Hallo,
gibt es einen Weg die Kommunikation zwischen den LAN-Port an einem LANCOM 1721 mit Firmware >7.2 so einzurichten dass nur manche Rechner zwischen diesen Ports miteinander kommunizieren konnen und andere nur das Internet nutzen können?
Hintergrund:
In einem Netzwerk existieren viele Rechner die an einem Switch haenger der mit LAN-Port1 des LANCOM Routers verbunden ist und über diesen das Internet nutzen.
An LAN-Port2 des LANCOM Routers ist ein einfacher Access-Point (nicht LANCOM) angeschlossen und stellt WLAN bereit. Diesen Accesspoint verwenden 3 Notebooks um mit den anderen Rechnern Daten auszutauschen.
Nun kommen hin und wieder auch weitere Notebook die das WLAN mitbenutzen sollen aber eben nicht mit den anderen LAN Rechnern reden sollen.
Kann man die Komminikation zwischen LAN-Port1 und LAN-Port2 am Router so einrichten, dass Notebook 1-3 auch Zugriff auf die anderen Rechner am Netzwerkswitch haben und Notebook 4-6 nur Internet verwenden können?
Ist dies irgendwie realisierbar?
Filterung zwischen LANPORTS LANCOM 1721
Moderator: Lancom-Systems Moderatoren
Hallo theroot,
im Prinzip könnte man das sauber mit VLAN lösen, aber da Du schreibst einfacher Access-Point nehme ich nicht an, dass der VLAN kann. Mit einem LANCOM-AP ständen einem natürlich alle Möglichkeiten offen.
Aber auch ohne sollte es eine Lösung geben: Den LAN-Port2 (ETH 2) auf eine andere Interface-Verwendung setzen (z. B. LAN-2) und Datenübertragung zwischen diesem Switch-Port und den anderen unterbinden (Private Mode). Dann ein neues IP-Netzwerk definieren (Name z. B. WLANNETZ), mit der Schnittstellen-Zuordnung LAN-2 und einem Schnittstellen-Tag ungleich dem des Intranets, z. B. 2. Den Schnittstellen-Tag des Intranets auf 1 setzen (sofern der nicht schon anderweitig vergeben ist). Dann DHCP für das neue WLANNETZ einrichten. Dann sollte erst mal alles gehen, wenn ich jetzt nichts vergessen habe. Nun kannst Du mit der Firewall mit einer entsprechenden Regel den Zugriff vom WLANNETZ ins INTRANET erlauben (Quelle: Backslash):
Wenn Du Netze mit unterschiedlichen Interface-Tags gegenseitig sichtbar machen willst, dann mußt du das über eine Firewall-Regel erlauben:
Das bedeutet also:
Viele Grüße,
Jirka
im Prinzip könnte man das sauber mit VLAN lösen, aber da Du schreibst einfacher Access-Point nehme ich nicht an, dass der VLAN kann. Mit einem LANCOM-AP ständen einem natürlich alle Möglichkeiten offen.
Aber auch ohne sollte es eine Lösung geben: Den LAN-Port2 (ETH 2) auf eine andere Interface-Verwendung setzen (z. B. LAN-2) und Datenübertragung zwischen diesem Switch-Port und den anderen unterbinden (Private Mode). Dann ein neues IP-Netzwerk definieren (Name z. B. WLANNETZ), mit der Schnittstellen-Zuordnung LAN-2 und einem Schnittstellen-Tag ungleich dem des Intranets, z. B. 2. Den Schnittstellen-Tag des Intranets auf 1 setzen (sofern der nicht schon anderweitig vergeben ist). Dann DHCP für das neue WLANNETZ einrichten. Dann sollte erst mal alles gehen, wenn ich jetzt nichts vergessen habe. Nun kannst Du mit der Firewall mit einer entsprechenden Regel den Zugriff vom WLANNETZ ins INTRANET erlauben (Quelle: Backslash):
Wenn Du Netze mit unterschiedlichen Interface-Tags gegenseitig sichtbar machen willst, dann mußt du das über eine Firewall-Regel erlauben:
Code: Alles auswählen
Quelle: Adressen aus Netz 1, die Zugriff haben sollen
Ziel: Adressen aus Netz 2, auf die zugegriffen werden soll
Aktion: übertragen
Rtg-Tag: Interface-Tag des Netzes 2Code: Alles auswählen
Quelle: Adressen aus dem WLANNETZ, die Zugriff haben sollen
Ziel: Adressen aus dem INTRANET, auf die zugegriffen werden soll
Aktion: übertragen
Rtg-Tag: Interface-Tag des INTRANET, also 1Jirka
Hallo Jirka,
Dank für den Hinweis.
