Hallo Forum,
in unserem Büro sollen die neuen Smartphones mittels Wlan auf den Exchange Server zum Abgleichen der Kontakte und Termine und auch auf das Internet zugreifen können. Der Zugriff im LAN soll nur auf den Server und nicht auf die restlichen Klienten erfolgen.
Nun habe ich folgendes Problem, bei folgenden getroffenen Einstellungen:
Schnittstellen:
ETH 3 = LAN-3 = WLAN (privater modus aus)
ETH 4 = LAN-4 = LAN mit SBS2003 Server (privater modus aus)
2 TCP-IP Netzwerke eingerichtet:
192.168.111.1 Maske 255.255.255.0 Schnittstelle LAN-3 Tag 0
192.168.255.1 Maske 255.255.255.0 Schnittstelle LAN-4 Tag 0
In der Routing-Tabelle habe ich die IP-Adresse 192.168.111.0 auf 192.168.255.1 geroutet.
Testhalber wurde eine Firewall-Regel mit Accept-All für alle Geräte am WLAN eingerichtet.
Leider funktioniert von LAN-3 zwar der Zugriff auf das Internet, nicht aber auf das Lokale Netzwerk LAN4.
Was habe ich übersehen oder missverstanden?
Vielen Dank im Voraus und beste Grüße
Markus
Access Point an 1711 (ETH3) mit beschränktem Zugriff auf LAN
Moderator: Lancom-Systems Moderatoren
-
Dr.Einstein
- Beiträge: 3241
- Registriert: 12 Jan 2010, 14:10
Hey Mape2012,
wenn du die IP-Netzwerk Tabelle verwendest, ist ein Routing innerhalb dieser Netzwerk nicht mehr notwendig.
Die Schnittstellentag sagen aus, ob sich die Netzwerke gegenseitig erreichen dürfen.
192.168.111.1 Maske 255.255.255.0 Schnittstelle LAN-3 Tag 2
192.168.255.1 Maske 255.255.255.0 Schnittstelle LAN-4 Tag 0
d.h. LAN-4 darf auf LAN-3 generell zugreifen, LAN-3 darf nicht aufs LAN-4 zugreifen. Du könntest jetzt eine Firewallregel erstellen nach dem Muster:
Quelle: IP-Netzwerk vom LAN-3
Ziel: IP-Adresse des Servers
Aktion: Allow
Dienste: ALLE
So sollte es funktionieren. Wenn dein Access Point VLANs beherrscht, wäre dies eine Alternative.
wenn du die IP-Netzwerk Tabelle verwendest, ist ein Routing innerhalb dieser Netzwerk nicht mehr notwendig.
Die Schnittstellentag sagen aus, ob sich die Netzwerke gegenseitig erreichen dürfen.
192.168.111.1 Maske 255.255.255.0 Schnittstelle LAN-3 Tag 2
192.168.255.1 Maske 255.255.255.0 Schnittstelle LAN-4 Tag 0
d.h. LAN-4 darf auf LAN-3 generell zugreifen, LAN-3 darf nicht aufs LAN-4 zugreifen. Du könntest jetzt eine Firewallregel erstellen nach dem Muster:
Quelle: IP-Netzwerk vom LAN-3
Ziel: IP-Adresse des Servers
Aktion: Allow
Dienste: ALLE
So sollte es funktionieren. Wenn dein Access Point VLANs beherrscht, wäre dies eine Alternative.
Hi Dr.Einstein
so funktioniert das nicht, denn du mußt in der Regel die Pakete, die von LAN-3 nach LAN-4 laufen noch umtaggen - auf 65535 da ein Tag 0 in der Firewall bedeutet, daß ein etwaig gesetztes Tag (hier 2) nicht angerührt wird.
Rtg-Tag: 65535
Quelle: IP-Netzwerk vom LAN-3
Ziel: IP-Adresse des Servers
Aktion: Allow
Dienste: ALLE
Eine andere Möglcihkeit wäre, auch LAN-4 zu taggen, z.B.
