Getrennte Netze - Sicherheit

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

FamVad-97
Beiträge: 28
Registriert: 23 Aug 2021, 13:48

Re: Getrennte Netze - Sicherheit

Beitrag von FamVad-97 »

Hallo C/5,

ganz herzlichen Dank für die ausführliche Antworten und hilfreiche Unterstützung!

Ich werde mich bemühen, bei den Basics zu bleiben und das Ganze in Reihenfolge anzugehen. Ich stimme Dir da vollkommen zu.

Ich habe mir heute die Wikipedia Artikel zu IP-Adressen, Netzmaske und CIDR durchgelesen, was sowohl eine Herausforderung als auch eine Offenbarung war. Damit kann ich die Einträge in der IPv4 Routing-Tabelle (Screenshot 3 vom 4.Sep) so ziemlich vollständig nachvollziehen. Die Verinnerlichung wird noch dauern.

Wenn ich Backslash richtig verstehe, ist 0.0.0.0 ein Platzhalter, in dem die Lancom bereits vorhandene/konfigurierte Werte eigenständig eingeben kann. Will ich als Administrator das anders haben, gebe ich hier meine Werte ein, muss aber auch aufpassen, was ich da eingebe, um keine widersprüchlichen Angaben zu bereits vorhandenen Werten zu erzeugen.
Ich arbeite nicht über das Web-GUI, sondern mit der Software LANconfig. Zudem sieht das Web-GUI bei meiner aktuell noch eingesetzten 10.34er FW etwas anders aus, als Deine Screenshots. Oder gehst Du da gar über die Lancom Management Cloud drauf?
Ich habe zwischenzeitlich auch LanConfig verwendet, aber beim 10.50 Web-GUI konnte ich bisher alle Einstellungen vornehmen. Einschränkungen sind mir noch nicht aufgefallen. Da ich primär am iPad arbeite, benutze ich LanConfig kaum, kann aber bei Bedarf auch Screenshots/Fotos aus der LanConfig anhängen oder Anleitungen über die LanConfig ausführen. Lancom Management Cloud habe ich nicht aktiviert (ist das ein kostenpflichtiges Angebot?)
Den rot markierten Teil musst Du sinngemäß für Dein LAN-2 aka 'DMZ' umsetzen. Etwa 'Erste Adresse' 192.168.179.50', 'Letzte Adresse 192.168.179.60' (je nach dem wie viele IP-Adressen Du in dem Netz brauchst), Netzmaske 255.255.255.0, 'Standard-Gateway' und ' Erster DNS' = IP Adresse des LANCOM in dem betreffenden Netz, bei Dir also 192.168.179.1. Die entsprechenden Felder sind auch über das Web-GUI zugänglich, wie Deine Screenshots zeigen.
Vielen Dank! Ich könnte also anstatt 0.0.0.0 auf eine/wenige IP-Adressen begrenzen, falls das empfehlenswert ist, da ich nur das eine Messgerät im Netz habe.
Wenn Tablet, dann stelle zumindest sicher, dass WLAN aus und es ebenfalls aus dem Mobilnetz ausgebucht ist. Sonst geht Dein Druck evtl. über ePrint, Wifi-Direct oder irgendeinen anderen Weg via Cloud zum Drucker. Außerdem musst Du wirklich die bezogene IP-Adresse für den LAN-Adapter nachvollziehen und kannst nicht schon einen Haken dahinter machen, nur weil es eine Internetseite erreicht oder etwas auf einem Drucker druckt.
Mobilfunk und WLAN sind definitiv aus. Die Verbindung ist über WLAN. Ich benutze die LAN-Verbindung vom Messgerät. Wenn ich das Netzwerkabel aus dem Verbindungsweg zum Messgerät trenne, geht das Lämpchen für ETH-4 an der LanCom aus. Es geht dann wieder an, wenn ich an das Netzwerkabel das iPad anschließe und ich kann am iPad über Einstellungen - LAN sehen - dass diesem ein IP-Adresse zugewiesen wird aus dem LAN-2 zugehörigen Netz (192.168.179.x). Trotzdem wird bei einem Druckbefehl der Drucker aus LAN-1 (192.168.178.x) angezeigt und es kann auch ausgedruckt werden. Das geht, obwohl die beiden Netze durch Tag 1 in LAN-2 voneinander getrennt sein müssten. Warum ist das möglich?
Ja. Diese Einträge verhindern, dass die s. g. ‪privaten Netzwerke‬ ins Internet geroutet werden. Selbst wenn, weiter als bis zum nächsten Router extern würden die auch nicht kommen, da diese Adressen nicht im Internet geroutet werden.
Danke!
Wo schränke ich die Zugriffsrechte ein, in der Firewall?
Kannst Du das vielleicht erst mal zurückstellen? Der Zugriff ist über ein Kennwort geschützt (ist er doch, oder?)
Gibt es neben dem Login-Passwort noch ein extra Passwort zum Schutz der Firewall?
Wie jedes dieser lustigen IoT-Geräte, machen die das ungefragt selbständig, sobald das Internet anliegt. Mindestens zwischenzeitlich hat das Netz, was bei Dir immer noch 'DMZ' benannt ist, aber nicht mehr die Funktion 'DMZ' abbildet, Internetzugang und somit meldete sich der Zähler auch bei seinen Chefs.
Die Messstelle übermittelt Daten an den Betreiber. Hat der Betreiber auch Zugriff auf die Messstelle und kann an dieser Veränderungen vornehmen oder unterbindet die Firewall vom Router den Zugriff über das Internet? Falls ja, hat der Messstellenbetreiber so wie ich (über das iPad eben beschrieben) auch Zugriff auf den Drucker im eigentlich von LAN-2 getrennten Netz LAN-1 oder gibt es da einen Unterschied?

