Ausgangslage:
momentan habe ich den LANCOM 1621 als Router im Private Mode.
An eth1 hängt das externe ADSL2 Modem, an eth2 das LAN Büro, an eth3 das LAN Buchhaltung und an eth4 das LAN Schüler.
Im Schüler Netz hängt eine Buffalo Linkstation als zentrale Datenablage.
Ziel:
Diese Netze können und sollen nicht aufeinander zugreifen können. Alle kommen über den Router ins Internet.
Die Linkstation soll so in das Netzwerk eingebunden werden dass es aus dem LAN Schüler und aus dem LAN Büro erreichbar ist.
Idee:
Meine Idee war es die Linkstation am LANCOM in eine DMZ zu packen.
Problem:
Da ich einen LAN-Port des LANCOM opfern musste um das externe DSL-Modem anzubinden habe ich nur 3 LANs zur verfügung und kann keinen eigenen Port für die Linkstation einrichten.
Ich habe noch einen LINKSYS SRW224G4 im LAN hängen der VLANs unterstützt. Kann ich mein Ziel unter Einsatz von VLANs erreichen?
Ich bin da ziemlich neu was VLANs und Routing zwischen den Netzen betrifft und bräuchte da eine möglichst bildreiche Anleitung, bzw Links zu solch einer.
LANCOM 1621 DMZ/VLAN Lösung gesucht
Moderator: Lancom-Systems Moderatoren
Hi chrisde
Zur Sicherheit solltest du dann noch ein zwei Firewallregeln erstellen (unter der Annahme, daß dein LAN "INTRANET und das zweite Netz "DMZ" heißt):
Diese Regeln verhindern, daß jemand über die Hintertür die Trennung der Switchports überwindet, indem er sich einfach eine Adresse aus diesem "DMZ"-Netz gibt.
Gruß
Backslash
Das brauchst du nichtmal... es reicht, wenn du dem LANCOM ein zweites IP-Netz verpaßt (das ist ja schon vorbereitet und mit "DMZ" benamt) und der Linkstation eine IP-Adresse aus diesem Netz gibst.Da ich einen LAN-Port des LANCOM opfern musste um das externe DSL-Modem anzubinden habe ich nur 3 LANs zur verfügung und kann keinen eigenen Port für die Linkstation einrichten.
Ich habe noch einen LINKSYS SRW224G4 im LAN hängen der VLANs unterstützt. Kann ich mein Ziel unter Einsatz von VLANs erreichen?
Zur Sicherheit solltest du dann noch ein zwei Firewallregeln erstellen (unter der Annahme, daß dein LAN "INTRANET und das zweite Netz "DMZ" heißt):
Code: Alles auswählen
Name: ALLOW-INTRANET-DMZ
Aktion: übertragen
Quelle: lokales Netz "INTRANET"
Ziel: lokales Netz "DMZ" (ggf. auch einfach die IP der Linkstation)
Dienste: alle Dienste (ggf. auch nur die benötigten Dienste)
Name: DENY-DMZ-INTRANET
Aktion: zurückweisen
Quelle: lokales Netz "DMZ"
Ziel: lokales Netz "INTRANET"
Dienste: alle Dienste
Diese Regeln verhindern, daß jemand über die Hintertür die Trennung der Switchports überwindet, indem er sich einfach eine Adresse aus diesem "DMZ"-Netz gibt.
Gruß
Backslash
Hallo backslash,
danke für deinen Beitrag - kann gar nicht glauben dass es tatsächlich so einfach sein soll.
Verstehe ich richtig, dass es ganz egal ist an welchem der Private Ports die Linkstation hängt. Über die Firewall Regel kann von jedem Port aus auf die Linkstation zugegriffen werden? Aber die anderen rechner können nicht von einem Private LAN Port auf Rechnere an einem anderen Port zugreifen?
danke für deinen Beitrag - kann gar nicht glauben dass es tatsächlich so einfach sein soll.