192.168.111.1 Maske 255.255.255.0 Schnittstelle LAN-3 Tag 2
192.168.255.1 Maske 255.255.255.0 Schnittstelle LAN-4 Tag 1
jetzt sind beide Netze erstmal komplett voneinader isoliert. Damit nun aus LAN-3 auf den Server zugegriffen werden kann, wird noch folgende Regel benötigt:
Rtg-Tag: 1
Quelle: IP-Netzwerk vom LAN-3
Ziel: IP-Adresse des Servers
Aktion: Allow
Dienste: ALLE
Gruß
Backlsash
so funktioniert das nicht, denn du mußt in der Regel die Pakete, die von LAN-3 nach LAN-4 laufen noch umtaggen - auf 65535 da ein Tag 0 in der Firewall bedeutet, daß ein etwaig gesetztes Tag (hier 2) nicht angerührt wird.
Rtg-Tag: 65535
Quelle: IP-Netzwerk vom LAN-3
Ziel: IP-Adresse des Servers
Aktion: Allow
Dienste: ALLE
Eine andere Möglcihkeit wäre, auch LAN-4 zu taggen, z.B.
192.168.111.1 Maske 255.255.255.0 Schnittstelle LAN-3 Tag 2
192.168.255.1 Maske 255.255.255.0 Schnittstelle LAN-4 Tag 1
jetzt sind beide Netze erstmal komplett voneinader isoliert. Damit nun aus LAN-3 auf den Server zugegriffen werden kann, wird noch folgende Regel benötigt:
Rtg-Tag: 1
Quelle: IP-Netzwerk vom LAN-3
Ziel: IP-Adresse des Servers
Aktion: Allow
Dienste: ALLE
Gruß
Backlsash
Hey Dr. Einstein,
erst einmal vielen Dank für Deine Antwort!
Ich habe alles so eingerichtet, leider erreiche ich meinen Server (192.168.255.10) nicht, weder über einen Browser noch mittels ping. Muss überhaupt kein Routing eingestellt werden, bzw. DNS?
Auch wenn beide Tags gleich 0 sind, sehen sich jeweils nur die Netzbereiche selbst…
Danke und Gruß
Markus
erst einmal vielen Dank für Deine Antwort!
Ich habe alles so eingerichtet, leider erreiche ich meinen Server (192.168.255.10) nicht, weder über einen Browser noch mittels ping. Muss überhaupt kein Routing eingestellt werden, bzw. DNS?
Auch wenn beide Tags gleich 0 sind, sehen sich jeweils nur die Netzbereiche selbst…
Danke und Gruß
Markus
-
Dr.Einstein
- Beiträge: 3241
- Registriert: 12 Jan 2010, 14:10
Beide Netzwerke dürfen nicht in der Routing Tabelle auftauchen.
Ansonsten müssen die Clients aus beiden Netzwerken als Default Gateway ihre entsprechende IP-Adresse des Lancom Routers hinterlegt haben.
Hilft das nicht weiter, kann ein IP-Router Trace weitere Infos geben.
@backslash: Danke für den Hinweis, total vergessen, dass ja Schnittstellentags auch die Firewall interessiert
Ansonsten müssen die Clients aus beiden Netzwerken als Default Gateway ihre entsprechende IP-Adresse des Lancom Routers hinterlegt haben.
Hilft das nicht weiter, kann ein IP-Router Trace weitere Infos geben.
@backslash: Danke für den Hinweis, total vergessen, dass ja Schnittstellentags auch die Firewall interessiert
Access Point an 1711 (ETH3) mit beschränktem Zugriff auf LAN
Hallo Ihr zwei,
anbei die Trace-Datei.
Wenn diese nichts bringt, habt Dank für Euer Bemühen!