Viele Grüße

FamVad


P.S.
da ich am überlegen bin, ob ich vielleicht ein NAS mit öffentlichem Zugriff einrichte.
Üble Idee. Selbst in einem weiteren separaten Netz sind die Dinger nicht sicher zu betreiben (mMn) und ich kann Dir nur von solchen Experimenten mit Deinen Daten abraten. Einzige sinnvolle sichere Option: per VPN einwählen und so auf das NAS von extern zugreifen. Auch das: anderes Thema .. ggf. neue Fragestellung aufmachen, wenn die Basics laufen.
.. , lassen sich hier weitere Netze durch die Einrichtung von VLAN voneinander trennen.
Schon, das geht mit VLANs. Aber nicht alleine mit VLANs. Da braucht es weitere geeignete Netzwerkhardware und das ist dann auch noch mal 3 Tacken herausfordernder mit dem LANCOM als Deine aktuelle Fragestellung. Aber ja, ein 883 VoIP kann auch VLAN.
Vielen Dank für die Informationen! Manchmal macht es Sinn, Nebenthemen einzuflechten. Um die Übersicht nicht zu verlieren, hänge ich das dann möglichst als P.S. an.

NAS ist damit schon mal abgehakt (ggf. irgendwann neue Fragestellung)
VPN (ggf neue Fragestellung sobald nötig und ich nicht selber löse)
VLAN (abgehakt, LanCom 883 reicht aus, ggf Zukunftsthema, im Moment nicht notwendig)
Wenn Du richtig Spaß an der Netzwerk-Thematik hast und Dich unter ordentlich Zeiteinsatz weiter in die Lancom-Denkweise einarbeiten + kontinuierlich dran bleiben möchtest, dann nur zu. Ist aber noch ein Stück Weg, was da vor Dir liegt.
Interesse habe ich auf jeden Fall! Zeit wird ein Problem sein. Die Beschäftigung mit der Lancom, den Antworten hier im Forum, das Erarbeiten der Fragestellungen und das sich daraus ergebende Nachlesen im Internet haben mir einen Zugang zu dem Verständnis für die Grundlagen des Datenaustausches im Netzwerk und Internet vermittelt. Das war für mich bisher ein Buch mit 7 Siegeln. Vielen Dank für die Unterstützung hier im Forum, das hat mir beim Eintritt in diese erstaunliche Welt sehr geholfen!
FamVad-97
Beiträge: 28
Registriert: 23 Aug 2021, 13:48

Re: Getrennte Netze - Sicherheit

Beitrag von FamVad-97 »

Linksammlung Grundverständnis

Die folgenden Internetseiten haben mir beim Verstehen sehr geholfen. Ich teile das hier mal mit. Vielleicht ist es für den einen oder anderen hilfreich, der/die sich wie ich in die Materie einarbeitet.

Gateway

https://de.wikipedia.org/wiki/Gateway_(Informatik)

WAN - Wide Area Network

https://de.wikipedia.org/wiki/Wide_Area_Network

Internetprotokollfamilie

https://de.wikipedia.org/wiki/Internetprotokollfamilie

IP address

https://en.wikipedia.org/wiki/IP_address

Netzmaske

https://de.wikipedia.org/wiki/Netzmaske

CIDR - Classless Inter-Domain Routing

https://de.wikipedia.org/wiki/Classless ... in_Routing



Noch ungelesen:

Dynamic Host Configuration Protocol

https://de.wikipedia.org/wiki/Dynamic_H ... n_Protocol

MAC-Adresse

https://de.wikipedia.org/wiki/MAC-Adresse
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Getrennte Netze - Sicherheit

