gelöst Wie LANCOM Router an Glasfaser Datenfestverbindung (Leased Line) sicher einrichten? Alle Ports sind offen

Mitglied: KarlA87

KarlA87 (Level 1) - Jetzt verbinden

03.10.2020, aktualisiert 12:33 Uhr, 614 Aufrufe, 9 Kommentare, 3 Danke

Moin moin!

Bitte steinigt mich nicht, für diesen Post und die vllt. dämlichen Fragen. Aber ich glaube ich stehe enorm auf dem Schlauch und komme gerade nicht weiter.

Ich habe (u.A.):
- LANCOM 1781A an einem Business DSL-Anschluss mit fester IP
- Im Netzwerk einen LANCOM ISG-1000 als VPN server, vom 1781A waren entsprechende Ports weitergeleitet, sodass die VPNs funktionierten

Ich bekam vor einigen wochen eine synchrone Leased Line / Datenfestverbindung geschaltet, die ich nun in Betrieb nehmen möchte.
Ich habe vom Provider einen IP-Adressbereich zugewiesen bekommen und weiß auch, wie ich diesen im Router zu konfigurieren habe, damit das Internet funktioniert.

Nehmen wir an meine vom Provider zugewiesenen Adressen sind:
87.1.1.201 - 87.1.1.205
Lt. Dokumentation vom Provider ist die 87.1.1.201 mein Gateway an Port 1 des Glasfaser-Routers. Das ist auch alles verständlich und OK.

Ich habe dem LANCOM 1781A via Internetverbindungsassistenten den Internetzugang mehrmals "beigebracht".

Ich habe als Internetzugangsart "Plain Ethernet IPoE" sowie "Internetzugang mit statischer IP" ausprobiert.
IP-Einstellungen:
IP: 87.1.1.202
SN: 255.255.255.248
GW: 87.1.1.201

Die Netzwerkschnittstelle ETH1 mit der IP-Adersse 192.168.1.254 ist bei mir in Verwendung für das interne Netzwerk. Nach Konfiguration des Zugangs funktioniert das Internet - man darf sich über die Qualität eines Glasfaser-Anschlusses freuen. Worüber man sich jedoch nicht freuen kann ist die Tatsache, dass alle Ports nach außen offen sind.

Ich habe den Internetzugang am LANCOM 1781A sowie am ISG-1000 testweise eingerichtet und hatte immer alle Ports nach außen offen.

Ich wollte es eigentlich vermeiden mit einem Zwischenrouter zu arbeiten. Habe noch andere LANCOM Router zur Hand, die ich dafür einsetzen könnte. Ich weiß, dass ich das mit einem Zwischennetz lösen kann und dann einzelne Port Forwardings setzen könnte - jedoch würde ich gerne klassisch mit NAT arbeiten. Ich habe mehrfach die Firewall-Module und Port-Forwardings der entsprechenden Geräte überprüft, konnte jedoch keine Lösung finden.

Stehe ich so sehr auf dem Schlauch? Sollte ich einen weiteren Router als Zwischenrouter in Betrieb nehmen, oder geht es auch anders, sodass es trotzdem sicher ist?

Ich würde mich sehr über Vorschläge und etwas Hilfe freuen.
Sollte ein Profi "Hand anlegen" wollen, lässt sich auch über eine Bezahlung bei Ausstellung einer Rechnung sprechen.
Ich würde das halt schon gerne an diesem Wochenende klären.

Vielen Dank und viele Grüße!
Mitglied: tikayevent
03.10.2020 um 12:49 Uhr
Worüber man sich jedoch nicht freuen kann ist die Tatsache, dass alle Ports nach außen offen sind.

Was für Ports? Der 1781A sollte für die neue Leitung ebenso NAT betreiben wie für die alte. Ich frag mich so oder so, warum du durch den 1781A zum ISG gehst. Beim DSL-Anschluss verstehe ich es noch, bei der neuen Leitung nicht, weil die wird dir ja scheinbar als Ethernet übergeben.

Ich betreibe mehrere LANCOM-Router mit den verschiedensten Anschlusskonfigurationen, zum Teil auch mit dem Maximum der möglichen WAN-Verbindungen und ich kann das Problem nicht bestätigen, aber wie gesagt, ich weiß nicht, welche Ports du meinst und was du konfiguriert hast.

