Hallo, nachdem ich alle Threads zu PublicSpot hier durchforstet habe, eine generelle Frage. Gibt es eine Möglichkeit, vom PublicSpot mit VLAN eingerichtet per Firewall-Regel umzutaggen auf das Netz, wo beispielsweise ein Server oder Kopierer steht? Inter-VLAN-Routing habe ich hier alles am Laufen per LAN, Radius etc.
Kann es sein, dass der PublicSpot generell so etwas nicht zulässt? Dann bleibt mir im Hauptgebäude nur die Möglichkeit für alle Schüler einen RADIUS-Zugang, oder jeweils für ganze Klassenstufen zu erstellen, die dann aus ihrem VLAN auf das SHARE-VLAN zugreifen können.
Wenn der PublicSpot das nicht zulässt, ist er wirklich nur für Gäste zu gebrauchen. Die Schüler müssen permanent auf den Schulserver zugreifen.
Viele Grüße
PublicSpot - Verständnis
Moderator: Lancom-Systems Moderatoren
-
Aushilfsinformatiker
- Beiträge: 82
- Registriert: 13 Apr 2020, 10:56
-
Dr.Einstein
- Beiträge: 3223
- Registriert: 12 Jan 2010, 14:10
Re: PublicSpot - Verständnis
Ist meines Wissens nach möglich. Umtag-Regel + Ziel IP als freies Netz im PB Spot hinterlegen.
-
Aushilfsinformatiker
- Beiträge: 82
- Registriert: 13 Apr 2020, 10:56
Re: PublicSpot - Verständnis
Das wäre Klasse, wenn es eine Lösung gibt. Ich habe immer folgendermaßen die Firewall-Regel erstellt, alles Deny all.. dann:
Testumgebung zu Hause:
Beispielnetz: 192.168.3.0 VLAN 3 Schnittstellen-Tag 3
Share-Netz: 192.168.4.3 VLAN 4 Schnittstellen-Tag 4 (Serveradresse)
Regel:
Allgemein: Routing-Tag 4
Aktion: Accept
Stationen: Quelle Beispielnetz, Ziel: Serveradresse
Dienst: Quelle: alle Dienste, Ziel: notwendige Ports
Somit kommt man problemlos auf den Server. Alles auf dem Router angelegt. Das Beispielnetz an den WLC durchgereicht per WLAN-Passwort und dann mit RADIUS problemlos die Regel angenommen.
------
Dann auf dem WLC einen PublicSpot erstellt
PB: 192.168.170.0 VLAN 99 Schnittstellen-Tag 99
alles über LAN1 gezogen, das selbe Netzwerk auch auf dem Router angelegt, jedoch mit Router-IP 192.168.170.2, da der WLC die .1 haben muss, sonst greift der PublicSpot nicht, DHCP auch nur auf dem WLC
Bis dahin funktioniert alles super, PublicSpot, eingehängtes Wartungs-LAN für mich, Dynamische VLAN-Zuweisung per RADIUS für beispielsweise Verwaltung, Lehrer etc.... dort greift auch die Firewall-Regel mit den Ergänzungen.
Die Regel um die PublicSpot-IP-Bereich ergänzt, nichts.....
Da ich in der Schule alle Clienten über den DNS-Server des Routers wegen des BPJM zukünftig zwingen muss, habe ich meine DNS-Regel ebenfalls ergänzt... die greift komischerweise.
Auf dem WLC habe ich die Firewall nicht bearbeitet.
Viele Grüße
Testumgebung zu Hause:
Beispielnetz: 192.168.3.0 VLAN 3 Schnittstellen-Tag 3
Share-Netz: 192.168.4.3 VLAN 4 Schnittstellen-Tag 4 (Serveradresse)
Regel:
Allgemein: Routing-Tag 4
Aktion: Accept
Stationen: Quelle Beispielnetz, Ziel: Serveradresse
Dienst: Quelle: alle Dienste, Ziel: notwendige Ports
Somit kommt man problemlos auf den Server. Alles auf dem Router angelegt. Das Beispielnetz an den WLC durchgereicht per WLAN-Passwort und dann mit RADIUS problemlos die Regel angenommen.
------
Dann auf dem WLC einen PublicSpot erstellt
PB: 192.168.170.0 VLAN 99 Schnittstellen-Tag 99
alles über LAN1 gezogen, das selbe Netzwerk auch auf dem Router angelegt, jedoch mit Router-IP 192.168.170.2, da der WLC die .1 haben muss, sonst greift der PublicSpot nicht, DHCP auch nur auf dem WLC
Bis dahin funktioniert alles super, PublicSpot, eingehängtes Wartungs-LAN für mich, Dynamische VLAN-Zuweisung per RADIUS für beispielsweise Verwaltung, Lehrer etc.... dort greift auch die Firewall-Regel mit den Ergänzungen.
Die Regel um die PublicSpot-IP-Bereich ergänzt, nichts.....
Da ich in der Schule alle Clienten über den DNS-Server des Routers wegen des BPJM zukünftig zwingen muss, habe ich meine DNS-Regel ebenfalls ergänzt... die greift komischerweise.
Auf dem WLC habe ich die Firewall nicht bearbeitet.
