 |
|
|
|
| Autor |
Nachricht |
l12l
Anmeldungsdatum: 07.12.2010
Beiträge: 3
|
 Verfasst am:
Di 07 Dez, 2010 14:22 |
  |
|
Hallo,
ich hoffe ihr könnt mir weiterhelfen.
Die Anleitung wirft leider mehr Fragen auf, als sie beantwortet.
ftp://ftp.lancom.de/LANCOM-Releases/LC-801...UAL-DE.pdf
Ich möchte zwei Netzwerke auf einem Lancom 7111 einrichten.
Aus Netz0 soll das Internet erreichbar sein.
Aus Netz1 soll Netz0 erreichbar sein, aber kein Internet.
------
Netzwerkname: Netz0
IP-Adresse: 192.168.0.1
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstellen-Zuordnung: beliebig
Adressprüfung: flexibel
Schnittstellen-Tag: 0
------
Netzwerkname: Netz1
IP-Adresse: 192.168.1.1
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstellen-Zuordnung: beliebig
Adressprüfung: flexibel
Schnittstellen-Tag: 0
------
Ist für einen Client im Netz0 die IP-Adresse 192.168.0.1 das Gateway?
Kann ich beide Netze an Interface LAN-1 konfigurieren? Ist ein Routing- oder Schnittstellen-Tag notwendig?
Um von Netz1 in Netz0 zu kommen, sind die Routen korrekt?
IP-Adresse 192.168.0.0
Netzmaske 255.255.255.0
Routing-Tag ?
Router 192.168.0.1
Und umgekehrt
IP-Adresse 192.168.0.1
Netzmaske 255.255.255.0
Routing-Tag ?
Router 192.168.1.1
Als Firewallregeln müssten dann eingerichtet werden:
Netz0-Internet
Protokol Any
Quelle Netz1 (192.168.0.0/24)
Ziel Internet (0.0.0.0/32)
Aktion zulassen
Netz0-Netz1
Protokol Any
Quelle Netz0 (192.168.0.0/24)
Ziel Netz1 (192.168.1.0/24)
Aktion zulassen
Netz1-Netz0
Protokol Any
Quelle Netz1 (192.168.1.0/24)
Ziel Netz0 (192.168.0.0/24)
Aktion zulassen
Edit:
Netzwerkbezeichnungen geändert |
Zuletzt bearbeitet von l12l am Di 07 Dez, 2010 20:18, insgesamt einmal bearbeitet |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Di 07 Dez, 2010 19:56 |
|
|
Hi l12l
| Zitat:
|
|
Ist für einen Client im Netz 1 die IP-Adresse 192.168.0.1 das Gateway?
|
das ist nun die Frage, was du mit Netz 1 meinst: Netz0 oder Netz1...
wenn Netz0 gemeint ist, dann ist das korrekt. Anderenfalls ist einen Client im Netz1 ist die 192.168.1.1 das Gateway.
| Zitat:
|
|
Kann ich beide Netze an Interface LAN-1 konfigurieren?
|
ja, das ist dann aber im Endeffekt das gleiche wie die jetzige Einstellung "beliebig". Sinnvollerweise solltest du die beiden Netze physikalisch trennen, z.b. Netz0 auf LAN-1 und Netz1 auf LAN-2, denn sonst könnte ein Client, der sich eigentlich im Netz1 befinden soll, ins Netz0 ausbrechen...
| Zitat:
|
|
Ist ein Routing- oder Schnittstellen-Tag notwendig?
|
nein. Das läßt sich auch noch mit Firewallregeln abbilden.
| Zitat:
|
Um von Netz 2 in Netz 1 zu kommen, sind die Routen korrekt?
IP-Adresse 192.168.0.0
Netzmaske 255.255.255.0
Routing-Tag ?
Router 192.168.0.1
Und umgekehrt
IP-Adresse 192.168.0.1
Netzmaske 255.255.255.0
Routing-Tag ?
