Hallo Forum,
habe mich heute am ARF probiert, leider nicht mit dem Ergebnis was ich mir vorgestellt habe.
Vorhanden ist ein 1724, Firmware 7.22, Firewall mit Allow-All Strategie. Ich möchte folgendes realisieren: 2 LAN seitige Netze, beide dürfen ins Internet. Das Netz2 darf kein Zugriff auf das Netz1 sowie VPN haben und soll in den Internetports beschränkt werden, das Netz1 soll Zugriff auf Netz2 sowie VPN haben und soll zusätzlich gegenüber Netz2 Bandbreiten-priorisiert werden.
Zunächst habe ich Netz1 (Routingtag 0) und Netz2 (Routingtag 1) eingerichtet. Im IP Router haben die VPN Strecken und die Defaultroute die Tags 0. Internetzugang kein Problem, lokales Routing von Netz1 zu Netz2 geht - ist aber ohne DNS Auflösung, obwohl der Lancom für Netz2 selbst DHCP ist. Auch eine DNS Weiterleitung auf die Router IP aus dem 2. Netz hat nichts gebracht. Eigentlich müsste die auch überflüssig sein weil sich ja der Router selbst kennt.
Weiteres Problem sind die VPN Strecken. Wird aus dem Netz2 (RTg 1) eine VPN Strecken angepingt, tritt der Router in Verhandlung mit der Gegenseite. Die Verbindung kommt jedoch nicht zustande weil ja die falschen IPs für die VPN Aushandlung genutzt werden. Es erscheint aber immerhin "Zeitüberschreitung" beim pingen, das ist mehr als Zielnetz nicht erreichbar oder garkeine Route.
Nun habe ich Netz1 mit RTg 1 und Netz2 mit 2 versehen. Internetzugang über die Defaultroute (RTg 0) kein Problem, bei ping Netz2 -> VPN wird keine Route mehr aufgebaut. Aufruf von Netz1 zu Netz2 noch immer ohne Namensauflösung, im Webconfig stehen aber sogar die Namen aus Netz2 in der Userliste.
Jetzt habe ich versucht das Netz2 einzuschränken. Bei einer Deny-All Regel mit dem Routing Tag dieses Netzes sind aber gleich beide Netze betroffen, sogar wenn ich sage Deny-All von und alle Stationen aus Netz2. Netz 1 kommt nicht mehr ins Internet. An dieser Stelle hatte ich gedacht das über die Tags die einzelnen Netze separat zu verwalten sind.
Wenn generell die Deny-All mit dem Tag 0 versehen wird sollte das ja für alle Netze gelten. Wird dannach z.Bsp. eine Regel für DNS und HTTP erzeugt, aber das Tag für nur ein Netz gesetzt, kommen trotzdem beide Netzte ins Internet.
Kann mir jemand sagen ob ich die Tags vielleicht falsch verstanden habe. Gibt es denn keine einfache und elegante Lösung ausser die Firewall mit Regeln für jedes Netz zu stopfen?
Gruß
Michael
ARF: lokales Routing, Namensauflösung, Beschränkungen, VPN
Moderator: Lancom-Systems Moderatoren
ARF: lokales Routing, Namensauflösung, Beschränkungen, VPN
°
Viele Grüße MichaelF
Viele Grüße MichaelF
Hi MichaelF
warum die Namensauflösung bei dir nicht funktioniert kann ich jetzt auch nicht sagen, denn zumindest in deinem ersten Aufbau (Netz 1 mit Tag 0 und Netz 2 mit Tag 1) hättest du die Namen aus Netz 2 auflösen können müssen... Was i.Ü. in deinem zweiten Versuch (Netz 1 mit Tag 1 und Netz 2 mit Tag 2) gar nicht funktionieren kann...
Zu deinen Routen:
Im ersten Fall (Netz 1 mit Tag 0) mußt du eine mit dem Tag des Netzes 2 getaggte Sperr-Route für das VPN-Netz setzen, damit der Router keine Pakete aus Netz 2 auf die VPN-Route stellt.
Hier aben wir einen "Zielkonflikt": Einerseits willst du, daß der Router die mit 0 getaggte Defaultroute auch für Netz 2 nimmt, andererseits beschwerst du dich, daß er das gleiche für die VPN-Route macht...
Der Router sieht nur Pakete, Routing-Tags und seine Routing-Tabelle. Ein Interface-Tag ist für den Router nichts anderes als ein Routing-Tag, daß dem Paket schon beim Empfang angeheftet wird, und nicht erst in der Firewall...
