Getrennte Netze - Sicherheit

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

FamVad-97
Beiträge: 28
Registriert: 23 Aug 2021, 13:48

Getrennte Netze - Sicherheit

Beitrag von FamVad-97 »

ich bin von der Fritzbox auf die Lancom 883 VoIP umgestiegen aus Sicherheitsgründen, da wir ein Meßgerät haben, dessen Werte über das Internet abgerufen werden.

Ich möchte das private Netz von dem öffentlich zugänglichen zum Meßgerät trennen.

Ich habe die aktuelle Firmware 10.50 aufgespielt und kann über Lanconfig oder Webbasiert konfigurieren. ETH1-4 ist LAN-1 zugewiesen. An ETH1-2 hängt das Privatnetz und an ETH-4 das Meßgerät.

Wenn ich ETH-4 LAN-2 zuweise, habe ich keine Verbindung mehr zum Internet. Wie bekomme ich Zugang zum Internet? Unter IP-Netzwerke werden folgende 2 angezeigt: INTRANET (Bridge-1) und DMZ (LAN-2).

Ich habe ETH-4 in LAN-1 belassen und auf Private Mode (Datenübertragung zwischen diesem Switch-Port und den anderen unterbinden). Reicht das vielleicht schon aus oder sollte ich weitere Einstellungen vornehmen wegen dem öffentlichen Zugriff?

Ich habe mir das Techpaper Advanced Routing and Forwarding (ARF) und die Anleitung ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellentags (bei Geräten ohne WLAN) (Internetlink am Ende des Textes) angeschaut und versucht, über LANConfig 2 neue Netze einzurichten. Unter IP-Netzwerke konnte ich aber nur ein weiteres zu den beiden bereits bestehenden (INTRANET, DMZ) hinzufügen. In der Anleitung wurden aber sogar 3 neue Netzwerke hinzugefügt und gesagt, man solle INTRANET und DMZ auf keinen Fall löschen. Wieso kann ich nur ein weiteres Netz hinzufügen und nicht mehrere?

https://support.lancom-systems.com/know ... d=32981921
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Getrennte Netze - Sicherheit

Beitrag von backslash »

Hi FamVad-97
Ich möchte das private Netz von dem öffentlich zugänglichen zum Meßgerät trennen.

Ich habe die aktuelle Firmware 10.50 aufgespielt und kann über Lanconfig oder Webbasiert konfigurieren. ETH1-4 ist LAN-1 zugewiesen. An ETH1-2 hängt das Privatnetz und an ETH-4 das Meßgerät.

Wenn ich ETH-4 LAN-2 zuweise, habe ich keine Verbindung mehr zum Internet. Wie bekomme ich Zugang zum Internet? Unter IP-Netzwerke werden folgende 2 angezeigt: INTRANET (Bridge-1) und DMZ (LAN-2).

Ich habe ETH-4 in LAN-1 belassen und auf Private Mode (Datenübertragung zwischen diesem Switch-Port und den anderen unterbinden). Reicht das vielleicht schon aus oder sollte ich weitere Einstellungen vornehmen wegen dem öffentlichen Zugriff?
konfusion über alles.
Du brauchst zwei physikalisch getrennte Netze LAN-1 und LAN-2. LAN-1 weist du dann z.B. den Ethernet-Ports ETH-1 bis ETH-3 zu und LAN-2 dem Port ETH-4
Dann brauchst du zwei ARF-Netze, z.B. "INTRANET" und "MESSNETZ". "INTRANET" bindest du dann an "LAN-1" und "MESSNETZ" an LAN-2
Damit kommen erstmal alle in Internet und können sich auch sehen. Um die Netze voneinander zu trennen vergibst du einfach unterschiedliche Routing-Tags (= Schnittstellen-Tags) für die Netze, z.B. 1 für das "INTRANET" und 2 für das "MESSNETZ"
Ich habe mir das Techpaper Advanced Routing and Forwarding (ARF) und die Anleitung ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellentags (bei Geräten ohne WLAN) (Internetlink am Ende des Textes) angeschaut und versucht, über LANConfig 2 neue Netze einzurichten. Unter IP-Netzwerke konnte ich aber nur ein weiteres zu den beiden bereits bestehenden (INTRANET, DMZ) hinzufügen. In der Anleitung wurden aber sogar 3 neue Netzwerke hinzugefügt und gesagt, man solle INTRANET und DMZ auf keinen Fall löschen. Wieso kann ich nur ein weiteres Netz hinzufügen und nicht mehrere?
Das 883 ist marketingtechnisch berschänkt auf nur 2 Netze (+1 für die Cloudanbindung). Die Vorgaben "INTRANET" und "DMZ" dienen nur als Beipsiel... Natürlich kannst du sie auch löschen und durch andere ersetzen

Gruß
Backslash
FamVad-97
Beiträge: 28
Registriert: 23 Aug 2021, 13:48

Re: Getrennte Netze - Sicherheit

Beitrag von FamVad-97 »

Hallo Backslash,

vielen Dank für die Informationen und Hilfestellung!

“Du brauchst zwei physikalisch getrennte Netze LAN-1 und LAN-2. LAN-1 weist du dann z.B. den Ethernet-Ports ETH-1 bis ETH-3 zu und LAN-2 dem Port ETH-4”

Das habe ich so gemacht. Wenn ich ETH-4 LAN-2 oder LAN-3 zuweise, komme ich nicht mehr ins Internet. Ich verstehe nicht, warum das so ist. Warum ist ein Internetzugang nur mit LAN-1 möglich? Ist das ein technischer Fehler oder fehlt eine Konfiguration?

Unter IP-Netzwerke werden mir ja 2 Netze angezeigt: INTRANET (Bridge-1) und DMZ (LAN-2). Ich habe bei INTRANET die Bridge herausgenommen und durch LAN-1 ersetzt. Das funktioniert. Dann habe ich anstatt LAN-1 LAN-2 eingetragen und musste den Router resetten, da ich keinen Zugriff mehr auf das Gerät hatte.

Ich habe dann nochmal genau im Referenzhandbuch LCOS 9.10 nachgelesen unter 6. Routing und WAN-Verbindungen, aber es bleibt die Frage: Warum funktioniert Internet und Zugriff auf den Router nur über LAN-1 und nicht über LAN-2?

Warum funktioniert Internet, wenn unter IP-Netzwerke bei INTRANET (Bridge-1) eingestellt ist sowohl für LAN-2 als auch LAN-3 zugewiesene Ethernet-Ports und wenn ich bei INTRANET anstatt (Bridge-1) LAN-1 einstelle, dann gibt es über LAN-2/LAN-3 keinen Zugriff mehr auf Router/Internet. Warum ist das so?


Viele Grüße

FamVad
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Getrennte Netze - Sicherheit

Beitrag von C/5 »

Hallo FamVad,

zeige mal einen Screenshot von der Routingtabelle. Falls Du bereits Schnittstellen-Tags entsprechend der Beschreibung von Backslash eingetragen hast, gibt es möglicherweise für LAN1/LAN2 keine Route mehr ins Internet. Oder haben in der Routingtabelle noch alle Einträge das Tag 0?

CU
C/5
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Getrennte Netze - Sicherheit

Beitrag von backslash »

Hui FamVad-97
Dann habe ich anstatt LAN-1 LAN-2 eingetragen und musste den Router resetten, da ich keinen Zugriff mehr auf das Gerät hatte.
natürlich, denn da hast du dir den Ast abgesägt, auf dem du sitzt... Du mußt dann natürlich auch das Netzwerkkabel auf einen ETH-Port umstecken, der LAN-2 zugewiesen ist (hier also ETH-4)

Gruß
Backlsash
FamVad-97
Beiträge: 28
Registriert: 23 Aug 2021, 13:48

Re: Getrennte Netze - Sicherheit

Beitrag von FamVad-97 »

Hallo Backslash

wenn ich über ETH-1 LAN-1 Zugriff auf die Lancom und Internet habe und dann ETH-1 LAN-2 konfiguriere, müsste ich doch weiterhin Zugriff auf die Lancom haben, ohne das Netzkabel umzustecken. Aber nur ETH mit LAN-1 erhalten Zugriff auf den Router. Warum ist das so?

Hallo C/5

ich hänge Screenshots an. Die Tags wurden nicht geändert und sind auf 0

Viele Grüße

FamVad
89CC700A-B66E-4DA1-BD4B-93648EDB836D.jpeg
7CB49292-930C-4D3F-8A8A-AF89DE999467.jpeg
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Getrennte Netze - Sicherheit

Beitrag von C/5 »

Hallo FamVad,

die Routingtabelle sieht soweit brauchbar aus, aber die IP-Netzwerke passen hinten und vorne nicht.
Danke für die Screenshots. Da kommen wir jetzt weiter.

