Hallo, nach langem Suchen eröffne ich hier den Thread, da ich noch keine vernünftige Anleitung gefunden habe. Zeitnah will ich zwei Schulen und ein Internat vernetzen. Die Schulen laufen schon seit Jahren, jedoch habe ich nach dem Erstellen des VPN die Routing-Tabelle ergänzt und die anderen Netze in der Firewall gegenseitig gesperrt.
Ich möchte mit der Fertigstellung des Internats alles sauber haben, d.h. die Wartungsnetze und Lehrernetze koppeln. Soweit ich richtig gelesen habe, wird das über einen PPTP-Tunnel gemacht.
z.B. als erste kleine Variante
Schule:
Wartungsnetz: 192.168.174.0 Tag 0 VLAN 1
Lehrernetz: 192.168.171.0 Tag 10 VLAN 10
Internat:
Wartungsnetz: 192.168.169.0 Tag Tag 0 VLAN 1
Lehrernetz: 192.168.164.0 Tag 50 VLAN50
Über Hilfe würde ich mich freuen.
Viele Grüße
Standortvernetzung - VLAN's koppeln
Moderator: Lancom-Systems Moderatoren
-
Aushilfsinformatiker
- Beiträge: 82
- Registriert: 13 Apr 2020, 10:56
-
GrandDixence
- Beiträge: 1149
- Registriert: 19 Aug 2014, 22:41
Re: Standortvernetzung - VLAN's koppeln
Netzwerke in verschiedenen Gebäuden sind aus Sicherheitsgründen mit einem VPN-Tunnel zu verbinden. Heute gibt es zwei nennenswerte, handelsübliche und in öffentlich einsehbaren Standards definierte Techniken für die Realisierung von genügend sicheren VPN-Tunneln:
- IKEv2/IPSec
- L2TP/IPSec
Für mehr Informationen zu den oben genannten VPN-Tunneltechniken siehe Beitrag Nr. 17 unter:
https://community.swisscom.ch/t5/Intern ... 476#M71728
PPTP gilt seit 2012 als "geknackt" und somit als unsicher:
https://de.wikipedia.org/wiki/Point-to- ... g_Protocol
Die "Kopplung" von Unternetzwerken sollte aus Sicherheitsgründen immer per Routingtabelle und Firewallregeln erfolgen. Siehe dazu:
fragen-zum-thema-firewall-f15/schulnetz ... ml#p106924
https://de.wikipedia.org/wiki/Routingtabelle
Firewall mit einer DENY_ALL/BLOCK_ALL-Strategie betreiben.
fragen-zum-thema-firewall-f15/portscans ... ml#p104492
viewtopic.php?p=109526#p109526
Dann mit entsprechenden Firewallregeln TCP-/UDP-Netzwerkverbindungen auf die unerwünschten IP-Adressen blockieren.
Beim Einsatz von IKEv2/IPSec kommt zusätzlich noch die Security Association (SA) zum Einsatz:
fragen-zum-thema-vpn-f14/einwahl-ueber- ... ml#p112810
Achtung: Im Beitrag:
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
=> Hinweise zum Konfigurationsparameter: Setup/VPN/Netzwerkregeln/IPv4-Regeln beachten!
=> Hinweise zum Konfigurationsparameter: Setup/IP-Router/Tag-Tabelle beachten!
Diese "Kopplung" der Unternetzwerke per Routingtabelle und Firewallregeln sind dem Fragesteller mit dem Begriff "Inter-VLAN-Routing" bekannt. "Inter-VLAN-Routing" ist auch mit IKEv2/IPSec möglich.
alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... ml#p115773
Die WAN-Tag-Tabelle muss im lokalen LANCOM-Router zum Einsatz kommen, wenn das TCP SYN-Datenpaket von der fremden VPN-Gegenstelle über den VPN-Tunnel wandert und bei der lokalen Firewall ankommt. In diesem Fall muss auch die entsprechende Firewallregel in der lokalen Firewall das per WAN-Tag-Tabelle vergebene Tag für diese TCP-Netzwerkverbindung verwenden.
https://de.wikipedia.org/wiki/Transmiss ... ungsaufbau
fragen-zum-thema-vpn-f14/verstaendnissf ... ml#p102823
Wichtig: Zum Verständnis der Funktionsweise der WAN-Tag-Tabelle sind ALLE Beiträge von Backslash unter:
fragen-zum-thema-vpn-f14/vpn-clients-mi ... 12347.html
zu beachten!