IPoE ist aber die korrekte Auswahl.
Bitte warten ..
Mitglied: KarlA87
03.10.2020 um 13:02 Uhr
Hallo tikayevent,

vielen Dank für deine Antwort.

Ich habe nach dem Einrichten einen Portscan von außen auf meine öffentliche IP-Adresse gemacht. Dort habe ich festgestellt, dass alle Netzwerkports von außen aus gesehen offen sind. Ich habe via NMAP gescannt. Entschuldige, dass ich mich hier nicht ausführlich genug ausgedrückt habe.

Zu der Frage, wieso ich durch den 1781A gehe: ich habe es zunächst direkt mit dem ISG-1000 versucht. Als ich merkte, dass alle Ports offen sind, habe ich es mit dem 1781A versucht und wollte den ISG-1000 dahinter schalten. Ich dachte, dass ggf. der ISG-1000 kein NAT kann, da dieser ein VPN-Server ist. Wunschdenken wäre es, dass der ISG-1000 direkt an dem Glasfaser-Router hängt und ich nicht durch den 1781A gehe.

Ich habe es "einfach" über den Internetassistenten unter Angabe der IP-Adressen wie oben angegeben konfiguriert.
Welche weiteren Informationen wären von Belang? Ich würde alles schnellstmöglich nachliefern.

Vielen Dank und viele Grüße!
Bitte warten ..
Mitglied: tikayevent
03.10.2020 um 13:24 Uhr
Ich würde eher tippen, dass dein nmap nicht richtig konfiguriert ist, da ein LANCOM definitiv nicht so viele Ports hat, die er öffnen kann (22, 23, 69, 80, 443, 500, 4500, 5060 und vielleicht noch 2-3 mehr).

Wenn du deinen nmap testen willst, lass deinen nmap mal gegen 178.202.42.36 laufen. Da befindet sich (m)ein LANCOM 1906VA-4G. Da sind ein paar Ports offen (4060, 4061, 5001, 8802, 8804, 18443, 22222, 30274-30529). Aber nicht zu schnell, DoS-Erkennung und IDS sind aktiv.
Bitte warten ..
Mitglied: KarlA87
03.10.2020 um 14:04 Uhr
Danke für deine rasche Antwort.

Ich habe es gerade nochmal getestet. Über meinen Business Telekom DSL Anschluss im Büro habe ich nach kurzer Zeit angezeigt bekommen, dass deine Ports zu sind.

Scanne ich (wie vorhin auch) über meinen Hotspot und LTE vom Smartphone, finde ich diverse offene Ports.
Es handelt sich hierbei auch um andere Ports, als die von dir genannten. Port 21, 80 und 8080 sind z.B. bei einem Scan via LTE offen.

Ich wäre nie darauf gekommen, dass es einen Unterschied macht, ob ich via LTE oder via DSL scanne...
Ich werde die Umgebung später nochmal umbauen und nach Hause fahren um von einem festen Anschluss testen zu können.

Vielen Dank für deine Infos und Mühen. Ich werde Rückmeldung geben.

Danke
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 03.10.2020 um 14:16 Uhr
Bist du zufällig Kunde im o2-Netz? Das, was dir da antwortet, ist deren transparenter Proxy...
Bitte warten ..
Mitglied: tikayevent
LÖSUNG 03.10.2020 um 14:17 Uhr
Bei Mobilfunk-, Kabelnetz- und sogar Glasfasernetzbetreibern wird CGN eingesetzt, also es wird aktiv in deine Verbindung eingegriffen. Daher kann es sein, dass eine Verbindung providerseitig so beendet wird, dass es so aussieht, als wäre da was, auch wenn da in Wirklichkeit nichts ist.

Zum Testen kannst du ja den DSL-Anschluss gegen den Glasfaseranschluss laufen lassen und andersherum. Sind ja dann gleich zwei verschiedene Router und zwei getrennte Wege (mit ARF und Policy Based Routing könnte man es auch mit nur einem Router machen, aber es soll ja heute nicht in Arbeit ausarten).