Beitrag von backslash »

Hi FamVad-97
Wenn ich Backslash richtig verstehe, ist 0.0.0.0 ein Platzhalter, in dem die Lancom bereits vorhandene/konfigurierte Werte eigenständig eingeben kann. Will ich als Administrator das anders haben, gebe ich hier meine Werte ein, muss aber auch aufpassen, was ich da eingebe, um keine widersprüchlichen Angaben zu bereits vorhandenen Werten zu erzeugen.
korrekt...
Einschränkungen sind mir noch nicht aufgefallen.
Einschränkungen gibt es bei der Firewall-Konfiguration - die ist in LANcomnfig komfortabler als in der WEB-GUI
Trotzdem wird bei einem Druckbefehl der Drucker aus LAN-1 (192.168.178.x) angezeigt und es kann auch ausgedruckt werden. Das geht, obwohl die beiden Netze durch Tag 1 in LAN-2 voneinander getrennt sein müssten. Warum ist das möglich?
wird der Drucker denn mit seiner IP-Adresse angezeigt oder nur mit dem Namen? Wie C/5 schon schrieb läuft gerade bei Tablets das Drucken oft nicht im direkten IP-Kontakt, sondern über einen Server des Druckerherstellers im Internet...
Das klannst du aber auf der Kommandozeile (CLI) des LACOMs mit einem IP-Router-Trace prüfen:

logge dich per SSH auf dem LANCOM ein, gib

Code: Alles auswählen

trace # ip-router
ein und drucke vom Tablet aus... Dann wirst du wahrscheinlich keinen direkten Kontakt zwischen 192.168.179.x und 192.168.178.x sehen...

Aber achte darauf, daß sonst nichts über das LANCOM läuft (vor allem keine "dicken" Downloads), denn sonst müllt dich der Trace so zu, daß du das wichtige nicht mehr siehst...
Gibt es neben dem Login-Passwort noch ein extra Passwort zum Schutz der Firewall?
nein - wenn du auf dem Gerät eingeloggt bist hast du Zugriff auf alles.
Der Zugriff auf die Konfiguration kann über Management -> Admin -> Gerätezugtriff, Zugriffseintellungen -> Zugriffs-Stationen gesteuert werden. Wenn die Liste lees ist, hat jeder Zugriff auf das Gerät. Wenn du dort mindestens ein Netzwerk einträgst, dann haben nur noch Adressen aus diesem Netzwerk Zugriff. Aber sei vorsichtig - du kannst dich damit komplett ausperren und mußt dann per seriellem Kabel auf die Kommandozeile (CLI), um das zu korrigieren. Auf dem CLI findest du die Einstellung unter /Setup/TCP-IP/Access-List

Aber wie C/5 schon gesagt hat: ein sicheres Paßwort sollte ausreichend sein - und außerdem ist das eine nachgeordnete Baustelle
Hat der Betreiber auch Zugriff auf die Messstelle und kann an dieser Veränderungen vornehmen oder unterbindet die Firewall vom Router den Zugriff über das Internet?
Die Firewall unterbindet erstmal gar nichts - das muß du schon passend konfigurieren. Aber solange du keine Portforwardings für das Meßgerät eingerichtet hast hilft, dir die Maskierung (NAT) der Internetverbindung, denn die läßt nur Sessions von "innen" nach "aussen" zu. Und wenn das Meßgerät eine Session zm Betreiber aufbaut, dann kan der über die Session natürlich auch auf das Meßgerät zugreifen - da kann auch die beste Firewall nichts dran ändern...

Das ist letztednlich wie mit den Druckern und den Tablets.. Die Drucker verbindden sich zum Server ihres Herstellers im Internet und der Druckertreiber auf dem Tablet auch... So kann dann das Tablet über diesen Server auf dem Drucker drucken...

Gruß
Backslash
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Getrennte Netze - Sicherheit

Beitrag von C/5 »

Hallo Backslash,

so einen Mechanismus bei Belassen von 0.0.0.0 hatte ich vermutet, aber da ich das in meinen Szenarien so noch nie genutzt habe und ich auch nicht konkret erinnere, das in der Dokumentation schon mal explizit gelesen zu haben, wollte ich mich mit meiner Hilfestellung auch nicht dahin begeben (denn dann hätte ich das vorher noch nachstellen wollen, um keinen Mist zu verzapfen), sondern auf mir bekanntem Terrain bleiben. Irgendwo steckt ja immer noch ein Knoten in der Konfiguration von FamVad, so dass mein Ansatz eher 'relevante Punkte abfragen und dann möglichst konkret konfigurieren' ist.

Danke für Deine Erläuterungen. Solche Informationen sind ein Grund, weshalb ich hier oft, zwar nur still, mitlese.

