Hallo,
ich glaube, so kompliziert ist mein Problem nicht, dennoch würde ich gerne nochmal um einen Ratschlag fragen, da ich heute bei der Konfiguration etwas in stolpern geraten bin. Ich bin das Szenario gerade zuhause über vRouter am nachprobieren und um die Konfig hier darzustellen.
Im Einsatz ist ein LANCOM 1781VA Router, welcher 4 ETH Ports hat.
Dazu ein Cisco Switch SG-220 mit 26 Ports und 4 einfache APs mit VLAN- und Multi-SSID-Unterstützung.
Zur Zeit bestehen 3 DSL Anschlüsse. Damit man etwas flexibler ist bei der Nutzung von den WAN Anschlüssen, soll der LANCOM Router, das gesamte Routing übernehmen. Dazu habe ich folgendes eingerichtet:
ETH 1, 2, 3 sind als DSL 1, 2, 3 eingestellt und bauen jeweils eine Verbindung mittels statischer IP über ein externen Router auf. Unter IP-Routing habe ich dazu drei Default-Routen (255.255.255.255/32) mit den Routing-Tags 1, 2 und 3 eingerichtet. Das funktioniert auch soweit. Zum Test habe ich in der Firewall zwei Regeln angelegt, welches bestimmte Rechner mit einem Routing-Tag versieht.
Im Prinzip kommt man jetzt schon zur VLAN-Geschichte um logische Netzwerke zu erstellen.
ETH 4 ist als logischer LAN 1 Port gemappt. Der physikalische Port ist zum Switch verbunden und über diesen sollen alle Pakete getagged werden. D.h. der Port muss als Trunk fungieren und die VLANs, die benutzt werden, zugewiesen, richtig? Also, VLAN Konfig:
Am Switch habe ich eigentlich das selbe gemacht. Den Port der mit ETH 4 verbunden ist auf Trunk gesetzt und VLANs 1, 10, 20, 30 auf Tagged gesetzt.
Somit können Pakete von allen VLANs zwischen Switch und LANCOM-Router gesendet und empfangen werden. Ist das soweit korrekt? Muss oder sollte VLAN-Modus aktiviert werden auf dem LANCOM-Router oder ist das nicht notwendig?
Jetzt hätte ich die IP-Netzwerke erstellt. Im Prinzip habe ich 5 Netzwerke erstellt:
Und nun komme ich langsam zum Problem: Aus dem VLAN 10 kann ich auch Geräte bzw. die IP-Adressen aus VLAN 10, 20 und 30 erreichen. Ich schätze, das liegt einfach daran, dass der LANCOM-Router natürlich alle Netzwerke kennt. Wie würde ich das jetzt verhindern? Meine Ideen wären Schnittstellen-Tag und/oder Firewall. Aber wie wäre die richtige Vorgehensweise dafür?
Aus dem VLAN 10 sollen später manche Geräte über DSL 1 und 2 ins Internet gehen.
VLAN 20 soll nur über DSL 2 und VLAN 30 soll nur über DSL 3 ins Internet gehen.
Ich glaube spätestens für das VLAN 10 brauche ich Schnittstellen-Tags und Firewall-Regeln?
Über einen Vorschlag dazu wäre ich sehr dankbar. Ich denke, wenn das nämlich passt, ist der Rest mit den APs analog, in dem ich diese über Trunk-Ports, die getagged sind an den Switch anschließe und im Router die DHCP-Server für die jeweilige Netze erstelle.
Viele Grüße
Burak
VLANs für Netztrennung und 3 WAN Verbindungen
Moderator: Lancom-Systems Moderatoren
VLANs für Netztrennung und 3 WAN Verbindungen
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: VLANs für Netztrennung und 3 WAN Verbindungen
Moin,
Dass Geräte in unterschiedlichen VLANs sich erreichen können liegt daran, dass Du allen Netzen das Schnittstellen-Tag 0 gegeben hast. Dadurch werden alle Netze untereinander geroutet, sofern Du das nicht explizit durch Firewallregeln unterbindest.
Grüße
Maurice
Ich würde es noch nicht mal "Problem" nennen.
Richtig. Du hast LAN-1 aber als "Hybrid" konfiguriert, wodurch VLAN 1 nicht getaggt wird. Wie Du selbst schreibst muss der Modus "Trunk" sein, um alle VLANs zu taggen.Burak hat geschrieben: 21 Nov 2018, 21:32 ETH 4 ist als logischer LAN 1 Port gemappt. Der physikalische Port ist zum Switch verbunden und über diesen sollen alle Pakete getagged werden. D.h. der Port muss als Trunk fungieren und die VLANs, die benutzt werden, zugewiesen, richtig?
Was hast Du denn mit dem ungetaggten "DEFAULT"-Netzwerk vor?Burak hat geschrieben: 21 Nov 2018, 21:32 Jetzt hätte ich die IP-Netzwerke erstellt. Im Prinzip habe ich 5 Netzwerke erstellt:
Tippfehler? Dass man aus VLAN 10 andere Geräte in VLAN 10 erreichen kann dürfte klar sein.Burak hat geschrieben: 21 Nov 2018, 21:32 Und nun komme ich langsam zum Problem: Aus dem VLAN 10 kann ich auch Geräte bzw. die IP-Adressen aus VLAN 10, 20 und 30 erreichen.
Dass Geräte in unterschiedlichen VLANs sich erreichen können liegt daran, dass Du allen Netzen das Schnittstellen-Tag 0 gegeben hast. Dadurch werden alle Netze untereinander geroutet, sofern Du das nicht explizit durch Firewallregeln unterbindest.
Im einfachsten Fall: Jedem Netz ein individuelles Schnittstellen-Tag (ungleich "0"!) verpassen. Dadurch wird jegliches Routing zwischen den Netzen unterbunden.
Wenn Du "INTRANET_10" das Schnittstellen-Tag 1 gibst wird zunächst alles über DSL-1 geroutet. Durch eine Firewall-Regel kannst Du dann für einzelne Geräte das Routing-Tag auf 2 umschreiben (hast Du ja schon getestet).Burak hat geschrieben: 21 Nov 2018, 21:32 Aus dem VLAN 10 sollen später manche Geräte über DSL 1 und 2 ins Internet gehen.
Dann setz einfach das Schnittstellen-Tag von "GAST_20" auf 2 und von "GAST_30" auf 3.Burak hat geschrieben: 21 Nov 2018, 21:32 VLAN 20 soll nur über DSL 2 und VLAN 30 soll nur über DSL 3 ins Internet gehen.
Grüße
Maurice
Re: VLANs für Netztrennung und 3 WAN Verbindungen
Hallo,
danke für die schnelle Antwort!
danke für die schnelle Antwort!
Gut, habe es auf Trunk umgestellt!Maurice hat geschrieben: 21 Nov 2018, 22:54 Richtig. Du hast LAN-1 aber als "Hybrid" konfiguriert, wodurch VLAN 1 nicht getaggt wird. Wie Du selbst schreibst muss der Modus "Trunk" sein, um alle VLANs zu taggen.
Ich dachte, es wäre besser, wenn es noch ein ungetaggtes Netz gibt. Aber ich habe das auf deine Frage hin entfernt, da ich es mir selbst nicht ganz erklären kann warum.Maurice hat geschrieben: 21 Nov 2018, 22:54 Was hast Du denn mit dem ungetaggten "DEFAULT"-Netzwerk vor?
Jap, das war ein Tippfehler. Meinte VLAN 1 zu 10, 20, 30. Und für die anderen analog dazu.Burak hat geschrieben: 21 Nov 2018, 21:32 Tippfehler? Dass man aus VLAN 10 andere Geräte in VLAN 10 erreichen kann dürfte klar sein.
Gut, sowas habe ich mir irgendwie gedacht und habe das dann heute umgesetzt. Im Prinzip funktioniert auch alles soweit. Aber noch paar Fragen:Burak hat geschrieben: 21 Nov 2018, 21:32 Im einfachsten Fall: Jedem Netz ein individuelles Schnittstellen-Tag (ungleich "0"!) verpassen. Dadurch wird jegliches Routing zwischen den Netzen unterbunden.
Wenn Du "INTRANET_10" das Schnittstellen-Tag 1 gibst wird zunächst alles über DSL-1 geroutet. Durch eine Firewall-Regel kannst Du dann für einzelne Geräte das Routing-Tag auf 2 umschreiben (hast Du ja schon getestet).
Dann setz einfach das Schnittstellen-Tag von "GAST_20" auf 2 und von "GAST_30" auf 3.
