Hallo liebes Forum,
ist es möglich, dass ich per Firewall Regel einzelne IPs aus meinem Netzwerk so beschneide, dass sie nur auf die Gegenstelle T-Online zugreifen können, also ins Internet kommen, aber auf keinen Fall auf eine andere IP des lokalen Netzwerks?
Vielen Dank!
Firewall Zugriff von IPs nur auf Internet
Moderator: Lancom-Systems Moderatoren
-
Dr.Einstein
- Beiträge: 3225
- Registriert: 12 Jan 2010, 14:10
Re: Firewall Zugriff von IPs nur auf Internet
Hi HerrHS,
bedenke OSI Schicht 2 und 3. Im lokalen Netzwerk läuft die primäre Kommunikation auf Schicht 2 ab, d.h. der Router kommt bei diesen Datenaustauschen nicht zum tragen. Erst wenn der Router routen muss, also von LAN zu WAN (Internet), oder von LAN Segment 1 zu LAN Segment 2. Wenn du den 2. Fall hast, also zwei verschiedene LANs, lässt sich das simpel über Firewallregeln oder Routing Tags realisieren. (Deny LAN1 -> LAN2, Deny LAN2 -> LAN1 oder LAN1 = rtg Tag 1, LAN2 = rtg Tag 2).
Gruß Dr.Einstein
bedenke OSI Schicht 2 und 3. Im lokalen Netzwerk läuft die primäre Kommunikation auf Schicht 2 ab, d.h. der Router kommt bei diesen Datenaustauschen nicht zum tragen. Erst wenn der Router routen muss, also von LAN zu WAN (Internet), oder von LAN Segment 1 zu LAN Segment 2. Wenn du den 2. Fall hast, also zwei verschiedene LANs, lässt sich das simpel über Firewallregeln oder Routing Tags realisieren. (Deny LAN1 -> LAN2, Deny LAN2 -> LAN1 oder LAN1 = rtg Tag 1, LAN2 = rtg Tag 2).
Gruß Dr.Einstein
Re: Firewall Zugriff von IPs nur auf Internet
Ok, danke für den Hinweis. Nee, habe nicht zwei verschiedene Lans.
Es ist so: Im Keller steht ein Lancom Router und der geht bei Lan 1 hoch in den 1. Stock, dort ist ein Lancom WLAN AP über den alle ins WLAN kommen.
Hatte schonmal probiert, das irgendwie zu trennen. Aber ich steige da nicht so richtig durch. Werde nochmal diesbezüglich googlen.
Es ist so: Im Keller steht ein Lancom Router und der geht bei Lan 1 hoch in den 1. Stock, dort ist ein Lancom WLAN AP über den alle ins WLAN kommen.
Hatte schonmal probiert, das irgendwie zu trennen. Aber ich steige da nicht so richtig durch. Werde nochmal diesbezüglich googlen.
-
Dr.Einstein
- Beiträge: 3225
- Registriert: 12 Jan 2010, 14:10
Re: Firewall Zugriff von IPs nur auf Internet
Vielleicht reicht dir schon folgendes:
WLAN -> Allgemein -> Logische WLAN Einstellungen -> WLAN-X -> Datenverkehr zulassen zwischen den Stationen -> nein
Gruß Dr.Einstein
WLAN -> Allgemein -> Logische WLAN Einstellungen -> WLAN-X -> Datenverkehr zulassen zwischen den Stationen -> nein
Gruß Dr.Einstein
Re: Firewall Zugriff von IPs nur auf Internet
Vielen Dank für die Idee, aber das hilft nicht.
Ich möchte z.B. verhindern, dass die Nutzer des logischen Wlans WLAN2 nur aufs Internet, nicht aber auf das NAS zugreifen können, welches ja per LAN angeschlossen ist.
Ich möchte z.B. verhindern, dass die Nutzer des logischen Wlans WLAN2 nur aufs Internet, nicht aber auf das NAS zugreifen können, welches ja per LAN angeschlossen ist.
Re: Firewall Zugriff von IPs nur auf Internet
Hi,
das ist doch ein klassischer Fall der Netztrennung, wie Dr. Einstein schon geschrieben hat. Der Normalfall sieht eigentlich so aus, dass man sich im Router ein zweites VLAN-getaggtes ARF-Netz ("Gastnetz") anlegt, die Netze per Schnittstellen-Tag trennt und im AP dieses VLAN dann auf der zweiten SSID ausgegeben wird. Beim AP muss man allerdings dann das VLAN-Modul einschalten, damit dauert es dort eine Minute länger, alles zusammen aber immer noch in 5 Min. zusammenzuklicken. In der LANCOM Knowledgebase gibt es auch Anleitungen dafür. Der unübliche Fall funktioniert ohne VLAN und basiert darauf, dass im AP das Gastnetz aufgemacht wird, da finden sich auch Anleitungen für.
Irgendwie gab es für den Normalfall auch einfachere Anleitungen, ich finde die jetzt nicht.
https://www2.lancom.de/kb.nsf/1275/CD31 ... enDocument
https://www2.lancom.de/kb.nsf/1275/1CD5 ... enDocument
Viele Grüße,
Jirka
das ist doch ein klassischer Fall der Netztrennung, wie Dr. Einstein schon geschrieben hat. Der Normalfall sieht eigentlich so aus, dass man sich im Router ein zweites VLAN-getaggtes ARF-Netz ("Gastnetz") anlegt, die Netze per Schnittstellen-Tag trennt und im AP dieses VLAN dann auf der zweiten SSID ausgegeben wird. Beim AP muss man allerdings dann das VLAN-Modul einschalten, damit dauert es dort eine Minute länger, alles zusammen aber immer noch in 5 Min. zusammenzuklicken. In der LANCOM Knowledgebase gibt es auch Anleitungen dafür. Der unübliche Fall funktioniert ohne VLAN und basiert darauf, dass im AP das Gastnetz aufgemacht wird, da finden sich auch Anleitungen für.
Irgendwie gab es für den Normalfall auch einfachere Anleitungen, ich finde die jetzt nicht.
https://www2.lancom.de/kb.nsf/1275/CD31 ... enDocument
https://www2.lancom.de/kb.nsf/1275/1CD5 ... enDocument
Viele Grüße,
Jirka