Router, Switche, Firewalls, VLAN
VPN-Verbindungen, 2-Faktor-Authentisierung

PING erlauben in Windows

MS Windows 10/11 und MS Windows Server blockieren PING-Anfragen aus anderen Subnetzen per Firewall in den Default-Einstellungen.
Es antwortet nur auf PING-Anfragen aus dem selben Netz.
(Ohne NAT bleibt beim Routing die Absende-IP unverändert.)
Abhilfe:

  • Freigabe per Firewall-GUI: Eingehende Verbindung, Datei- u. Druckerfreigabe (Echoanforderung ICMP eingehend)
    (alle eingehenden Regeln nach ICMP4 durchsuchen)

  • per GPO: Computerkonfiguration => Administrative Vorlagen => Netzwerk => Netzwerkverbindungen => Windows Defender Firewall : "Eingehende ICMP-Ausnahme zulassen" -> Eingehende Echoanforderungen
Last Update: 04.01.2026

Next Generation Firewall

Next-Generation Firewalls kombinieren die Funktionalitäten herkömmlicher professioneller Firewalls wie Paketfilterung, Network Adress Translation (NAT), URL-Blockierung und Virtual Private Networks (VPN) mit modernen Funktionalitäten wie Quality of Service (QoS) und Optionen, die normalerweise nicht in Firewalls zu finden sind. Dazu gehören Intrusion Prevention, SSL und SSH Inspection, Deep-Packet-Inspection, Reputations-basierte Malware-Abwehr oder Applikations-Awareness.
Die hier vorgestellten Unified Firewalls von Rohde & Schwarz Cybersecurity arbeiten nutzerbasierend als Proxy mit AD-Integration.


Die Firewall enthält (mit entsprechender Lizenz) einen mehrstufigen Malware- und Virenschutz.
Neben der lokalen Patternprüfung, Statful Inspection und Deep Inspection im Proxy der Firewall erfolgt eine KI-Prüfung und bei Unklarheit eine Sandboxprüfung bei Avira, so dass eine zuverlässige Fehlererkennung gewährleistet ist.
Die Firewall arbeitet mit einem eigenen Zertifikat und überprüft auch HTTPS-verschlüsselten Datenverkehr.
Sie ersetzt nicht den Client-Virenschutz, aber sie erhöht die Sicherheit der Clients deutlich.

Auch der POP3/S, SMTP/S-, IMAP/S Datenstrom zum Mailserver läßt sich damit überprüfen.
Dafür ist außerdem eine cloudbasierte Spamprüfung konfigurierbar.

Die Firewall besitzt (je nach Modell) mehrere Ports und kann so auch lokale Netzwerk-Zonen voneinander trennen. (1 Gb/s bis 10 Gb/s, Multi-WAN (gewichtetes richtlinienbasiertes Routing / Failover), Lastverteilung)
Die Performance ist für LAN optimiert und übertrifft die WAN-optimierten Lancom-Router um ein Vielfaches.

Der Webfilter unterstützt das Filtern nach URL und Inhalt, anpassbare Regeln für Benutzer, Blacklists / Whitelists, Import / Export von URL-Listen,  Blockieren von angegebenen Dateitypen (beispielsweise kein Download von EXE-Dateien für alle Nutzer außer...), kategoriebasiertes Blockieren von Websites (individuell konfigurierbar), Online-Scan-Technologie, HTTP(S)-Proxy-Unterstützung und eine Override-Funktion für Ausnahmen.

Die Apllication-Kontrolle bietet Layer-7-Paketfilter (Deep Packet Inspection) zum Filtern nach Applikationen (z. B. Facebook, YouTube, BitTorrent etc.).
Hier werden nicht nur Domainnamen, sondern auch Protokolle u.ä. zur Analyse einbezogen.

Eine umfangreiche Netzwerkvisualisierung dient dem Monitoring und der Fehlersuche (Netzwerk, IDS / IPS, Applikationskontrolle, Surfkontrolle, Antivirus / Antispam).

Die Geräte unterstützen VLAN, QoS, VPN (IPSec und SSL).

Hardware, Software und Cloudlösung sind Made in Germany.


Die Modelle ab UF-200 verfügen (mit entsprechender Lizenz) über vollen UTM-Schutz (Malware-, URL- und Spam-Filter, App.-Kontrolle, IDS/IPS, HA).
Die kleinere UF-100 unterstützt nur Malware-, URL- und Spam-Filter und besitzt kein Application Control und IDS (Intrusion Detection System) / IPS (Intrusion Prevention System) und High Availabilty.
Beim kleinsten Modell UF-50 fehlt außerdem Antivirus und Antispam.

Es gibt eine Basic-Softwarelizenz zur Aktivierung der Firewall-Funktionen der jeweiligen Firewall mit SSL Inspection inkl. aller Software-Updates
oder eine Full-Lizenz zur Aktivierung der UTM- & Firewall-Funktionen der Firewall mit Sandboxing, Machine Learning, AV/Malware Protection, SSL Inspection inkl. aller Software-Updates.

