Hallo,
Ich möchte einen Lancom als Firewall im selben IP Netz einrichten.
D.h. der Lancom ist nicht das Gateway in dem Netz und routet "eigentlich" auch nicht.
Ich dachte daran, den Lancom quasi in den Uplink zu schleifen und ihn als Paket-Filter im wörtlichen Sinne zu verwenden.
Eine Art Switch mit Firewall.
Vorher: 50 Client <---> Switch <---> Switch <---> 310 Clients
Ziel : 50 Client <---> Switch <---> Lancom <---> Switch <---> 310 Clients
Wie geschreiben, alles ein Netz. 10.1.X.X
Der Thread http://www.lancom-forum.de/lhtopic,5132,0,0,asc,.html beschreibt wo etwas ähnliches.
Mein Ziel entspricht dem zweiten Vorschlag von backslash mit dem seperaten Ethernetstrang.
Ich versuche es mit ARF.
IP-Netz LEFTNET Intranet,LAN-1 Private Mode. Schnittstellen-Tag 1
IP-Netz RIGHTNET Intranet,LAN-2 Private Mode. Schnittstellen-Tag 2
Wie gesagt selbes IP-Netzwerk, aber das geht ja mit ARF
Firewall Allow LEFTNET->RIGHTNET Routing Tag 3
Firewall Allow RIGHTNET -> LEFTNET Routing Tag 4
Nach meinen Verständnis brauch man jetzt keine Route und auch keine Defaultroute, weil bei ARF sich die Netze ja im Lancom untereinander sehen können, da entscheidet m.E. nur die Firewall. Also habe ich alle Routen gelöscht.
Haut aber so nicht hin. Da geht nicht ein Paket durch.
Nochmal der Hinweis: Kein Client Links oder Rechts hat den Lancom als Standardgateway eingetragen.
Korrektur: Nachdem ich mir nochmal die ARP-Protokolle reingezogen haben, sehe ich ein, das das ohne Gateway nicht gehen kann.
Mit zwei Lancoms und einem Transfernetz habe ich es so
http://www2.lancom.de/kb.nsf/1275/DD8A7 ... enDocument
schon hinbekommen. Aber mittels ARF muss das doch auch mit einem lancom gehen.
Vielleicht hat ja jemand einen Tip.
Grüße
aphily
Edit: Weitere Details zur Config eingefügt
Edit: Weitere Gedanken eingefügt
Edit: Noch mehr Gedanken eingefügt
Firewall im selben IP-Netz an zentraler Stelle
Moderator: Lancom-Systems Moderatoren
Name für das Ding
Hallo,
Ich habe jetzt auch einen Namen gefunden, für das was ich da machen will:
Transparent, In-Line, Shadow, Stealth or Bridging Firewall
Ohne Werbung für Symantec machen zu wollen
http://www.symantec.com/connect/article ... ll-devices
Ja, ist mir klar, das ein Lancom das nicht auf Layer-2 macht, aber mir gehst um die Funktion. Lancom ist Firewall aber nicht der "Haupt"-Router
Wie gesagt mit zwei Lancoms geht das auch, nur wie schafft man das mit einem Lancom?
Grüße
Kai
Ich habe jetzt auch einen Namen gefunden, für das was ich da machen will:
Transparent, In-Line, Shadow, Stealth or Bridging Firewall
Ohne Werbung für Symantec machen zu wollen
http://www.symantec.com/connect/article ... ll-devices
Ja, ist mir klar, das ein Lancom das nicht auf Layer-2 macht, aber mir gehst um die Funktion. Lancom ist Firewall aber nicht der "Haupt"-Router
Wie gesagt mit zwei Lancoms geht das auch, nur wie schafft man das mit einem Lancom?
Grüße
Kai
Hi aphily
das wird überhaupt nicht gehen, denn das LANCOM müßte ja, da auf beiden Seitebn das gleiche Netz steht auch jeweils ein Proxy-ARP auf beiden Seiten für das jeweils komplette Netz machen, denn es weiss ja nicht, welche IPs des Netzes sich auf welcher Seite befinden... Das würde nur zu einem extremen Chaos führen...
Abgesehen davon funktiuniert Proxy-ARP auf dem LANCOM nur, wenn zwischen einem LAN- und einem WAN-Interface geroutet wird...
Gruß
Backslash
das wird überhaupt nicht gehen, denn das LANCOM müßte ja, da auf beiden Seitebn das gleiche Netz steht auch jeweils ein Proxy-ARP auf beiden Seiten für das jeweils komplette Netz machen, denn es weiss ja nicht, welche IPs des Netzes sich auf welcher Seite befinden... Das würde nur zu einem extremen Chaos führen...
Abgesehen davon funktiuniert Proxy-ARP auf dem LANCOM nur, wenn zwischen einem LAN- und einem WAN-Interface geroutet wird...
Gruß
Backslash
Hallo backslash,
Danke für die Antwort.
Der Lancom Config-Service meint auch, das dies mit einem Lancom nicht zu realisieren ist. Hauptunkt war, das auch mit ARF nicht zwischen zwei gleichen Netzen geroutet werden kann. Hätte gedacht das geht, wenn die auf verschiedenen Interfaces liegen oder halt getaggt sind.
Ich habe das nun mit pfsense gemacht.
Dort habe ich zwei Interfaces als Bridge definiert, das ganz in den Uplink geschleift und dann ganz normal die Firewallregeln definiert.
Kleines Plus dabei: Die Firewall hat als Bridge nicht mal mehr eine IP und ist "unsichtbar" im Netz. Gemanaget wird das dann über eine anderes nicht gebridgtes Interface.
Grüße
Kai
Danke für die Antwort.
Der Lancom Config-Service meint auch, das dies mit einem Lancom nicht zu realisieren ist. Hauptunkt war, das auch mit ARF nicht zwischen zwei gleichen Netzen geroutet werden kann. Hätte gedacht das geht, wenn die auf verschiedenen Interfaces liegen oder halt getaggt sind.
Ich habe das nun mit pfsense gemacht.
Dort habe ich zwei Interfaces als Bridge definiert, das ganz in den Uplink geschleift und dann ganz normal die Firewallregeln definiert.
Kleines Plus dabei: Die Firewall hat als Bridge nicht mal mehr eine IP und ist "unsichtbar" im Netz. Gemanaget wird das dann über eine anderes nicht gebridgtes Interface.
Grüße
Kai