Wie schon gesagt wurde, musst Du nicht an 'DMZ' festhalten, kannst das aber durchaus so umkonfigurieren, dass es für Dein Messnetz taugt. Man kann aber auch 'DMZ' überall löschen, wo es auftaucht und anschließend ganz normal ein Netz mit einer anderen Bezeichnung durchgängig anlegen.

Aber 'Intranet' mit 192.168.178.0 kann nicht gehen. Mit .0 ist es die Adresse des Netzes selbst und nicht die des Gateway. Da gehört etwas zwischen .1 und .254 statt der .0 hin und dass ist dann für angeschlossene Geräte die IP-Adresse des LANCOM = Gateway für das Netz LAN1.

'DMZ' mit 0.0.0.0 geht so auch nicht als 'Messnetz' für LAN2. Für LAN2 musst Du Dir ein zweites IP-Netz überlegen (Class-C = x.x.x.x / 255.255.255.0), das sich von LAN1 unterscheidet. Wenn Du bei den Fritz!Box-typischen IPs bleiben willst, dann vielleicht 192.168.179.x (wieder etwas zwischen .1 und .254 am Ende). Das ist dann die IP Adresse des LANCOM in LAN2 bzw. 'DMZ' und dort das Gateway.

Außerdem ist bei den IP-Netzen das Schnittstellen-Tag noch 0. So sind die beiden Netze noch nicht getrennt. Aber Du kannst trotzdem testen, ob (wenn Du dem Vorschlag von backslash gefolgt bist) auf ETH 1 bis 3 jeweils das LAN1 mit 192.168.178.x anliegt und auf ETH4 das LAN2 mit (entsprechend meinem Beispiel) 192.168.179.x.

Ist das LANCOM auch DHCP und DNS?

CU
C/5
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Getrennte Netze - Sicherheit

Beitrag von backslash »

Hi FamVad
wenn ich über ETH-1 LAN-1 Zugriff auf die Lancom und Internet habe und dann ETH-1 LAN-2 konfiguriere, müsste ich doch weiterhin Zugriff auf die Lancom haben, ohne das Netzkabel umzustecken. Aber nur ETH mit LAN-1 erhalten Zugriff auf den Router. Warum ist das so?
OK, es ist am Ende genau anders herum als du es zunächst beschrieben hast, aber dennoch sägst du dir den Ast ab, auf dem du sitzt, denn du gehst auf das zweite Netz... In dem Fall mußt du zwar nicht das Netzwerkkabel umstecken, aber deinen PC umkonfigurieren, so daß er im zweiten Netz steht (ich rate dir, dich mal etwas mit den Grundlagen von TCP/IP zu beschäftigen)

Wenn das LANCOM in beiden Netzen DHCP-Server ist und dein PC sich seine Adresse per DHCP besorgt und dein PC ein Windows-Rechner ist, dann reicht ein

Code: Alles auswählen

ipconfig /release
ipconfig /renew
auf der "Eingabeaufforderung" des PC um ihn ins andere Netz zu schieben..

Gruß
Backlslsh
FamVad-97
Beiträge: 28
Registriert: 23 Aug 2021, 13:48

Re: Getrennte Netze - Sicherheit

Beitrag von FamVad-97 »

Hallo C/5 und Backslash,

es ist total nett, dass Ihr Euch soviel Mühe macht, zu helfen! Vielen Dank für Deine ausführliche Beschreibung c/5.

Ich kann jetzt vieles besser einordnen und ich habe mich auch weiter belesen, sodass ich mehr mit Router, Gateway und Netzwerkprotokollen anfangen kann.

Ich habe nach dem Reset eine Konfiguration gespeichert, in der nur die Grundeinstullungen, Internetzugang und Voice over IP eingerichtet sind. Diese habe ich jetzt wieder geladen und mich an Backslashs Anweisungen gehalten, wobei ich die Tags noch auf 0 belassen habe, um erst ein,al den ersten Schritt erfolgreich hinzubekommen, was leider immer noch nicht der Fall ist.