Ich mach dann mal meine Spleiße hier zuende.
Bitte warten ..
Mitglied: KarlA87
03.10.2020 um 14:35 Uhr
Nein, aber ich bin Vodafone geschädigter. Das wird an dem transparanten Proxy liegen... Mein Fehler!
Bitte warten ..
Mitglied: KarlA87
03.10.2020 um 14:36 Uhr
Danke nochmals für die vielen Hilfestellungen.
Ich werde es nochmals probieren (vermutlich erst morgen, da ich gerade beschäftigt bin) und auf jeden Fall eine Rückmeldung dazu geben!
Bitte warten ..
Mitglied: KarlA87
04.10.2020 um 11:25 Uhr
Ich wollte mich zurückmelden.
Ich habe an diesem regnerischen Sonntag die Leitung erneut in Betrieb genommen und wie von tikayevent vorgeschlagen über die zweite DSL Leitung den Portscan gemacht.

Es funktioniert alles wie gewollt! Die anscheinend offenen Ports rührten daher, dass ich über das Mobilfunknetz von Vodafone den Portscan hab laufen lassen. Da wäre ich nicht drauf gekommen - vielen Dank!
Bitte warten ..
Heiß diskutierte Inhalte
Server-Hardware
Grobes Konzept Hyper-V Storage - Storage für Hyper-V
nachgefragtFrageServer-Hardware24 Kommentare

Hallo Administratoren. Um VHDX-Daten zentral zu halten freue ich mich auf Euren konstruktiven Input. Bisher liegen die VHDX-Daten jeweils ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
gelöst kman123FrageVoice over IP16 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Ubuntu
Ubuntu 20.10 "Groovy Gorilla" mit GNOME 3.38 und Kernel 5.8 veröffentlicht
FrankInformationUbuntu14 Kommentare

Canonical hat Ubuntu 20.10 veröffentlicht. Die neue Version mit dem Codenamen "Groovy Gorilla" bekommt lediglich 9 Monaten Sicherheitsupdates, kritischen ...

Windows Userverwaltung
Synology mit Azure Active Directory verbinden
roeggiFrageWindows Userverwaltung13 Kommentare

Ich suche eine Lösung mit der ich ein Synology NAS mit der Active Directory verbinden kann um die Benutzer ...

Windows 10
RFID oder ähnlich Methode zur Sperrung W10pro bei Abwesenheit - Anmeldung nur über PW wieder ermöglichen
UweGriFrageWindows 1013 Kommentare

Hallo Admins, folgende Lösung wird gesucht: W10pro Anmeldung über Bitlocker Freischaltung und PW bei Anmeldung. Gesucht wird: RFID Chip ...

C und C++
(Cpp) Verständnisproblem: Nutzen des new-operators? (mit Beispiel)
gelöst SinixNDFrageC und C++12 Kommentare

Hallo liebe community! INTRO: Zunächsteinmal: Trotz mehrerer Stunden Recherche habe ich für meine Frage leider noch keine Antwort gefunden ...

Ähnliche Inhalte
Voice over IP
SIP Port ändert sich
IgumarFrageVoice over IP10 Kommentare

Hallo, wir haben seit gut 2 Monaten eine neue Telefonanlage (3CX) und bei dem eingehenden SIP Trunk ändert sich ...

Switche und Hubs

Alcatel Omniswitch port mobile schaltet sich ab

gelöst akira2012FrageSwitche und Hubs13 Kommentare

Hallo Zusammen, auf einem Alcatel Omniswitch habe ich einen Port, bei dem sich von alleine die Option port mobile ...

Exchange Server

Exchange 2016 Hubtrasnport Connector mit Port 25 lässt sich nicht erstellen

merkelFrageExchange Server7 Kommentare

Hallo Zusammen, ich möchte eben einen Empfangsconnector neu erstellen. Auf dem Exchange 2013 sind Drucker an einem Hubtransport Empfangsconnector ...

Windows Server

Xendesktop 7.6 ein user kann sich nie anmelden heute - Immer Event ID 4634 An Account was logged off - Session is destroyed

131455FrageWindows Server

Hallo, ein user kann sich heute nie in Xendesktop 7.6 einloggen. Alle anderen gehen. Eventlog im Delivery Controller: Event ...

Virtualisierung

Strato VPS hat zig Java Prozesse ohne Java Installation. Port läßt sich nicht öffnen

bk900042FrageVirtualisierung11 Kommentare

Hallo Community, habe ein VPS bei Strato. Windows 2012 R2. Auf diesem läuft eine wichtige Software die einen Port ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT