Fragen zu einer Netzwerkänderung

[FM]

Hallo zusammen,

ich bin relativ neu in diesem Forum und habe ein paar Fragen zu einer Konfigurationsumstellung in meinem Netzwerk. Ich hoffe ich habe für diesen Beitrag das richtige Unterforum gewählt....

Ich habe momentan folgendes Szenario in meinem Netzwerk:

Hinter einer Richtfunkantenne mit Mikrotik Routerboard ist ein Lancom 1781 VA-4G installiert.

Die Anschlüsse sind wie folgt belegt:

ADSL-Port: Business-DSl Telekom mit fester IP
Ethernet-1: Richtfunkantenne mit fester IP WAN-seitig und LAN-seitig 192.168.10.1 mit DHCP-Server (Default-Route)
Ethernet-2: Lan-1 192.168.100.1 Windows Domänennetzwerk Schnittstellen TAG:1
Ethernet-3: Lan-2 192.168.200.1 Private Heimnetzgruppe Schnittstellen TAG:2
Ethernet-4: Lan-3 192.168.255.1 Gast-Wlan Schnittstellen TAG:3

Ausserdem hat das Lancom in der Standardkonfig noch eine DMZ (0.0.0.0) und Intranet (192.168.10.1) eingerichtet.

Dies habe ich selbst konfiguriert und die Konfiguration funktioniert. So weit so gut.

Nun soll folgendes geändert werden:

1. Der Router der Richtfunkantenne soll in den Bridgemode gesetzt werden, damit doppelte NAT-Weiterleitungen durch die hintereinandergeschalteten Router entfallen.
Frage 1: Wie konfiguriere ich das Lancom mit einer statischen IP (IoPE?)?
Frage 2: Ist die Schnittstelle Ethernet-2 Richtig gewählt?

2. Die Firewall des Lancom soll so konfiguriert werden, das eine sichere Kommunikation der einzelnen Netzwerke mit dem Internet möglich ist. Kein Email- oder Webserver hinter der Firewall vorhanden.
Frage: Gibt es ein „How-to“ für die Konfiguration an welches ich mich halten kann?

3. Drucker, welche derzeit im LAN-1 stehen, sollen so verändert werden, das sie aus allen Netzwerken erreichbar sind.
Frage: Ist die Einbindung der Drucker in die DMZ sinnvoll und wie kann ich das realisieren?

4. Einzelne Arbeitsstationen aus LAN-2 sollen auf LAN-1 zugreifen können und umgekehrt.
Frage: Wie konfiguriere ich das?

5. 1 Laptop soll über VPN in LAN-1 eingebunden werden.
Frage: Muß ich zwangsläufig den Advancad VPN Client nutzen oder gibt es andere Möglichkeiten?
6. 1 Fremdnetz mit Fritzbox soll über VPN mit LAN-1 permanent verbunden werden.
Frage: Gibt es hierzu auch ein „How-To“ ?

7. Ist das Gast-Wlan erforderlich oder soll ich dieses aus der DMZ machen?

Für eine Hilfe wäre ich dankbar, da ich nicht ganz der Netzwerkprofi bin.

Danke! Schon mal vorab.

[backslash]

Hi FM

1. Der Router der Richtfunkantenne soll in den Bridgemode gesetzt werden, damit doppelte NAT-Weiterleitungen durch die hintereinandergeschalteten Router entfallen.
Frage 1: Wie konfiguriere ich das Lancom mit einer statischen IP (IoPE?)?

das LANCOM hangt doch direkt am Internet-Anschluß und hat auch meherere Netze - am LANCOM kannst du das NAT nicht abschalten. Bleibt also nur dein Router auf der anderen Seite der Richtfunkstrecke... Wenn du bei dem das NAT abschalözest, dann mußt du im LANCOM Rourten für die Netze, die hinter diesem Router liegen, einrichten, bei denen der zuständigfe Router halt der Router auf der anderen Seite der Richtfunkstrecke ist...