Verstehe ich richtig, dass es ganz egal ist an welchem der Private Ports die Linkstation hängt. Über die Firewall Regel kann von jedem Port aus auf die Linkstation zugegriffen werden? Aber die anderen rechner können nicht von einem Private LAN Port auf Rechnere an einem anderen Port zugreifen?
Hi chrisde
Anders sieht es aus, wenn der Router ins Spiel kommt:
Wenn hier ein Paket für ein *anderes* Netz auf einem Port reinkommt, dann ist auch auf den anderen Ports auch erstmal nicht zu sehen. Das Paket wird aber an den Router abgegeben, der dann feststellt, daß das Paket wieder auf das LAN gesendet werden muß. Und genau das macht der Router dann auch: Er Sendet das Paket wieder auf das LAN und dadurch wird es dann auf dem Port, an dem der Empfänger hängt, sichtbar.
Daher ist auch die Firewallregel nötig, die den Zugriff von der DNZ ins Interanet blockiert, denn ohne sie wäre über den Umweg über die Linkstation ggf. ein Zugriff auf jeden Rechner im Intranet möglich - trotz Private Mode...
Gruß
Backslash
letztendlich ja - wichtig ist nur, daß sie in einem anderen IP-Netz hängt.Verstehe ich richtig, dass es ganz egal ist an welchem der Private Ports die Linkstation hängt
Dier Firewall ist hier nicht nötig um den Zugriff zu erlauben, sondern um ungewünschte Zugriffe zu verhindern. Der Zugriff wird einzig durch den Router als solchen ermöglichtÜber die Firewall Regel kann von jedem Port aus auf die Linkstation zugegriffen werden?
Die Ports sind im Private-Mode *nur* direkt voneinander isoliert, d.h. ein Pakete, das an einem Port reinkommt, ist auf anderen Ports nicht zu sehen.Aber die anderen rechner können nicht von einem Private LAN Port auf Rechnere an einem anderen Port zugreifen?
Anders sieht es aus, wenn der Router ins Spiel kommt:
Wenn hier ein Paket für ein *anderes* Netz auf einem Port reinkommt, dann ist auch auf den anderen Ports auch erstmal nicht zu sehen. Das Paket wird aber an den Router abgegeben, der dann feststellt, daß das Paket wieder auf das LAN gesendet werden muß. Und genau das macht der Router dann auch: Er Sendet das Paket wieder auf das LAN und dadurch wird es dann auf dem Port, an dem der Empfänger hängt, sichtbar.
Daher ist auch die Firewallregel nötig, die den Zugriff von der DNZ ins Interanet blockiert, denn ohne sie wäre über den Umweg über die Linkstation ggf. ein Zugriff auf jeden Rechner im Intranet möglich - trotz Private Mode...
Gruß
Backslash
Danke,
aber dann verstehe ich den "Private Mode" nicht ganz.
Wenn die Ressource ein eigenes IP Netzwerk hat ist sie von überall von jedem LAN Port aus erreichbar, oder nur wenn sie in der DMZ liegt?
Habe momentan am LANCOM an 3 Ports Geräte im selben IP Bereich die aber nicht aufeinander zugreifen dürfen. Reicht es dafür dass ich den Private Mode aktiviert habe oder braucht es dafür mehr Einstellungen am LANCOM um Datenverkehr zwischen den ports zu verhindern?
Gruß
Chris
aber dann verstehe ich den "Private Mode" nicht ganz.
Wenn die Ressource ein eigenes IP Netzwerk hat ist sie von überall von jedem LAN Port aus erreichbar, oder nur wenn sie in der DMZ liegt?
Habe momentan am LANCOM an 3 Ports Geräte im selben IP Bereich die aber nicht aufeinander zugreifen dürfen. Reicht es dafür dass ich den Private Mode aktiviert habe oder braucht es dafür mehr Einstellungen am LANCOM um Datenverkehr zwischen den ports zu verhindern?