Ich habe es mal versucht, aber leider will es nicht recht funktionieren.
Folgendes gabe ich eingestellt:
LAN1 auf Schnittstellen 1&2
LAN2 auf Schnittstellen 3&4
IP-Netzwerke
DMZ 0.0.0.0 255.255.255.0 DMZ 0 Beliebig Flexibel 0 demilitarized zone
INTRANET 192.168.1.254 255.255.255.0 Intranet 0 LAN-1 Flexibel 1 local intranet
INTRANET2 192.168.2.254 255.255.255.0 Intranet 0 LAN-2 Flexibel 2
DHCP
INTRANET Ein Aus 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Aus Aus
DMZ Aus Aus 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Aus Aus
INTRANET2 Ein Aus 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Aus Aus
Firewall
ALLOW2 ANY ALLOW20 ALLOW21 %Lcds0 %A ja 0 ja nein ja 2
ALLOW1 ANY ALLOW10 ALLOW11 %Lcds0 %A ja 0 ja nein ja 1
ALLOW20 %A192.168.1.0 %M255.255.255.0 %A192.168.2.0 %M255.255.255.0
ALLOW21 %A192.168.1.0 %M255.255.255.0 %A192.168.2.0 %M255.255.255.255
ALLOW10 %A192.168.1.0 %M255.255.255.0 %A192.168.2.0 %M255.255.255.0
ALLOW11 %A192.168.1.0 %M255.255.255.0 %A192.168.2.0 %M255.255.255.255
LAN1 und LAN2 können jeweils aufs Internet zugreifen aber sehen sich nicht gegenseitig.
Sicherlich muss noch etwas zusaetzlich eingestellt werden - nur was?
Vielen Dank im voraus und Euch allen ein schoenes Osterfest!
Gruss
theroot
Dank für den Hinweis.
Ich habe es mal versucht, aber leider will es nicht recht funktionieren.
Folgendes gabe ich eingestellt:
LAN1 auf Schnittstellen 1&2
LAN2 auf Schnittstellen 3&4
IP-Netzwerke
DMZ 0.0.0.0 255.255.255.0 DMZ 0 Beliebig Flexibel 0 demilitarized zone
INTRANET 192.168.1.254 255.255.255.0 Intranet 0 LAN-1 Flexibel 1 local intranet
INTRANET2 192.168.2.254 255.255.255.0 Intranet 0 LAN-2 Flexibel 2
DHCP
INTRANET Ein Aus 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Aus Aus
DMZ Aus Aus 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Aus Aus
INTRANET2 Ein Aus 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Aus Aus
Firewall
ALLOW2 ANY ALLOW20 ALLOW21 %Lcds0 %A ja 0 ja nein ja 2
ALLOW1 ANY ALLOW10 ALLOW11 %Lcds0 %A ja 0 ja nein ja 1
ALLOW20 %A192.168.1.0 %M255.255.255.0 %A192.168.2.0 %M255.255.255.0
ALLOW21 %A192.168.1.0 %M255.255.255.0 %A192.168.2.0 %M255.255.255.255
ALLOW10 %A192.168.1.0 %M255.255.255.0 %A192.168.2.0 %M255.255.255.0
ALLOW11 %A192.168.1.0 %M255.255.255.0 %A192.168.2.0 %M255.255.255.255
LAN1 und LAN2 können jeweils aufs Internet zugreifen aber sehen sich nicht gegenseitig.
Sicherlich muss noch etwas zusaetzlich eingestellt werden - nur was?
Vielen Dank im voraus und Euch allen ein schoenes Osterfest!
Gruss
theroot
Hallo theroot,
in der Form in der Du die Firewall-Regel angegeben hast, verstehe ich sie nicht.
