Hallo, wahrscheinlich stehe ich nur auf dem Schlauch, aber irgendwie fehlt mir der passende Ansatz. (das sieht man wahrscheinlich auch am schwammigen Themen - Betreff)
Folgende Grundkonstellation:
- 1 Firmennetz (Fremdverwaltet), dieses über eine Funkstrecke gebridged an das Homeoffice des GF. d.h. er steckt sich an, bekommt vom Firmen-DHCP eine IP zugewiesen und los gehts.
- zusätzlich hat er noch ein privates Netz
Zielstellung war es die Netze so zu konfigurieren das kein Umstecken / Umswitchen der Clients mehr nötig ist. Das funktioniert bis zu einem bestimmten Punkt auch ganz gut.
Wir haben jetzt einen 1781VAW, ein HP VLAN switch und mehrere AP`s (WLAN) darauf laufen folgende Netze:
- Privat (nur Zugriff untereinander, nicht auf den Rest) VLAN15
- Netz Firma VLAN10 (auch im Lancom nur gebridged - alle die sich an einem Switchport untagged 10 anstecken, kommen direkt ins Firmennetz)
- Netz Homeoffice VLAN5 (hat vollen Zugriff auf das Private Netz und soll auch Zugriff auf das Firmennetz bekommen und da liegt das Problem!)
Ich habe es bisher so organisiert das die Clients im Homeoffice einen virtuelle NIC mit dem VLAN Tag 10 laufen haben, damit sie unproblematisch in beide Netze können. Das funktioniert aber so nicht im WLAN und zusätzlicher Aufwand. Denn es finden im "Homeoffice" auch Meetings und Konferenzen statt, bei denen es durchaus nötig sein kann das Personen auf beide Netze zugleich zugriff haben sollen.
Die Möglichkeit sich am Switch an untagged Port 10 anzustecken und ausschließlich im Firmennetz zu sein soll auch bestehen bleiben.
Ich muss ja irgendwie in das Netz der Firma kommen und der Lancom reicht es in meiner Konfiguration nur durch. Das ist wahrscheinlich keine große Sache aber ich steh wohl voll auf dem Schlauch.
Danke im voraus.
1781VAW - Routing in bridged Network
Moderator: Lancom-Systems Moderatoren
Re: 1781VAW - Routing in bridged Network
Hallo kreevo,
im fremdverwalteten Firmennetz könntest Du aber schon eine Route ins Homeoffice eintragen (lassen)?
Dann erstellst Du einfach im LANCOM alle drei lokalen Netze. Im Firmennetz gibst Du dem LANCOM eine feste IP oder stellst ihn als DHCP-Client ein, DHCP-Server muss in diesem Netz definitiv aus sein. Das Homeoffice-Netz und das Firmennetz setzt Du dann auf die gleichen Schnittstellen-Tags, z. B. 1, so kann das eine auf das andere zugreifen. Das Privatnetz bekommt dann ein anderes Schnittstellen-Tag, z. B. 2. Damit das Homeoffice nun auch noch auf das Privatnetz zugreifen kann, bedarf es noch einer Firewall-Regel, die das Schnittstellen-Tag entsprechend umtaggt. Wenn vom Firmennetz aus auf das Homeoffice-Netz nicht zugegriffen werden darf, dann besser 3 verschiedene Schnittstellen-Tags. Alternativ könnte man auch eine entsprechende Deny-Regel in der Firewall erfassen. Im Falle der 3 Schnittstellen-Tags ist dann natürlich noch eine Regel erforderlich, die den Zugriff erlaubt (vom Homeoffice ins Firmennetz).
Ansonsten kann man das Firmennetz im LANCOM auch einfach als Gegenstelle definieren, über die man dann NAT macht. Wenn niemand aus dem Firmennetz auf das Homeoffice zugreifen können soll, dann ist das wahrscheinlich die einfachere Lösung. Dazu also die Gegenstelle erstellen und dann in der Routing-Tabelle ein Zielnetz und ein Routing-Tag für die Gegenstelle angeben und dieses Tag als Schnittstellen-Tag im Homeoffice angeben (policy based Routing).
Über WLAN kann man das Homeoffice-Netz dann ja in einer extra SSID ausgeben oder eine Zuordnung über die Stations-Tabelle (neu Stations-Regeln) vornehmen.
Viele Grüße,
Jirka
im fremdverwalteten Firmennetz könntest Du aber schon eine Route ins Homeoffice eintragen (lassen)?
