Abgrenzung lokaler Netze mit Schnittstellentag

[christophhb]

Moin,
ich würde gerne wissen, ob mein Ansatz zur Abgrenzung von lokalen Netzen mit Hilfe des Schnittstellentags so passt, oder ob ich da noch Denkfehler eingebaut habe?

Ich habe bei mir am Lancom 1781EF die folgenden Netze, die ich voneiander trennen möchte:

Intranet 1, Schnittstellentag 0
Intranet 2, Schnittstellentag 0
Mitarbeiter-Wlan, Schnittstellentag 1

Die Netzte haben jeweils eigene Ethernet-Ports zugewiesen bekommen

Intranet 1 und 2 sollen untereinander kommunizieren (nur bestimmte Dienste, ist in der Firewall eingeschränkt)
Das Mitarbeiter-Wlan soll nur Zugriff ins Internet haben, es soll gar kein Datenverkehr möglich sein in Intranet 1 und 2.
Aus Intranet 1 und 2 möchte ich auf das Mitarbeiter-Wlan zugreifen können, um die Accesspoints zu warten.

Das ganze habe ich soweit konfiguriert und kann vom Mitarbeiter-Wlan keine Station der anderen Netze erreichen, anders herum klappt es wie geplant. In der Firewall sehe ich dabei keine blockierten Pakete. Kommen diese durch den Schnittstellentag gar nicht erst so weit?

Zur Konfiguration der Firewall habe ich noch eine Frage:
Wenn ich Regeln mit dem Stationsobjekt "Localnet" (alle lokalen Netzwerke) erstelle, gelten diese für alle 3 Netzwerke. Beispielsweise "Allow_Https" für den Internetzugriff. Dabei bleiben meine 3 Netze aber sauber getrennt, oder?

Vielen Dank für die Hilfe
Christoph

[backslash]

Hi christophhb,

Kommen diese durch den Schnittstellentag gar nicht erst so weit?

nein... Durch das Tag findet der Router für Pakete aus dem Gastnetz die Netze Internet 1 und 2 erst gar nicht und leitet Pakete an Adressen in diesen Netzen je nachdem wie deine Routing-Tabelle aussieht entweder auf die Sperrrouten für die privaten Netze oder gleich ins Internet... Pakete die erlaubt werden (und das werden sie, selbst wenn sie auf eine Sperroute rennen), werden vom Firewall-Trace aber nicht geloggt...

BTW: das ist auch der Grund, weshalb man die Sperropute auch nicht löschen bzw. ab der 10.12 explizit wieder einschalten sollte (denn sonst landen die Pakete beim Internetprovider). Leider hat sich Bequemlichkeit durchgesetzt und die Sperrrouten wurden ab der 10.12 in der Default-Konfiguration deaktiviert (immerhin sind sie noch da...)

Wenn ich Regeln mit dem Stationsobjekt "Localnet" (alle lokalen Netzwerke) erstelle, gelten diese für alle 3 Netzwerke. Beispielsweise "Allow_Https" für den Internetzugriff. Dabei bleiben meine 3 Netze aber sauber getrennt, oder?

ja, es sei denn du würdest in der Regel das Routing-Tag umsetzen... (ein Tag 0 in der Regel bedeutet, daß ein etwaig vorhandnese Tag - in deinem Fall das des Gastnetzes - unverändert bleibt)

Gruß
Backslash

[christophhb]

Hallo Backslash,
vielen Dank für die Antwort zum Verständnis. Der Tip mit der 10er Firmware und der Routingtabelle ist auch ganz gut, da ich auf einen 1900EF umsteigen wollte. In der jetzigen Konfiguration sind die Sperrouten natürlich aktiv.

Viele Grüße
Christoph

[christophhb]

Hallo,
ich würde die Abgrenzung gerne erweitern und habe noch eine Frage dazu:
Ich richte ein zusätzliches Verwaltungsnetzwerk ein, welches von den anderen nicht erreichbar sein soll. Aus diesem möchte ich aber andere Netzwerke erreichen. Die neue Nummerierung sieht dann so aus:

Verwaltung > Schnittstellentag 0
Intranet 1 > Schnittstellentag 1
Intranet 2 > Schnittstellentag 1
Gast/Wlan > Schnittstellentag 2

Dann kann ich alle anderen vom Verwaltung aus erreichen, das Verwaltung ist für die anderen aber nicht erreichbar.
Intranet 1&2 können entsprechend der Firewallregeln aufeinander zugreifen und Gast/Wlan sind von allen anderen separiert.

Passt das so?
Und wie kann ich den Zugriff auf die Lancom Verwaltung auf das Verwaltungsnetzwerk beschränken?