C/5
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Getrennte Netze - Sicherheit

Beitrag von C/5 »

Hallo FamVad,

kleine Ergänzung dazu:
Will ich als Administrator das anders haben, gebe ich hier meine Werte ein, muss aber auch aufpassen, was ich da eingebe, ...
Genau.
Als Admin will man ein betreutes Netzwerk eigentlich fast immer auch gestalten - weil es die Administration anschließend erleichtert. Dazu passt die komplette Freigabe des IP-Bereichs eines Class-C Netzes als DHCP-Range nur bedingt. Eigentlich hat man immer Devices, denen man eine statische IP konfigurieren möchte (einem NAS z. B. :D ). Da kann man zwar auch mit DHCP-Reservierungen arbeiten, aber in meiner Praxis hat sich mehr bewährt, den DHCP-Adressbereich und den Bereich statisch konfigurierter IP-Adressen zu trennen. Klarer Vorteil für kleine und Kleinst-Netzwerke mit statisch konfigurierten IPs ist halt, man weiß dann, unter welcher IP ein Gerät zu erreichen ist und muss sich nicht erst mittels DHCP-Lease-Tabelle oder IP-Scanner rausfischen, wo die denn nun sitzen. Außerdem besteht bei DHCP ohne Reservierung auch mal die gute Chance, dass die DHCP-Clients nach einem Neustart des DHCP-Servers ganz andere IPs bekommen - das macht dann u. U. diverse Konfigurationen erst mal unbrauchbar, bis man überall nachkonfiguriert hat. Aber es gibt sicher auch andere Sichtweisen dazu.
Ich habe zwischenzeitlich auch LanConfig verwendet, aber beim 10.50 Web-GUI konnte ich bisher alle Einstellungen vornehmen.
Das wollte ich nicht so verstanden wissen, dass LANconfig die bessere Wahl wäre oder so. Ich kann halt keine Screenshots liefern, die dem entsprechen würden, was Du vor Dir am Bildschirm siehst. Es gibt gute Gründe für die Web-GUI, aber auch ebenso gute Gründe für LANconfig.
Lancom Management Cloud habe ich nicht aktiviert (ist das ein kostenpflichtiges Angebot?)
Ja, ist kostenpflichtig und gar nicht mal so günstig, finde ich. Lohnt sich eigentlich auch erst von der Sinnhaftigkeit, wenn man viele Geräte managen muss. Für ein einzelnes Gerät eher nicht. Meiner Meinung nach.
Mobilfunk [..] Die Verbindung ist über WLAN. [..] Trotzdem wird bei einem Druckbefehl der Drucker aus LAN-1 (192.168.178.x) angezeigt und es kann auch ausgedruckt werden. Das geht, obwohl die beiden Netze durch Tag 1 in LAN-2 voneinander getrennt sein müssten. Warum ist das möglich?
WLAN? Woher? Ist das WLAN-Modul im 883 VoIP aktiviert?

Ergänzung zum Tipp von Backslash
logge dich per SSH auf dem LANCOM ein, gib ...
SSH-Verbindungen unter Windows kann man mit Putty herstellen. Zum Download würde ich heise.de und da 'heise Download' empfehlen. Da wird die Software nicht mit einem Installer eingewickelt, der noch ganz andere Dinge unerwünscht mitinstalliert, wenn man nicht aufpasst.

Um nun in der eigentlichen Fragestellung weiterzukommen brauchen wir, glaube ich, eine Beschreibung oder Skizze der Infrastruktur da bei Dir. Welche Geräte sind wie miteinander verbunden. Wenn LAN-2 das Tag 1 hat und trotzdem aus LAN-2 immer noch ein Zugriff auf die IPs von LAN-1 möglich ist, dann geht das entweder hintenrum - wie schon geschrieben - und nicht durch das LANCOM oder die Verkabelung ist vielleicht so, dass die Netztrennung im LANCOM wieder aufgehoben wird. Das 883 VoIP hat einen 4-Port Switch eingebaut. Kommst Du mit den Anschlüssen hin oder gibt es in Deinem Netzwerk auch noch einen weiteren Switch? Ansonsten bleibt eingentlich nur noch, alle Einstellungen noch mal Schritt-für-Schritt abzugleichen.

