Verständnisfragen zur Konfiguration

[l12l]

Hallo,
ich hoffe ihr könnt mir weiterhelfen.
Die Anleitung wirft leider mehr Fragen auf, als sie beantwortet.
ftp://ftp.lancom.de/LANCOM-Releases/LC- ... UAL-DE.pdf

Ich möchte zwei Netzwerke auf einem Lancom 7111 einrichten.
Aus Netz0 soll das Internet erreichbar sein.
Aus Netz1 soll Netz0 erreichbar sein, aber kein Internet.


------
Netzwerkname: Netz0
IP-Adresse: 192.168.0.1
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstellen-Zuordnung: beliebig
Adressprüfung: flexibel
Schnittstellen-Tag: 0

------
Netzwerkname: Netz1
IP-Adresse: 192.168.1.1
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstellen-Zuordnung: beliebig
Adressprüfung: flexibel
Schnittstellen-Tag: 0
------

Ist für einen Client im Netz0 die IP-Adresse 192.168.0.1 das Gateway?
Kann ich beide Netze an Interface LAN-1 konfigurieren? Ist ein Routing- oder Schnittstellen-Tag notwendig?
Um von Netz1 in Netz0 zu kommen, sind die Routen korrekt?

IP-Adresse 192.168.0.0
Netzmaske 255.255.255.0
Routing-Tag ?
Router 192.168.0.1

Und umgekehrt

IP-Adresse 192.168.0.1
Netzmaske 255.255.255.0
Routing-Tag ?
Router 192.168.1.1

Als Firewallregeln müssten dann eingerichtet werden:

Netz0-Internet
Protokol Any
Quelle Netz1 (192.168.0.0/24)
Ziel Internet (0.0.0.0/32)
Aktion zulassen

Netz0-Netz1
Protokol Any
Quelle Netz0 (192.168.0.0/24)
Ziel Netz1 (192.168.1.0/24)
Aktion zulassen

Netz1-Netz0
Protokol Any
Quelle Netz1 (192.168.1.0/24)
Ziel Netz0 (192.168.0.0/24)
Aktion zulassen

Edit:
Netzwerkbezeichnungen geändert

[backslash]

Hi l12l

Ist für einen Client im Netz 1 die IP-Adresse 192.168.0.1 das Gateway?

das ist nun die Frage, was du mit Netz 1 meinst: Netz0 oder Netz1...

wenn Netz0 gemeint ist, dann ist das korrekt. Anderenfalls ist einen Client im Netz1 ist die 192.168.1.1 das Gateway.

Kann ich beide Netze an Interface LAN-1 konfigurieren?

ja, das ist dann aber im Endeffekt das gleiche wie die jetzige Einstellung "beliebig". Sinnvollerweise solltest du die beiden Netze physikalisch trennen, z.b. Netz0 auf LAN-1 und Netz1 auf LAN-2, denn sonst könnte ein Client, der sich eigentlich im Netz1 befinden soll, ins Netz0 ausbrechen...

Ist ein Routing- oder Schnittstellen-Tag notwendig?

nein. Das läßt sich auch noch mit Firewallregeln abbilden.

Um von Netz 2 in Netz 1 zu kommen, sind die Routen korrekt?

IP-Adresse 192.168.0.0
Netzmaske 255.255.255.0
Routing-Tag ?
Router 192.168.0.1

Und umgekehrt

IP-Adresse 192.168.0.1
Netzmaske 255.255.255.0
Routing-Tag ?
Router 192.168.1.1

da das LANCOM seine lokalen Netze kennt, ist hierfür überhaupt kein Routing-Eintrag notwendig - die Routen zu den lokalen Netzen sind implizit vorhanden (schau mal in die effektive Routing-Tabelle unter /Status/IP-Router/Act.-IP-Routing-Tab.. Dort stehen ganz oben die lokalen Netze)

Abgesehen davon: Wenn du die Routen eintragen müßtest, müßtest du in der "umgekehrten" Route als Ziel natürlich 192.168.1.0 statt 192.168.0.1 eintragen...