[…] Du brauchst zwei physikalisch getrennte Netze LAN-1 und LAN-2. LAN-1 weist du dann z.B. den Ethernet-Ports ETH-1 bis ETH-3 zu und LAN-2 dem Port ETH-4
Dann brauchst du zwei ARF-Netze, z.B. "INTRANET" und "MESSNETZ". "INTRANET" bindest du dann an "LAN-1" und "MESSNETZ" an LAN-2
Damit kommen erstmal alle in Internet und können sich auch sehen. […]
9D0CF8F2-BF34-4525-836B-FB8A3BAEB3EE.jpeg
8A8E5197-FC0D-4B93-9600-00492162E05D.jpeg
DMZ konnte ich nicht umbenennen in MESSNETZ, habe aber die IP-Adresse eingegeben und den Netzwerktyp von DMZ auf Intranet umgestellt. DMZ löschen und Eintrag komplett neu erstellen habe ich (noch) nicht gemacht.

Die Routingtabelle habe ich nicht geändert.
348E7785-701B-4B07-A66C-ACD65DC45B98.jpeg
Ich benutze mein iPad, um über einen LAN-Adapter mit dem kabelgebundenen Netzwerk verbunden zu werden und kann so leicht zwischen LAN-1 und LAN-2 wechseln.

Auf LAN-1 wird eine zum Netzwerk passende IP-Adresse aus 192.168.178.x vergeben. Die Lancom ist webbasiert sowohl über die IP-Adresse von LAN-1 als auch LAN-2 zu erreichen und auch das Internet. Bei Zugang über LAN-2 habe ich dann Webbasiert keinen Zugriff mehr auf die Lancom, wenn ich die dem LAN (Netzwerk) zugehörige IP-Adresse eingebe und ich komme auch nicht ins Internet. Dem iPad wird die IP-Adresse 169.254.x.x vergeben. Im Internet habe ich als Erklärung gefunden, dass diese IP-Adresse vergeben wird, wenn kein DHCP-Server gefunden werden kann.

https://okidk.de/so-beheben-sie-die-ip- ... b-169-254/

Die Lancom ist als DHCP- und DNS-Server konfiguriert worden beim Durchgang durch den Setup-Wizard, wobei ich DHCP-Server in den Grundeinstellungen ausgewählt habe und DNS muss der Wizard selber eingestellt haben.

Muss ich noch irgendwo anders Einstellungen vornehmen?

Viele Grüße

FamVad
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Getrennte Netze - Sicherheit

Beitrag von C/5 »

Hallo VamFad,
Muss ich noch irgendwo anders Einstellungen vornehmen?
Ja, prüfen, ob für LAN-2 auf ETH-4 der DHCP-Server aktiv und eingerichtet ist.

Das ist im Bereich IPv4 > DHCPv4 > Port-Tabelle: ist der DHCP für LAN-2 aktiviert?
Dann IPv4 > DHCPv4 > DHCP-Netzwerke: da muss nicht nur für 'INTRANET' sondern auch für 'DMZ' eine Zeile vorhanden sein. Da Du 'DMZ' umwidmest, wird dazu an dieser Stelle kein oder ein unpassender Eintrag vorhanden sein. Bei den Parametern kannst Du Dich an den Einstellung von 'INTRANET' orientieren, aber (!) natürlich analog passend zum Netz 192.168.179.0 Werte einsetzen.
DMZ konnte ich nicht umbenennen in MESSNETZ,
Vermutlich, weil 'DMZ' noch an einer oder mehreren anderen Stelle(n) eingetragen ist und die Änderung deshalb verhindert wird. Evtl. unter IP-Router > Allgemein > RIP-Netzwerke. Oder auch noch bei NetBIOS > Allgemein > NetBIOS-Netzwerke.

Anschließend wieder mit dem LAN-Adapter für Dein Tablet prüfen, ob an ETH-4 für LAN-2 immer noch eine APIPA-Adresse eingestellt oder eine IP aus dem 192.168.179.0-Netz vom DHCP zugewiesen wird und natürlich, ob dann darüber das Internet zu erreichen ist.

CU
C/5
FamVad-97
Beiträge: 28
Registriert: 23 Aug 2021, 13:48

Re: Getrennte Netze - Sicherheit

Beitrag von FamVad-97 »

Hallo C/5

Super, LAN-2 wird jetzt erkannt und ich habe darüber Internetzugang, herzlichen Dank! DHCP war aktiviert aber unter IPv4 > DHCPv4 > DHCP-Netzwerke fehlte der Eintrag DMZ, den habe ich mit denselben Werten wie Intranet ergänzt und hatte dann Verbindung über LAN-2.

