Moin, moin!
schlagt mich, wenn das schon tausendfach hier oder in der FAQ abgefrühstückt wurde, aber ich scheitere offenbar an einem Standardfall und hab' das konkrete Problem so hier nicht gefunden:
Ein 1821 (HW Rev E; LCOS 6.15) soll zwei Netze (beides Ethernet-Segmente) bedienen. Das eine Netz soll via VPN an ein Firmennetz angebunden werden. Das zweite soll nur an's Internet. Die Netze sollen getrennt sein, d.h. keine gemeinsame Broadcast Domain, natürlich ebenso getrennte IP-Netze.
Da ich bislang glaubte, das Prinzip verstanden zu haben, habe ich schnell mal folgendes gemacht:
1.) LANConfig->TCP/IP->Allgemein:
Für Intranet und DMZ je eine IP-Adresse (aus getrennten Netzen) vergeben und für Intranet das Interface LAN-1, für DMZ das Interface DMZ-1 ausgewählt (Standard ist 'any' für beide Netze, was IMHO Blödsinn ist, aber OK).
2.) Interfaces->LAN->Ethernet-Ports:
Für Port LAN 1 und LAN 2: Interface-Verwendung auf 'LAN'
Für Port LAN 3 und LAN 4: Interface-Verwendung auf 'DMZ'
Wenn ich jetzt z.B. am Port LAN 3 hänge und mir eine IP aus dem zuvor konfigurierten DMZ-Netz gebe, sollte ich doch zumindest mal die IP des Routers in der DMZ anpingen können, geht aber nicht. Das Intranet mit den Ports LAN 1 und 2 funktioniert aber einwandfrei.
Ein "trace + bridge" brachte es dann zu Tage:
[Bridge] 2006/09/18 00:01:22,650
Bridge frame coming from ifc DMZ-1:
00:01:02:d2:df:5d (3COM d2:df:5d)-->ff:ff:ff:ff:ff:ff
-->discarded because forwarding disabled for this port
Wenn ich das richtig deute, kommen die Pakete erst gar nicht zum Router geschweige denn zur Firewall, sondern der gute Switch verwirft alles sofort.
Gegenprobe: Bei einem "trace + firewall" bleibt der Output leer.
Dann habe ich noch mit dem Haken 'private Mode' rumgespielt, was aber logischerweise nichts brachte. Anschließend habe ich unter TCP/IP für beide Netze das Interface wieder auf any umgestellt, was aber auch nichts brachte. D.h. sobald ich bei einen Switchport die Interface-Verwendung auf DMZ umstelle, ist der Port isoliert, und zwar komplett.
Das Thema VLAN habe ich bisher nicht angetestet, da ich der Meinung bin, das es auch ohne VLANs gehen muss.
Stehe total auf dem Schlauch. Was mus ich tun, um einen Switchport in die DMZ zu bekommen und einen anderen in's Intranet?
Schonmal Danke für's Lesen bis hierher. Bin für jeden Hinweis dankbar.
cu
1821: Switchport als DMZ geht nicht
Moderator: Lancom-Systems Moderatoren
Moin,
kommen:
(1) Du hast Spanning Tree aktiviert und der Algorithmus hat
dern Port (noch) nicht freigegeben
(2) Wenn Spanning Tree nicht aktiv ist, kann es nur noch
sein, daß Du die DMZ unter Setup->LAN-Bridge->Ports
nicht aktiviert hast. Die kann u.U. passieren, wenn Du
in das Gerät eine Konfig einer älteren Firmware eingespielt
hast, die die DMZ noch nicht unterstützt.
Gruß Alfred
Diese Meldung kann eigentlich nur unter zwei Bedingungen[Bridge] 2006/09/18 00:01:22,650
Bridge frame coming from ifc DMZ-1:
00:01:02:d2:df:5d (3COM d2:df:5d)-->ff:ff:ff:ff:ff:ff
-->discarded because forwarding disabled for this port
kommen:
(1) Du hast Spanning Tree aktiviert und der Algorithmus hat
dern Port (noch) nicht freigegeben
(2) Wenn Spanning Tree nicht aktiv ist, kann es nur noch
sein, daß Du die DMZ unter Setup->LAN-Bridge->Ports
nicht aktiviert hast. Die kann u.U. passieren, wenn Du
in das Gerät eine Konfig einer älteren Firmware eingespielt
hast, die die DMZ noch nicht unterstützt.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Ein Kollege von mir hatte glaub' ich folgendes mit dem Router gemacht: Auf dem Router (out-of-the-box, LCOS v5) eine 6.15eralf29 hat geschrieben:Moin,
Hi,(2) Wenn Spanning Tree nicht aktiv ist, kann es nur noch
sein, daß Du die DMZ unter Setup->LAN-Bridge->Ports
nicht aktiviert hast.
meinst du vielleicht dies:
(letzte Zeile: Isolated=Yes)Könnte es "Isolated=Yes" sein? Wie kommt das da hin?Code: Alles auswählen
root@LC_A10_01:/Setup/LAN-Bridge/Port-Data > dir Port Active Isolated Prio. DHCP-Limit --------------------------------------------------------- LAN-1 Yes No 128 0 WLAN-1 Yes No 128 0 P2P-1-1 Yes No 128 0 P2P-1-2 Yes No 128 0 P2P-1-3 Yes No 128 0 P2P-1-4 Yes No 128 0 P2P-1-5 Yes No 128 0 P2P-1-6 Yes No 128 0 WLAN-1-2 Yes No 128 0 WLAN-1-3 Yes No 128 0 WLAN-1-4 Yes No 128 0 WLAN-1-5 Yes No 128 0 WLAN-1-6 Yes No 128 0 WLAN-1-7 Yes No 128 0 WLAN-1-8 Yes No 128 0 DMZ-1 Yes Yes 128 0
Die kann u.U. passieren, wenn Du
in das Gerät eine Konfig einer älteren Firmware eingespielt
hast, die die DMZ noch nicht unterstützt.
lcf-Datei eingespielt. Anschließend hab' ich die Kiste dann bekommen und die 6.15er Firmware eingespielt, mit der Reset-Taste einen Factory Reset durchgeführt und von Hand neu konfiguriert d.h. also eigentlich andersrum.
Danke schonmal für die schnelle Hilfe!
cu
/Setup/LAN-Bridge
dort der wert "Spanning-Tree-Protocol VALUE: No"
oder im LANConfig unter "Schnittstellen" Spanning-Tree aktiviert"
dort der wert "Spanning-Tree-Protocol VALUE: No"
oder im LANConfig unter "Schnittstellen" Spanning-Tree aktiviert"
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Gelöst: 1821: Switchport als DMZ geht nicht
Das war's übrigens. Vielen Dank an Euch!(2) Wenn Spanning Tree nicht aktiv ist, kann es nur noch
sein, daß Du die DMZ unter Setup->LAN-Bridge->Ports
nicht aktiviert hast. Die kann u.U. passieren, wenn Du..[...]
Da hätt' ich noch Wochen suchen können....
cu