Als Firewallregeln müssten dann eingerichtet werden:

Netz1-Internet
Protokol Any
Quelle Netz1 (192.168.0.0/24)
Ziel Internet (0.0.0.0/32)
Aktion zulassen

Netz1-Netz2
Protokol Any
Quelle Netz1 (192.168.0.0/24)
Ziel Netz2 (192.168.1.0/24)
Aktion zulassen

Netz2-Netz1
Protokol Any
Quelle Netz2 (192.168.1.0/24)
Ziel Netz1 (192.168.0.0/24)
Aktion zulassen

das funktioniert so nur, wenn du auch eine Deny-All-Regel hast. Hast du keine, dann mußt du explizit den Traffic von Netz2 (oder wie auch immer das nun heißen soll) ins Internet sperren.

Gruß
Backslash

[l12l]

das ist nun die Frage, was du mit Netz 1 meinst: Netz0 oder Netz1...

wenn Netz0 gemeint ist, dann ist das korrekt. Anderenfalls ist einen Client im Netz1 ist die 192.168.1.1 das Gateway.

Gemeint ist Netz0 (192.168.0.0). Ich habe es in meinem Posting korrigiert

Zitat:
Kann ich beide Netze an Interface LAN-1 konfigurieren?


ja, das ist dann aber im Endeffekt das gleiche wie die jetzige Einstellung "beliebig". Sinnvollerweise solltest du die beiden Netze physikalisch trennen, z.b. Netz0 auf LAN-1 und Netz1 auf LAN-2, denn sonst könnte ein Client, der sich eigentlich im Netz1 befinden soll, ins Netz0 ausbrechen...

Zitat:  
Ist ein Routing- oder Schnittstellen-Tag notwendig?


nein. Das läßt sich auch noch mit Firewallregeln abbilden.

Also müssen entsprechende Firewallregeln konfiguriert werden, um zu verhindern, dass ein Client in ein anderes Netz ausbricht. Oder gibt es noch andere Möglichkeiten? Ich könnte mir vorstellen, dass noch ein paar Netze hinzukommen. 4 LAN-Interfaces reichen dann nicht.

Abgesehen davon: Wenn du die Routen eintragen müßtest, müßtest du in der "umgekehrten" Route als Ziel natürlich 192.168.1.0 statt 192.168.0.1 eintragen...

Natürlich, blöder Fipptehler.


Grüße
l12l

[backslash]

Hi l12l

Also müssen entsprechende Firewallregeln konfiguriert werden, um zu verhindern, dass ein Client in ein anderes Netz ausbricht.

Das Problem bei mehreren Netzen auf einem physikalischen Interface ist, daß der Ausbruch aus den Netzen außerhalb des Routers passieren kann - z.B. indem sich ein PC gibt einfach eine IP aus dem anderen Netz gibt... Das kannst du nicht mit Firewallregeln abfangen - denn die Firewall kann ja nicht anhand der IP-Adresse erkennen, ob es ein "guter" oder ein "böser" PC ist...

Oder gibt es noch andere Möglichkeiten?

die einzig sichere Methode ist die physikalische Trennung der Netze

Ich könnte mir vorstellen, dass noch ein paar Netze hinzukommen.

hier heißt das Zauberwort dann VLAN... Dabei laufen zwar auch alle Netze über ein Kabel - aber nur bis zum nächsten VLAN-fähigen Switch, der dann für die physikalische Trennung sorgt. An den einzelnen PCs kommt dann auf einem Kabel wieder nur ein komplett von den anderen abgeschirmtes Netz an.

Gruß
Backslash

[l12l]

Hallo backslash,

vielen Dank für deine Antworten.
Du hast mir sehr weitergeholfen.

Beste Grüße
l12l