach Konfiguration des Zugangs funktioniert das Internet - man darf sich über die Qualität eines Glasfaser-Anschlusses freuen. Worüber man sich jedoch nicht freuen kann ist die Tatsache, dass alle Ports nach außen offen sind.
Ich habe den Internetzugang am LANCOM 1781A sowie am ISG-1000 testweise eingerichtet und hatte immer alle Ports nach außen offen.
Ich wollte es eigentlich vermeiden mit einem Zwischenrouter zu arbeiten. Habe noch andere LANCOM Router zur Hand, die ich dafür einsetzen könnte. Ich weiß, dass ich das mit einem Zwischennetz lösen kann und dann einzelne Port Forwardings setzen könnte - jedoch würde ich gerne klassisch mit NAT arbeiten. Ich habe mehrfach die Firewall-Module und Port-Forwardings der entsprechenden Geräte überprüft, konnte jedoch keine Lösung finden.
Stehe ich so sehr auf dem Schlauch? Sollte ich einen weiteren Router als Zwischenrouter in Betrieb nehmen, oder geht es auch anders, sodass es trotzdem sicher ist?
Ich würde mich sehr über Vorschläge und etwas Hilfe freuen.
Sollte ein Profi "Hand anlegen" wollen, lässt sich auch über eine Bezahlung bei Ausstellung einer Rechnung sprechen.
Ich würde das halt schon gerne an diesem Wochenende klären.
Vielen Dank und viele Grüße!
Bitte steinigt mich nicht, für diesen Post und die vllt. dämlichen Fragen. Aber ich glaube ich stehe enorm auf dem Schlauch und komme gerade nicht weiter.
Ich habe (u.A.):
- LANCOM 1781A an einem Business DSL-Anschluss mit fester IP
- Im Netzwerk einen LANCOM ISG-1000 als VPN server, vom 1781A waren entsprechende Ports weitergeleitet, sodass die VPNs funktionierten
Ich bekam vor einigen wochen eine synchrone Leased Line / Datenfestverbindung geschaltet, die ich nun in Betrieb nehmen möchte.
Ich habe vom Provider einen IP-Adressbereich zugewiesen bekommen und weiß auch, wie ich diesen im Router zu konfigurieren habe, damit das Internet funktioniert.
Nehmen wir an meine vom Provider zugewiesenen Adressen sind:
87.1.1.201 - 87.1.1.205
Lt. Dokumentation vom Provider ist die 87.1.1.201 mein Gateway an Port 1 des Glasfaser-Routers. Das ist auch alles verständlich und OK.
Ich habe dem LANCOM 1781A via Internetverbindungsassistenten den Internetzugang mehrmals "beigebracht".
Ich habe als Internetzugangsart "Plain Ethernet IPoE" sowie "Internetzugang mit statischer IP" ausprobiert.
IP-Einstellungen:
IP: 87.1.1.202
SN: 255.255.255.248
GW: 87.1.1.201
Die Netzwerkschnittstelle ETH1 mit der IP-Adersse 192.168.1.254 ist bei mir in Verwendung für das interne Netzwerk. Nach Konfiguration des Zugangs funktioniert das Internet - man darf sich über die Qualität eines Glasfaser-Anschlusses freuen. Worüber man sich jedoch nicht freuen kann ist die Tatsache, dass alle Ports nach außen offen sind.
Ich habe den Internetzugang am LANCOM 1781A sowie am ISG-1000 testweise eingerichtet und hatte immer alle Ports nach außen offen.
Ich wollte es eigentlich vermeiden mit einem Zwischenrouter zu arbeiten. Habe noch andere LANCOM Router zur Hand, die ich dafür einsetzen könnte. Ich weiß, dass ich das mit einem Zwischennetz lösen kann und dann einzelne Port Forwardings setzen könnte - jedoch würde ich gerne klassisch mit NAT arbeiten. Ich habe mehrfach die Firewall-Module und Port-Forwardings der entsprechenden Geräte überprüft, konnte jedoch keine Lösung finden.
Stehe ich so sehr auf dem Schlauch? Sollte ich einen weiteren Router als Zwischenrouter in Betrieb nehmen, oder geht es auch anders, sodass es trotzdem sicher ist?
Ich würde mich sehr über Vorschläge und etwas Hilfe freuen.
Sollte ein Profi "Hand anlegen" wollen, lässt sich auch über eine Bezahlung bei Ausstellung einer Rechnung sprechen.