Frage 2: Ist die Schnittstelle Ethernet-2 Richtig gewählt?

woher sollen wir das wissen...

2. Die Firewall des Lancom soll so konfiguriert werden, das eine sichere Kommunikation der einzelnen Netzwerke mit dem Internet möglich ist. Kein Email- oder Webserver hinter der Firewall vorhanden.
Frage: Gibt es ein „How-to“ für die Konfiguration an welches ich mich halten kann?

was meindt su mit "sichere Kommunikation"? Das ist alles eine Frage der eigenen Paranoia... Am Sichersten fährst du mit einer Deny-All Strategie und explizieren Allow-Regeln für alles, was du tun willst. Am einfachsten dabei wäre dann eine Regel, die allen abgehenden Traffic zuläßt, also:

Code: Alles auswählen

Name:     ALLOW-OUTGOING
Aktion:   übertragen
Quelle:   alle Stationen im lokalen Netz
Ziel:     alle Stationen
Dienste:  alle Dienste

Name:     DENY-ALL
Aktion:   zurückweisen
Quelle:   alle Stationen
Ziel:     alle Stationen
Dienste:  alle Dienste

3. Drucker, welche derzeit im LAN-1 stehen, sollen so verändert werden, das sie aus allen Netzwerken erreichbar sind.
Frage: Ist die Einbindung der Drucker in die DMZ sinnvoll und wie kann ich das realisieren?

Wenn du nicht mit massen von umtaggen den Firewall-Regeln hantieren willst, dann stellst du die Drucker sinnvollerweise in die DMZ. Dann greifen die ARF-Sichtbarkeitsregeln:

• Netze mit gleichen Tags sehen sich
• Netze mit unterschiedlichen Tags sehen sich nicht ausser
  • Das Zielnetz ist vom Typ DMZ oder (<= Das wäre die Regel, die dann greifen würde)
  • Das Quellnetz hat das Tag 0

4. Einzelne Arbeitsstationen aus LAN-2 sollen auf LAN-1 zugreifen können und umgekehrt.
Frage: Wie konfiguriere ich das?

In dem du Traffic über passende Regeln umtaggst:

Code: Alles auswählen

Name:         ALLOW-LAN-2->LAN-1
Routing-Tag:  Tag des LAN-1 (1)
Aktion:       übertragen
Quelle:       Adressen der Rechner im LAN-2 die zugreifen sollen
Ziel:         Adressen der Rechner im LAN-1 auf die zugegriffen wird
Dienste:      alle Dienste

Eine umgekehrte Regel brauchst du nur, wenn du auch von Rechnern aus LAN-1 auf Rechner in LAN-2 zugreifen willst

5. 1 Laptop soll über VPN in LAN-1 eingebunden werden.
Frage: Muß ich zwangsläufig den Advancad VPN Client nutzen oder gibt es andere Möglichkeiten?

jeder IPSec-VPN-Client funktioniert (kostenlos ist z.B. der Shrew-Soft Client). Mit dem in Windows eingebauten Client wird es etwas schwieriger, denn mit dem funktionieren nur Zertifikatsbasierte Verbindungen - aber auch das klappt (dazu gibt es hier im Forum irgendwo auch eine Anleitung)...

6. 1 Fremdnetz mit Fritzbox soll über VPN mit LAN-1 permanent verbunden werden.
Frage: Gibt es hierzu auch ein „How-To“ ?

suche im Forum...

7. Ist das Gast-Wlan erforderlich oder soll ich dieses aus der DMZ machen?

ja es ist erforderlich, denn eine DMZ ist nicht dazu da Gast-WLANs zu hosten, sondern um Server von überall verfügbar zu machen (wie z.B. deine Drucker, s.o.)

Gruß
Backslash

[FM]

Hallo Backslash,
vielen Dank für die schnelle Antwort. Bis auf die Antwort zu Punkt 1 habe ich das soweit glaube ich verstanden.

Nochmal zu Punt 1 mit der Richtfunkantenne.

