1781VAW mit Draytek AP - VLAN

[Aushilfsinformatiker]

Hallo,
ich habe zu Hause mein Netzwerk komplett mit Draytek vor Jahren aufgebaut, beispielsweise sind die oben genannten Accesspoints VLAN-fähig, somit kann ich relativ einfach ein Gäste-, Privat- und Firmennetz (Landwirtschaftsbetrieb) über LAN/WLAN aufziehen. Ich arbeite als Lehrer an einem Internatsgymnasium und habe in den letzten 10 Jahren zwei Schulgebäude und ein Internat mit Lancom (Router, Switche, WLC, Server, Standortvernetzung....) als Laie aufgebaut und musste mich ordentlich durch die Lancom-Geschichten kämpfen. Da wir im Hauptgebäude den alten 1781VAW durch einen 1906VA ersetzten, habe ich endlich die Möglichkeit, etwas zu "üben". Bis jetzt musste ich alles am "blutigen Herzen" ausprobieren.
Mittlerweile habe ich meinen Draytek 2680 mit dem Lancom zu Hause ausgetauscht und einige Szenarien getestet. Ich würde trotzdem gerne zu Hause, wenn der Lancom zeitweise den Draytek ersetzt, die VLANS an die Draytek-AP's weiterreichen. Hat schon jemand von euch ein Szenario in der Kombination Lancom-Router mit Fremdgeräten probiert oder ist das ein sinnloses Unterfangen. Momentan laufen die Accesspoints nur "dumm" vor sich hin.

Viele Grüße
AI

[5624]

VLANs mit Fremdtechnik sind kein Problem, ich hab hier zuhause einen 1906VA-4G mit Netgear-Switches und Mikrotik-APs laufen, wobei an den Switch vier VLANs übergeben werden und zwei davon an die APs.

[Aushilfsinformatiker]

Hallo, vielen Dank für den Hinweis. Da habe ich es doch einmal gebastelt. Somit kann ich problemlos die Router austauschen zum Üben, ohne mein häusliches Netzwerk zu ruinieren. Im Hochsommer kann ich den Lancom sowieso nicht betreiben, er hat jetzt schon freistehend im Flur 55°. Aber dieser hat deutlich mehr "Bums" als der Draytek 2680 (Speicher bei 92% Auslastung). Dieser lässt sich jedoch viel komfortabler einrichten.... ein paar Klicks an den verschiedenen LAN's und fertig.
Eine Sache ist für mich noch unlogisch, in der VLAN-Port-Tabelle muss ich WLAN2 die Port-ID 2 zuteilen, damit WLAN2 am Lancom das Gästenetz ausgibt. Normalerweise sollte doch die Auswahl in der VLAN-Tabelle reichen?

Momentanes Szenario:

Lancom Intranet: 192.168.1.1 Gästenetz: 192.168.2.1
ETH1: LAN1 mit VLAN1 (Intranet) und VLAN2 (Gästenetz) - Direktverbindung per LAN mit Draytek AP 902
ETH2: LAN1 mit VLAN1 an dummen Switch für restliche Geräte
WLAN1: SSID: WLAN (Intranet)
WLAN2: SSID: Hotspot (Gästenetz)

Ich setze mal meine Erfahrungen hier rein, falls über das Problem noch jemand anders stolpert.

Einrichtung am Lancom

Publikation1.jpg

Einrichtung am Draytek AP

Draytek_AP_VLAN.JPG

Draytek_AP_VLAN2.JPG

Lanconfig liest in der Überwachung unter DHCP alles sauber ein. Jetzt suche ich noch nach einer Möglichkeit (für die Arbeit), dass nur zugelassene IP's in einem entsprechendem Netzwerk zugelassen sind. Beim Draytek ist das die Option "Strict Bind" https://www.draytek.com/support/knowledge-base/5681
MAC-Adressen kann man problemlos ändern, das Szenario ist in meinem Umfeld sehr unwahrscheinlich. Ich sehe nur die Möglichkeit mit einer Firewall-Regel, das ist aber etwas umständlich (IP-Adressbereich zulassen, den Rest blockieren).

Viele Grüße
AI

[GrandDixence]

Die VLAN-Einstellungen sind für meinen Geschmack sehr "lasch" sprich unsicher konfiguriert. Auf einem Netzwerkkabel zu einem VLAN-fähigen AP (hier Draytek) würde ich nur noch getaggte Ethernet-Datenpakete zulassen. Bedingt dann auch den Einsatz von "Management VLAN" auf dem Draytek. SSID "WLAN" ist mit einer VLAN-ID > 0 zu betreiben. Auch die Konfiguration von "Isolate Member" auf dem Draytek sollte nochmals gut hinterfragt werden!