Viele Grüße
-
Dr.Einstein
- Beiträge: 3223
- Registriert: 12 Jan 2010, 14:10
Re: PublicSpot - Verständnis
Das auch gemacht?
-
Aushilfsinformatiker
- Beiträge: 82
- Registriert: 13 Apr 2020, 10:56
Re: PublicSpot - Verständnis
xml-Schnittstelle aktiviert
Zugriff ohne Anmeldung/freie Netze
192.168.4.33 255.255.255.255 VLAN 4 hinzugefügt
passiert nichts, selbst wenn das mit IP geht, greifen die Schüler mit einer Domain auf den Server zu......
------
Nachtrag: Namensauflösung funktioniert aber von den anderen Netzwerken problemlos, das sollte dann nicht das Problem sein, falls die IP erreicht wird.
Viele Grüße
Zugriff ohne Anmeldung/freie Netze
192.168.4.33 255.255.255.255 VLAN 4 hinzugefügt
passiert nichts, selbst wenn das mit IP geht, greifen die Schüler mit einer Domain auf den Server zu......
------
Nachtrag: Namensauflösung funktioniert aber von den anderen Netzwerken problemlos, das sollte dann nicht das Problem sein, falls die IP erreicht wird.
Viele Grüße
-
Dr.Einstein
- Beiträge: 3223
- Registriert: 12 Jan 2010, 14:10
Re: PublicSpot - Verständnis
VLAN3 statt VLAN4. Namen werden in eine IP aufgelöst. Die Auflösung muss natürlich funktionieren, lässt sich aber zB mittels Ping prüfen.
-
Aushilfsinformatiker
- Beiträge: 82
- Registriert: 13 Apr 2020, 10:56
Re: PublicSpot - Verständnis
Hallo, hat leider nicht funktioniert. Mir schwebt noch eine andere Idee vor, kann natürlich eine Sackgasse sein.
wie gehabt:
Beispielnetz: 192.168.3.0 VLAN 3 Schnittstellen-Tag 3
Share-Netz: 192.168.4.3 VLAN 4 Schnittstellen-Tag 4 (Serveradresse) an LAN4 am Router gebunden
- am WLC für den Publicspot eine Internetverbindung auf Uplink (LAN1)mit IPoE/DHCP
- Router Share-Netz an LAN4 und zusätzliches Kabel vom Router auf Uplink WLC
Eventuell beide Netzwerke identische Schnittstellen-Tags, Internetverbindung in die Routing-Tabelle vom WLC für PB eintragen ohne Maskierung.
Jetzt müsste doch ohne Firewall-Regel der PublicSpot Zugriff auf Share haben? Könnte das funktionieren? Den Server kann ich mit der integrierten Firewall absichern.
Danke und viele Grüße
wie gehabt:
Beispielnetz: 192.168.3.0 VLAN 3 Schnittstellen-Tag 3
Share-Netz: 192.168.4.3 VLAN 4 Schnittstellen-Tag 4 (Serveradresse) an LAN4 am Router gebunden
- am WLC für den Publicspot eine Internetverbindung auf Uplink (LAN1)mit IPoE/DHCP
- Router Share-Netz an LAN4 und zusätzliches Kabel vom Router auf Uplink WLC
Eventuell beide Netzwerke identische Schnittstellen-Tags, Internetverbindung in die Routing-Tabelle vom WLC für PB eintragen ohne Maskierung.
Jetzt müsste doch ohne Firewall-Regel der PublicSpot Zugriff auf Share haben? Könnte das funktionieren? Den Server kann ich mit der integrierten Firewall absichern.
Danke und viele Grüße
Re: PublicSpot - Verständnis
Hast du auch daran gedacht, das SHARE-Netz als DMZ zu definieren?
LCS NC/WLAN
-
Aushilfsinformatiker
- Beiträge: 82
- Registriert: 13 Apr 2020, 10:56
Re: PublicSpot - Verständnis
Ja, aber ich würde ungern den Schulserver in eine DMZ stellen.
Ich baue heute Nachmittag mal mein "Testlabor" auf die Konfiguration um.
Sollte das nicht klappen, probiere ich die DMZ, das habe ich noch nicht gemacht. Wichtig ist, dass diese nach Außen hin abgesichert ist. Soweit ich mich durch die Anleitung gearbeitet habe, ist die DMZ aus jedem Netzwerk ohne VLAN-Routing erreichbar, was die Sache vereinfachen würde.
Für die DMZ eine extra VLAN ID und Schnittstellen-Tag anlegen?
Viele Grüße
Ich baue heute Nachmittag mal mein "Testlabor" auf die Konfiguration um.
Sollte das nicht klappen, probiere ich die DMZ, das habe ich noch nicht gemacht. Wichtig ist, dass diese nach Außen hin abgesichert ist. Soweit ich mich durch die Anleitung gearbeitet habe, ist die DMZ aus jedem Netzwerk ohne VLAN-Routing erreichbar, was die Sache vereinfachen würde.
Für die DMZ eine extra VLAN ID und Schnittstellen-Tag anlegen?
Viele Grüße
Re: PublicSpot - Verständnis
Beschäftige dich mal bitte mit ARF. DMZ hat in diesem Kontext erstmal nichts mit Internet zu tun.
LCS NC/WLAN