Mein Provider sagte mir er kann den Router in den Bridge-Mode stellen, so daß das Lancom direkt am Internet hängt. Ich habe dann die Zugangsdaten mit meiner öffentlichen IP, Standardgateway und 2 DNS. Wo trage ich diese Daten ein? Oder erstelle ich einen neuen Zugang über Internet over Plain Ethernet?

Der Admin von meinem Provider erzählt mir immer, daß ich meinen Router auf "static ip" konfigurieren soll. Ich finde das aber beim Lancom nirgendwo. Ich glaube das ist nur ein Kommunikationsproblem...

LG FM

[FM]

Noch was..

Habe folgendes ausprobiert:
DMZ auf die IP des momentan vorgeschalteten Routers eingestellt und einen Drucker in den gleichen Adressbereich gelegt.

Folgende Firewallregel konfiguriert

Code: Alles auswählen

Name:         ALLOW-LAN-1->DMZ
Quell-Tag:     Routing-Tag LAN-1 (1)
Routing-Tag:  0
Aktion:       übertragen
Quelle:       Alle Adressen der Rechner im LAN-1
Ziel:        Alle  Adressen 
Dienste:      alle Dienste

Den Router aus dem Quellnetz (192.168.100.1) anpingen geht (192.168.10.1), den Drucker (192.168.10.2) geht nicht. Woran kann das liegen?

[backslash]

Hi FM

Wo trage ich diese Daten ein? Oder erstelle ich einen neuen Zugang über Internet over Plain Ethernet?

genau das...

Der Admin von meinem Provider erzählt mir immer, daß ich meinen Router auf "static ip" konfigurieren soll. Ich finde das aber beim Lancom nirgendwo

wenn du einen neuen Internetzugang mit dem Wizard erstellet, dann fragt er dich danach... Bei manueller Konfiguration wäre dazu ein passender Layer (IPOE) auszuwählen und die Daten in die IP-Parameterliste einzutragen (Kommunikation -> Protokolle -> IP_Parameter)

DMZ auf die IP des momentan vorgeschalteten Routers eingestellt und einen Drucker in den gleichen Adressbereich gelegt.

wie meinst du das jetzt? Hast du jetzt zwei LANs mit dem gleichen Adreßbereich? Das wird Probleme machen, siehe:

Den Router aus dem Quellnetz (192.168.100.1) anpingen geht (192.168.10.1), den Drucker (192.168.10.2) geht nicht.

Ich fürchte, daß dir bei diesem Aufbau so langsam die Ports ausgehen, denn du brauchst ja
1 ADSL-Verbindung (vermutlich PPPoE)
1 Ethernet-Port zur Richfunkstrecke (IPOE) - ETH-1
3 Ethernet-Pors für LAN-1 bis LAN-3 - ETH-2..ETH-4
1 Port für die DMZ mit dem Drucker

Du könntest jetzt die DMZ parallel mit einem der 3 anderen LANs auf deren Ethernet-Interface betreiben oder mit VLANs arbeiten und die DMZ mit einem VLAN fähigen Switch auskoppeln.

Oder aber du stellst den Drucker in eines deiner anderen LANs und erstellst in der Firewall eine Regel die den Zugriff aus den anderen LANs erlaubt - dabei mußt du die Pakete umtaggen. Wenn du also den Drucker z.B. in LAN-1 stellst, dann braucht du für den Zugriff aus den anderen Netzen folgende Regel:

Code: Alles auswählen

Name:         ALLOW-PRINTER
Routing-Tag:  Tag des LAN-1 (1)
Aktion:       übertragen
Quelle:       Adressen der Rechner, die drucken dürfen
Ziel:         Adresse des Drucker
Dienster:     alle Dienste

Noch eine Anmerkung zu deiner Firewallregel: Das Quelltag muß i.A. nicht angegeben werden - es sei denn du willst eine Regel mit Quelle "alle Sationen" eingrenzen (oder du hast wirklich spezielle Sonderfälle)

Gruß
Backslash