Ich habe dann DMZ den Tag 1 zugewiesen und geprüft, ob die Netzwerke LAN-1 und LAN-2 jetzt voneinander getrennt sind. Über die Router-IP von LAN-1 hatte ich auch keinen Zugriff mehr auf den Webbasierten Login zur Konfiguration, der bei Tag 0 noch vorhanden war. Jedoch kann ich von LAN-1 noch auf den Drucker in LAN-2 zugreifen und drucken. Wie kann ich die Netzwerke vollständig voneinander trennen, sodass von LAN-2 gar kein Zugriff auf LAN-1 mehr möglich ist?

Muss ich vielleicht bei IPv6 noch Änderungen vornehmen? Da ist bei der LAN-Schnittstelle noch BRG-1 eingetragen. Allerdings ist in IPv6 auch nur das Netzwerk INTRANET und nicht DMZ eingetragen.
99211126-C5DB-42A2-ABBF-2DFAF3684A61.jpeg
37FD7DDA-0439-4088-8707-CD630BAEE2CF.jpeg
DMZ konnte ich bisher nicht umbenennen. Unter IP-Router > Allgemein > RIP-Netzwerke und NetBIOS > Allgemein > NetBIOS-Netzwerke gibt es keine Einträge. Gibt es noch einen anderen Ort, wo man den Namen ändern könnte?
46C14BAE-B0BB-4280-8F75-40EF6145D532.jpeg
Viele Grüße

FamVad


P.S

Ist das eigentlich ein Sicherheitsrisiko, dass ich hier Screenshots von den Router-Konfigurationen schicke?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Getrennte Netze - Sicherheit

Beitrag von C/5 »

Hallo FamVad,
.. fehlte der Eintrag DMZ, den habe ich mit denselben Werten wie Intranet ergänzt und hatte dann Verbindung über LAN-2
"denselben"? Du meinst hoffentlich 'mit analog den gleichen' und nicht wirklich mit denselben Daten?
Jedoch kann ich von LAN-1 noch auf den Drucker in LAN-2 zugreifen und drucken. Wie kann ich die Netzwerke vollständig voneinander trennen, sodass von LAN-2 gar kein Zugriff auf LAN-1 mehr möglich ist?
Was macht den der Drucker in LAN-2? Bisher war die Beschreibung so, dass das ein abgeschottetes Netz nur für ein Messgerät sein soll. Zur vollständigen Trennung müsste auch LAN-1 ein Routing- bzw. Schnittstellen-Tag ungleich 0 bekommen. Hatte backslash aber oben bereits so beschrieben.

Jetzt bitte nicht überall alles pauschal von Schnittstellen-Tag 0 wegändern. Mindestens die Route ins Internet muss weiterhin mit dem Schnittstellen-Tag 0 stehen bleiben, damit diese von beiden Netzen LAN-1 und LAN-2 genutzt werden kann.

LAN-1 kann bisher auf Komponenten in LAN-2 zugreifen (vorbehaltlich von Firewallregeln, die das auch verhindern könnten), weil von einem Netz mit Schnittstellen-Tag 0 aus immer in andere Netze geschaut werden kann. Das Schnittstellen-Tag 0 hat in vielerlei Hinsicht eine besondere Rolle.

Die Webkonfig-Oberfläche des Lanom ist übrigens weiterhin aus dem LAN-2 über seine IP (192.168.179.1) in LAN-2 zu erreichen. Es sei denn, Du hast das über eine Einschränkung der Zugriffsrechte aus LAN-2 bereits unterbunden.

Wenn Du die Separierung der Netze LAN-1 und LAN-2 ernsthaft überprüfen willst, braucht es mehr als ein Tablet mit einem LAN-Adapter und ein paar Tests auf Erreichbarkeit der einen oder anderen IP-Adresse. Oder es genügt Dir, dass es nach Umsetzung der Hinweise hier, so sein sollte.
Ist das eigentlich ein Sicherheitsrisiko, dass ich hier Screenshots von den Router-Konfigurationen schicke?
Nein. Warum sollte es? Das sind zwar spezifische Angaben zu Deiner Konfiguration aber so oder so ähnlich in nahezu jedem LANCOM zu finden. Solange Du auf Anonymität achtest (keine Mailadresse, keine öffentliche IP-Adresse, ...) und keine Kennworte nennst, ist nichts los.