Router 192.168.1.1
|
da das LANCOM seine lokalen Netze kennt, ist hierfür überhaupt kein Routing-Eintrag notwendig - die Routen zu den lokalen Netzen sind implizit vorhanden (schau mal in die effektive Routing-Tabelle unter /Status/IP-Router/Act.-IP-Routing-Tab.. Dort stehen ganz oben die lokalen Netze)
Abgesehen davon: Wenn du die Routen eintragen müßtest, müßtest du in der "umgekehrten" Route als Ziel natürlich 192.168.1.0 statt 192.168.0.1 eintragen...
| Zitat:
|
Als Firewallregeln müssten dann eingerichtet werden:
Netz1-Internet
Protokol Any
Quelle Netz1 (192.168.0.0/24)
Ziel Internet (0.0.0.0/32)
Aktion zulassen
Netz1-Netz2
Protokol Any
Quelle Netz1 (192.168.0.0/24)
Ziel Netz2 (192.168.1.0/24)
Aktion zulassen
Netz2-Netz1
Protokol Any
Quelle Netz2 (192.168.1.0/24)
Ziel Netz1 (192.168.0.0/24)
Aktion zulassen
|
das funktioniert so nur, wenn du auch eine Deny-All-Regel hast. Hast du keine, dann mußt du explizit den Traffic von Netz2 (oder wie auch immer das nun heißen soll) ins Internet sperren.
Gruß
Backslash |
|
|
|
|
l12l
Anmeldungsdatum: 07.12.2010
Beiträge: 3
|
| Verfasst am:
Di 07 Dez, 2010 21:12 |
|
|
| Zitat:
|
das ist nun die Frage, was du mit Netz 1 meinst: Netz0 oder Netz1...
wenn Netz0 gemeint ist, dann ist das korrekt. Anderenfalls ist einen Client im Netz1 ist die 192.168.1.1 das Gateway.
|
Gemeint ist Netz0 (192.168.0.0). Ich habe es in meinem Posting korrigiert
| Zitat:
|
Zitat:
Kann ich beide Netze an Interface LAN-1 konfigurieren?
ja, das ist dann aber im Endeffekt das gleiche wie die jetzige Einstellung "beliebig". Sinnvollerweise solltest du die beiden Netze physikalisch trennen, z.b. Netz0 auf LAN-1 und Netz1 auf LAN-2, denn sonst könnte ein Client, der sich eigentlich im Netz1 befinden soll, ins Netz0 ausbrechen...
Zitat:
Ist ein Routing- oder Schnittstellen-Tag notwendig?
nein. Das läßt sich auch noch mit Firewallregeln abbilden.
|
Also müssen entsprechende Firewallregeln konfiguriert werden, um zu verhindern, dass ein Client in ein anderes Netz ausbricht. Oder gibt es noch andere Möglichkeiten? Ich könnte mir vorstellen, dass noch ein paar Netze hinzukommen. 4 LAN-Interfaces reichen dann nicht.
| Zitat:
|
Abgesehen davon: Wenn du die Routen eintragen müßtest, müßtest du in der "umgekehrten" Route als Ziel natürlich 192.168.1.0 statt 192.168.0.1 eintragen...
|
Natürlich, blöder Fipptehler.
Grüße
l12l |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Mi 08 Dez, 2010 12:36 |
|
|
Hi l12l
| Zitat:
|
|
Also müssen entsprechende Firewallregeln konfiguriert werden, um zu verhindern, dass ein Client in ein anderes Netz ausbricht.
|
Das Problem bei mehreren Netzen auf einem physikalischen Interface ist, daß der Ausbruch aus den Netzen außerhalb des Routers passieren kann - z.B. indem sich ein PC gibt einfach eine IP aus dem anderen Netz gibt... Das kannst du nicht mit Firewallregeln abfangen - denn die Firewall kann ja nicht anhand der IP-Adresse erkennen, ob es ein "guter" oder ein "böser" PC ist...
| Zitat:
|
|
Oder gibt es noch andere Möglichkeiten?
|
die einzig sichere Methode ist die physikalische Trennung der Netze
| Zitat:
|
|
Ich könnte mir vorstellen, dass noch ein paar Netze hinzukommen.
|
hier heißt das Zauberwort dann VLAN... Dabei laufen zwar auch alle Netze über ein Kabel - aber nur bis zum nächsten VLAN-fähigen Switch, der dann für die physikalische Trennung sorgt. An den einzelnen PCs kommt dann auf einem Kabel wieder nur ein komplett von den anderen abgeschirmtes Netz an.
Gruß
Backslash |
|
|
|
|
l12l
Anmeldungsdatum: 07.12.2010
Beiträge: 3
|
| Verfasst am:
Do 09 Dez, 2010 02:02 |
|
|
Hallo backslash,
vielen Dank für deine Antworten.
Du hast mir sehr weitergeholfen.
Beste Grüße
l12l |
|
|
|
|
|
|
|
|
| |
|
|