CU
C/5
FamVad-97
Beiträge: 28
Registriert: 23 Aug 2021, 13:48

Re: Getrennte Netze - Sicherheit

Beitrag von FamVad-97 »

Hallo Backslash, Hallo C/5

vielen Dank für die ausführlichen Antworten und Informationen. Es kann sein, dass ich etwas länger brauche, um Eure Empfehlungen einzuarbeiten, da ich nicht ganz so viel Zeit habe, mich mit der LanCom zu beschäftigen wie die letzten Tage.
Die Verbindung ist über WLAN
Arrgh, dämonischer Tippfehler trotz Korrekturlesens! DIE VERBINDUNG IST ÜBER LAN

Ich habe das Testszenario erweitert:
Kein Mobilfunk (iPad)
Kein WLAN (Lancom, Drucker, iPad WLAN aus)

iPad LAN-2 (Tag1)
Drucker LAN-1 (Tag0)

A) Netzwerkabel vom Drucker entfernt => Druckbefehl vom iPad wird nicht ausgeführt, Drucker wird gesucht
B) Netzwerkabel zum Drucker wieder eingesteckt => Druckbefehl vom iPad wird ausgeführt
C) DSL-Leitung zur Lancom entfernt (kein Internetzugang) => Druckbefehl vom iPad wird ausgeführt

Damit wäre doch ausgeschlossen, dass iOS-Gerät und Drucker über Funk oder Internet eine Verbindung herstellen, oder?

D) Möglich wäre vielleicht eine Verbindung über IPv6. Hier ist BRG-1 eingestellt. Angezeigt ist nur INTRANET. Das Messnetz (DMZ) wurde bisher nicht zugefügt. Wechsel der Einstellung BRG-1 zu LAN-1 bringt keine Änderung => Druckbefehl vom iPad wird ausgeführt
wird der Drucker denn mit seiner IP-Adresse angezeigt oder nur mit dem Namen?
Das iPad zeigt den Drucker mit seinem Namen, anders ist mir das bei iOS-Geräten bisher nicht aufgefallen.
dann geht das entweder hintenrum - wie schon geschrieben - und nicht durch das LANCOM oder die Verkabelung ist vielleicht so, dass die Netztrennung im LANCOM wieder aufgehoben wird. Das 883 VoIP hat einen 4-Port Switch eingebaut. Kommst Du mit den Anschlüssen hin oder gibt es in Deinem Netzwerk auch noch einen weiteren Switch?
Die Leitung vom Messgerät ist eine Einzelleitung (1 Kabel ohne Abzweigung) und ist mit ETH-4 verbunden (LAN-2). LAN-1 geht über ETH-1 bis ETH-3 und hat auch mehrere Hubs/Switches (Ich kann momentan nicht genau sagen, ob Hub, Switch oder beides).
Ansonsten bleibt eingentlich nur noch, alle Einstellungen noch mal Schritt-für-Schritt abzugleichen.
Habt Ihr eine Empfehlung, welche Einstellungen ich neben IP-Netzwerke, DHCP Netzwerke, IPv4 Routing-Tabelle, Schnittstellen noch überprüfen kann/sollte. Wo fange ich am besten an?

Soviel vorab. SSH schaue ich mir an und zu Euren weiteren Anmerkungen antworte ich noch.

Viele Grüße

FamVad
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Getrennte Netze - Sicherheit

Beitrag von backslash »

Hi FamVad
Das iPad zeigt den Drucker mit seinem Namen, anders ist mir das bei iOS-Geräten bisher nicht aufgefallen.
das spricht dafür, daß das Ganze über die Bridge läuft... denn wenn das iPad den Namen sieht, dann ist da Bonjoiur (bzw. da es ja Apple ist: Rendezvouz) gelaufen. Das geht über Multicasts und kann somit erstmal nicht über einen Router funktionieren, denn damit es über den Router funktioniert, müßtest du den Bonjour-Proxy (unter Multicast -> Bonjour) konfigurieren.
Also bleibt nur der Weg über die Bridge und da hat das 883 ja LAN-1 und LAN-2 in BRG-1. Setze mal für LAN-2 die Bridge-Gruppe auf "keine" - im LANconfig unter Schnittstellen -> LAN -> LAN-Bridge -> Port-Tabelle.

ich frage mich eh, wieso da im Default nicht nur LAN-1 und das WLAN drin sind, aber das steht auf einem ander Blatt... Prinzipiell solltest du für LAN-2 UND LAN-3 die Bridge-Gruppe auf "keine" setzen - damit du nicht später nochmal in das Problem rennst, falls du ein drittes LAN aufspannen willst...