Des weiteren hast Du im ersten Posting nichts davon geschrieben gehabt, dass vom INTRANET auf Wlannetz/INTRANET2 zugegriffen werden soll. Nur umgekehrt und da auch nur für bestimmte Rechner und nicht für alle (Deine Regeln erlauben anscheinend für alle Rechner alles).
Deine Regeln ergeben irgendwie auch keinen Sinn. Wie es aussieht, ist das Quellnetz nicht ordentlich definiert. Angenommen, der Rechner mit IP 192.168.2.10 soll auf 192.168.1.10 zugreifen können, dann treffen bei Dir beide Regeln zu und somit ist die Sache mit dem zugewiesenen Routing-Tag wohl nicht eindeutig. Lege die Regeln einfach so an, wie oben beschrieben und dann gebe sie in dieser übersichtlichen Form hier an.
Viele Grüße,
Jirka
in der Form in der Du die Firewall-Regel angegeben hast, verstehe ich sie nicht.
Des weiteren hast Du im ersten Posting nichts davon geschrieben gehabt, dass vom INTRANET auf Wlannetz/INTRANET2 zugegriffen werden soll. Nur umgekehrt und da auch nur für bestimmte Rechner und nicht für alle (Deine Regeln erlauben anscheinend für alle Rechner alles).
Deine Regeln ergeben irgendwie auch keinen Sinn. Wie es aussieht, ist das Quellnetz nicht ordentlich definiert. Angenommen, der Rechner mit IP 192.168.2.10 soll auf 192.168.1.10 zugreifen können, dann treffen bei Dir beide Regeln zu und somit ist die Sache mit dem zugewiesenen Routing-Tag wohl nicht eindeutig. Lege die Regeln einfach so an, wie oben beschrieben und dann gebe sie in dieser übersichtlichen Form hier an.
Viele Grüße,
Jirka
Hi theroot
Um die fremden von den zulässigen Notebooks unterscheiden zu können, brauchst du wohl oder über einen zweiten AP... oder aber du gibst den erlaubten Notebooks feste IP-Adressen, für die du den Zugriff ins Intranet in der Firewall erlaubst:
Wenn auch aus dem Intranet auf die Notebooks zugegriffen werden soll, dann mußt du auch noch die spiegelbildliche Regel erstellen, also
Das Problem dabei ist aber, daß IP-Adressen nunmal fälschbar sind... Ach ja: auch wenn du statt der IP-Adressen der erlaubten Notebooks deren MAC-Adresse nimmst, bist du nicht sicherer, denn auch MAC-Adressen sind fälschbar.
Die einzig sichere Möglichkeit ist als AP ein LANCOM zu nehmen oder einen zweiten "NoName" AP an ein eigenen LAN-Port zu klemmen...
Gruß
Backslash
ich dachte, das wäre genau das, was du haben wolltest:LAN1 und LAN2 können jeweils aufs Internet zugreifen aber sehen sich nicht gegenseitig.
nun ja, fast... wäre da halt nicht die andere Anforderung:Nun kommen hin und wieder auch weitere Notebook die das WLAN mitbenutzen sollen aber eben nicht mit den anderen LAN Rechnern reden sollen.
Das Problem ist ja, daß du die "fremden" Notebooks nicht wirklich von erlaubten unterscheiden kannst. Wäre der AP ein LANCOM, dann könntest du dort verschiedene SSIDs einrichten für die erlaubten und die fremden APs. Diese SSIDs könntest du auf verschiede VLANs legen, so wie Jirka es ja gesagt hat...An LAN-Port2 des LANCOM Routers ist ein einfacher Access-Point (nicht LANCOM) angeschlossen und stellt WLAN bereit. Diesen Accesspoint verwenden 3 Notebooks um mit den anderen Rechnern Daten auszutauschen.
Um die fremden von den zulässigen Notebooks unterscheiden zu können, brauchst du wohl oder über einen zweiten AP... oder aber du gibst den erlaubten Notebooks feste IP-Adressen, für die du den Zugriff ins Intranet in der Firewall erlaubst:
Code: Alles auswählen
Quelle: IP-Adressen der erlaubten Notebooks
Ziel: lokales Netzwerk INTRANET
Aktion: übertragen
Rtg-Tag: Tag des Intranets (hier also 1)Code: Alles auswählen
Quelle: lokales Netzwerk INTRANET
Ziel: IP-Adressen der erlaubten Notebooks
Aktion: übertragen
Rtg-Tag: Tag des WLAN-Netzes (hier also 2)Die einzig sichere Möglichkeit ist als AP ein LANCOM zu nehmen oder einen zweiten "NoName" AP an ein eigenen LAN-Port zu klemmen...
