Hallo,
ich möchte dass kein PC der am DMZ-Port hängt den Router konfigurieren kann (auch mit bekannten Passwort). Mir ist nur bekannt, dass in der Liste der Zugriffs-Stationen TCP-IP-Adressen eingegeben werden können um den Konfigurationszugriff einschränken zu können. Kann man das so einrichten, dass ein genereller Zugriff zum Konfigurieren des Routers vom DMZ-Port aus möglich ist?
Dann dazu noch eine Frage:
Gilt diese Zugriffliste nur für den lokalen Zugriff? Was ist mit dem Fernzugriff?
Konfigurations-Zugriff am LAN-Port einschränken
Moderator: Lancom-Systems Moderatoren
Hi RalphT
Wenn also ein Zugriff nur aus dem Intranet möglich sein soll, dann trägst du dort einfach das Intranet-Netz ein.
Gruß
Backslash
Sobald in der Zugfiffs-Liste (Management -> Admin -> Zugriffs-Stationen) etwas drin steht kann das Gerät nur noch über die darin aufgeführten Adressen/Netze konfiguriert werden.ich möchte dass kein PC der am DMZ-Port hängt den Router konfigurieren kann (auch mit bekannten Passwort)
Wenn also ein Zugriff nur aus dem Intranet möglich sein soll, dann trägst du dort einfach das Intranet-Netz ein.
was denn nun? Soll es aus der DMZ konfigurierbar sein oder nicht? Wenn das Gerät auch aus der DMZ konfigurierbar sein soll, dann trägst du halt das DMZ-Netz zusätzlich ein.Kann man das so einrichten, dass ein genereller Zugriff zum Konfigurieren des Routers vom DMZ-Port aus möglich ist?
Sie gilt überall, weil dort nur IP-Adressen bzw. IP-Netze eingetragen werden. Wenn die Anfrage aus einem dort eingetragenen Netz kommt, dann ist sie zulässig.Gilt diese Zugriffliste nur für den lokalen Zugriff? Was ist mit dem Fernzugriff?
Gruß
Backslash
Stimmt habe nicht soweit gedacht, dass man dort statt einer IP-Adresse auch mit der Netzmaske 255.255.255.0 ein ganzen Netzbereich abdeckt. Somit ist ja automatisch der DMZ-Bereich gesperrt. Ich bräuchte also nicht jede IP-Adresse im Intranet einzugeben.Wenn also ein Zugriff nur aus dem Intranet möglich sein soll, dann trägst du dort einfach das Intranet-Netz ein.
Da habe ich mich verschrieben. Ich meinte natürlich, dass es aus dem DMZ-Bereich nicht möglich sein sein.Kann man das so einrichten, dass ein genereller Zugriff zum Konfigurieren des Routers vom DMZ-Port aus möglich ist?
Aber meine Frage ist hiermit beantwortet. Danke.
Hallo,
ich möchte diesen Thread aufgreifen, weil ich ein ähnliches Problem habe. Am LAN-Port 1 des 1511 hängt ein Router mit den daran angeschlossenen 54L's die im Haus das WLAN-Netz bilden. Von diesem WLAN aus soll kein Zugriff auf die Konfigurationsebene möglich sein. Also möchte ich eigentlich den LAN-Port 1 am 1511-er aussperren. Soweit ich das verstanden habe, wird das nicht gehen. Ich gebe also ein IP Adresse in die Liste ein, und muss meinem Laptop zum konfigurieren diese Adresse manuell verpassen. Das könnte doch aber auch ein Kunde machen, der am WLAN hängt. Vorrausgesetzt, er bringt die IP Adresse für Admin-Zugriff in Erfahrung und stellt diese manuell auf seinem Gerät ein, kann er auf den Router zugreifen. Das wäre doch glatt eine kleine Sicherheitslücke, oder zumindest würde das nicht der Vorstellung des Betreibers entsprechen.
Vielen Dank,
Jaroslaw
Edit:
Ach so, mein Wunsch ist es, den Adminzugriff nur über LAN Port 2 zu erlauben. Wäre das realisierbar?
ich möchte diesen Thread aufgreifen, weil ich ein ähnliches Problem habe. Am LAN-Port 1 des 1511 hängt ein Router mit den daran angeschlossenen 54L's die im Haus das WLAN-Netz bilden. Von diesem WLAN aus soll kein Zugriff auf die Konfigurationsebene möglich sein. Also möchte ich eigentlich den LAN-Port 1 am 1511-er aussperren. Soweit ich das verstanden habe, wird das nicht gehen. Ich gebe also ein IP Adresse in die Liste ein, und muss meinem Laptop zum konfigurieren diese Adresse manuell verpassen. Das könnte doch aber auch ein Kunde machen, der am WLAN hängt. Vorrausgesetzt, er bringt die IP Adresse für Admin-Zugriff in Erfahrung und stellt diese manuell auf seinem Gerät ein, kann er auf den Router zugreifen. Das wäre doch glatt eine kleine Sicherheitslücke, oder zumindest würde das nicht der Vorstellung des Betreibers entsprechen.
Vielen Dank,
Jaroslaw
Edit:
Ach so, mein Wunsch ist es, den Adminzugriff nur über LAN Port 2 zu erlauben. Wäre das realisierbar?
Hi JaroslawS
sicher bekommst du das nur hin, wenn du auf LAN-1 und LAN-2 verschiedene Netze betreibst, denn dann kannst du das Netz auf LAN-2 in die Zugfiffs-Liste aufnehmen.
Sobald sich aber auf beiden Interfacces das selbe Netz befindet hast du keine Möglichkeit dich vor gefälschten Absenderadressen zu schützen
Gruß
Backslash
sicher bekommst du das nur hin, wenn du auf LAN-1 und LAN-2 verschiedene Netze betreibst, denn dann kannst du das Netz auf LAN-2 in die Zugfiffs-Liste aufnehmen.
Sobald sich aber auf beiden Interfacces das selbe Netz befindet hast du keine Möglichkeit dich vor gefälschten Absenderadressen zu schützen
Gruß
Backslash