Gruß
Backslash
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Getrennte Netze - Sicherheit

Beitrag von C/5 »

Hallo Backslash,

aber wenn sich seit dem Beitrag vom 03.09. 00:30 das nicht geändert hat, dann steht LAN-1 an BRG-1 und LAN-2 an 'keins', also LAN-2 für sich. Der Screenshot vom 04.09. 04:25 zeigt die Zuordnung LAN-1 / LAN-2, also gar keine Bridge-Gruppe. Ob das so geblieben ist oder nur testweise, weiß ich natürlich nicht. Ich finde bei Durchsicht aller Beiträge keinen Anhaltspunkt, das LAN-1 und LAN-2 in einer Bridge-Gruppe wären. Aber es war auch noch keine ganze Port-Tabelle zu sehen, aus der das hervorgehen könnte.
Setze mal für LAN-2 die Bridge-Gruppe auf "keine" - im LANconfig unter Schnittstellen -> LAN -> LAN-Bridge -> Port-Tabelle.
Genau das Szenario (*1 habe ich spasseshalber heute Vormittag mal nachgestellt (weil ich bis jetzt davon ausgehe, dass das bei FamVad auch so konfiguriert ist, siehe oben). Daraus habe ich zwei Ergebnisse bestätigt gefunden:

1. Sobald man unter IP-Netzwerke 'DMZ' / LAN-2 ein Schnittstellen-Tag 1 gibt, findet keine Kommunikation mehr von LAN-2 nach LAN-1 statt und
(^ das ist eigentlich wie erwartet und wie es sein sollte)

2. aber eben auch, dass ohne das Schnittstellen-Tag trotz LAN-2 + Bridge-Gruppe 'keine', Kommunikation zwischen LAN-2 und LAN-1 möglich ist.

Ich hatte mir schon die Frage zurechtgelegt, wie LAN-2, dass zu keiner Bridge-Gruppe gehört und LAN-1 / BRG-1 sich finden. Der Hilfetext im LANconfig verneint das an der Stelle. Auch das Interface-Schema verstehe ich so, dass das logische LAN-2 ohne BRG-1 eigentlich nicht mit LAN-1 / BRG-1 kommunizieren sollte. Wahrscheinlich wohl über ARF / wenn beide Schnittstellen-Tags 0 sind, wo sich die Wege nochmals kreuzen?
Lancom ETH zu Netz Schema.PNG
CU
C/5

*1) Bedingt genau, da ich hier weder ein iPAD noch einen per Bonjour angebundenen Drucker habe. Als Testgerät musste ein alter 1821n herhalten. Das Verhalten hinsichtlich der ETH-LAN-BRG-ARF-Netz-Zuordung sollte aber taugen.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
FamVad-97
Beiträge: 28
Registriert: 23 Aug 2021, 13:48

Re: Getrennte Netze - Sicherheit

Beitrag von FamVad-97 »

Ganz herzlichen Dank für die weitere Aufklärung. Da hast Du Dir ja richtig viel Arbeit gemacht, meine Konfiguration nachzustellen C/5! Ich bin sehr beeindruckt von dem Engagement, dass Ihr beide hier einbringt!

Bei den Detailinformationen komme ich im Moment nicht hinterher, werde das aber Stück für Stück nachholen. So gebe ich auch heute nur Informationen zu eigenen weiteren Überlegungen und Testungen.

Ich glaube, ich kann das Problem etwas weiter eingrenzen. Der Drucker scheint tatsächlich eine Sonderstellung einzunehmen. Ich habe jetzt mal ein NAS (Synology) getestet, da ich das auch über LAN und iPad ansteuern kann.

Außerdem habe ich ein drittes Netz erstellt (MESSNETZ, LAN-3), mit ETH-3 verknüpft und auf Tag0 belassen. Die Synology ist in LAN-1 (Tag0). Zugriff auf die Synology ist möglich über LAN-1 und LAN-3 (Tag0), aber NICHT! über LAN-2 (Tag-1). In der Suche wird die Synology zwar gefunden, aber es kann keine Verbindung hergestellt werden. Beim Drucker WIRD! aber unter den gleichen Bedingungen eine Verbindung hergestellt und es kann ausgedruckt werden. Synology => Netztrennung / Drucker => keine Netztrennung.

Ich habe testweise LAN-1 mit Tag2 versehen und konnte trotzdem von LAN-2 (Tag-1) auf den Drucker zugreifen. Auch die Einstellung Private Mode an ETH-4 (LAN-2) hat daran NICHTS! geändert.

Die Einstellungen scheinen also soweit richtig zu sein. Irgendwo sind dann wohl Einstellungen, die einen Zugriff auf den Drucker trotz getrennten Netzwerken erlaubt. Ich habe mich über den Bonjour Service (Apple) und die weiteren Möglichkeiten noch nicht belesen können.

Was meint Ihr, kann ich davon ausgehen, dass die Netztrennung funktioniert und dass ein Zugriff auf das Privatnetz (LAN-1) aus dem mit dem Messgerät (LAN-2) damit weitestgehend unterbunden ist?

