1793VAW, VLAN .. VPN Fragen

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

1793VAW, VLAN .. VPN Fragen

Beitrag von C/5 »

Hallo,

bin neu hier im Forum und hoffe, ich darf mit einigen Fragen starten.
LANCOMs sind zwar nicht neu für mich, aber mein bisheriger 1821n ist schon ne Weile stillgelegt und das markiert auch ungefähr die Pause, seit ich mich zuletzt mit einem LANCOM auseinandergesetzt habe. Davor irgendwann mal mit DSL/i10, DSL 1100, 1711/1721, falls die noch jemand kennt :wink:

Dank Maurice hab ich endlich mal eine einleuchtende Erläuterung des Zusammenwirkens der diversen Ports, Schnittstellen, Tags und Abläufe gefunden. Top. Danke an dieser Stelle. Hat mir sehr geholfen. Um stellvertretend eine von vielen hilfreichen Fundstellen zu nennen. In den Dokus von LANCOM kommen viele Themen und Zusammenhänge mMn deutlich zu kurz.

Da meine Fragen im Wesentlichen um die Themen VPN und VLAN kreisen, wußte ich nicht so recht, wo das Thema am besten zu erstellen wäre. Falls das hier nicht richtig ist, mag ein Moderator das bitte an die passende Stelle setzen.

Es geht um das Setup eines Netzes mit 4 Zonen + Management-Netz und ein paar Knackpunkte, deren geeignete Lösung mir noch nicht ganz klar ist. Anhängend eine schematische Grafik zur Visualisierung des Vorhabens. Einige Punkte sind natürlich auch schon erarbeitet:

Netzzonen A, B, C, D sind eingerichtet.
VLAN40 mit VLAN-ID 40 für das Subnetz 192.168.0.x ist momentan so vorgegeben, später vielleicht von .0. auf .40. änderbar.
VPN-Einwahl zur Administration ist angelegt und funktioniert so weit.
Zugriff auf die Konfig ist am 1793VAW über einen Stationsfilter auf das 172.16.1.x Subnetz eingeschränkt.
Bis zu diesem Punkt war es nicht erforderlich, weitere als die vorhandenen Default-Routen zu setzen.
Den DMZ-Eintrag habe ich entfernt.

Aus jedem VLAN ist neben der jeweiligen GW IP auch die GW IP der anderen VLANs pingbar. Das hatte ich so nicht erwartet. Entsprechend wäre auch der Konfigurationszugriff auf den 1793VAW möglich, wenn dies jetzt nicht durch den Stationsfilter verhindert wäre (außer aus VLAN30 wo das Schnittstellen-TAG 30 das Netz schon zusätzlich in Richtung GW isoliert).
Alle anderen IPs außerhalb der jeweiligen VLAN-Grenze sind nicht erreichbar.

Meine Fragen:

Wie kann man denn nun am besten das Management-LAN so abgrenzen, dass noch aus dem Mmgt-LAN in die VLANs administriert, aber nicht von den VLANs aus auf den 1793VAW zugegriffen werden kann? Oder ist der Weg über den Stationsfilter das Mittel der Wahl?

Wie können die Clients in Netz A untereinander abgeschottet werden? Gibt es da eine Möglichkeit, ähnlich wie WLAN-Clients untereinander isoliert werden können?

Sollte die Verbindung vom 1793VAW zum Hauptswitch über eine dedizierte Leitung ETH-2 > LAN-2 erfolgen ... oder über ETH-1 > LAN-1 mitlaufen? Hierzu las ich an einigen Stellen Hinweise wg. gleicher MAC-Adressen der Schnittstellen des LANCOM, was für den Switch zur Unterscheidung der VLANS problematisch werden könne.

Ist es sinnvoll noch ein Schnittstellen-TAG für die blaue Zone (Netz A) zu setzen? Das braucht nur Internetzugriff und soll aber vom Mmgt-Netz aus erreichbar bleiben.

Wie kann man für Nutzer von Netz C eine VPN-Einwahl auf das Netz C und nichts sonst eingrenzen? Geht das nur über Firewallregeln oder überhaupt damit?

Wenn man per VPN Einwahl die TK administrieren möchte (Netz B), müsste das über eine eigens dafür erstellte VPN-Einwahl + WAN-Tag-Tabelle möglich sein, oder?

Was wäre noch an dos und don'ts zu beachten?

Gruß
C/5
image053.png
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von C/5 am 10 Aug 2019, 13:18, insgesamt 1-mal geändert.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: 1793VAW, VLAN .. VPN Fragen

Beitrag von GrandDixence »

Wenn das Netzwerk nicht zu gross ist, sollte für jeden Netzwerkteilnehmer ein eigenes VLAN verwendet werden. Eventuell hilft auch dieser Beitrag:
viewtopic.php?f=15&t=17569&p=99671#p99671
und die darin verlinkten Beiträge weiter (=> nach jeder Konfigurationsänderung immer brav Konfigurationsbackup erstellen!!!).

Der VPN-Zugriff kann mit den IPv4-Regeln (zusätzlich) eingegrenzt werden:
fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html

viewtopic.php?f=14&t=17091&p=96922&hili ... gel#p96922
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: 1793VAW, VLAN .. VPN Fragen

Beitrag von Maurice »

Moin!

Viel. Text. Als Begrüßungstipp: Beiträge à la "gebt mir mal ein paar allgemeine Tipps zu meinem Netzwerkdesign" stoßen hier nicht immer auf grenzenlose Resonanz. Habe auch nicht alles durchgearbeitet, aber ein paar Hinweise gibt es trotzdem. :wink:

Netze mit Schnittstellen-Tag 0 können auf alle anderen Netze zugreifen. Netze mit Schnittstellen-Tag >0 können nur auf Netze mit dem gleichen Tag zugreifen. Das ist eisernes Grundprinzip bei Lancom. Ob VLAN oder physischer Port spielt dabei keine Rolle.
C/5 hat geschrieben: 22 Jul 2019, 19:13 Wie können die Clients in Netz A untereinander abgeschottet werden? Gibt es da eine Möglichkeit, ähnlich wie WLAN-Clients untereinander isoliert werden können?
Clients innerhalb eines Netzes lassen sich nur auf Layer 2 voneinander isolieren, das müsstest Du auf dem Switch bzw. den APs konfigurieren.
C/5 hat geschrieben: 22 Jul 2019, 19:13 Sollte die Verbindung vom 1793VAW zum Hauptswitch über eine dedizierte Leitung ETH-2 > LAN-2 erfolgen ... oder über ETH-1 > LAN-1 mitlaufen?
Das Management-Netz über eine dedizierte Leitung anzubinden wäre sehr ungewöhnlich. Mehr als eine physische Verbindung ist eigentlich nur sinnvoll, falls Du mehr als 1 Gbit/s und / oder Redundanz brauchst (Link Aggregation). Oder für Superspezialfälle...

Grüße

Maurice
Antworten