LANCOM 1781VAW: Frage zum Policy Based Routing

[Prometium]

Hallo Zusammen,
habe eine Frage zum PB-Routing:

Anbei die aktuelle Konfiguration:

VDSL/ADSL: verbunden mit 16/1 MBit DSL

LAN1: (192.168.100.2)
ist mit einem vorhandenen Domänen-Netzwerk mit DHCP Server verbunden, in diesem Netzwerk befindet sich auf 192.168.100.1 eine FritzBox mit einer Bandbreite von 200/12 MBits

LAN2: Gästenetz (192.168.150.1) - DHCP übernimmt Lancom

LAN3: Webserver (192.168.200.1) -DHCP deaktiviert

Die LAN-Buchsen wurden entsprechend voneinander getrennt.

Das Gästenetz (LAN2) soll nun so konfiguriert werden, das sämtliche Internetanfragen nicht über den ADSL/VDSL Anschluss gehen, sondern per Routing über die FritzBox (192.168.100.1) via LAN1.


Welche Einstellungen sind hierfür im Gerät notwendig?

[backslash]

Hi Prometium,

eigentlich ganz einfach... du hast das Stichwort ja schion genannt: "policy based routing"....

Erstelle eine Firewallregel, die allken Traffic asu dem Gastnetz mit einem Routing-Tag versieht

Code: Alles auswählen

Name:        FORWARD_GUEST_TO_FRITZBOX
Routing-Tag: 1
Quelle:      alle Stationen im Gastnetz
Ziel:        alle Stationen 
Dienste:     alle Dienste

und setze eine mit diesem Tag versehene Default-Route auf die Fritzbox.

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment
===========================================-----------------------------------------------------------------------------------------------------------------
192.168.0.0      255.255.0.0      0        0.0.0.0           0         No          Yes      block private networks: 192.168.x.y
172.16.0.0       255.240.0.0      0        0.0.0.0           0         No          No       block private networks: 172.16-31.x.y
10.0.0.0         255.0.0.0        0        0.0.0.0           0         No          Yes      block private network: 10.x.y.z
224.0.0.0        224.0.0.0        0        0.0.0.0           0         No          Yes      block multicasts: 224-255.x.y.z
255.255.255.255  0.0.0.0          1        192.168.100.1     0         No          Yes
255.255.255.255  0.0.0.0          0        INTERNET          0         on          Yes

als nächstes erstellst du in der Fritzbox noch die passende Rückroute zum Gastnetz und du bist fertig:

Code: Alles auswählen

IP-Address       IP-Netmask       Gateway
------------------------------------------------
192.168.150.0    255.255.255.0    192.168.100.2 

Gruß
Backslash

[Prometium]

Hallo Backslash,

danke für die Hilfe.

Ich habe die Einstellung in beiden Geräten vorgenommen und es funktioniert.

Die Firewall-Regel habe ich entsprechend abgeändert.

Code: Alles auswählen

    Name:        FORWARD_GUEST_TO_FRITZBOX
    Routing-Tag: 1
    Quelle:      alle Stationen im Gastnetz
    Ziel:        alle Stationen
    Dienste:     DNS, HTTP, HTTPS

Allerdings komme ich vom Gastnetz auf sämtliche Geräte (z.B. RDP, SMB), welche per LAN1 verbunden sind.

Ich gehe mal davon aus, das ich dann eine DENY-ALL Strategie in der Firewall aufbauen muss?

[backslash]

Hi Prometium,

Allerdings komme ich vom Gastnetz auf sämtliche Geräte (z.B. RDP, SMB), welche per LAN1 verbunden sind.

Ich gehe mal davon aus, das ich dann eine DENY-ALL Strategie in der Firewall aufbauen muss?

ja, das wäre das beste - heißt aber im Umkehrschluß auch, daß du alles, was irgendwie erlaubt sein soll, auch explizit erlauben mußt...

Die Absicherung deines Netzes war hier aber nicht die Frage... Es ging erstmal nur darum, wie du vom Gatsnetz ins Internet über die Fritzbox kommst...

Gruß
Backslash

[Prometium]

Hallo Backslash,

vielen Dank.
Hab jetzt dazu noch eine Deny-ALL Strategie gebaut, ist momentan noch sehr überschaubar.

Nun funktioniert alles nach meinen Wünschen.