Mit bestem Gruß aus der Nähe von FFM
Markus
[TraceData]
(Version) 8.30.0001
(Tracesessions) 0
(Comment) {N/A}
(NumberOfMessages) 4
(OffsetToIndex) 5505
[EndOfHeader]
[TraceStarted] 2011/06/16 13:50:12,166
Used config:
# Show commands
show bootlog
[ShowCmd] 2011/06/16 13:50:13,305
Result of command: "show bootlog "
Boot log (162 Bytes):
****
01/01/1900 00:00:01 System boot after power on
DEVICE: LANCOM 1711 VPN
HW-RELEASE: C
VERSION: 8.50.0091Rel / 08.04.2011
[Sysinfo] 2011/06/16 13:50:13,321
Result of command: "sysinfo"
DEVICE: LANCOM 1711 VPN
HW-RELEASE: C
SERIAL-NUMBER: ************
MAC-ADDRESS: ************
IP-ADDRESS: 192.168.255.1
IP-NETMASK: 255.255.255.0
INTRANET-ADDRESS: 0.0.0.0
INTRANETMASK: 0.0.0.0
VERSION: 8.50.0091Rel / 08.04.2011
NAME: Horst
CONFIG-STATUS: 1056;0;1d7c935abe636e42692d09dce2abe2ca971a1419.13232606062011.46
FIRMWARE-STATUS: 1;1.9;1.1;8.00RU2.07102010.8;8.50Rel.08042011.9
LANCAPI-PORT: 75
HW-MASK: 00000000000000000000000000000011
FEATUREWORD: 00000000000000000000000100011101
REGISTERED-WORD: 00000000000000000000000100011101
FEATURE-LIST: 00/F
FEATURE-LIST: 02/F
FEATURE-LIST: 03/F
FEATURE-LIST: 04/F
FEATURE-LIST: 08/F
TIME: 13501216062011
HTTP-PORT: 80
HTTPS-PORT: 443
TELNET-PORT: 23
TELNET-SSL-PORT: 992
SSH-PORT: 22
[TraceStopped] 2011/06/16 13:50:17,253
Used config:
# Show commands
show bootlog
[Legend] 2009/07/09 00:00:00,000
TraceStarted, TraceStopped, Sysinfo, ShowCmd
[Index] 2009/07/09 00:00:00,000
0,86,4;3,258,12;2,979,31;1,86,4;
anbei die Trace-Datei.
Wenn diese nichts bringt, habt Dank für Euer Bemühen!
Mit bestem Gruß aus der Nähe von FFM
Markus
[TraceData]
(Version) 8.30.0001
(Tracesessions) 0
(Comment) {N/A}
(NumberOfMessages) 4
(OffsetToIndex) 5505
[EndOfHeader]
[TraceStarted] 2011/06/16 13:50:12,166
Used config:
# Show commands
show bootlog
[ShowCmd] 2011/06/16 13:50:13,305
Result of command: "show bootlog "
Boot log (162 Bytes):
****
01/01/1900 00:00:01 System boot after power on
DEVICE: LANCOM 1711 VPN
HW-RELEASE: C
VERSION: 8.50.0091Rel / 08.04.2011
[Sysinfo] 2011/06/16 13:50:13,321
Result of command: "sysinfo"
DEVICE: LANCOM 1711 VPN
HW-RELEASE: C
SERIAL-NUMBER: ************
MAC-ADDRESS: ************
IP-ADDRESS: 192.168.255.1
IP-NETMASK: 255.255.255.0
INTRANET-ADDRESS: 0.0.0.0
INTRANETMASK: 0.0.0.0
VERSION: 8.50.0091Rel / 08.04.2011
NAME: Horst
CONFIG-STATUS: 1056;0;1d7c935abe636e42692d09dce2abe2ca971a1419.13232606062011.46
FIRMWARE-STATUS: 1;1.9;1.1;8.00RU2.07102010.8;8.50Rel.08042011.9
LANCAPI-PORT: 75
HW-MASK: 00000000000000000000000000000011
FEATUREWORD: 00000000000000000000000100011101
REGISTERED-WORD: 00000000000000000000000100011101
FEATURE-LIST: 00/F
FEATURE-LIST: 02/F
FEATURE-LIST: 03/F
FEATURE-LIST: 04/F
FEATURE-LIST: 08/F
TIME: 13501216062011
HTTP-PORT: 80
HTTPS-PORT: 443
TELNET-PORT: 23
TELNET-SSL-PORT: 992
SSH-PORT: 22
[TraceStopped] 2011/06/16 13:50:17,253
Used config:
# Show commands
show bootlog
[Legend] 2009/07/09 00:00:00,000
TraceStarted, TraceStopped, Sysinfo, ShowCmd
[Index] 2009/07/09 00:00:00,000
0,86,4;3,258,12;2,979,31;1,86,4;
Hallo, ich bin's noch mal...