CU
C/5
FamVad-97
Beiträge: 28
Registriert: 23 Aug 2021, 13:48

Re: Getrennte Netze - Sicherheit

Beitrag von FamVad-97 »

Hallo C/5
fehlte der Eintrag DMZ, den habe ich mit denselben Werten wie Intranet ergänzt und hatte dann Verbindung über LAN-2
"denselben"? Du meinst hoffentlich 'mit analog den gleichen' und nicht wirklich mit denselben Daten?
Du hattest zuvor geschrieben
Bei den Parametern kannst Du Dich an den Einstellung von 'INTRANET' orientieren, aber (!) natürlich analog passend zum Netz 192.168.179.0 Werte einsetzen.
Ich habe mich an INTRANET orientiert. Dort sind aber alle Werte auf 0. Ich habe deshalb unter IPv4 > DHCPv4 > DHCP-Netzwerke nur DMZ erstellt, aber noch keine Netzspezifischen Daten eingegeben, um nichts falsch zu machen. Wo trage ich hier spezifische Werte ein?

A35C482A-4749-4195-9741-4F662208653B.jpeg
F29605A1-2203-40CA-88CD-1EF74741C046.jpeg
5D21A61F-509F-4C6B-9663-B1080641062B.jpeg
Jedoch kann ich von LAN-1 noch auf den Drucker in LAN-2 zugreifen und drucken. Wie kann ich die Netzwerke vollständig voneinander trennen, sodass von LAN-2 gar kein Zugriff auf LAN-1 mehr möglich ist?
Was macht den der Drucker in LAN-2? Bisher war die Beschreibung so, dass das ein abgeschottetes Netz nur für ein Messgerät sein soll. Zur vollständigen Trennung müsste auch LAN-1 ein Routing- bzw. Schnittstellen-Tag ungleich 0 bekommen. Hatte backslash aber oben bereits so beschrieben.
Da habe ich mich missverständlich ausgedrückt, der Drucker ist in LAN-1 und ich konnte von LAN-2 aus drucken, obwohl LAN-2 ein Tag ungleich 0 hat. LAN-1 hat Tag 0 behalten.
Mindestens die Route ins Internet muss weiterhin mit dem Schnittstellen-Tag 0 stehen bleiben, damit diese von beiden Netzen LAN-1 und LAN-2 genutzt werden kann.
Bedeutet das, dass ich unter IP-Netzwerke Tags ungleich 0 setzen kann, aber in der IPv4 Routing Tabelle die Tags auf 0 belasse? (Vergleich 3. Screenshot meine Nachricht vom 04.Sep.). Sind die IP-Adressen 192.168.0.0 / 172.16.0.0 / 10.0.0.0 standardmäßig in der Lancom voreingestellt? Die Route ins Internet geht über 255.255.255.255?
Die Webkonfig-Oberfläche des Lanom ist übrigens weiterhin aus dem LAN-2 über seine IP (192.168.179.1) in LAN-2 zu erreichen. Es sei denn, Du hast das über eine Einschränkung der Zugriffsrechte aus LAN-2 bereits unterbunden.
Wo schränke ich die Zugriffsrechte ein, in der Firewall?
Wenn Du die Separierung der Netze LAN-1 und LAN-2 ernsthaft überprüfen willst, braucht es mehr als ein Tablet mit einem LAN-Adapter und ein paar Tests auf Erreichbarkeit der einen oder anderen IP-Adresse. Oder es genügt Dir, dass es nach Umsetzung der Hinweise hier, so sein sollte.
Danke für den Hinweis. Ist es sehr aufwändig/kompliziert, die Separierung zu prüfen? Ich würde gerne sichergehen, dass aus LAN-2 NICHT auf LAN-1 zugegriffen werden kann. Aus diesem Grund bin ich von der Fritzbox gewechselt.

Das Messgerät ist ein Stromzähler. Nachdem das Gerät vom Router erkannt wurde, erhielt ich zeitnah eine Nachricht vom Messstellenbetreiber, dass die Verbindung steht und ich die Daten im Internet abrufen kann. Mir ist unklar, ob der Stromzähler die Verbindung zum Messstellenbetreiber hergestellt hat oder umgekehrt und wie das überhaupt möglich ist, da ich LAN-2 ja gar nicht „öffentlich“ (DMZ?) konfiguriert habe, sondern mit den Einstellungen von LAN-1 (INTRANET). Da müsste der Router doch Zugriffe aus dem Internet ablehnen?

Viele Grüße

FamVad


P.S.