Viele Grüße
Christoph

[backslash]

Hi christophhb,

Passt das so?

ja, denn das ist letztendlich das gleiche wie dein ursprüngliches Setup - nur daß Intranet 1 und Intranet 2 nur noch sich selbst sehen und sonst nichts mehr - aber das war ja gewollt, denn die Aufgabe alles zu sehen übernimmt ja jetzt das Verwaltung-Netzwerk...

Und wie kann ich den Zugriff auf die Lancom Verwaltung auf das Verwaltungsnetzwerk beschränken?

Indem du das Verwaltungsnetz unter Admin -> Zugriffseinstellungen -> Zugriffs-Sationen (für IPv4) eintägst. Aber Achtung: stelle vorher sicher, daß du ggf. noch per serieller Konsole auf das Gerät kommst, denn wenn du dich hier vertippst, hast du dich ganz schnell ausgeschlossen...

Für IPv6 hingegen mußt du in der Firewall die Inbound-Regel "ALLOW-CONFIG-LOCALNET" passend einschränken.

Gruß
Backslash

[christophhb]

Hallo backslah,
vielen Dank so hatte ich mir das gedacht - eine Frage noch: ich habe 2 internetverbindungen und über Routingtags (0+1) diese fest zugeordnet. Ich meine die Schnittstellentags werden auch als Routingtags aktiv. Das ist bei mir aber eigentlich nicht erwünscht. Muss ich nun die Routingtabelle und Firewallregeln entsprechend anpassen? Oder kann ich das eleganter regeln?

[backslash]

Hi christophhb,

eine Frage noch: ich habe 2 internetverbindungen und über Routingtags (0+1) diese fest zugeordnet. Ich meine die Schnittstellentags werden auch als Routingtags aktiv.

Dann gehen jetzt Verwaltungsnetz und Gast/Wlan in die Internetverbindung, auf die die mit 0 getaggte Route zeigt, Intranet 1 und Interanet 2 nutzen nun die Internetverbindung, auf die die mit 1 getaggte Route zeigt...

Es gilt allgemein: Wenn es eine Route mit dem gleichen Tag wie dem Schnittstellen-Tag gibt, so wird diese genutzt. Gibt es keine Route mit dem gleichen Tag wird die Route mit Tag 0 genutzt.

Das ist bei mir aber eigentlich nicht erwünscht

warum hast du es dann konfiguriert?

Muss ich nun die Routingtabelle und Firewallregeln entsprechend anpassen? Oder kann ich das eleganter regeln?

ja, aber was du wie ändern mußt, hängt davon ab, was du willst... Die Firewall brauhst du aber nicht ändern...

z.B. sollen alle Netze über eine Internetverbinung gehen, dann lösche einfach die Route mit Tag 1...

Sollen Intranet 1 und Intranet 2 auf der einen Seite und Gast/Wlan auf der andreen Seite über getrennte Verbindungen gehen, dann kannst du es entweder so lassen, oder eine Route mit dem Tag 2 anlegen - die wird dann exklusiv von Gast/Wlan genutzt. Intranet 1 und Intranet 2 gehen dann weiterhin über die Route mit Tag 1 und das Verwaltungsnetz geht über die Route Tag 0 ins Internet


Gruß
Backslash

[christophhb]

Hallo backslash,
die Schnittstellentags habe ich zur sauberen Trennung der Netze eingerichtet, das möchte ich auch so lassen.

Da ich Routen mit Tag 0 und 1 habe, ist es einfacher die Schnittstellentags anzupassen und neben der Verwaltung mit 0 die Intranet Netzwerke und Gast Wlan auf die Tags 3+4 zu ändern.
Wenn dann die Routen aus der Firewall anhand der Tags dort (0+1) genommen werden, passt alles.

Wir haben die Internetverbindungen (Glasfaser und VDSL) nach Diensten aufgeteilt. z.B. Telefonie, VPN,... über Glasfaser und Web, Email,.. über VDSL

Dankeschön und Grüße
Christoph

[Elster-Medien]

Hallo,

ich habe mich für die selbe Lösung entschieden (Regelung per Schnittstellen-Tag).
Es gelingt mir jedoch nicht, dass die beiden als Intranet angelegten IP-Netzwerke nicht miteinander kommunizieren können.
Lan1 hat den Schnittstellen-Tag 0 und die Schnittstellen-Zuordnung LAN-1.
Lan2 hat den Schnittstellen-Tag 1 und die Schnittstellen-Zuordnung LAN-1.

Der Firewall habe ich eine Erlauben-Regel für alle Geräte im lokalen Netzwerk hinzugefügt.
Es bringt alles nicht den Erfolg. Ich kann von Netzwerk 1 keine IP-Adresse aus Netzwerk 2 erreichen.

Wo könnte nur der Fehler liegen?

[backslash]

Hi Elster-Medien

also irgendwie widersprichst du dir selbst...

Es gelingt mir jedoch nicht, dass die beiden als Intranet angelegten IP-Netzwerke nicht miteinander kommunizieren können.

