Hi!
Aus diversen anderen Forumsbeiträgen hab ich mir schon einiges zusammengesucht und experimentiert. Nun stellt sich mir die Frage, ob ich einen Web-Server, der als virtuelle Maschine unter VMware läuft ein bisschen absichern kann. Folgendes Szenario:
- LANCOM 1811n, der über ein DSL-Modem ins Internet kommt
- diverse Rechner, die per WLAN und Kabel im 192.168.77.1/255.255.255.0 untereinander und mit dem Internet reden können
- auf einem dieser Rechner ist o.g. virtuelle Maschine, derzeit ebenfalls im gleichen Intranet wie die anderen; der Host hat nur einen Ethernet-Anschluss für sich und sein Gast-System
Nach dem Studium der Knowledgebase von Lancom soll es möglich sein, per VLAN der virtuellen Maschine war den Zugang ins Internet zu gewähren (was er als Web-Server ja auch braucht), aber er kann nicht auf die anderen Geräte zugreifen. Allerdings können die anderen Geräte auf ihn zugreifen.
Ich habe nun also drei Netze definiert:
- INTRANET 192.168.77.1/255.255.255.0 VLAN-ID 1
- DMZ 0.0.0.0/255.255.255.0 VLAN-ID 1
- Web-Server 192.168.76.1/255.255.255.0 VLAN-ID 10
Entsprechend natürlich die zwei VLANs:
- ID 1 auf *-*
- ID 10 auf LAN-2
Es gibt also zwei LAN-Ports:
- LAN-1 ist BRG-1 (bündelt INTRANET mit DSL)
- LAN-2 ist auch BRG-1 und als VLAN: Tagging = immer; andere VLAN-Pakete erlauben; ID = 10
Die Ethernet-Ports am Lancom sehen so aus:
ETH1 = LAN-1 = alle Geräte ausser dem VMware-Rechner
ETH2 = LAN-2 = VMware-Rechner mit Web-Server als Gast-System
Nun komme ich zwar mit dem Web-Server ins Internet und er kann auch nicht auf meine anderen Geräte zugreifen. Aber ich hab auch keine Chance übers Intranet auf ihn zu kommen. Ich müsste mich immer von aussen per SSH einloggen, was ich natürlich nicht unbedingt freigeben möchte. Was mache ich falsch?
Virtuelle Maschine mit VLAN
Moderator: Lancom-Systems Moderatoren
Hallo!
Das beide auf BRG-1 zeigen, bringt nix, weil die VLANS die Netze trennen und nur über das Routingmodul verbunden werden können. Sprich du muss die Firewall entsprechend konfigurieren. Wenn es an der FW nicht liegt, sag bescheid, dann können wir weiter darüber nachdenken.
Aber einen Tipp hätte ich noch.
Es gibt die Schnittstellen-Tags. Die sind sehr praktisch weil Netzwerke mit Schnitstellen-Tag 0 in alle anderen Netze können, aber nicht vice versa.
Anmerkung. Ich persönlich würde jedem deiner drei Netze eine eigene VLAN ID gönnen. denn wenn jemand auf einem Gerät im Netzwerk INTRANET eine DMZ IP vergibt, ist er IMHO automatisch innerhalb deines DMZs. Das würde mir persönlich nicht gefallen.
Ich würde auch das INTRANET nicht auf VLAN 1 legen, da fast alle Switches ihren Managment Port im VLAN 1 (per default) haben.
In der Doku findet man zu deiner Frage unter ARF (Advanced Routing and Forwarding oder so) gute Infos! Mir haben sie geholfen.
Liebe Grüße!
Das beide auf BRG-1 zeigen, bringt nix, weil die VLANS die Netze trennen und nur über das Routingmodul verbunden werden können. Sprich du muss die Firewall entsprechend konfigurieren. Wenn es an der FW nicht liegt, sag bescheid, dann können wir weiter darüber nachdenken.
Aber einen Tipp hätte ich noch.
Es gibt die Schnittstellen-Tags. Die sind sehr praktisch weil Netzwerke mit Schnitstellen-Tag 0 in alle anderen Netze können, aber nicht vice versa.
Anmerkung. Ich persönlich würde jedem deiner drei Netze eine eigene VLAN ID gönnen. denn wenn jemand auf einem Gerät im Netzwerk INTRANET eine DMZ IP vergibt, ist er IMHO automatisch innerhalb deines DMZs. Das würde mir persönlich nicht gefallen.
Ich würde auch das INTRANET nicht auf VLAN 1 legen, da fast alle Switches ihren Managment Port im VLAN 1 (per default) haben.
In der Doku findet man zu deiner Frage unter ARF (Advanced Routing and Forwarding oder so) gute Infos! Mir haben sie geholfen.
Liebe Grüße!
Hallo Oliver!
Merci für Deine Tipps. Es ist ja nun schon ein paar Tage her, dass ich diese Frage gepostet hatte. Da ich zeitnah eine Lösung finden musste, habe ich ein komplett neues Setup aufgebaut, was mit einer Firewall-Regel + VLAN auch diese Funktionalität erfüllt, die ich brauche. Für den Tipp mit den Schnittstellen-Tags und ARF bin ich allerdings sehr dankbar. Zwar war ich auch schon drüber gestolpert, aber ich war mir nicht sicher, ob es der richte Weg ist und hatte mich nicht weiter damit beschäftigt.
Letzte Hürde war dann nur noch das DSL-Modem durch einen Router mit PPPoE-Passthrough zu ersetzen (weil dieser auch die Telefonie erledigt) und diesen vom Intranet aus zu konfigurieren, wie ich in meinem zweiten Post geschrieben habe. Wenn ich den nun noch dazu kriege, sein DLNA ins Intranet zu broadcasten, bin ich glücklich.
Gruss,
Awado
Merci für Deine Tipps. Es ist ja nun schon ein paar Tage her, dass ich diese Frage gepostet hatte. Da ich zeitnah eine Lösung finden musste, habe ich ein komplett neues Setup aufgebaut, was mit einer Firewall-Regel + VLAN auch diese Funktionalität erfüllt, die ich brauche. Für den Tipp mit den Schnittstellen-Tags und ARF bin ich allerdings sehr dankbar. Zwar war ich auch schon drüber gestolpert, aber ich war mir nicht sicher, ob es der richte Weg ist und hatte mich nicht weiter damit beschäftigt.
Letzte Hürde war dann nur noch das DSL-Modem durch einen Router mit PPPoE-Passthrough zu ersetzen (weil dieser auch die Telefonie erledigt) und diesen vom Intranet aus zu konfigurieren, wie ich in meinem zweiten Post geschrieben habe. Wenn ich den nun noch dazu kriege, sein DLNA ins Intranet zu broadcasten, bin ich glücklich.
Gruss,
Awado