Ich versuche, dies auch für die Zukunft zu verstehen, da ich am überlegen bin, ob ich vielleicht ein NAS mit öffentlichem Zugriff einrichte. Das würde ich dann auch über ein getrenntes Netz laufen lassen. Allerdings würde das NAS über keine getrennte Netzwerkleitung verfügen, sondern sich im LAN-1 befinden. Wenn ich das aber richtig verstanden habe, lassen sich hier weitere Netze durch die Einrichtung von VLAN voneinander trennen. Geht das bei der Lancom883 VoIP oder ist das auch marketingtechnisch beschränkt?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Getrennte Netze - Sicherheit

Beitrag von C/5 »

Hallo FamVad,
Ich habe mich an INTRANET orientiert. Dort sind aber alle Werte auf 0. Ich habe deshalb unter IPv4 > DHCPv4 > DHCP-Netzwerke nur DMZ erstellt, aber noch keine Netzspezifischen Daten eingegeben, um nichts falsch zu machen. Wo trage ich hier spezifische Werte ein?
Nun ja, *seufz*. Also das was da in den Screenshots zur DHCP-Konfiguration zu sehen ist, findet sich so normalerweise nicht als Standardkonfiguration. Das die vorhanden ist, davon ging ich aber aus. Was sehen wir denn da? Die DHCP-Konfiguration von 'INTRANET' oder die von 'DMZ'. Wenn 'DMZ' kommt's vielleicht ja vom Umbau zu einem normalen Netz, dass nur noch 'DMZ' benannt ist. Es sollte schon pro Netz eine Zeile da sein und darin natürlich auch Werte passend für das betreffende Netz, damit die passenden IP-Adressen an Clients zugewiesen werden können.

Ich arbeite nicht über das Web-GUI, sondern mit der Software LANconfig. Zudem sieht das Web-GUI bei meiner aktuell noch eingesetzten 10.34er FW etwas anders aus, als Deine Screenshots. Oder gehst Du da gar über die Lancom Management Cloud drauf? Hier jedenfalls, wie es in LANconfig z. B. in meiner Konfiguration an der Stelle aussieht:
DHCP pro Netz.jpg
Den rot markierten Teil musst Du sinngemäß für Dein LAN-2 aka 'DMZ' umsetzen. Etwa 'Erste Adresse' 192.168.179.50', 'Letzte Adresse 192.168.179.60' (je nach dem wie viele IP-Adressen Du in dem Netz brauchst), Netzmaske 255.255.255.0, 'Standard-Gateway' und ' Erster DNS' = IP Adresse des LANCOM in dem betreffenden Netz, bei Dir also 192.168.179.1. Die entsprechenden Felder sind auch über das Web-GUI zugänglich, wie Deine Screenshots zeigen.

Sollte die Konfiguration für 'INTRANET' aka LAN-1 auch so unvollständig sein, müsstest Du auch da noch Hand anlegen. Dann logischerweise alle mit 192.168.178.x
Da habe ich mich missverständlich ausgedrückt, der Drucker ist in LAN-1 und ich konnte von LAN-2 aus drucken, obwohl LAN-2 ein Tag ungleich 0 hat. LAN-1 hat Tag 0 behalten.
Ok. Die möglichst präzise Beschreibung des Sachverhalts ist oftmals hilfreich :wink:
Wenn Du (mit was für einem Gerät?) aus LAN-2 auf dem Drucker in LAN-1 etwas ausdrucken konntest, gibt's dafür einen anderen Grund als das bereits gesetzte Schnittstellen-Tag.