Der zugriff von lan3 auf lan4 funktioniert wie oben beschrieben! Danke!
2 Dinge noch dazu:
1.Auf den SBS 2003 kann ich trotzdem nicht zugreifen. Daher auch die Vermutung ich könne nicht auf lan4 zugreifen. Muss ich am Server selbst noch etwas konfigurieren?
2.trotz tag0 bei beiden netzen muss ich eine firewall-Regel erstellen, sonst greift von lan3 auf lan4 die deny-all-Regel. Ist das normal, da ich davon ausgegangen bin, dass regen nur bei unterschiedlichen tags notwendig seien.?
Vielen Dank nochmal!
Gruß Markus
Der zugriff von lan3 auf lan4 funktioniert wie oben beschrieben! Danke!
2 Dinge noch dazu:
1.Auf den SBS 2003 kann ich trotzdem nicht zugreifen. Daher auch die Vermutung ich könne nicht auf lan4 zugreifen. Muss ich am Server selbst noch etwas konfigurieren?
2.trotz tag0 bei beiden netzen muss ich eine firewall-Regel erstellen, sonst greift von lan3 auf lan4 die deny-all-Regel. Ist das normal, da ich davon ausgegangen bin, dass regen nur bei unterschiedlichen tags notwendig seien.?
Vielen Dank nochmal!
Gruß Markus
Hi Mape2012
Gruß
Backslash
ggf. mußt du dort erlauben, daß von einem anderen Netz aus zugegriffen werden darf. Und natürlich muß das LANCOM das Default-Gateway für den SBS sein (oder zumindest muß der SBS eine Route zum 192.168.111.0/24-Netz haben, die über das LANCOM läuft).1.Auf den SBS 2003 kann ich trotzdem nicht zugreifen. Daher auch die Vermutung ich könne nicht auf lan4 zugreifen. Muss ich am Server selbst noch etwas konfigurieren?
sobald du eine Deny-All-Regel hast, mußt du jeden traffic, der erlaubt sein soll, explizit zulassen2.trotz tag0 bei beiden netzen muss ich eine firewall-Regel erstellen, sonst greift von lan3 auf lan4 die deny-all-Regel. Ist das normal, da ich davon ausgegangen bin, dass regen nur bei unterschiedlichen tags notwendig seien.?
Gruß
Backslash
Access Point an 1711 (ETH3) mit beschränktem Zugriff auf LAN
Hi Backslash,
danke nochmal für die Antworten und die Hilfe. Meine Fragen zum Lancom wurden alle beantworte!!!
Um den Server kümmere ich mich im Laufe der nächsten Tag und hoffe, dass ich das auch noch hinbekomme…
Wenn ich herausgefunden haben woran es gelegen hat, gebe ich nochmal bescheid.
In diesem Sinne
Gruß aus Hessen
Markus
danke nochmal für die Antworten und die Hilfe. Meine Fragen zum Lancom wurden alle beantworte!!!
Um den Server kümmere ich mich im Laufe der nächsten Tag und hoffe, dass ich das auch noch hinbekomme…
Wenn ich herausgefunden haben woran es gelegen hat, gebe ich nochmal bescheid.
In diesem Sinne
Gruß aus Hessen
Markus