Hallo zusammen,
ich hoffe das geballte Fachwissen hier im Forum kann mir weiterhelfern.
Ich habe an meinem 1722 zwei private Ethernetnetze an ETH1 (Netz 172.20.220.x) und ETH2 (Netz 10.10.10.x). An ETH4 befindet sich eine WAN-Standleitung mit fester IP.
Ziel ist, dass beide Netze Zuriff auf das WAN haben, aber untereinander nicht kommunizieren können.
Jetzt habe ich beide Interfaces ETH1 und ETH2 in den private Mode geschaltet und gedacht damit wäre es getan...
...das hat sich als falsch herrausgestellt. Scheinbar schaltet der private Mode nur die Firewall zwischen die Ports.
Jetzt habe ich eine Regel eingebaut, welche für die Netze jeweils HTTP auf alle Adressen erlaubt, und dann eine Regel welche allen Traffic von 172.20.xxx... nach 10.10.xxx.... (und umgekehrt) verbietet.
Das scheint mir nicht die ideale Lösung zu sein.
Hat jemand eine Idee wie ich die Netze sinnvoller und sauberer getrennt bekomme?
Viele Grüße,
Akkon
1722 private mode
Moderator: Lancom-Systems Moderatoren
Hi,
hm solange du den interne Marvel-Switch benutzt und zwischen beiden Ports dne private-Mode aktivierst, dann koennen sich die Hosts auch wnen sie sich im selben Subnetz befinden wuerden nur ueber den IP-Router und somit auch mit Firewallfiltern unterhalten.
Einen Port ETH-1 weist du das LAN-1 zu den anderen den DMZ-Port (zu finden unter den Schnittstellen->Interface Einstellungen). und vergibst anschließend fuer die DMZ einen eigenen Adresskreis, sodass zwischen den Netzen geroutet werden muss.
hm solange du den interne Marvel-Switch benutzt und zwischen beiden Ports dne private-Mode aktivierst, dann koennen sich die Hosts auch wnen sie sich im selben Subnetz befinden wuerden nur ueber den IP-Router und somit auch mit Firewallfiltern unterhalten.
Einen Port ETH-1 weist du das LAN-1 zu den anderen den DMZ-Port (zu finden unter den Schnittstellen->Interface Einstellungen). und vergibst anschließend fuer die DMZ einen eigenen Adresskreis, sodass zwischen den Netzen geroutet werden muss.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Da musst du garnichts einstellen in der Routing-Tabelle (solange der LANCOM beide Netze verwaltet, geht dies durch virueller IP voellig transparent). Ein zusaetzlicher Routingeintrag ist somit nicht erforderlich!
Die Client im Netz1 benutzen den LANCOM mit seiner Default-IP Intranet-IP genannt.
Die Clients im LAN2 (DMZ) nutzen die LANCOM IP (die du als DMZ-IP) angegeben hast.
Danach kannst du beliebig Kommunikation ueber das Regelwerk der Firewall steuern.
Die Client im Netz1 benutzen den LANCOM mit seiner Default-IP Intranet-IP genannt.
Die Clients im LAN2 (DMZ) nutzen die LANCOM IP (die du als DMZ-IP) angegeben hast.
Danach kannst du beliebig Kommunikation ueber das Regelwerk der Firewall steuern.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hi,
in der Firewall habe ich folgende Regeln angelegt:
172.xxx... -> 10.xxx... | drop
10.xxx... -> 172.xxx... | drop
10.xxx Port 80 -> alle netze | accept
172.xxx Port 80 -> alle netze | accept
drop all
Muss ich denn den Umweg über die IP-Adressen machen, kann ich nicht in der Firewall Regeln auf die Interfaces bezogen anlegen?
E.g:
10.xxx Port 80 -> ETH4 / DSL-1 | accept
172.xxx Port 80 -> ETH4 / DSL-1 | accept
drop all
Gruß,
David
in der Firewall habe ich folgende Regeln angelegt:
172.xxx... -> 10.xxx... | drop
10.xxx... -> 172.xxx... | drop
10.xxx Port 80 -> alle netze | accept
172.xxx Port 80 -> alle netze | accept
drop all
Muss ich denn den Umweg über die IP-Adressen machen, kann ich nicht in der Firewall Regeln auf die Interfaces bezogen anlegen?
E.g:
10.xxx Port 80 -> ETH4 / DSL-1 | accept
172.xxx Port 80 -> ETH4 / DSL-1 | accept
drop all
Gruß,
David
Nein das geht nur auf Layer-3 Ebene und noch ohne Interfaceangabe.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a