Konkret sind folgende Routingtabelleneinträge, Firewallregeln und SA's erforderlich:
192.168.174.0 -> 192.168.169.0 Tag 1 -> 2 (WAN-Tag-Tabelleneintrag im LANCOM-Router "Internat" nicht vergessen!)
192.168.169.0 -> 192.168.174.0 Tag 2 -> 1 (WAN-Tag-Tabelleneintrag im LANCOM-Router "Schule" nicht vergessen!)
192.168.171.0 -> 192.168.164.0 Tag 10 -> 50 (WAN-Tag-Tabelleneintrag im LANCOM-Router "Internat" nicht vergessen!)
192.168.164.0 -> 192.168.171.0 Tag 50 -> 10 (WAN-Tag-Tabelleneintrag im LANCOM-Router "Schule" nicht vergessen!)
Damit alle Netzwerkteilnehmern im Wartungsnetz der SCHULE mit allen Netzwerkteilnehmern im Wartungsnetz vom INTERNAT kommunizieren können.
Damit alle Netzwerkteilnehmern im Wartungsnetz vom INTERNAT mit allen Netzwerkteilnehmern im Wartungsnetz der SCHULE kommunizieren können.
Damit alle Netzwerkteilnehmern im Lehrernetz der SCHULE mit allen Netzwerkteilnehmern im Lehrernetz vom INTERNAT kommunizieren können.
Damit alle Netzwerkteilnehmern im Lehrernetz vom INTERNAT mit allen Netzwerkteilnehmern im Lehrernetz der SCHULE kommunizieren können.
Der Einfachheithalber sollten die Tags mit den VLAN-ID's identisch sein:
192.168.174.0 Tag 1 VLAN 1
192.168.171.0 Tag 10 VLAN 10
192.168.169.0 Tag 2 VLAN 2
192.168.164.0 Tag 50 VLAN50
Tag 0 sollte aus Sicherheitsgründen nicht mehr für ein Unternetzwerk zum Einsatz kommen! Tag 0 ist nur noch für den Internetanschluss zu verwenden (Default-Route).
Nun im Detail für die TCP-Netzwerkverbindungen:
192.168.174.0 -> 192.168.169.0 Tag 1 -> 2
Dazu sind folgende Konfigurationen erforderlich:
LANCOM-Router SCHULE: Firewallregel: 192.168.174.0/255.255.255.0 Tag 1 -> 192.168.169.0/255.255.255.0 Tag 2
LANCOM-Router SCHULE: Routingtabelle: Tag 30 für VPN-Gegenstelle INTERNAT
LANCOM-Router SCHULE: Routingtabelle: Tag 2 für 192.168.169.0/255.255.255.0 mit dem Eintrag "INTERNAT" in der Spalte "Router" (VPN-Gegenstelle "INTERNAT")
LANCOM-Router SCHULE: SA -> selbsterklärend
LANCOM-Router INTERNAT: Firewallregel 192.168.174.0/255.255.255.0 Tag 40 -> 192.168.169.0/255.255.255.0 Tag 2
LANCOM-Router INTERNAT: Routingtabelle: Tag 40 für VPN-Gegenstelle SCHULE
LANCOM-Router INTERNAT: WAN-Tag-Tabelle: Tag 40 für VPN-Gegenstelle SCHULE
LANCOM-Router INTERNAT: SA -> selbsterklärend
Hinweise zur Fehlersuche:
Immer unter:
LCOS-Menübaum/Status/IP-Router/Verbindungsliste
kontrollieren, ob die Firewall vom lokalen oder fernen LANCOM-Router das jeweilige TCP-Datenpaket vom TCP-Verbindungsaufbau erhalten und akzeptiert hat.
fragen-zum-thema-firewall-f15/firewall- ... ml#p109378
Effektive Routingtabelle kontrollieren (bei VPN-Server mit Einwahlverbindungen RAS):
LCOS-Menübaum > Status > IP-Router > Eff.-IPv4-Routing-Tab.
Security Association (SA) vom VPN-Tunnel mit dem Befehl "show vpn sadb" kontrollieren (Webinterface LANCOM-Router: Extras > Show Befehl ausführen > Befehl: vpn sadb):
fragen-zum-thema-vpn-f14/frage-zu-vorde ... tml#p96893
Für die Fehlersuche im Bereich "VLAN" empfiehlt sich der Einsatz von Wireshark. Siehe dazu:
fragen-zu-lancom-systems-voip-router-f4 ... ml#p115225
https://lancom-forum.de/fragen-zur-lanc ... 0-s30.html
- IKEv2/IPSec
- L2TP/IPSec
Für mehr Informationen zu den oben genannten VPN-Tunneltechniken siehe Beitrag Nr. 17 unter:
https://community.swisscom.ch/t5/Intern ... 476#M71728
PPTP gilt seit 2012 als "geknackt" und somit als unsicher:
https://de.wikipedia.org/wiki/Point-to- ... g_Protocol
Die "Kopplung" von Unternetzwerken sollte aus Sicherheitsgründen immer per Routingtabelle und Firewallregeln erfolgen. Siehe dazu:
fragen-zum-thema-firewall-f15/schulnetz ... ml#p106924
https://de.wikipedia.org/wiki/Routingtabelle
Firewall mit einer DENY_ALL/BLOCK_ALL-Strategie betreiben.