Viele Grüße

FamVad
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Getrennte Netze - Sicherheit

Beitrag von backslash »

Hi C/5
aber wenn sich seit dem Beitrag vom 03.09. 00:30 das nicht geändert hat, dann steht LAN-1 an BRG-1 und LAN-2 an 'keins', also LAN-2 für sich.
also ich hab hier im ganzen Thread noch keine einzige Kofiguruation der Bridge gesehen... Ich habe mir nur im LANconfig angeschaut, wie die Default-Konfiguratuion der Bridge ist - und da sind sowohl LAN-1 als auch LAN-2 in der Gruppe BRG-1
Genau das Szenario (*1 habe ich spasseshalber heute Vormittag mal nachgestellt (weil ich bis jetzt davon ausgehe, dass das bei FamVad auch so konfiguriert ist, siehe oben). Daraus habe ich zwei Ergebnisse bestätigt gefunden:

1. Sobald man unter IP-Netzwerke 'DMZ' / LAN-2 ein Schnittstellen-Tag 1 gibt, findet keine Kommunikation mehr von LAN-2 nach LAN-1 statt und
(^ das ist eigentlich wie erwartet und wie es sein sollte)
Wenn FamFad nun das INTRANET an BRG1 hat und MESSNETZ (aka DMZ) an LAN-2 mit Tag-1, dann ist zwar kein Routung zwischen ihnen möglich, aber Multicasts die auf LAN-2 reinkommen werden ggf. auf LAN-1 gebridged - weil einfach beide Interfaces in der Gruppe BRG-1 sind...

Und noch schlimmer wird es mit IPv6... Da hat FamVad nur das INTEANET konfiguriert und an ebenfalls an BRG-1 gehängt. im schlimmsten Fall hat das iPad darüber eine IPv6-Adfresse besorgt (LAN-2 ist auch in BRG-1) und spricht den Drucker per IPv6 an...

@FamVad:
schau dir wiklich mal die Bridge-Konfiguration an und stelle sicher, daß LAN-2 in KEINER Bridgegruppe auftaucht.

Gruß
Backslash
FamVad-97
Beiträge: 28
Registriert: 23 Aug 2021, 13:48

Re: Getrennte Netze - Sicherheit

Beitrag von FamVad-97 »

Hallo Backslash,

unter IPv4 ist KEIN BRG-1 Eintrag, NUR unter iPv6 hatte ich den noch belassen. Aber wenn ich dort den Eintrag von BRG-1 in LAN-1 ändere, hat das iPad trotzdem weiterhin Zugriff auf den Drucker (in LAN-1) von LAN-2 aus.

Folgende drei Änderungen in der Konfiguration VERHINDERN NICHT den Zugriff auf den Drucker:

LAN-2 UND LAN-2
Tag ungleich 0
kein BRG-1 (IPv4 UND IPv6)
Private Mode eingeschaltet
Multicasts die auf LAN-2 reinkommen werden ggf. auf LAN-1 gebridged
An den Schnittstellen ETH-1 bis ETH-4 sowie unter IPv4 und IPv6 - Allgemein - Netzwerke (IPv4)/LAN-Schnittstellen(IPv6) kann ich die BRG-1 herausnehmen und durch LAN-2/LAN-2 ersetzen, das blockiert aber NICHT! den Druckauftrag.

Kann es sein, dass noch an anderer Stelle BRG-1 weiterhin vermerkt ist? Wo könnte ich da noch schauen?

Wenn BRG-1 ausgeschlossen werden kann und das iPad auch ohne Funk oder Internetzugang des Routers (DSL-Kabel vom Router entfernt) die eigentlich getrennten Netze LAN-2 auf LAN-1 überbrücken und den Druckauftrag ausführen kann, gibt es da vielleicht noch einen anderen Überbrückungsweg?

Viele Grüße

FamVad

P.S. ich werde als nächste in IPv6 noch die LAN-Schnittstellen für DMZ (Stromzähler) und das gestern neu erstellte Netz (MESSNETZ, LAN-3) erstellen ohne BRG-1 und mit den entsprechenden Tags wie in IPv4. Ich glaube es zwar nicht, aber vielleicht sind die Netze danach vollständig getrennt.
F1E8CA10-6DEF-4398-AFBF-B728E1A5BEF0.jpeg
4AC45171-9D0A-4BCC-9944-5B8381794412.jpeg
A2C04FFD-FC1E-4797-8E08-F8A02955A72F.jpeg
Anmerkungen:
Die Screenshots dienen nur zur Übersicht, wo ich bisher konfiguriert habe. Die BRG-1 ist inzwischen durch LAN-1 ersetzt.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Getrennte Netze - Sicherheit

Beitrag von C/5 »

Hallo FamVad,

wir meinten "Schnittstellen > LAN > Port-Tabelle".
Port-Tabelle-no-BRG.JPG
Wie das in der Web-GUI dargestellt wird, musst Du schauen. Das muss da auch vorhanden sein.