Dann erstellst Du einfach im LANCOM alle drei lokalen Netze. Im Firmennetz gibst Du dem LANCOM eine feste IP oder stellst ihn als DHCP-Client ein, DHCP-Server muss in diesem Netz definitiv aus sein. Das Homeoffice-Netz und das Firmennetz setzt Du dann auf die gleichen Schnittstellen-Tags, z. B. 1, so kann das eine auf das andere zugreifen. Das Privatnetz bekommt dann ein anderes Schnittstellen-Tag, z. B. 2. Damit das Homeoffice nun auch noch auf das Privatnetz zugreifen kann, bedarf es noch einer Firewall-Regel, die das Schnittstellen-Tag entsprechend umtaggt. Wenn vom Firmennetz aus auf das Homeoffice-Netz nicht zugegriffen werden darf, dann besser 3 verschiedene Schnittstellen-Tags. Alternativ könnte man auch eine entsprechende Deny-Regel in der Firewall erfassen. Im Falle der 3 Schnittstellen-Tags ist dann natürlich noch eine Regel erforderlich, die den Zugriff erlaubt (vom Homeoffice ins Firmennetz).
Ansonsten kann man das Firmennetz im LANCOM auch einfach als Gegenstelle definieren, über die man dann NAT macht. Wenn niemand aus dem Firmennetz auf das Homeoffice zugreifen können soll, dann ist das wahrscheinlich die einfachere Lösung. Dazu also die Gegenstelle erstellen und dann in der Routing-Tabelle ein Zielnetz und ein Routing-Tag für die Gegenstelle angeben und dieses Tag als Schnittstellen-Tag im Homeoffice angeben (policy based Routing).
Über WLAN kann man das Homeoffice-Netz dann ja in einer extra SSID ausgeben oder eine Zuordnung über die Stations-Tabelle (neu Stations-Regeln) vornehmen.
Viele Grüße,
Jirka
Re: 1781VAW - Routing in bridged Network
Es ist zwar schon echt lange her aber trotzdem Danke für die ausführliche Antwort.
Die Firma hat zwar einen eigenen Admin der die grobe Infrastruktur der Firma im Blick behält, aber leider kein Zugriff auf die Konfiguration des Netzes an sich. (auf Grund der Komplexität Fremdverwaltet)
Ich hatte somit das Fremdnetz als Gegenstelle eingerichtet und somit funktionierte das Home-Office ganz gut. Leider haben wir uns dadurch auch eine kleine Falle gestellt. Die Funkstrecke geht über mehrere Verteiler, die nur über ein Management-VLAN erreichbar sind. Auf dieses komme ich in der Konstellation nun nicht mehr drauf. (was uns leider beim Ausfall der Funkstrecke aufgefallen ist)
Der Lancom scheint mir auch keine Möglichkeit zu geben das Management-VLAN aus dem "DSL"-Port auszukopplen bzw. erreichbar zu machen. Und da der Admin vor Ort keine Route ins HO setzen darf und wir über sonst keine Möglichkeit haben, bleibt uns eigentlich nur die Möglichkeit zuerst in den VLAN-fähigen Switch zu gehen, das VLAN auskoppeln und dann in den Lancom?
Oder übersehe ich was? Diesmal gibts auch eher eine Rückmeldung, falls mir noch jemand antworten mag.
Danke
[Edit]
folgender Thread scheint die Lösung zu sein.:
http://www.lancom-forum.de/lancom-adsl- ... 12430.html
Die Firma hat zwar einen eigenen Admin der die grobe Infrastruktur der Firma im Blick behält, aber leider kein Zugriff auf die Konfiguration des Netzes an sich. (auf Grund der Komplexität Fremdverwaltet)
Ich hatte somit das Fremdnetz als Gegenstelle eingerichtet und somit funktionierte das Home-Office ganz gut. Leider haben wir uns dadurch auch eine kleine Falle gestellt. Die Funkstrecke geht über mehrere Verteiler, die nur über ein Management-VLAN erreichbar sind. Auf dieses komme ich in der Konstellation nun nicht mehr drauf. (was uns leider beim Ausfall der Funkstrecke aufgefallen ist)
Der Lancom scheint mir auch keine Möglichkeit zu geben das Management-VLAN aus dem "DSL"-Port auszukopplen bzw. erreichbar zu machen. Und da der Admin vor Ort keine Route ins HO setzen darf und wir über sonst keine Möglichkeit haben, bleibt uns eigentlich nur die Möglichkeit zuerst in den VLAN-fähigen Switch zu gehen, das VLAN auskoppeln und dann in den Lancom?
Oder übersehe ich was? Diesmal gibts auch eher eine Rückmeldung, falls mir noch jemand antworten mag.
Danke
[Edit]
folgender Thread scheint die Lösung zu sein.:
http://www.lancom-forum.de/lancom-adsl- ... 12430.html