Gruß
Chris
Hi chrisde
Gruß
Backslash
Der Private-Mode ist eine Eigenschaft des Switches. Wenn das Paket aber den Switch in Richtung Router verläßt, dann wirkt halt auch der Private-Mode nicht mehr.aber dann verstehe ich den "Private Mode" nicht ganz.
Halte dich nicht am Wort "DMZ" auf. Wenn sie in einem *anderen* Netz liegt, dann ist sie über den Router erreichbar - solange der Router eine Verbindung zu diesem Netz herstellen kann, was bei LAN-Netzen implizit der Fall istWenn die Ressource ein eigenes IP Netzwerk hat ist sie von überall von jedem LAN Port aus erreichbar, oder nur wenn sie in der DMZ liegt?
Für diesen Fall reicht der Private-Mode aus, weil hier die Pakete *allein* vom Switch "bearbeitet" werden - und der blockt die Kommunikation zwischen den PortsHabe momentan am LANCOM an 3 Ports Geräte im selben IP Bereich die aber nicht aufeinander zugreifen dürfen. Reicht es dafür dass ich den Private Mode aktiviert habe oder braucht es dafür mehr Einstellungen am LANCOM um Datenverkehr zwischen den ports zu verhindern?
Gruß
Backslash
Okay, habe versucht das alle umzusetzen.
Habe im Router
LAN 172.23.56.1
DMZ 172.23.66.1 angelegt
Habe die Regel angelegt
ALLOW-INTRANET-DMZ, Regel aktiv
Trigger OBJEKT, Aktion ACCEPT
Verbindungen von folgenden Stationen: Objekt LOCALNET
Verbindung an folgende Stationen: Objekt DMZ
Alle Dienste
DENY-DMZ-INTRANET-, Regel aktiv
Trigger OBJEKT, Aktion DENY
Verbindungen von folgenden Stationen: Objekt DMZ
Verbindung an folgende Stationen: Objekt LOCALNET
Alle Dienste
Habe ein Stationsobjekt "DMZ" angelegt mit der IP 172.23.66.3
Die Linkstation hat die IP 172.23.66.3
Wenn ich jetzt versuche mich aus dem 56.x Netz auf die Linkstation einzuloggen komme ich nicht mehr auf die Seite, wähle ich am PC manuell eine IP aus dem 66.x Netz komme ich problemlos drauf.
Was mache ich falsch, habe einen Screenshot der Firewall Einstellungen angehängt. Die DENY all Regel habe ich deaktiviert weil ich dachte vielleicht hängt es damit zusammen, ging danach aber auch nicht besser.
Bin für jeden Tipp dankbar.
Habe im Router
LAN 172.23.56.1
DMZ 172.23.66.1 angelegt
Habe die Regel angelegt
ALLOW-INTRANET-DMZ, Regel aktiv
Trigger OBJEKT, Aktion ACCEPT
Verbindungen von folgenden Stationen: Objekt LOCALNET
Verbindung an folgende Stationen: Objekt DMZ
Alle Dienste
DENY-DMZ-INTRANET-, Regel aktiv
Trigger OBJEKT, Aktion DENY
Verbindungen von folgenden Stationen: Objekt DMZ
Verbindung an folgende Stationen: Objekt LOCALNET
Alle Dienste
Habe ein Stationsobjekt "DMZ" angelegt mit der IP 172.23.66.3
Die Linkstation hat die IP 172.23.66.3
Wenn ich jetzt versuche mich aus dem 56.x Netz auf die Linkstation einzuloggen komme ich nicht mehr auf die Seite, wähle ich am PC manuell eine IP aus dem 66.x Netz komme ich problemlos drauf.
Was mache ich falsch, habe einen Screenshot der Firewall Einstellungen angehängt. Die DENY all Regel habe ich deaktiviert weil ich dachte vielleicht hängt es damit zusammen, ging danach aber auch nicht besser.
Bin für jeden Tipp dankbar.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.