VLANs für Netztrennung und 3 WAN Verbindungen

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Burak
Beiträge: 19
Registriert: 04 Mär 2014, 12:31

VLANs für Netztrennung und 3 WAN Verbindungen

Beitrag von Burak »

Hallo,

ich glaube, so kompliziert ist mein Problem nicht, dennoch würde ich gerne nochmal um einen Ratschlag fragen, da ich heute bei der Konfiguration etwas in stolpern geraten bin. Ich bin das Szenario gerade zuhause über vRouter am nachprobieren und um die Konfig hier darzustellen.

Im Einsatz ist ein LANCOM 1781VA Router, welcher 4 ETH Ports hat.
Dazu ein Cisco Switch SG-220 mit 26 Ports und 4 einfache APs mit VLAN- und Multi-SSID-Unterstützung.

Zur Zeit bestehen 3 DSL Anschlüsse. Damit man etwas flexibler ist bei der Nutzung von den WAN Anschlüssen, soll der LANCOM Router, das gesamte Routing übernehmen. Dazu habe ich folgendes eingerichtet:

ETH 1, 2, 3 sind als DSL 1, 2, 3 eingestellt und bauen jeweils eine Verbindung mittels statischer IP über ein externen Router auf. Unter IP-Routing habe ich dazu drei Default-Routen (255.255.255.255/32) mit den Routing-Tags 1, 2 und 3 eingerichtet. Das funktioniert auch soweit. Zum Test habe ich in der Firewall zwei Regeln angelegt, welches bestimmte Rechner mit einem Routing-Tag versieht.

Im Prinzip kommt man jetzt schon zur VLAN-Geschichte um logische Netzwerke zu erstellen.
ETH 4 ist als logischer LAN 1 Port gemappt. Der physikalische Port ist zum Switch verbunden und über diesen sollen alle Pakete getagged werden. D.h. der Port muss als Trunk fungieren und die VLANs, die benutzt werden, zugewiesen, richtig? Also, VLAN Konfig:
VLAN_Tabelle.png
VLAN_Port_Tabelle.png
Am Switch habe ich eigentlich das selbe gemacht. Den Port der mit ETH 4 verbunden ist auf Trunk gesetzt und VLANs 1, 10, 20, 30 auf Tagged gesetzt.
Somit können Pakete von allen VLANs zwischen Switch und LANCOM-Router gesendet und empfangen werden. Ist das soweit korrekt? Muss oder sollte VLAN-Modus aktiviert werden auf dem LANCOM-Router oder ist das nicht notwendig?

Jetzt hätte ich die IP-Netzwerke erstellt. Im Prinzip habe ich 5 Netzwerke erstellt:
IP-Netzwerke.png
Und nun komme ich langsam zum Problem: Aus dem VLAN 10 kann ich auch Geräte bzw. die IP-Adressen aus VLAN 10, 20 und 30 erreichen. Ich schätze, das liegt einfach daran, dass der LANCOM-Router natürlich alle Netzwerke kennt. Wie würde ich das jetzt verhindern? Meine Ideen wären Schnittstellen-Tag und/oder Firewall. Aber wie wäre die richtige Vorgehensweise dafür?

Aus dem VLAN 10 sollen später manche Geräte über DSL 1 und 2 ins Internet gehen.
VLAN 20 soll nur über DSL 2 und VLAN 30 soll nur über DSL 3 ins Internet gehen.

Ich glaube spätestens für das VLAN 10 brauche ich Schnittstellen-Tags und Firewall-Regeln?

Über einen Vorschlag dazu wäre ich sehr dankbar. Ich denke, wenn das nämlich passt, ist der Rest mit den APs analog, in dem ich diese über Trunk-Ports, die getagged sind an den Switch anschließe und im Router die DHCP-Server für die jeweilige Netze erstelle.