fragen-zum-thema-firewall-f15/portscans ... ml#p104492
viewtopic.php?p=109526#p109526
Dann mit entsprechenden Firewallregeln TCP-/UDP-Netzwerkverbindungen auf die unerwünschten IP-Adressen blockieren.
Beim Einsatz von IKEv2/IPSec kommt zusätzlich noch die Security Association (SA) zum Einsatz:
fragen-zum-thema-vpn-f14/einwahl-ueber- ... ml#p112810
Achtung: Im Beitrag:
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
=> Hinweise zum Konfigurationsparameter: Setup/VPN/Netzwerkregeln/IPv4-Regeln beachten!
=> Hinweise zum Konfigurationsparameter: Setup/IP-Router/Tag-Tabelle beachten!
Diese "Kopplung" der Unternetzwerke per Routingtabelle und Firewallregeln sind dem Fragesteller mit dem Begriff "Inter-VLAN-Routing" bekannt. "Inter-VLAN-Routing" ist auch mit IKEv2/IPSec möglich.
alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... ml#p115773
Die WAN-Tag-Tabelle muss im lokalen LANCOM-Router zum Einsatz kommen, wenn das TCP SYN-Datenpaket von der fremden VPN-Gegenstelle über den VPN-Tunnel wandert und bei der lokalen Firewall ankommt. In diesem Fall muss auch die entsprechende Firewallregel in der lokalen Firewall das per WAN-Tag-Tabelle vergebene Tag für diese TCP-Netzwerkverbindung verwenden.
https://de.wikipedia.org/wiki/Transmiss ... ungsaufbau
fragen-zum-thema-vpn-f14/verstaendnissf ... ml#p102823
Wichtig: Zum Verständnis der Funktionsweise der WAN-Tag-Tabelle sind ALLE Beiträge von Backslash unter:
fragen-zum-thema-vpn-f14/vpn-clients-mi ... 12347.html
zu beachten!
Konkret sind folgende Routingtabelleneinträge, Firewallregeln und SA's erforderlich:
192.168.174.0 -> 192.168.169.0 Tag 1 -> 2 (WAN-Tag-Tabelleneintrag im LANCOM-Router "Internat" nicht vergessen!)
192.168.169.0 -> 192.168.174.0 Tag 2 -> 1 (WAN-Tag-Tabelleneintrag im LANCOM-Router "Schule" nicht vergessen!)
192.168.171.0 -> 192.168.164.0 Tag 10 -> 50 (WAN-Tag-Tabelleneintrag im LANCOM-Router "Internat" nicht vergessen!)
192.168.164.0 -> 192.168.171.0 Tag 50 -> 10 (WAN-Tag-Tabelleneintrag im LANCOM-Router "Schule" nicht vergessen!)
Damit alle Netzwerkteilnehmern im Wartungsnetz der SCHULE mit allen Netzwerkteilnehmern im Wartungsnetz vom INTERNAT kommunizieren können.
Damit alle Netzwerkteilnehmern im Wartungsnetz vom INTERNAT mit allen Netzwerkteilnehmern im Wartungsnetz der SCHULE kommunizieren können.
Damit alle Netzwerkteilnehmern im Lehrernetz der SCHULE mit allen Netzwerkteilnehmern im Lehrernetz vom INTERNAT kommunizieren können.
Damit alle Netzwerkteilnehmern im Lehrernetz vom INTERNAT mit allen Netzwerkteilnehmern im Lehrernetz der SCHULE kommunizieren können.
Der Einfachheithalber sollten die Tags mit den VLAN-ID's identisch sein:
192.168.174.0 Tag 1 VLAN 1
192.168.171.0 Tag 10 VLAN 10
192.168.169.0 Tag 2 VLAN 2
192.168.164.0 Tag 50 VLAN50
Tag 0 sollte aus Sicherheitsgründen nicht mehr für ein Unternetzwerk zum Einsatz kommen! Tag 0 ist nur noch für den Internetanschluss zu verwenden (Default-Route).