Ich kann von Netzwerk 1 keine IP-Adresse aus Netzwerk 2 erreichen.

einmal sagst du, du würdest es NICHT schaffen, daß die Netze NICHT miteinander kommunizieren
und dann sagts du daß die Netze doch NICHT kommunizieren könnten...

Lan1 hat den Schnittstellen-Tag 0 und die Schnittstellen-Zuordnung LAN-1.
Lan2 hat den Schnittstellen-Tag 1 und die Schnittstellen-Zuordnung LAN-1.

aber unabhgängig davon: so wie du es beschrieben hast, mußt du aus Lan1 ALLE Hosts aus Lan2 erreichen, denn Lan1 hat das Tag 0 und kann somit ALLE Netze sehen, also auch Lan2
umgekehrt kannst du aus Lan2 KEINEN Host aus Lan1 erreichen, denn Lan2 hat das Tag 1 und kann somit NUR Netze mit Tag 1 sehen, also NICHT Lan1.

Wo könnte nur der Fehler liegen?

hasst du auch in den allen Host das LANCOM (mit seiner jeweils Korrekten Adresse) als Default-Gateway eingetragen?

Gruß
Backslash

[Elster-Medien]

Danke für die Antwort.

Ich habe die Gateway-Adresse wie gewohnt in allen Endgeräten gesetzt.
Also für das Netz 192.168.1.0 die 192.168.1.1 und die 192.168.3.1 für das zweite Netz.
Der Internetzugang funktioniert erwartungsgemäß.
Nur eben nicht der Zugriff vom Netzwerk mit dem Schnittstellen-Tag 0 auf das Netzwerk mit dem Tag 1.
Es handelt sich übrigens um einen neuen Lancom 1640E.

Ich denke, dass es nur eine kleine Einstellung irgendwo sein wird, die ich übersehen habe.

[backslash]

Hi Elster-Medien,

Ich denke, dass es nur eine kleine Einstellung irgendwo sein wird, die ich übersehen habe.

also wenn du keine Deny-All-Regel in der Firewall hast, muß das auf Anhieb funktionieren. Wenn du eine Deny-All-Regel hast, dann brauchts du natürlich auch noch Regeln, die den zulässigen Traffic erlauben - in dem Fall kann du dir dann aber auch das mit den Routing-Tags fast schon sparen (weil du dann eh alles einzeln über die Regeln freigeben mußt).

Auf dem CLI läßt sich das aber einfach mittels des ip-router-Traces prüfen: Trace einschalten und dann aus Lan1 einen Host in Lan2 anpingen - und dabei darauf achten, daß entweder niemand gleichzeitig im Internet surft oder der Trace auf die IP den Hosts in Lan2 filtern:

Code: Alles auswählen

trace # ip-router @ 192.168.3.x

(x passend zur Adresse des Hosts in Lan2 setzen)

Gruß
Backslash

[PappaBaer]

Moin,

wie genau testest Du denn das Routing zwischen den Subnetzen? Mit einem Ping? Windows-Clients? Dann schalte da mal testweise die Software-Firewalls aus (die Windows interne oder eine vom Drittanbieter, je nachdem, was Du da hast).

Grüße,
Torsten

[Elster-Medien]

Hallo,

ich bin erst heute wieder dazu gekommen im Netzwerk die offene Fragen zu klären.
Aus dem Netzwerk (Tag0) kann ich per Ping die Geräte aus dem Netzwerk (Tag1) erreichen.
Auf das Web-Interface der jeweiligen Geräte komme ich jedoch nicht.
Es scheint also was mit der Firewall des Lancom zu tun zu haben.
Ich habe eine Accept-Regel für alle Geräte des lokalenNetzes an alle Geräte des lokalen Netzes für alle Dienste angelegt.
Es funktioniert aber nicht.
Wie müsste denn eine Regel aussehen, damit man per Schnittstelentag netzübergreifend über http(s) auf Geräte im Netzwerk zugreifen kann?

[backslash]

Hi Elster-Medien

Wie müsste denn eine Regel aussehen, damit man per Schnittstelentag netzübergreifend über http(s) auf Geräte im Netzwerk zugreifen kann?

wenn du mit Schnistellen-Tags arbeitest, baruchst du keine Regel, um den Zugriff zu erlauben. Das ist ja der Sinn des ARF...

Ansonten:

Code: Alles auswählen

Aktion:      übertragen
Routing-Tag: Tag von LAN2 
Quelle:      alle Stationen im lokalen Netzwerk LAN1
Ziel:        alle Stationen im lokalen Netzwerk LAN2
Dienste:     alle Dienste

ich denke aber eher, daß du auf den Geräten in LAN2 noch eine eigene Firewall laufen hast, die Zugriffe aus entfernen Netzen verbietet - das ist z.B. bei NAS-Geräten fast immer der Fall...

Gruß
Backslash