Gruß
Backslash
Hallo Jirka,
Hallo backslash,
Dank für euere Antworten.
ich habe meine Firewallregeln nochmal überprueft und nun funktioniert es auch so wie Jirka es geschrieben hat. Ich hatte etwas falsch eingetragen - Sorry.
Also 2 LANs eines für die Kabelrechner und eines für das WLAN mit unterschiedlichen Tags einrichten.
Dann mittels Firewallregeln nach IP oder MAC einseitigen oder gegenseitigen Zugriff für die Firmeninternen Notebooks zulassen. Dabei wieder die Tag nicht vergessen!
Dann können die Fremdnotebooks nur mit dem Internet kommunizieren und die Firmeninternen auch mit den anderen Rechnern. Unterscheiden kann ich diese natuerlich nur via IP oder MAC. Da die Notebooks auch an anderen Standorten funktionieren muessen bleibt nur der MAC-Filter des Routers.
Das ganze funktioniert auch in beider Richtungen - bei Bedarf.
Problem ist nur, dass das WLAN-Netzwerk einen anderen IP bereich haben muss.
Ich hatte ganz vergessen das da noch andere WLAN Geraete (Drucker) mit drin sind, deren IPs ich nicht ändern kann bzw. darf.
Geht das eigendlich auch wenn alles im gleichen IP bereich liegt?
Ich habe auch das versucht - also Kabellan und WLAN im gleichen IP Bereich mit unterschiedlichen DHCP-Bereichen - das geht aber nicht. Wird wohl daran liegen, dass bei gleichem IPBereich/Subnet der Router nicht gefragt wird oder?
Vielleicht muss ich den Chef doch noch ueberrede das wir einen LANCOM-AP brauchen
Dank und Gruss
theroot
Hallo backslash,
Dank für euere Antworten.
ich habe meine Firewallregeln nochmal überprueft und nun funktioniert es auch so wie Jirka es geschrieben hat. Ich hatte etwas falsch eingetragen - Sorry.
Also 2 LANs eines für die Kabelrechner und eines für das WLAN mit unterschiedlichen Tags einrichten.
Dann mittels Firewallregeln nach IP oder MAC einseitigen oder gegenseitigen Zugriff für die Firmeninternen Notebooks zulassen. Dabei wieder die Tag nicht vergessen!
Dann können die Fremdnotebooks nur mit dem Internet kommunizieren und die Firmeninternen auch mit den anderen Rechnern. Unterscheiden kann ich diese natuerlich nur via IP oder MAC. Da die Notebooks auch an anderen Standorten funktionieren muessen bleibt nur der MAC-Filter des Routers.
Das ganze funktioniert auch in beider Richtungen - bei Bedarf.
Problem ist nur, dass das WLAN-Netzwerk einen anderen IP bereich haben muss.
Ich hatte ganz vergessen das da noch andere WLAN Geraete (Drucker) mit drin sind, deren IPs ich nicht ändern kann bzw. darf.
Geht das eigendlich auch wenn alles im gleichen IP bereich liegt?
Ich habe auch das versucht - also Kabellan und WLAN im gleichen IP Bereich mit unterschiedlichen DHCP-Bereichen - das geht aber nicht. Wird wohl daran liegen, dass bei gleichem IPBereich/Subnet der Router nicht gefragt wird oder?
Vielleicht muss ich den Chef doch noch ueberrede das wir einen LANCOM-AP brauchen
Dank und Gruss
theroot
Hi theroot
Gruß
Backslash
kurz und knapp: nein, da in diesem Fall die Daten ja nicht über den Router geschickt werden sondern direkt an die jeweilige ARP aufgelöste MAC-Adresse... (und ARP-Requests gehen nunmal NICHT durch einen Router)Geht das eigendlich auch wenn alles im gleichen IP bereich liegt?
Gruß
Backslash