Hallo,
ich habe da mal eine Frage zur neuen Firmware 7.60.
Ich habe an einem Lancom 1811 (FW 7.26) zwei Netze gebildet und diese an LAN-Ports bebunden (also LAN1 Port1+2 192.168.1.0 und LAN2 Port3+4 192.168.2.0).
LAN1 konnte so ohne Firewallregel nicht mit Rechnern in LAN2 reden.
Nachdem ich den beiden LANs unterschiedliche TAGs (LAN1 Tag2 LAN2 Tag3) gab und Firewallregeln erstellte konnte ich eine gewünschte Kommunikation zwischen den Netzen erreichen. (also zB 192.168.1.15 kann 192.168.2.250 reden)
Jetzt habe ich einen Lancom 1721 (FW 7.60) auch mit zwei Netzen (LAN1 und LAN2) eingerichtet und ohne eine Regel konnten die zwei Netze über den Router miteinander sprechen. Mittels DENY-ALL Regel und bestimmten ALLOW-Regeln konnte ich den gewünschte Beschenkungen erreichen. LAN1 und LAN2 mit Tag0.
Warum geht das jetzt auch ohne TAGs, die ich zuvor unbedingt brauchte?
Ist das ein unterscheid zwischen den Modellen oder der Firmware?
Gruss
theroot
Netztrennung am LANCOM mit Firewall ohne Tags bei FW 7.60 ?
Moderator: Lancom-Systems Moderatoren
Hi theroot
Netze mit gleichen Tags sind gegenseitig immer sichtbar, ohne daß dazu explitit Firewallregeln nötig wären (es sei denn, du hast eine DENY-ALL-Regel). Das gilt auch für ungetaggte netze, d.h. Netze mit Tag 0.
Netze mit unterschiedlichen Tags sind erstmal untereinander unsichtbar. Sollen sie trotzdem miteinander kommunizieren, so muß das explizit in der Firewall erlaubt werden.
Das Tag 0 hat zudem noch die Bedeutung des Supervisors, d.h. ein Netz, das mit 0 getaggt ist, kann *alle* Netze sehen, unabhängig von deren Tags. Für diese Netze bleibt das 0 getaggte Netz selbst aber weiterhin unsichtbar, weil es ja ein unterschiedliches Tag besitzt. Um über die Firewall die Sichtbarkeit eines 0 getaggten Netzes zu erreichen, muß in der Regel statt 0 das Tag 65535 zugewiesen werden, weil 0 bedeutet, daß etwaig vorhandene Tags unverändert bleiben
Gruß
Backslash
das ging früher auch ohne. definitv! Für die Tags gilt seit je her folgendes:Warum geht das jetzt auch ohne TAGs, die ich zuvor unbedingt brauchte?
Netze mit gleichen Tags sind gegenseitig immer sichtbar, ohne daß dazu explitit Firewallregeln nötig wären (es sei denn, du hast eine DENY-ALL-Regel). Das gilt auch für ungetaggte netze, d.h. Netze mit Tag 0.
Netze mit unterschiedlichen Tags sind erstmal untereinander unsichtbar. Sollen sie trotzdem miteinander kommunizieren, so muß das explizit in der Firewall erlaubt werden.
Das Tag 0 hat zudem noch die Bedeutung des Supervisors, d.h. ein Netz, das mit 0 getaggt ist, kann *alle* Netze sehen, unabhängig von deren Tags. Für diese Netze bleibt das 0 getaggte Netz selbst aber weiterhin unsichtbar, weil es ja ein unterschiedliches Tag besitzt. Um über die Firewall die Sichtbarkeit eines 0 getaggten Netzes zu erreichen, muß in der Regel statt 0 das Tag 65535 zugewiesen werden, weil 0 bedeutet, daß etwaig vorhandene Tags unverändert bleiben
Da gibt es keinen Unterschied - außer etwaige Bugs, die im laufe der Zeit gefixt wurden.Ist das ein unterscheid zwischen den Modellen oder der Firmware?
Gruß
Backslash