Viele Grüße
Burak
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: VLANs für Netztrennung und 3 WAN Verbindungen

Beitrag von Maurice »

Moin,
Burak hat geschrieben: 21 Nov 2018, 21:32 ich glaube, so kompliziert ist mein Problem nicht
Ich würde es noch nicht mal "Problem" nennen. :wink:
Burak hat geschrieben: 21 Nov 2018, 21:32 ETH 4 ist als logischer LAN 1 Port gemappt. Der physikalische Port ist zum Switch verbunden und über diesen sollen alle Pakete getagged werden. D.h. der Port muss als Trunk fungieren und die VLANs, die benutzt werden, zugewiesen, richtig?
Richtig. Du hast LAN-1 aber als "Hybrid" konfiguriert, wodurch VLAN 1 nicht getaggt wird. Wie Du selbst schreibst muss der Modus "Trunk" sein, um alle VLANs zu taggen.
Burak hat geschrieben: 21 Nov 2018, 21:32 Jetzt hätte ich die IP-Netzwerke erstellt. Im Prinzip habe ich 5 Netzwerke erstellt:
Was hast Du denn mit dem ungetaggten "DEFAULT"-Netzwerk vor?
Burak hat geschrieben: 21 Nov 2018, 21:32 Und nun komme ich langsam zum Problem: Aus dem VLAN 10 kann ich auch Geräte bzw. die IP-Adressen aus VLAN 10, 20 und 30 erreichen.
Tippfehler? Dass man aus VLAN 10 andere Geräte in VLAN 10 erreichen kann dürfte klar sein.
Dass Geräte in unterschiedlichen VLANs sich erreichen können liegt daran, dass Du allen Netzen das Schnittstellen-Tag 0 gegeben hast. Dadurch werden alle Netze untereinander geroutet, sofern Du das nicht explizit durch Firewallregeln unterbindest.
Burak hat geschrieben: 21 Nov 2018, 21:32 Wie würde ich das jetzt verhindern?
Im einfachsten Fall: Jedem Netz ein individuelles Schnittstellen-Tag (ungleich "0"!) verpassen. Dadurch wird jegliches Routing zwischen den Netzen unterbunden.
Burak hat geschrieben: 21 Nov 2018, 21:32 Aus dem VLAN 10 sollen später manche Geräte über DSL 1 und 2 ins Internet gehen.
Wenn Du "INTRANET_10" das Schnittstellen-Tag 1 gibst wird zunächst alles über DSL-1 geroutet. Durch eine Firewall-Regel kannst Du dann für einzelne Geräte das Routing-Tag auf 2 umschreiben (hast Du ja schon getestet).
Burak hat geschrieben: 21 Nov 2018, 21:32 VLAN 20 soll nur über DSL 2 und VLAN 30 soll nur über DSL 3 ins Internet gehen.
Dann setz einfach das Schnittstellen-Tag von "GAST_20" auf 2 und von "GAST_30" auf 3.

Grüße

Maurice
Burak
Beiträge: 19
Registriert: 04 Mär 2014, 12:31

Re: VLANs für Netztrennung und 3 WAN Verbindungen

Beitrag von Burak »