 

Einrichtungshinweise in meiner FAQ.

Alle weiteren Informationen bei LANCOM oder bei uns als Lancom Partner.
R&S Lösungswebinar auf Youtube: VIDEO

Last Update: 30.12.2025

VPN ist nicht VPN

Virtual Privat Network (VPN) stellt eine verschlüsselte Verbindung über ein unverschlüsseltes Medium her.
Klassische Nutzung:
  • verschlüsselte Verbindung in das eigene Heim- oder Firmennetz über das Internet
  • Vernetzung von Firmen oder Standorten untereinander über das Internet
  • sichere Anbindung von eigenen Cloud-Standorten
  • verschlüsselte Nutzung unsicherer Netzwerke wie öffentliche WLAN über einen "sicheren" eigenen(!) Endpunkt
Sucht man im Internet nach VPN, findet man fast ausschließlich Online-VPN-Anbieter wie NordVPN.
Diese Anbieter bieten eine (VPN-)verschlüsselte Verbindung zu ihren Standorten, um diesen als Einwahlpunkt ins Internet zu nutzen.
Die Interneteinwahl erfogt praktisch erst von deren Standorten, womit man Geoblocking / Ländersperren für Internetseiten oder Streamingdienste umgehen kann. Außerdem schafft es eine gewisse Anonymisierung des Absenders.
Und das ist auch schon der einzige Nutzen.

Was diese Anbieter nicht bieten können ist eine sichere Verbindung, denn man holt sich bewußt als Tunnelende der Verschlüsselung einen fremden VPN-Anbieter.
Die Lösung macht keinen Sinn zur "sicheren" Einwahl ins Internet oder gar zum eigenen Mailprovider.
Ein "richtiges" VPN muß vom eigenen Netz bis zum Zielnetz oder Ziel-PC reichen.
Last Update: 30.12.2025

VPN-Strategie 2025

Stand der Technik

Lange Zeit nutzen wir vorrangig LANCOM Router für VPN-Verbindungen.
Lancom ist ein deutsches Unternehmen, die Router sind zuverlässig, langlebig und nutzen IP-Sec VPN.
Allerdings haben die Geräte ihre Grenzen.
Lancom hat einen VPN-Client für Windows und MacOS, deutlich verspätet auch für Mac M1-Chips. Für Windows-Notebooks mit SOC-(KI)CPU, für Android und auch für Linux gibt es keine direkte VPN-Unterstützung.
Lancom-Router haben keine Nutzerverwaltung und keine Multifaktor-Unterstützung (2FA).
Modernere VPN-Verschlüsselungsprotokolle werden nicht unterstützt.

In den letzten Jahren löste ich die Kompatibilitätsprobleme und fehlende Clients mit Wireguard-VPN.
Wireguard ist Open-Source, modern und robost. Kostenlose VPN-Clients sind für alle Betriebssysteme verfügbar.
Als EU-Hardware kann beispielsweise der lettische Anbieter MikroTik eingesetzt werden.

Allerdings werden auch hier PreShares und Zertifikate fest im Client hinterlegt,- eine Authentisierung beim Verbindungsaufbau ist nicht vorgesehen.
Der aktuelle „Stand der Technik“ entsprechend DSGVO, Cyberversicherungen oder NIS2/Kritis fordert Zwei-Faktor Authentisierung zur Firmeneinwahl.
Last Update: 29.12.2025

Problemlösung: VPN-Gateway

OPNsense Firewall und VPN-Gateway

  • Freie Firewall-Distribution unter FreeBSD-Lizenz, niederländischer Hauptentwickler
  • kostenlose Version und Business-Edition mit Support verfügbar
  • Hardware frei skalierbar für kleine Außenstellen, rauhe Industrieumgebung bis Multiport- HiSpeed-Router, mit SFP+ Modul oder LTE
  • inclusive Open-VPN, kostenlose VPN-Client für alle OS (keine VPN Lizenzkosten)
  • Zwei-Faktor-Authentisierung (TOTP) für Open-VPN voll integriert
  • Anmeldung mit lokalen Usern oder ActiveDirectory Domänen-Usern
  • leistungsfähige Multiport Firewall
  • Next-Generation Firewall zubuchbar (Application Control, Cloud Reputation…)
  • gemeinsam nutzbar mit bestehender Infrastruktur (parallel zu IPsec oder Wireguard)
  • Telefoniefunktionen, SIP oder DSL-Modem sind nicht integriert und erfordern separate Hardware

Hardware-Beispiele:
OPNsense ist ein offener Standard und läuft zu jedem Einsatzzweck auf den passenden Geräten.

Bsp: Industriegehäuse, lüfterlos, DIN-RAIL Halterung für Hutschienenmontage, 24V Schraubstecker
Bsp: lüfterloses Gehäuse, 6-Port Firewall mit 2.5 Gb/s Ports
Bsp: 19" Firewall mit RJ45- und SFP+ Ports
Last Update: 29.12.2025