Ich würde das halt schon gerne an diesem Wochenende klären.
Vielen Dank und viele Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 609896
Url: https://administrator.de/contentid/609896
Printed on: April 25, 2024 at 08:04 o'clock
9 Comments
Latest comment
Worüber man sich jedoch nicht freuen kann ist die Tatsache, dass alle Ports nach außen offen sind.
Was für Ports? Der 1781A sollte für die neue Leitung ebenso NAT betreiben wie für die alte. Ich frag mich so oder so, warum du durch den 1781A zum ISG gehst. Beim DSL-Anschluss verstehe ich es noch, bei der neuen Leitung nicht, weil die wird dir ja scheinbar als Ethernet übergeben.
Ich betreibe mehrere LANCOM-Router mit den verschiedensten Anschlusskonfigurationen, zum Teil auch mit dem Maximum der möglichen WAN-Verbindungen und ich kann das Problem nicht bestätigen, aber wie gesagt, ich weiß nicht, welche Ports du meinst und was du konfiguriert hast.
IPoE ist aber die korrekte Auswahl.
Hallo tikayevent,
vielen Dank für deine Antwort.
Ich habe nach dem Einrichten einen Portscan von außen auf meine öffentliche IP-Adresse gemacht. Dort habe ich festgestellt, dass alle Netzwerkports von außen aus gesehen offen sind. Ich habe via NMAP gescannt. Entschuldige, dass ich mich hier nicht ausführlich genug ausgedrückt habe.
Zu der Frage, wieso ich durch den 1781A gehe: ich habe es zunächst direkt mit dem ISG-1000 versucht. Als ich merkte, dass alle Ports offen sind, habe ich es mit dem 1781A versucht und wollte den ISG-1000 dahinter schalten. Ich dachte, dass ggf. der ISG-1000 kein NAT kann, da dieser ein VPN-Server ist. Wunschdenken wäre es, dass der ISG-1000 direkt an dem Glasfaser-Router hängt und ich nicht durch den 1781A gehe.
Ich habe es "einfach" über den Internetassistenten unter Angabe der IP-Adressen wie oben angegeben konfiguriert.
Welche weiteren Informationen wären von Belang? Ich würde alles schnellstmöglich nachliefern.
Vielen Dank und viele Grüße!
vielen Dank für deine Antwort.
Ich habe nach dem Einrichten einen Portscan von außen auf meine öffentliche IP-Adresse gemacht. Dort habe ich festgestellt, dass alle Netzwerkports von außen aus gesehen offen sind. Ich habe via NMAP gescannt. Entschuldige, dass ich mich hier nicht ausführlich genug ausgedrückt habe.
Zu der Frage, wieso ich durch den 1781A gehe: ich habe es zunächst direkt mit dem ISG-1000 versucht. Als ich merkte, dass alle Ports offen sind, habe ich es mit dem 1781A versucht und wollte den ISG-1000 dahinter schalten. Ich dachte, dass ggf. der ISG-1000 kein NAT kann, da dieser ein VPN-Server ist. Wunschdenken wäre es, dass der ISG-1000 direkt an dem Glasfaser-Router hängt und ich nicht durch den 1781A gehe.
Ich habe es "einfach" über den Internetassistenten unter Angabe der IP-Adressen wie oben angegeben konfiguriert.
Welche weiteren Informationen wären von Belang? Ich würde alles schnellstmöglich nachliefern.
Vielen Dank und viele Grüße!
Ich würde eher tippen, dass dein nmap nicht richtig konfiguriert ist, da ein LANCOM definitiv nicht so viele Ports hat, die er öffnen kann (22, 23, 69, 80, 443, 500, 4500, 5060 und vielleicht noch 2-3 mehr).
Wenn du deinen nmap testen willst, lass deinen nmap mal gegen 178.202.42.36 laufen. Da befindet sich (m)ein LANCOM 1906VA-4G. Da sind ein paar Ports offen (4060, 4061, 5001, 8802, 8804, 18443, 22222, 30274-30529). Aber nicht zu schnell, DoS-Erkennung und IDS sind aktiv.
Wenn du deinen nmap testen willst, lass deinen nmap mal gegen 178.202.42.36 laufen. Da befindet sich (m)ein LANCOM 1906VA-4G. Da sind ein paar Ports offen (4060, 4061, 5001, 8802, 8804, 18443, 22222, 30274-30529). Aber nicht zu schnell, DoS-Erkennung und IDS sind aktiv.