Zum Routing-Tag in der Firewall:
Das Routing-Tag in der Firewall ist mitnichten eine Bedingung für die Gültigkeit einer Regel. Eine Regel matcht aufgrund von Quell- und Zieladressen. Wenn die Regel dann auf ein Paket matcht, dann kannst du diesem Paket über die Firewall ein Routing-Tag zuweisen (policy based Routing). Damit ist es z.B. möglich die implizite Barriere zwischen ARF-Netzen mit unterschiedlichen Interface-Tags zu überbrücken (siehe hierzu auch http://www.lancom-forum.de/ptopic,33513,arf.html)
Gruß
Backslash
warum die Namensauflösung bei dir nicht funktioniert kann ich jetzt auch nicht sagen, denn zumindest in deinem ersten Aufbau (Netz 1 mit Tag 0 und Netz 2 mit Tag 1) hättest du die Namen aus Netz 2 auflösen können müssen... Was i.Ü. in deinem zweiten Versuch (Netz 1 mit Tag 1 und Netz 2 mit Tag 2) gar nicht funktionieren kann...
Zu deinen Routen:
Im ersten Fall (Netz 1 mit Tag 0) mußt du eine mit dem Tag des Netzes 2 getaggte Sperr-Route für das VPN-Netz setzen, damit der Router keine Pakete aus Netz 2 auf die VPN-Route stellt.
Hier aben wir einen "Zielkonflikt": Einerseits willst du, daß der Router die mit 0 getaggte Defaultroute auch für Netz 2 nimmt, andererseits beschwerst du dich, daß er das gleiche für die VPN-Route macht...
Der Router sieht nur Pakete, Routing-Tags und seine Routing-Tabelle. Ein Interface-Tag ist für den Router nichts anderes als ein Routing-Tag, daß dem Paket schon beim Empfang angeheftet wird, und nicht erst in der Firewall...
Zum Routing-Tag in der Firewall:
Das Routing-Tag in der Firewall ist mitnichten eine Bedingung für die Gültigkeit einer Regel. Eine Regel matcht aufgrund von Quell- und Zieladressen. Wenn die Regel dann auf ein Paket matcht, dann kannst du diesem Paket über die Firewall ein Routing-Tag zuweisen (policy based Routing). Damit ist es z.B. möglich die implizite Barriere zwischen ARF-Netzen mit unterschiedlichen Interface-Tags zu überbrücken (siehe hierzu auch http://www.lancom-forum.de/ptopic,33513,arf.html)
Gruß
Backslash
ARF & VPN
Hallo,
ich hab hier mehrere 1722 und 1711er die in einem VPN sind. An einigen Standorten will ich (eher muss;=) ) ARF benutzen um einen Gastzugang zur Verfügung zu stellen. Die VPN sind konfiguriert und laufen, in dem Moment wo ich die ARF Tags setzte brechen mir teilweise die VPN Verindungen zusammen. An den Aussenstellen, also nicht dem Zentral VPN Gerät blinkt dann jeweils die VPN Lampe. Bei der Zentrale bleibt sie an.
Irgend einen Hinweis woran das liegen könnte ? Keine gute Idee ARF mit VPN zu nutzen? Einzeln gehts wunderbar...
ich hab hier mehrere 1722 und 1711er die in einem VPN sind. An einigen Standorten will ich (eher muss;=) ) ARF benutzen um einen Gastzugang zur Verfügung zu stellen. Die VPN sind konfiguriert und laufen, in dem Moment wo ich die ARF Tags setzte brechen mir teilweise die VPN Verindungen zusammen. An den Aussenstellen, also nicht dem Zentral VPN Gerät blinkt dann jeweils die VPN Lampe. Bei der Zentrale bleibt sie an.
Irgend einen Hinweis woran das liegen könnte ? Keine gute Idee ARF mit VPN zu nutzen? Einzeln gehts wunderbar...
Pengiun
Hallo,
hab mal ein bischen aufgeräumt und in die Routing-Tabelle bei den betreffenen VPN Netzten das TAG des Intranet der Zentral-Site gesetzt. Wenn diese Tags übereinstimmen dann geht es und die Fehlermeldungen verschwinden.
Wenn ich das jetzt richtig verstanden habe, dann dienen die Tags dazu dass der Router weiss welches VPN welchem internen virtuellem Netz zugeordnet werden soll.
Danke für den entscheidenen Tip.
hab mal ein bischen aufgeräumt und in die Routing-Tabelle bei den betreffenen VPN Netzten das TAG des Intranet der Zentral-Site gesetzt. Wenn diese Tags übereinstimmen dann geht es und die Fehlermeldungen verschwinden.
Wenn ich das jetzt richtig verstanden habe, dann dienen die Tags dazu dass der Router weiss welches VPN welchem internen virtuellem Netz zugeordnet werden soll.
Danke für den entscheidenen Tip.
Pengiun