Hi Backslash,
Danke für deine Antwort. Habe testweise eine Firewallregel genau so angelegt, es ändert sich aber leider nichts. Greift die Firewall hier überhaupt?
"Firewall für dieses Interface aktiv" ist wie gesagt nur auf der WAN-Schnittstelle gesetzt, nicht auf den LAN-Schnittstellen.
Außerdem sind die existierenden Firewallregeln sehr spezifisch, in der Art:
Code: Alles auswählen
Name: ALLOW-WEBSERVER1
Priorität: 0
Quell-Tag: 0
Routing-Tag: 0
Aktionen: ACCEPT
Dienste: HTTP, HTTPS
Quelle: ANYHOST
Ziel: IPv6-Adresse <bestimmter Host im Intranet>
Es gibt eine Vielzahl derartiger Regeln. Wenn es mit "umtaggen" funktionieren sollte: Müsste ich die Regeln dann alle duplizieren und anpassen? Oder bedarf es nur einer "Umtag-Regel" und danach greifen dann die bestehenden Regeln?
Betreffs der IPv4-Lösung:
das ist schon "gruselig"...
Ich würde es "pragmatisch" oder "konsequent" nennen.
Im IPv4 sollten die lokalen Hostnamen im Gästenetz auch direkt lokal auflösen
Das hieße dann Split DNS, davon bin ich absolut kein Freund (ist aber eine andere Diskussion). Alle aus dem Internet erreichbaren Dienste lösen wir immer auf die öffentlichen Adressen auf. Auch im Intranet, denn dort spielt IPv4 ohnehin fast keine Rolle mehr.
statt den Umweg über das WAN zu gehen
Naja, läuft ja dennoch direkt über den Lancom und nicht über das Internet. Ob der intern über die WAN-Adresse NATet oder direkt von einem LAN ins andere routet halte ich in diesem Szenario für nebensächlich.
Das hätte dann auch den Vorteil, daß du auf den Servern im INTRANET feststellen kannst, ob eine Anfrage aus dem Gästenetz kam oder aus dem Internet
Das ist mir ehrlich gesagt egal. Das Gäste-Netz dient nur als Internetzugang, quasi ein halb-öffentlicher Hotspot. Aus Intranet-Sicht sind Gäste-Netz-Clients nicht vertrauenswürdiger als beliebige Internet-Clients.
In diesem Fall müßtest du dann aber auch die passende Allow-Regel in der IPv4-Firewall setzen
Genau, also mehr Konfigurationsaufwand (habe ich Split DNS schon erwähnt?), aber aus meiner Sicht keine Vorteile.
Mit der IPv4-Lösung bin ich glücklich, jetzt muss es nur noch über IPv6 funktionieren...
Grüße
Maurice