ARF Verständnisfrage und VPN

[JensK]

Ich habe eine Verständnisfrage zu ARF, zunächst ein grober, etwas vereinfachter Netzwerkaufbau:

• Internetzugang via Tag 0
• Diverse interne (V)LANs mit Tag 0
• Site-to-Site-VPNs zu diversen Außenstandorten
• Untermieter #1, via Tag 11
• Untermieter #2, via Tag 12

Im Grunde funktioniert ARF wie gewünscht: Die Untermieter können sich nicht untereinander und auch nicht unsere internen Netze sehen. Aus unseren internen Netzen können wir theoretisch in die Netze der Untermieter, das ist aber aktuell per Firewallregel unterbunden.

Allerdings haben wir festgestellt, dass die Untermieter Verbindungen zu unseren anderen Standorten aufbauen können, da die Routing-Regeln zu den anderen Standorten auf Tag 0 konfiguriert sind und somit ja für alle Routing-Tags gelten. Außerdem können auch die anderen Standorte auf die Netze der Untermieter an der Zentrale zugreifen, da sie ja über Routing-Tag 0 reinkommen.

Lange Rede, kurzer Sinn: Man könnte die Firewallregeln weiter aufblähen und müsste bei neuen Standorten auch immer daran denken, diese Regeln zu erweitern. Stattdessen überlegen wir, unsere internen Netze alle auf das Tag 1 zu verlegen, damit sie ohne Firewallregel-Aufwand sehr einfach von den Untermieter-Netzen abgeschirmt werden.

Wäre das Vorgehen so denkbar, sodass es dann außer dem Internetzugang keine Netze mehr mit Tag 0 gibt?

Die Routing-Regeln zu den anderen Standorten würden auch im Tag 1 konfiguriert werden, so dass die Tag-11/12-Netze nicht mehr den Weg ins VPN finden dürften.

Wie erfolgt aber die VPN-Konfiguration? Können die die Routing-Tags in der VPN-Verbindungsliste auch auf 1 gestellt werden und findet der Router dann via Tag 0 den Weg ins Internet für die VPN-Verbindung? Ich befürchte, wenn wir das Tag auf 0 stehen lassen, dass dann theoretisch doch die Untermieter ins VPN kommen könnten?

Freue mich über einen kurzen Denkanstoß

Jens

[tstimper]

Hi Jens,

Lange Rede, kurzer Sinn: Man könnte die Firewallregeln weiter aufblähen und müsste bei neuen Standorten auch immer daran denken, diese Regeln zu erweitern. Stattdessen überlegen wir, unsere internen Netze alle auf das Tag 1 zu verlegen, damit sie ohne Firewallregel-Aufwand sehr einfach von den Untermieter-Netzen abgeschirmt werden.

Also prinzipiell sobald ich das VLAN Modul im LCOS einschalte, setze ich Intranet auf VLAN Tag 1oder was anderes, jedenfalls nicht 0.
Dann habe ich mir angewöhnt, grundsätzlich die LAN Bridge in den Router Mode / Isolierter Mode zu schalten.
Und dann eine Deny ALL Firewall Regel und nur die Kommunikation per Firewall erlaufen die gewünscht ist.

Das WAN Interface hat nur dann ein VLAn Tag, wenn der Provider es erfordert. Meist bleibt die auf 0.

Und mit den Firewall Regel wird dann gesteuert, wer wohin darf.

Zur besseren Übersicht meide ich kombinierte Firewall Regeln und mache lieber je Verbindung / Protokoll eine separate Regel.

Beispiel: Soll Netz A Netz B und Netz C erreichen, gibt es separate Regeln dafür unnd nicht eine mit zwei Zielen.
Dann kannst Du z.b. viel einfacher eine bestommte Kommunikation einfach durch disablen der Firewal Regel blocken.

VPN EInwahlen kommunizieren dann auch nur in die Netze, wo sie lt. Firewall hin dürfen.

In der Deny All Regel und auch in den Accept Regeln schalte ich die SNMP Notification ein, dann kann ich mit dem LANMonitor das Verhalten gut analysieren.

Tracen an der CLI und im LANTracer kannst Du natürlich auch immer.

Viele Grüßé

ts

[PappaBaer]

Moin,

@tstimper
JensK geht es hier hauptsächlich um ARF mit den Schnittstellen-/Routingtags und nicht um VLANs.
Klar kann man auch alles über Firewall-Regeln erreichen, aber Lancom hat das ARF ja extra, um die Trennung mit einfachen Mitteln zu realisieren. Wenn der Lancom keine Route von Netz A nach Netz B nachhält, dann brauche ich auch keine Firewall-Regel, um den Traffic zu blocken.

Grüße,
Torsten

[backslash]

Hi JensK,

Lange Rede, kurzer Sinn: Man könnte die Firewallregeln weiter aufblähen und müsste bei neuen Standorten auch immer daran denken, diese Regeln zu erweitern. Stattdessen überlegen wir, unsere internen Netze alle auf das Tag 1 zu verlegen, damit sie ohne Firewallregel-Aufwand sehr einfach von den Untermieter-Netzen abgeschirmt werden.

Wäre das Vorgehen so denkbar, sodass es dann außer dem Internetzugang keine Netze mehr mit Tag 0 gibt?

genau dazu ist das ARF ja da...

Die Routing-Regeln zu den anderen Standorten würden auch im Tag 1 konfiguriert werden, so dass die Tag-11/12-Netze nicht mehr den Weg ins VPN finden dürften.

korrekt

Wie erfolgt aber die VPN-Konfiguration? Können die die Routing-Tags in der VPN-Verbindungsliste auch auf 1 gestellt werden und findet der Router dann via Tag 0 den Weg ins Internet für die VPN-Verbindung? Ich befürchte, wenn wir das Tag auf 0 stehen lassen, dass dann theoretisch doch die Untermieter ins VPN kommen könnten?

Das Routing-Tag in der Verbindungliste gibt an, über welchen Kontext das entferntre Gateway erreicht werden kann. Da du die Defaultroute weiterhin mit Tag 0 hast, mußt du nichts ändern...
Der Zugang zum VPN selbst wird über die Routing-Tabelle geregelt - und da sehen deine Untermieter keine Routen...


Gruß
Backslash

[JensK]

Hallo zusammen,

vielen Dank für Eure Rückmeldungen.

@tstimper: Es ging tatsächlich um Routing-Tags und nicht um VLAN-Tags, sorry wenn das nicht ganz deutlich war.

Das Routing-Tag in der Verbindungliste gibt an, über welchen Kontext das entferntre Gateway erreicht werden kann. Da du die Defaultroute weiterhin mit Tag 0 hast, mußt du nichts ändern...
Der Zugang zum VPN selbst wird über die Routing-Tabelle geregelt - und da sehen deine Untermieter keine Routen...

Danke! Dann kann ich das Thema ja demnächst angehen

Gruß
Jens