Tag 0 in den IP-Netzwerk-Einstellungen sollte auch "verbannt" werden. Für einen Einstieg ins Thema VLAN+ARF siehe:

fragen-zur-lancom-systems-routern-und-g ... tml#p90529

Mit Wireshark und Paket-Capturing kontrollieren, ob die VLAN-Tags korrekt gesetzt werden:
fragen-zur-lancom-systems-routern-und-g ... ml#p106123

dass nur zugelassene IP's in einem entsprechendem Netzwerk zugelassen sind.

Möglichst den gesamten Datenverkehr über den IP-Router+Firewall abwickeln. Siehe dazu:
fragen-zum-thema-firewall-f15/portfreig ... tml#p99671

Und vielleicht auch Gedanken zum möglichen Einsatz von 802.1x (und EAP-TLS aka WPA2-Enterprise) machen:
alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... tml#p98556

Und als Nachspeise gibt es dann noch VLAN-PCP:
fragen-zum-thema-firewall-f15/bandbreit ... ml#p106555

[5624]

Den ganzen Kram mit der VLAN-Tabelle kann man sich bei LANCOM sparen, dass ist erst für Spezialfälle nötig. Normal kann das VLAN-Modul aus bleiben und man trägt nur bei den IP-Netzwerken ein VLAN-Tag ein.

Die VLAN-Einstellungen sind für meinen Geschmack sehr "lasch" sprich unsicher konfiguriert. Auf einem Netzwerkkabel zu einem VLAN-fähigen AP (hier Draytek) würde ich nur noch getaggte Ethernet-Datenpakete zulassen.

Mag deine Meinung sein, ich teile die nicht. Was du damit betreibst, ist Security by Obscurity. Jeder, der einen AP von der Wand pflückt, sich dranhängt und merkt, dass er da nicht weiterkommt, startet erstmal Wireshark und ist dann im Besitz der VLAN-Tags. Daher ist es sicherheitstechnisch irrelevant, ob man jetzt alles taggt oder eben nicht.
Ich betreibe es bei uns genauso. Alle APs hängen mit ihrem Management-Netz untagged auf dem Port. Das Management-Netz sollte soweit abgedichtet sein, dass man damit nur die nötigen Endpunkte erreicht, die für das Management auch nötig sind (WLAN-Controller, RADIUS-, Syslog-, DNS- und Update-Web-Server)

[Aushilfsinformatiker]

Hallo, erst einmal vielen Dank für den Input.
Die Draytek-AP's hängen bei mir zu Hause.... da ist Sicherheit ausreichend. VLAN1 hatte ich in LAN-Einstellungen aktiviert, aber hier nicht notwendig.
In den beiden Schulgebäuden und dem Internat stehen jeweils ein WLC, der die Netzteilung im WLAN übernimmt. Im Hauptgebäude habe ich ein Management-Netz (nur zwei Arbeitsplätze), Schulgeräte-Netz und Public-Spot für Privatgeräte in allen Gebäuden über WLC. Die überschaubare Schulverwaltung hat einen eigenen Internet-Anschluss und bleibt separiert.... nur VPN-Einwahl.

Aber alles ohne aktiviertes VLAN-Modul, nur über Routing -Tags. Den Datenverkehr über die Standortvernetzung filtere ich mit Firewall-Regeln.

Die Firewall auf dem Server lässt auch nur entsprechende Dienste aus den verschiedenen Netzen zu oder blockiert zusätzlich...... bis jetzt noch nichts passiert...... in unmittelbarer Nachbarschaft ein ein Verschlüsselungstrojaner über SMB am Privaten Geräte "Einzug gehalten". Ansonsten ist USB komplett im internen Schulnetz gesperrt und die Windows-Rechner sehr gut gewartet. Die Schülergeräte laufen mit Linux.

Da ich zu Hause mit Draytek 2680 problemlos VLAN laufen habe, überlege ich, das Schulnetzwerk etwas in die Richtung umzukrempeln. Jetzt kann ich in Ruhe einiges ausprobieren ohne etwas zu zerschießen.

Beispielsweise soll der Schulserver aus allen Netzen erreichbar trotz VLAN sein. Ich will ihn aber in seinem jetzigen Netz unbedingt belassen. Eventuell die VLANS mit identischem Routing Tag versehen und die Netze trennen/durchgängig mit Firewall-Regel.... so ungefähr ist die Idee.

Viele Grüße AI