1
Danke für deine rasche Antwort.
Ich habe es gerade nochmal getestet. Über meinen Business Telekom DSL Anschluss im Büro habe ich nach kurzer Zeit angezeigt bekommen, dass deine Ports zu sind.
Scanne ich (wie vorhin auch) über meinen Hotspot und LTE vom Smartphone, finde ich diverse offene Ports.
Es handelt sich hierbei auch um andere Ports, als die von dir genannten. Port 21, 80 und 8080 sind z.B. bei einem Scan via LTE offen.
Ich wäre nie darauf gekommen, dass es einen Unterschied macht, ob ich via LTE oder via DSL scanne...
Ich werde die Umgebung später nochmal umbauen und nach Hause fahren um von einem festen Anschluss testen zu können.
Vielen Dank für deine Infos und Mühen. Ich werde Rückmeldung geben.
Danke
Ich habe es gerade nochmal getestet. Über meinen Business Telekom DSL Anschluss im Büro habe ich nach kurzer Zeit angezeigt bekommen, dass deine Ports zu sind.
Scanne ich (wie vorhin auch) über meinen Hotspot und LTE vom Smartphone, finde ich diverse offene Ports.
Es handelt sich hierbei auch um andere Ports, als die von dir genannten. Port 21, 80 und 8080 sind z.B. bei einem Scan via LTE offen.
Ich wäre nie darauf gekommen, dass es einen Unterschied macht, ob ich via LTE oder via DSL scanne...
Ich werde die Umgebung später nochmal umbauen und nach Hause fahren um von einem festen Anschluss testen zu können.
Vielen Dank für deine Infos und Mühen. Ich werde Rückmeldung geben.
Danke
Bist du zufällig Kunde im o2-Netz? Das, was dir da antwortet, ist deren transparenter Proxy...
1
Bei Mobilfunk-, Kabelnetz- und sogar Glasfasernetzbetreibern wird CGN eingesetzt, also es wird aktiv in deine Verbindung eingegriffen. Daher kann es sein, dass eine Verbindung providerseitig so beendet wird, dass es so aussieht, als wäre da was, auch wenn da in Wirklichkeit nichts ist.
Zum Testen kannst du ja den DSL-Anschluss gegen den Glasfaseranschluss laufen lassen und andersherum. Sind ja dann gleich zwei verschiedene Router und zwei getrennte Wege (mit ARF und Policy Based Routing könnte man es auch mit nur einem Router machen, aber es soll ja heute nicht in Arbeit ausarten).
Ich mach dann mal meine Spleiße hier zuende.
Zum Testen kannst du ja den DSL-Anschluss gegen den Glasfaseranschluss laufen lassen und andersherum. Sind ja dann gleich zwei verschiedene Router und zwei getrennte Wege (mit ARF und Policy Based Routing könnte man es auch mit nur einem Router machen, aber es soll ja heute nicht in Arbeit ausarten).
Ich mach dann mal meine Spleiße hier zuende.
1
Nein, aber ich bin Vodafone geschädigter. Das wird an dem transparanten Proxy liegen... Mein Fehler!
Danke nochmals für die vielen Hilfestellungen.
Ich werde es nochmals probieren (vermutlich erst morgen, da ich gerade beschäftigt bin) und auf jeden Fall eine Rückmeldung dazu geben!
Ich werde es nochmals probieren (vermutlich erst morgen, da ich gerade beschäftigt bin) und auf jeden Fall eine Rückmeldung dazu geben!
Ich wollte mich zurückmelden.
Ich habe an diesem regnerischen Sonntag die Leitung erneut in Betrieb genommen und wie von tikayevent vorgeschlagen über die zweite DSL Leitung den Portscan gemacht.
Es funktioniert alles wie gewollt! Die anscheinend offenen Ports rührten daher, dass ich über das Mobilfunknetz von Vodafone den Portscan hab laufen lassen. Da wäre ich nicht drauf gekommen - vielen Dank!
Ich habe an diesem regnerischen Sonntag die Leitung erneut in Betrieb genommen und wie von tikayevent vorgeschlagen über die zweite DSL Leitung den Portscan gemacht.
Es funktioniert alles wie gewollt! Die anscheinend offenen Ports rührten daher, dass ich über das Mobilfunknetz von Vodafone den Portscan hab laufen lassen. Da wäre ich nicht drauf gekommen - vielen Dank!