Nun im Detail für die TCP-Netzwerkverbindungen:
192.168.174.0 -> 192.168.169.0 Tag 1 -> 2
Dazu sind folgende Konfigurationen erforderlich:
LANCOM-Router SCHULE: Firewallregel: 192.168.174.0/255.255.255.0 Tag 1 -> 192.168.169.0/255.255.255.0 Tag 2
LANCOM-Router SCHULE: Routingtabelle: Tag 30 für VPN-Gegenstelle INTERNAT
LANCOM-Router SCHULE: Routingtabelle: Tag 2 für 192.168.169.0/255.255.255.0 mit dem Eintrag "INTERNAT" in der Spalte "Router" (VPN-Gegenstelle "INTERNAT")
LANCOM-Router SCHULE: SA -> selbsterklärend
LANCOM-Router INTERNAT: Firewallregel 192.168.174.0/255.255.255.0 Tag 40 -> 192.168.169.0/255.255.255.0 Tag 2
LANCOM-Router INTERNAT: Routingtabelle: Tag 40 für VPN-Gegenstelle SCHULE
LANCOM-Router INTERNAT: WAN-Tag-Tabelle: Tag 40 für VPN-Gegenstelle SCHULE
LANCOM-Router INTERNAT: SA -> selbsterklärend
Hinweise zur Fehlersuche:
Immer unter:
LCOS-Menübaum/Status/IP-Router/Verbindungsliste
kontrollieren, ob die Firewall vom lokalen oder fernen LANCOM-Router das jeweilige TCP-Datenpaket vom TCP-Verbindungsaufbau erhalten und akzeptiert hat.
fragen-zum-thema-firewall-f15/firewall- ... ml#p109378
Effektive Routingtabelle kontrollieren (bei VPN-Server mit Einwahlverbindungen RAS):
LCOS-Menübaum > Status > IP-Router > Eff.-IPv4-Routing-Tab.
Security Association (SA) vom VPN-Tunnel mit dem Befehl "show vpn sadb" kontrollieren (Webinterface LANCOM-Router: Extras > Show Befehl ausführen > Befehl: vpn sadb):
fragen-zum-thema-vpn-f14/frage-zu-vorde ... tml#p96893
Für die Fehlersuche im Bereich "VLAN" empfiehlt sich der Einsatz von Wireshark. Siehe dazu:
fragen-zu-lancom-systems-voip-router-f4 ... ml#p115225
https://lancom-forum.de/fragen-zur-lanc ... 0-s30.html
-
Aushilfsinformatiker
- Beiträge: 82
- Registriert: 13 Apr 2020, 10:56
Re: Standortvernetzung - VLAN's koppeln
Vielen Dank für deine viele Zeit, dann war ich doch ganz nah dran. Die VPN-Brücke steht (Ikev2), Firewall ist sowieso Deny-All, Tags identisch... ich werde das mittel Routing-Tabelle und Firewall in Kürze umsetzen.
Das Wartungsnetz mit Tag 0 VLAN 1 ist nur für mich, damit ich schnellstens mit meinem Dienstgerät in alle Netzwerke bei Problemen komme. Dort sind alle Switche und der WLC beheimatet. Der Zugriff auf die Netzwerkgeräte geht auch nur aus diesem IP-Bereich.
Im Internat sind allein 4 Schülernetzwerke mit unterschiedlichem Schedule, Verwaltung, Security-Firma, Küche, Lehrer/Erzieher... alles strikt getrennt, nur ein Kopierer in einem Share-VLAN ist für alle per Firewall über den Druckerport erreichbar. Die Trennung ist nur durch Schnittstellen-Tags, ich gehe davon aus, dass das auch dicht ist.
Erfolgsmeldung folgt natürlich.
Viele Grüße und ein schönes Wochenende
Das Wartungsnetz mit Tag 0 VLAN 1 ist nur für mich, damit ich schnellstens mit meinem Dienstgerät in alle Netzwerke bei Problemen komme. Dort sind alle Switche und der WLC beheimatet. Der Zugriff auf die Netzwerkgeräte geht auch nur aus diesem IP-Bereich.
Im Internat sind allein 4 Schülernetzwerke mit unterschiedlichem Schedule, Verwaltung, Security-Firma, Küche, Lehrer/Erzieher... alles strikt getrennt, nur ein Kopierer in einem Share-VLAN ist für alle per Firewall über den Druckerport erreichbar. Die Trennung ist nur durch Schnittstellen-Tags, ich gehe davon aus, dass das auch dicht ist.
Erfolgsmeldung folgt natürlich.
Viele Grüße und ein schönes Wochenende