bin neu hier im Forum und hoffe, ich darf mit einigen Fragen starten.
LANCOMs sind zwar nicht neu für mich, aber mein bisheriger 1821n ist schon ne Weile stillgelegt und das markiert auch ungefähr die Pause, seit ich mich zuletzt mit einem LANCOM auseinandergesetzt habe. Davor irgendwann mal mit DSL/i10, DSL 1100, 1711/1721, falls die noch jemand kennt
Dank Maurice hab ich endlich mal eine einleuchtende Erläuterung des Zusammenwirkens der diversen Ports, Schnittstellen, Tags und Abläufe gefunden. Top. Danke an dieser Stelle. Hat mir sehr geholfen. Um stellvertretend eine von vielen hilfreichen Fundstellen zu nennen. In den Dokus von LANCOM kommen viele Themen und Zusammenhänge mMn deutlich zu kurz.
Da meine Fragen im Wesentlichen um die Themen VPN und VLAN kreisen, wußte ich nicht so recht, wo das Thema am besten zu erstellen wäre. Falls das hier nicht richtig ist, mag ein Moderator das bitte an die passende Stelle setzen.
Es geht um das Setup eines Netzes mit 4 Zonen + Management-Netz und ein paar Knackpunkte, deren geeignete Lösung mir noch nicht ganz klar ist. Anhängend eine schematische Grafik zur Visualisierung des Vorhabens. Einige Punkte sind natürlich auch schon erarbeitet:
Netzzonen A, B, C, D sind eingerichtet.
VLAN40 mit VLAN-ID 40 für das Subnetz 192.168.0.x ist momentan so vorgegeben, später vielleicht von .0. auf .40. änderbar.
VPN-Einwahl zur Administration ist angelegt und funktioniert so weit.
Zugriff auf die Konfig ist am 1793VAW über einen Stationsfilter auf das 172.16.1.x Subnetz eingeschränkt.
Bis zu diesem Punkt war es nicht erforderlich, weitere als die vorhandenen Default-Routen zu setzen.
Den DMZ-Eintrag habe ich entfernt.
Aus jedem VLAN ist neben der jeweiligen GW IP auch die GW IP der anderen VLANs pingbar. Das hatte ich so nicht erwartet. Entsprechend wäre auch der Konfigurationszugriff auf den 1793VAW möglich, wenn dies jetzt nicht durch den Stationsfilter verhindert wäre (außer aus VLAN30 wo das Schnittstellen-TAG 30 das Netz schon zusätzlich in Richtung GW isoliert).
Alle anderen IPs außerhalb der jeweiligen VLAN-Grenze sind nicht erreichbar.
Meine Fragen:
Wie kann man denn nun am besten das Management-LAN so abgrenzen, dass noch aus dem Mmgt-LAN in die VLANs administriert, aber nicht von den VLANs aus auf den 1793VAW zugegriffen werden kann? Oder ist der Weg über den Stationsfilter das Mittel der Wahl?
Wie können die Clients in Netz A untereinander abgeschottet werden? Gibt es da eine Möglichkeit, ähnlich wie WLAN-Clients untereinander isoliert werden können?
Sollte die Verbindung vom 1793VAW zum Hauptswitch über eine dedizierte Leitung ETH-2 > LAN-2 erfolgen ... oder über ETH-1 > LAN-1 mitlaufen? Hierzu las ich an einigen Stellen Hinweise wg. gleicher MAC-Adressen der Schnittstellen des LANCOM, was für den Switch zur Unterscheidung der VLANS problematisch werden könne.
Ist es sinnvoll noch ein Schnittstellen-TAG für die blaue Zone (Netz A) zu setzen? Das braucht nur Internetzugriff und soll aber vom Mmgt-Netz aus erreichbar bleiben.
Wie kann man für Nutzer von Netz C eine VPN-Einwahl auf das Netz C und nichts sonst eingrenzen? Geht das nur über Firewallregeln oder überhaupt damit?
Wenn man per VPN Einwahl die TK administrieren möchte (Netz B), müsste das über eine eigens dafür erstellte VPN-Einwahl + WAN-Tag-Tabelle möglich sein, oder?
Was wäre noch an dos und don'ts zu beachten?
Gruß
C/5