Abgrenzung lokaler Netze mit Schnittstellentag

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Elster-Medien
Beiträge: 10
Registriert: 13 Apr 2023, 12:36

Re: Abgrenzung lokaler Netze mit Schnittstellentag

Beitrag von Elster-Medien »

Hallo,

da ich in der Firewall-Konfiguration das LAN2 nicht auswählen kann, scheint wohl in den Netzwerkeinstellungen ein Fehler zu sein.
Oder muss das LAN2 manuell in der Firewall hinzugefügt werden?
Elster-Medien
Beiträge: 10
Registriert: 13 Apr 2023, 12:36

Re: Abgrenzung lokaler Netze mit Schnittstellentag

Beitrag von Elster-Medien »

habe nun noch ein Stations-Objekt bzw. ein ganzes Netzwerk in der Firewall angelegt.
Ergebnis: keine Änderung. Vielleicht ist das ARF noch nicht ganz durchdacht, oder es soll so sein.
Wer weiß....
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Abgrenzung lokaler Netze mit Schnittstellentag

Beitrag von backslash »

Hi Elster-Medien
da ich in der Firewall-Konfiguration das LAN2 nicht auswählen kann, scheint wohl in den Netzwerkeinstellungen ein Fehler zu sein.
Oder muss das LAN2 manuell in der Firewall hinzugefügt werden?
wieso kannst du das nicht auzswählen? Im Dialog, in dem die die Stationen wählt setzt du den Radio-Button bei "Alle Stationen im lokalen Netzwerk" und unten bei Netzwerkname statt "alle lokalen Netze" das jeweilige Netz aus - in deinem Fall "LAN2"

Vielleicht ist das ARF noch nicht ganz durchdacht, oder es soll so sein.
Wer weiß....
doch, das ARF ist durchdacht und funktioniert auch - und zwar ganz *OHNE* Firewallregeln - wenn du es selbst mit Firewallregeln nicht hinbekommst, dann liegt das Problem *NICHT* am LANCOM - nicht umsonst habe ich auf die Problematik von Firewalls in NAS-Geräten hingewiesen

Gruß
Backslash
Elster-Medien
Beiträge: 10
Registriert: 13 Apr 2023, 12:36

Re: Abgrenzung lokaler Netze mit Schnittstellentag

Beitrag von Elster-Medien »

Es handelt sich bei den Netzwerkkomponenten um kein NAS. Es sind mehrere WLAN-AccessPoints von TP-Link mit einem einfachen Webinterface zur Verwaltung. Eine Firewall haben die Geräte nicht. Aus dem Netzwerk 2 (Tag1) sind alle Geräte problemlos erreichbar.
Ich muss natürlich einräumen, dass ich eine fehlerhafte Einstellung im Router gemacht habe, die den Zugriff verhindert.
Daher auch die Anfrage hier im Forum. Vielleicht hat noch jemand anders eine Idee.
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: Abgrenzung lokaler Netze mit Schnittstellentag

Beitrag von PappaBaer »

Moin,

darf ich noch einmal ganz zum Anfang zurückkehren? Du hattest geschrieben, dass Du beide Netze dem logischen Ifc LAN-1 zugeordnet hast, erwähnst aber nichts von VLAN-Tags. Hast Du die beide im VLAN0, also ungetagged?
Falls ja, solltest Du das Design grundlegend überdenken, denn das würde bedeuten, dass Du auf Layer3 Deine Netze trennst, auf Layer2 aber nicht und das ist höflich ausgedrückt "unschön".

Sollte aber nicht Ursache Deines Problems hier sein.

Du hast aber beide Netze auf Typ "Intranet" stehen? Lan1 steht nicht auf "DMZ"?

Wie bereits von backslash geschrieben, funktioniert das mit dem ARF out-of-the-box absolut einwandfrei, wenn man nicht durch irgendwelche Deny-Firewall-Regeln hier etwas blockiert.

Daher wäre es vielleicht sinnvoll, wenn Du mal einen Screenshot Deiner Firewall-Tabelle hier postest. Dann sieht man evtl. das Problem auf den ersten Blick.

EDIT:
Es sind mehrere WLAN-AccessPoints von TP-Link mit einem einfachen Webinterface zur Verwaltung. Eine Firewall haben die Geräte nicht.
Du glaubst gar nicht, was sich die Hardware-Hersteller inzwischen einfallen lassen.
Beispiel?
Gigaset verhindert bei seinen IP fähigen Telefonen wie z.B. der Go-Box 100 standardmässig den Zugriff auf das Webinterface aus Fremdnetzen. Das muss man explizit erst erlauben. Hättest Du hier vermutet, dass die eine "Firewall" haben?

Welche TP-Link Modelle sind es denn?

Viele Grüße,
Torsten
Elster-Medien
Beiträge: 10
Registriert: 13 Apr 2023, 12:36

Re: Abgrenzung lokaler Netze mit Schnittstellentag

Beitrag von Elster-Medien »

Danke für die Antwort,

beide Netzwerke haben die VLAN-ID = 0 und sind als INTRANET definiert.
Bild
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: Abgrenzung lokaler Netze mit Schnittstellentag

Beitrag von PappaBaer »

Moin,

okay, da ist ja nix drin in der Firewall-Tabelle. Da am Ende der Tabelle ein implizites "Allow All" steht, ist Deine erstellte Regel an Position 1 auch obsolet.
beide Netzwerke haben die VLAN-ID = 0
Okay, dann ist wie vorher beschrieben Dein Nezzdesign zumindest schonmal Murks (entschuldige diesen Ausdruck, ist meine persönliche Meinung). Beide Netze im selben VLAN und demselben logischen Interface LAN-1 zugeordnet = Keine Trennung auf Layer2.

Welche TP-Link Modelle Du da nun genau verbaut hast, magst Du uns nicht nennen?

Grüße,
Torsten
Elster-Medien
Beiträge: 10
Registriert: 13 Apr 2023, 12:36

Re: Abgrenzung lokaler Netze mit Schnittstellentag

Beitrag von Elster-Medien »

Es sind einfache WLAN-AP's vom Typ TP-Link EAP115.
Ich habe auch bisher im zweiten Netz nichts weiter installiert, da ich das Problem nicht weiter vertiefen möchte.
Was die Trennung per VLAN angeht: Ich habe Sorge, dass sich die Vergabe einer VLAN-ID auf alle vorhandenen Endgeräte des Netzwerkes auswirkt und dann garnichts mehr funktioniert. Ich habe zumindest keine Dokumentation dafür gefunden.
Es sieht im Moment so aus, dass ich mit LANCOM nicht die beste Wahl (für mich) getroffen habe. Ich werde mir wohl Unterstützung einholen müssen.
Leider arbeiten in meinem Umfeld die meisten Unternehmen nicht mit LANCOM. Warum auch immer...

Danke jedenfalls für die geopferte Zeit.
Antworten