- In den Firewall-Regeln steuere ich mit dem Schnittstellen-Tag für welche Pakete die Regeln gelten und mit dem Routing-Tag ordne ich die jeweiligen Routen zu, richtig?
- Kann ich das Admin-Netzwerk 192.168.1.0/24 VLAN 1 so einrichten, dass es alle andere Netze erreichen kann, jedoch nicht umgekehrt? Würde das auch mit Firewall-Regeln realisiert werden?
- Um aus VLAN 20 und 30 den Zugriff auf den LANCOM Router zu verhindern, sollte ich Firewall-Regeln erstellen, welches HTTP/HTTPS blockiert? Da es das Gateway ist, muss es ja weiterhin erreichbar sein. Nur sollte man keine Möglichkeit haben, sich darauf zu verbinden.
Re: VLANs für Netztrennung und 3 WAN Verbindungen
Hi Burak,
Für IPv6 erstellst du in den Inbound-Regeln der Firewall (Fireall/QoS -> IPv6-Regeln -> IPv6InboundRegeln) passende Regeln, die den Zugriff steuern. Im Default existiert dort eine DENY-ALL-Regel und Allow-Regeln für bestimmte Dienste, wie die Regel "ALLOW-CONFIG-LOCALNET", bei der du eigentlich nur die Quelle anpassen mußt. Statt "LOCALNET" solltest du in den Stations-Objekten (Fireall/QoS -> IPv6-Regeln -> Stations-Objekte) ein Objekt für das Admin-Netz anlegen und als Quelle für die ALLOW-CONFIG-LOCALNET verwenden. Bei massiver Paranoia kannst du dann auch die Regel "ALLOW-CONFIG-VPN" deaktivieren
Gruß
Backslash
wenn du das "Quell-Tag" meinst, im Prinzip ja. Es ist eine weitere Bedingung für das Greifen der Regel, wenn es ungleich 0 ist,In den Firewall-Regeln steuere ich mit dem Schnittstellen-Tag für welche Pakete die Regeln gelten
korrektund mit dem Routing-Tag ordne ich die jeweiligen Routen zu, richtig?
gib ihm einfach das Tag 0, denn das ist das "Supervisor" Tag. Netze mit Tag 0 sehen alle Netze, werden aber nur von Netzen mit Tag 0 gesehen (Achtung: das ist ein kleiner aber wichtiger Unterschied zur Routing-Tabelle: In der Routing-Tabelle ist Tag 0 der Wildcard, d.h. Routen mit Tag 0 gelten für alle Netze)Kann ich das Admin-Netzwerk 192.168.1.0/24 VLAN 1 so einrichten, dass es alle andere Netze erreichen kann, jedoch nicht umgekehrt? Würde das auch mit Firewall-Regeln realisiert werden?
jain.... Im IPv4 gibt es keine IInbound-Regeln. Da kannst du den Zugriff auf das LANCOM nur über die Access-Tabelle (Management -> Admin -> Zugriffseinstellungen -> Zugriffs-Stationen) reglen. Dort trägst du dann die IP-Adressen/Netze ein, die Zugriff haben dürfen (z.B. das Admin-Netz). Sobald dort ein Eintrag existiert, dürfen nur die dort aufgeführten Stationen auf das Gerät zugreifen.Um aus VLAN 20 und 30 den Zugriff auf den LANCOM Router zu verhindern, sollte ich Firewall-Regeln erstellen, welches HTTP/HTTPS blockiert?
Für IPv6 erstellst du in den Inbound-Regeln der Firewall (Fireall/QoS -> IPv6-Regeln -> IPv6InboundRegeln) passende Regeln, die den Zugriff steuern. Im Default existiert dort eine DENY-ALL-Regel und Allow-Regeln für bestimmte Dienste, wie die Regel "ALLOW-CONFIG-LOCALNET", bei der du eigentlich nur die Quelle anpassen mußt. Statt "LOCALNET" solltest du in den Stations-Objekten (Fireall/QoS -> IPv6-Regeln -> Stations-Objekte) ein Objekt für das Admin-Netz anlegen und als Quelle für die ALLOW-CONFIG-LOCALNET verwenden. Bei massiver Paranoia kannst du dann auch die Regel "ALLOW-CONFIG-VPN" deaktivieren
Gruß
Backslash