Hallo,

danke für die schnelle Antwort!
Maurice hat geschrieben: 21 Nov 2018, 22:54 Richtig. Du hast LAN-1 aber als "Hybrid" konfiguriert, wodurch VLAN 1 nicht getaggt wird. Wie Du selbst schreibst muss der Modus "Trunk" sein, um alle VLANs zu taggen.
Gut, habe es auf Trunk umgestellt!
Maurice hat geschrieben: 21 Nov 2018, 22:54 Was hast Du denn mit dem ungetaggten "DEFAULT"-Netzwerk vor?
Ich dachte, es wäre besser, wenn es noch ein ungetaggtes Netz gibt. Aber ich habe das auf deine Frage hin entfernt, da ich es mir selbst nicht ganz erklären kann warum.
Burak hat geschrieben: 21 Nov 2018, 21:32 Tippfehler? Dass man aus VLAN 10 andere Geräte in VLAN 10 erreichen kann dürfte klar sein.
Jap, das war ein Tippfehler. Meinte VLAN 1 zu 10, 20, 30. Und für die anderen analog dazu.
Burak hat geschrieben: 21 Nov 2018, 21:32 Im einfachsten Fall: Jedem Netz ein individuelles Schnittstellen-Tag (ungleich "0"!) verpassen. Dadurch wird jegliches Routing zwischen den Netzen unterbunden.
Wenn Du "INTRANET_10" das Schnittstellen-Tag 1 gibst wird zunächst alles über DSL-1 geroutet. Durch eine Firewall-Regel kannst Du dann für einzelne Geräte das Routing-Tag auf 2 umschreiben (hast Du ja schon getestet).
Dann setz einfach das Schnittstellen-Tag von "GAST_20" auf 2 und von "GAST_30" auf 3.
Gut, sowas habe ich mir irgendwie gedacht und habe das dann heute umgesetzt. Im Prinzip funktioniert auch alles soweit. Aber noch paar Fragen:
  1. In den Firewall-Regeln steuere ich mit dem Schnittstellen-Tag für welche Pakete die Regeln gelten und mit dem Routing-Tag ordne ich die jeweiligen Routen zu, richtig?
  2. Kann ich das Admin-Netzwerk 192.168.1.0/24 VLAN 1 so einrichten, dass es alle andere Netze erreichen kann, jedoch nicht umgekehrt? Würde das auch mit Firewall-Regeln realisiert werden?
  3. Um aus VLAN 20 und 30 den Zugriff auf den LANCOM Router zu verhindern, sollte ich Firewall-Regeln erstellen, welches HTTP/HTTPS blockiert? Da es das Gateway ist, muss es ja weiterhin erreichbar sein. Nur sollte man keine Möglichkeit haben, sich darauf zu verbinden.
Vielen Dank!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VLANs für Netztrennung und 3 WAN Verbindungen

Beitrag von backslash »

Hi Burak,
In den Firewall-Regeln steuere ich mit dem Schnittstellen-Tag für welche Pakete die Regeln gelten
wenn du das "Quell-Tag" meinst, im Prinzip ja. Es ist eine weitere Bedingung für das Greifen der Regel, wenn es ungleich 0 ist,
und mit dem Routing-Tag ordne ich die jeweiligen Routen zu, richtig?
korrekt
Kann ich das Admin-Netzwerk 192.168.1.0/24 VLAN 1 so einrichten, dass es alle andere Netze erreichen kann, jedoch nicht umgekehrt? Würde das auch mit Firewall-Regeln realisiert werden?
gib ihm einfach das Tag 0, denn das ist das "Supervisor" Tag. Netze mit Tag 0 sehen alle Netze, werden aber nur von Netzen mit Tag 0 gesehen (Achtung: das ist ein kleiner aber wichtiger Unterschied zur Routing-Tabelle: In der Routing-Tabelle ist Tag 0 der Wildcard, d.h. Routen mit Tag 0 gelten für alle Netze)
Um aus VLAN 20 und 30 den Zugriff auf den LANCOM Router zu verhindern, sollte ich Firewall-Regeln erstellen, welches HTTP/HTTPS blockiert?
jain.... Im IPv4 gibt es keine IInbound-Regeln. Da kannst du den Zugriff auf das LANCOM nur über die Access-Tabelle (Management -> Admin -> Zugriffseinstellungen -> Zugriffs-Stationen) reglen. Dort trägst du dann die IP-Adressen/Netze ein, die Zugriff haben dürfen (z.B. das Admin-Netz). Sobald dort ein Eintrag existiert, dürfen nur die dort aufgeführten Stationen auf das Gerät zugreifen.
Für IPv6 erstellst du in den Inbound-Regeln der Firewall (Fireall/QoS -> IPv6-Regeln -> IPv6InboundRegeln) passende Regeln, die den Zugriff steuern. Im Default existiert dort eine DENY-ALL-Regel und Allow-Regeln für bestimmte Dienste, wie die Regel "ALLOW-CONFIG-LOCALNET", bei der du eigentlich nur die Quelle anpassen mußt. Statt "LOCALNET" solltest du in den Stations-Objekten (Fireall/QoS -> IPv6-Regeln -> Stations-Objekte) ein Objekt für das Admin-Netz anlegen und als Quelle für die ALLOW-CONFIG-LOCALNET verwenden. Bei massiver Paranoia kannst du dann auch die Regel "ALLOW-CONFIG-VPN" deaktivieren

Gruß
Backslash
Antworten