1821: WLAN-Segmente den Interfaces LAN-1 und DMZ-1 zuordnen

Anmeldungsdatum: 17.09.2006 Beiträge: 8 Wohnort: Aachen

Hi Leute,

auf einem 1821 sind 2 getrennte Netze konfiguriert. Eines ist dem Interface LAN-1 (Intranet) und eines dem Interface DMZ-1 (DMZ) zugeordnet, zwecks Trennung auf Layer 2 und 3. Ferner sind die LAN-Ports des Switches (jeweils 2 Ports) dem Intranet und der DMZ fest zugeordnet. Der DHCP-Server ist für das Intranet freigeschaltet. Im Ethernet funktioniert auch alles wie erwartet, d.h. die 2 Netze arbeiten parallel, beide haben Internet-Zugang, das Intranet hat zusätzlich Zugang zu einem Firmen-Netzwerk über VPN. Es gibt keine Mischung der Datenpakete auf Layer 2 (getrennte broadcast domains). Die Zugriffe zw. Intranet und DMZ kann ich mittels Firewall-Regeln auf Layer 3 steuern. Smile

Nun soll WLAN in's Spiel kommen, und zwar mit 2 ESSIDs, wobei eine ESSID mit dem Intranet und die andere der DMZ verbunden sein soll. Die WLAN-Netze habe ich eingerichtet, jedoch sind die WLAN-Segmente beides Inseln, d.h. kein Zugang zu den Interfaces des Routers und zu den Ethernet-Segmenten. DHCP funktioniert demzufolge auch nicht. Eigentlich klar, da ich unter TCP/IP->Allgemein die Interfaces entweder in allen Segmenten (any) oder nur genau einem Segment zuordnen kann, nicht aber genau zu zweien. Wenn ich alles auf any stelle mischen sich die Pakete auf Layer 2 und ich habe nur noch eine broadcast domain, was der Sicherheit nicht zuträglich ist. Sad

Insbesondere sollen die Pakete aus dem Firmennetz/VPN nicht von der DMZ aus gesehen werden können und umgekehrt.

Wie stelle ich es an, dass die eine ESSID in's Intranet gebridged wird und die andere in die DMZ? Bevor ich anfange, alles auf eine VLAN-basierten Konfig. umzustellen, wollte ich die Frage hier mal loswerden, ob es noch anders geht.

TIA sagt

inetd

Anmeldungsdatum: 17.09.2006 Beiträge: 8 Wohnort: Aachen

Ok, eurer Zurückhaltung entnehme ich, das mein Vorhaben so nicht geht bzw. gehen kann, richtig? Alternativen? VLANs?

bye,

inetd

Moderator Anmeldungsdatum: 07.11.2004 Beiträge: 4500 Wohnort: Aachen

Moin,

nein, geht mit den bisherigen LCOS-Versionen nicht. DieIntranet- bzw. DMZ-Adresse kann nur entweder einem
bestimmten LAN/WLAN/DMZ-Interface zugeordnet werden
oder keinem, aber nicht einer Gruppe von Interfaces.

Gruß Alfred

Anmeldungsdatum: 17.09.2006 Beiträge: 8 Wohnort: Aachen

alf29 hat folgendes geschrieben:

Moin,

nein, geht mit den bisherigen LCOS-Versionen nicht. DieIntranet- bzw. DMZ-Adresse kann nur entweder einem
bestimmten LAN/WLAN/DMZ-Interface zugeordnet werden
oder keinem, aber nicht einer Gruppe von Interfaces.

Gruß Alfred

Och, schade aber auch!

Ist denn meine Behauptung von oben richtig, dass wenn ich unter TCPIP->Allgemein sowohl das DMZ-Interface als auch das Intranet-Interface auf "any" stelle, sich dann die Pakete (zumindest die Broadcasts) auf allen Segmenten wiederfinden und eine Trennung auf Layer 2 somit nicht mehr gegeben ist?

bye,
inetd

Moderator Anmeldungsdatum: 07.11.2004 Beiträge: 4500 Wohnort: Aachen

Moin,

Zitat:

Ist denn meine Behauptung von oben richtig, dass wenn ich unter TCPIP->Allgemein sowohl das DMZ-Interface als auch das Intranet-Interface auf "any" stelle, sich dann die Pakete (zumindest die Broadcasts) auf allen Segmenten wiederfinden und eine Trennung auf Layer 2 somit nicht mehr gegeben ist?

Eine Trennung auf Layer 2 (d.h. kein Bridging) kannst Du nur erreichen, indem Du
in der LAN-Bridge-Konfig das entsprechende Interface in den isolierten Modus schaltetst -
das ist so etwas wie der private Modus bei LANcoms mit Switch. Aber das geht auch hier
leider nur nach dem Motto 'alles oder nichts', d.h. man kann die Interfaces nicht
'partitionieren, außer durch einige wüste VLAN-Tricks. LCOS 7.00 könnte an dieser Stelle
die eine oder andere Mögloichkeit mehr bieten, aber für das was und wann ist es noch
ein bisserl früh...

Gruß Alfred