Die vier logischen Netze LAN-1 bis LAN-4 stehen ab der Inbetriebnahme eines LANCOM erst mal alle auf BRG-1, wenn man das nicht selber anders einstellt (wie ich hier für mein LAN-2 auf BRG-2). Hier kannst Du auch nur BRG-1 bis BRG-8 oder 'keine' einstellen. LAN-1 bis LAN-4 stehen für die Spalte 'Bridge-Gruppe' nicht zur Verfügung. Also für alle vier logischen Netze auf 'keine' umstellen.

Unter "IPv4 > Allgemein > IP-Netzwerke" tauchen die Bridge-Gruppen optional noch mal als 'Schnittstelle' auf, aber da hast Du ja jetzt die Schnittstelle jeweils auf LAN-1 bis LAN-4 gesetzt und das sollte auch so bleiben. Plus für jedes Deiner zwei Netze im 883 ('INTRANET', 'DMZ') ein Schnittstellen-Tag <> 0 und auch voneinander unterschiedlich setzen.

Das mit dem iPAD bleibt bis auf weiteres kurios. Für mich jedenfalls mangels Apple-Equipment kaum nachzuvollziehen. Nach dem was bisher geschrieben wurde denke ich, solltest Du es mal mit der Deaktivierung von IPv6 versuchen. Die Stelle zur Deaktivierung ist "IPv6 > Allgemein". In LANconfig gibt es an der Stelle eine Checkbox, mit der das IPv6-Protokoll für die internen Netze deaktiviert wird. Wie das in der Web-GUI gelöst ist, musst Du wieder bei Dir schauen.

CU
C/5
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
FamVad-97
Beiträge: 28
Registriert: 23 Aug 2021, 13:48

Re: Getrennte Netze - Sicherheit

Beitrag von FamVad-97 »

Hallo C/5,

ganz herzlichen Dank für die weiteren Informationen!

Es tut mir leid, dass ich nicht früher geantwortet habe, ich bin momentan außer Haus und hatte die letzten Tage soviel mit Vorbereitungen zu tun, sodass ich nicht mehr alles geschafft habe. Ich bin ab nächste Woche wieder daheim und werde Deine Vorschläge einarbeiten. Dann melde ich mich und teile die Ergebnisse mit.

Viele Grüße

FamVad
FamVad-97
Beiträge: 28
Registriert: 23 Aug 2021, 13:48

Re: Getrennte Netze - Sicherheit

Beitrag von FamVad-97 »

Hallo c/5,

nun hat es geklappt, das MESSNETZ ist vollständig vom PRIVATNETZ getrennt, auch auf den Drucker ist nun netzübergreifend kein Zugriff mehr möglich. Der Grund dafür ist die Zuweisung einer eigenen Bridge (z.B. anstatt BRG-1 BRG-2). Die Auswahl KEINE ist insoweit nicht möglich, da dann der Zugriff auf den Router (Konfiguration, Login über zugewiesene IP-Adresse) nicht mehr möglich ist. (Ich glaube, wir hatten die Gefahr der Aussperrung schon ziemlich am Anfang behandelt.)

Ich verstehe das jetzt so: Eine Trennung von Netzen findet weitgehend schon durch verschiedene Tags statt, wobei nur Netzwerke mit Tag 0 auf Netzwerke ungleich Tag 0 zugreifen können bzw. Netzwerke mit gleichem Tag (ungleich 0) untereinander.

Eine Sonderfunktion scheinen allgemein zugängliche Netzwerkgeräte wie z.B. Drucker einzunehmen. Wenn ich das richtig verstehe, sind solche Geräte mit Tag 0 auch aus Netzwerken ungleich Tag 0 erreichbar über eine gemeinsame Bridge. Wenn den betroffenen Netzwerken eine unterschiedliche Bridge zugewiesen wird, kann auch der Zugriff auf den Drucker aus dem unerwünschten Netzwerk unterbunden werden.
FamVad-97
Beiträge: 28
Registriert: 23 Aug 2021, 13:48

Re: Getrennte Netze - Sicherheit

Beitrag von FamVad-97 »

Hallo Backslash und C/5,

ich habe mir Eure letzten Beiträge noch einmal genau durchgelesen und konnte jetzt Eure Anmerkungen nachvollziehen. Vielen Dank für die Hinweise zum Bridging und den Multicasts!

Ich habe eine Menge gelernt und verstehe jetzt, wie ich konfigurieren muss, um Netzwerke voneinander zu trennen. Ganz herzlichen Dank für all Eure Bemühungen und die tolle Unterstützung!
Antworten