1783VAW: NAS aus Gast-Netzwerk (WLAN) erreichbar machen.

[edo.Pollux]

Hallo zusammen,
ich habe ein Gastnetzwerk (an dem auch der WLAN-AP hängt). Nun möchte ich vom WLAN auf gewisse Ports/Services des NAS im Intranet/Netzwerk zugreifen.

Es funktioniert vom direkten Netzwerk/Intranet, über DynDNS + Portfreigabe und auch über VPN. Aber ich möchte, wenn möglich nicht, dass hier unnötig Daten im Internet umhergeschickt werden. Es muss doch auch zu schaffen sein, dass das noch "im Haus" umgelenkt wird. Aber anscheined bin ich einfach zu blöd dafür.

Hier nun die Konfiguration:
Schnittstellen:

Code: Alles auswählen

ETH1 -> LAN1 -> BRG-1
ETH2 -> LAN1 -> BRG-1
ETH3 -> LAN3
ETH4 -> LAN4 (nicht belegt)

IPv4-Netzwerke:

Code: Alles auswählen

Name      IP-Adresse    Netzmaske       Typ       VLAN-ID  Schnittstelle  Adressprüfung  Tag  Kommentar
INTRANET  192.168.101.0  255.255.255.0  Intranet  0        BRG-1          Flexibel       0    local intranet
DMZ       0.0.0.0        255.255.255.0  DMZ       0        LAN-2          Flexibel       0    demilitarized zone 
GAST      10.10.10.0     255.255.255.0  Intranet  0        LAN-3          Flexibel       100   

"DMZ" ist anscheined Standard, habe ich nicht angelegt.
"INTRANET" ist Standard, habe ich nicht angelegt, aber geändert und auch DHCP konfiguriert und hat Zugriff aufs Internet.
"GAST" habe ich angelegt, mit DHCP-Server und hat auch Zugriff aufs Internet.

1. Nun zu meiner Frage: Muss ich das NAS in ein extra Netzwerk DMZ/SHARE aufnehmen?
Wie hier beschrieben: fragen-zur-lancom-systems-routern-und-g ... 19180.html

2. Oder kann ich nicht einfach eine Firewall-Regel erstellen, die den Zugriff auf eine bestimmte Station erlaubt?
Ähnlich wie hier beschrieben: https://www.lancom-systems.de/fileadmin ... ARF-DE.pdf
(...) Über eine passende Regel in der Firewall wird dann gezielt der Zugang von allen Stationen in anderen Netzwerken in das gemeinsame Netzwerk SHARE ermöglicht. Diese Firewallregel erhält als Routing-Tag das Schnittstellen-Tag des SHARE-Netzwerks. So werden alle Datenpakete, auf welche diese Firewallregel zutrifft, mit dem Tag „99“ versehen und können so dem IP-Netzwerk SHARE zugeordnet werden. Bei Bedarf können in der Firewallregel zusätzlich die erlaubten Dienste definiert werden, die im Netzwerk SHARE genutzt werden dürfen. (...)
Auch wenn hier das mit Netzwerk SHARE beschrieben wird, ist es möglich das mit einer Firewall-Regel o.ä. zu regeln? (Ich kenne ja die IP des NAS im Netzwerk/Intranet. Ansonsten muss ich ja das NAS auf eine extra Schnittstelle legen (Ja, ETH4 wäre am 1783VAW noch frei. ) und die IP ändern und das NAS und die Dienste darauf wieder umkonfigurieren... Ja, ich bin bequem.)

3. Ich hab das auch schon mit einer Firewall-IPv4-Regel versucht, aber das funktioniert nicht. Hier mein Versuch:

Code: Alles auswählen

Name  Priorität  Quell-Tag  Routing-Tag  Aktionen       Stationen                                                               Dienste
NAS   100        100        0            Objekt ACCEPT  Verbindungs-Quelle: alle; Verbindungs-Ziel: IP-Adresse 192.168.101.107  alle

Ich dachte Quell-Tag 100, da ja die Anfrage über GAST (Schnittstelle LAN-3, Tag 100) kommt und dann auf die Ziel-IP des NAS geht. Oder ist das völliger Quatsch?!?
Oder habe ich etwas vergessen? Routing-Tabelle?!?

Falls ich noch wichtige Angaben oder Detailinfos vergessen habe, bitte fragen. Liefere ich gerne nach.


Grüße
Chris

[Dr.Zett]

2. Oder kann ich nicht einfach eine Firewall-Regel erstellen, die den Zugriff auf eine bestimmte Station erlaubt?

Ja, das funktioniert schon so. Aber Deine Regel ist falsch. Wenn Du in's Supervisor-Netz (Tag 0) routen willst, musst Du als Ziel-Tag 65535 eingeben anstatt 0.

Code: Alles auswählen

Name  Priorität  Quell-Tag  Routing-Tag  Aktionen       Stationen                                                               Dienste
NAS   100        100        65535        Objekt ACCEPT  Verbindungs-Quelle: alle; Verbindungs-Ziel: IP-Adresse 192.168.101.107  alle

Steht auch hier beschrieben:
https://www.lancom-systems.de/docs/LCOS ... 66835.html


Da Du ja nur gewisse Ports freigeben willst, musst Du die Dienste noch entsprechend anpassen anstatt "alle".

[edo.Pollux]

Danke für den Hinweis mit Ziel Tag 65536, aber leider bekomme ich beim Versuch immer noch "Fehler - Netzwerkzeitüberschreitung".

Die Häckchen auf dem Reiter "Allgemein" sind folgendermaßen gesetzt: (X = Häkchen, O = leer)
X Diese Regel ist für die Firewall aktiv.
O Diese Regel wird zum Erzeugen von VPN-Netzbeziehungen (SAs) verwendet.
O Weitere Regeln beachten, nachdem diese Regel zutrifft.
X Diese Regel hält die Verbindungszustände nach (empfohlen).


Ich habe einfach alle Dienste zum Testen ausgewählt, damit da ja nichts "dazwischen funkt". Danke für den Hinweis, das muss ich dann noch einschränken.

Was habe ich sonst noch vergessen?


------
Überarbeitung 21.02.2022 12:56:

Jetzt funktioniert es! Super Danke! Dr.Zett
Anscheinend haben die Geräte im WLAN etwas Zeit gebraucht um die Einstellungen zu übernehmen.

Ich werde das noch mit dem Mobiltelefon, Tablet, eBookReader innerhalb der nächsen beiden Tage versuchen. Wenn das alles funktioniert stelle ich das Thema auf "gelöst". Danke!

------
Überarbeitung 26.02.2022 09:42:

Hat sich nun doch noch etwas länger hingezogen, da das mit dem eBookReader nicht so funktioniert hat, wie ich mir das vorgestellt habe. Aber das ist ein anderes Thema.
Ich bin anscheined zu blöd um diesen Thread zu schließen bzw. auf "gelöst" zu stellen.
Wenn das ein Moderator liest, Thread kann geschlossen werden. Danke!