Ich weiß nicht recht, ob das mit dem Tablet + LAN-Adapter zum Testen solcher Sachen wirklich eine praktikable Idee ist. Wenn Tablet, dann stelle zumindest sicher, dass WLAN aus und es ebenfalls aus dem Mobilnetz ausgebucht ist. Sonst geht Dein Druck evtl. über ePrint, Wifi-Direct oder irgendeinen anderen Weg via Cloud zum Drucker. Außerdem musst Du wirklich die bezogene IP-Adresse für den LAN-Adapter nachvollziehen und kannst nicht schon einen Haken dahinter machen, nur weil es eine Internetseite erreicht oder etwas auf einem Drucker druckt.
Bedeutet das, dass ich unter IP-Netzwerke Tags ungleich 0 setzen kann, aber in der IPv4 Routing Tabelle die Tags auf 0 belasse?
Ja. Siehe auch die von Dir eingangs verlinkte Anleitung aus dem Knowledgebase-Artikel von Lancom.
Sind die IP-Adressen 192.168.0.0 / 172.16.0.0 / 10.0.0.0 standardmäßig in der Lancom voreingestellt?
Ja. Diese Einträge verhindern, dass die s. g. privaten Netzwerke ins Internet geroutet werden. Selbst wenn, weiter als bis zum nächsten Router extern würden die auch nicht kommen, da diese Adressen nicht im Internet geroutet werden.
Die Route ins Internet geht über 255.255.255.255?
Ja.
Wo schränke ich die Zugriffsrechte ein, in der Firewall?
Kannst Du das vielleicht erst mal zurückstellen? Der Zugriff ist über ein Kennwort geschützt (ist er doch, oder?) und solange Dein Szenario nicht rund läuft, sollte es nicht durch solche Nebenschauplätze weiter verkompliziert werden.
Danke für den Hinweis. Ist es sehr aufwändig/kompliziert, die Separierung zu prüfen?
Das kann beliebig kompliziert werden. Auch das würde ich an Deiner Stelle erst mal gedanklich zur Seite schieben und vielleicht später in einer neuen Anfrage noch mal thematisieren. Du verzettelst Dich ansonsten in der Materie. Ist natürlich nur meine Meinung dazu.
Mir ist unklar, ob der Stromzähler die Verbindung zum Messstellenbetreiber hergestellt hat oder umgekehrt und wie das überhaupt möglich ist, da ich LAN-2 ja gar nicht „öffentlich“ (DMZ?) konfiguriert habe,
Wie jedes dieser lustigen IoT-Geräte, machen die das ungefragt selbständig, sobald das Internet anliegt. Mindestens zwischenzeitlich hat das Netz, was bei Dir immer noch 'DMZ' benannt ist, aber nicht mehr die Funktion 'DMZ' abbildet, Internetzugang und somit meldete sich der Zähler auch bei seinen Chefs.
Ich versuche, dies auch für die Zukunft zu verstehen, ..
Gut.
.. da ich am überlegen bin, ob ich vielleicht ein NAS mit öffentlichem Zugriff einrichte.
Üble Idee. Selbst in einem weiteren separaten Netz sind die Dinger nicht sicher zu betreiben (mMn) und ich kann Dir nur von solchen Experimenten mit Deinen Daten abraten. Einzige sinnvolle sichere Option: per VPN einwählen und so auf das NAS von extern zugreifen. Auch das: anderes Thema .. ggf. neue Fragestellung aufmachen, wenn die Basics laufen.
.. , lassen sich hier weitere Netze durch die Einrichtung von VLAN voneinander trennen.
Schon, das geht mit VLANs. Aber nicht alleine mit VLANs. Da braucht es weitere geeignete Netzwerkhardware und das ist dann auch noch mal 3 Tacken herausfordernder mit dem LANCOM als Deine aktuelle Fragestellung. Aber ja, ein 883 VoIP kann auch VLAN.

Wenn Du richtig Spaß an der Netzwerk-Thematik hast und Dich unter ordentlich Zeiteinsatz weiter in die Lancom-Denkweise einarbeiten + kontinuierlich dran bleiben möchtest, dann nur zu. Ist aber noch ein Stück Weg, was da vor Dir liegt.

CU
C/5
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Getrennte Netze - Sicherheit

Beitrag von backslash »

Hi C/5

FamVad kann seine DHCP-Konfiguration schon so lassen, wie er sie gepostet hat, denn
  • wenn "Erste Adresse" und "Letzte Adresse" 0.0.0.0 sind, dann nimmt das LANCOM alle Adressen des jeweiligen Netzes in den Pool.
  • wenn "Netzmaske" 0.0.0.0 ist, dann nimmt das LANCOM die unter IPv4 -> Allgemein -> IP-Netzwerke für das jeweilige Netz angegebene Netzmaske
  • wenn "Broadcast" 0.0.0.0 ist, dann bildet das LANCOM aus seiner eigenen Adresse im jeweiligen Netz und der wie oben bestimmten Netzmaske die Broadcast-Adresse
  • wenn "Standard-Gateway" 0.0.0.0 ist, dann nimmt das LANCOM seine eigene Adresse im jeweiligen Netz
  • wenn "Erster DNS" 0.0.0.0 ist, dann nimmt das LANCOM seine eigene Adresse im jeweiligen Netz
Gruß
Backslash
Antworten