Abgrenzung lokaler Netze mit Schnittstellentag

Alles was zum Thema Firewall gehört

Moderator: Lancom-Systems Moderatoren

Antworten
christophhb
Beiträge: 11
Registriert: 12 Dez 2008, 15:49

Abgrenzung lokaler Netze mit Schnittstellentag

Beitrag von christophhb » 05 Nov 2018, 23:14

Moin,
ich würde gerne wissen, ob mein Ansatz zur Abgrenzung von lokalen Netzen mit Hilfe des Schnittstellentags so passt, oder ob ich da noch Denkfehler eingebaut habe?

Ich habe bei mir am Lancom 1781EF die folgenden Netze, die ich voneiander trennen möchte:

Intranet 1, Schnittstellentag 0
Intranet 2, Schnittstellentag 0
Mitarbeiter-Wlan, Schnittstellentag 1

Die Netzte haben jeweils eigene Ethernet-Ports zugewiesen bekommen

Intranet 1 und 2 sollen untereinander kommunizieren (nur bestimmte Dienste, ist in der Firewall eingeschränkt)
Das Mitarbeiter-Wlan soll nur Zugriff ins Internet haben, es soll gar kein Datenverkehr möglich sein in Intranet 1 und 2.
Aus Intranet 1 und 2 möchte ich auf das Mitarbeiter-Wlan zugreifen können, um die Accesspoints zu warten.

Das ganze habe ich soweit konfiguriert und kann vom Mitarbeiter-Wlan keine Station der anderen Netze erreichen, anders herum klappt es wie geplant. In der Firewall sehe ich dabei keine blockierten Pakete. Kommen diese durch den Schnittstellentag gar nicht erst so weit?

Zur Konfiguration der Firewall habe ich noch eine Frage:
Wenn ich Regeln mit dem Stationsobjekt "Localnet" (alle lokalen Netzwerke) erstelle, gelten diese für alle 3 Netzwerke. Beispielsweise "Allow_Https" für den Internetzugriff. Dabei bleiben meine 3 Netze aber sauber getrennt, oder?

Vielen Dank für die Hilfe
Christoph

backslash
Moderator
Moderator
Beiträge: 5798
Registriert: 08 Nov 2004, 22:26
Wohnort: Aachen

Re: Abgrenzung lokaler Netze mit Schnittstellentag

Beitrag von backslash » 06 Nov 2018, 12:54

Hi christophhb,
Kommen diese durch den Schnittstellentag gar nicht erst so weit?
nein... Durch das Tag findet der Router für Pakete aus dem Gastnetz die Netze Internet 1 und 2 erst gar nicht und leitet Pakete an Adressen in diesen Netzen je nachdem wie deine Routing-Tabelle aussieht entweder auf die Sperrrouten für die privaten Netze oder gleich ins Internet... Pakete die erlaubt werden (und das werden sie, selbst wenn sie auf eine Sperroute rennen), werden vom Firewall-Trace aber nicht geloggt...

BTW: das ist auch der Grund, weshalb man die Sperropute auch nicht löschen bzw. ab der 10.12 explizit wieder einschalten sollte (denn sonst landen die Pakete beim Internetprovider). Leider hat sich Bequemlichkeit durchgesetzt und die Sperrrouten wurden ab der 10.12 in der Default-Konfiguration deaktiviert (immerhin sind sie noch da...)

Wenn ich Regeln mit dem Stationsobjekt "Localnet" (alle lokalen Netzwerke) erstelle, gelten diese für alle 3 Netzwerke. Beispielsweise "Allow_Https" für den Internetzugriff. Dabei bleiben meine 3 Netze aber sauber getrennt, oder?
ja, es sei denn du würdest in der Regel das Routing-Tag umsetzen... (ein Tag 0 in der Regel bedeutet, daß ein etwaig vorhandnese Tag - in deinem Fall das des Gastnetzes - unverändert bleibt)

Gruß
Backslash

christophhb
Beiträge: 11
Registriert: 12 Dez 2008, 15:49

Re: Abgrenzung lokaler Netze mit Schnittstellentag

Beitrag von christophhb » 06 Nov 2018, 13:28

Hallo Backslash,
vielen Dank für die Antwort zum Verständnis. Der Tip mit der 10er Firmware und der Routingtabelle ist auch ganz gut, da ich auf einen 1900EF umsteigen wollte. In der jetzigen Konfiguration sind die Sperrouten natürlich aktiv.

Viele Grüße
Christoph

Antworten

Zurück zu „Fragen zum Thema Firewall“