Intranet & Gastnetz

[blackeagle2002de]

Hallo!

Wir haben bislang VLAN nur im Rahmen der Internetleitungsübertragung genutzt, also die Leitungen von den verschiedenen Stellen per VLAN zu unserem 7100 geführt. Jetzt soll zusätzlich ein Gastnetzwerk eingerichtet werden, welches ich auch per VLAN eingerichtet habe. Folgende Grundvoraussetzungen bestehen:

- Gateway Lancom 7100 mit vier WAN Leitungen, angeschlossen über ETH-2, ETH-3, ETH-4 (zwei WAN Verbindungen, eine davon per VLAN),
- Intranet angeschlossen über ETH-1
- Deny-All Regel für die Default-Route und dann wieder eine Allow-Inet Regel für die Intranet Stationen
- Intranet 192.168.1.0, 255.255.255.0
- Gastnetz 192.168.2.0 255.255.255.0

Ich habe jetzt das VLAN-Modul des Router aktiviert und auf unseren Switchen das Gast-Vlan eingerichtet. Dieses soll komplett getrennt sein vom Intranet, keiner soll auf das jeweils andere Netz zugreifen können. Das Intranet kommt ungetaggt (bzw. Tag 1) über ETH-1 zum Router, das Gast-Vlan über Tag 2, Port Tabelle Tagging Modus für ETH-1 im Lancom Router ist gemischt. Weiter habe ich dann im Router unter TCP-IP das Gast-Netzwerk mit VLAN-ID 2 eingerichtet, sowie den Router als DHCP-Server für dieses Netzwerk eingerichtet und das gesamte Gastnetzwerk in der Allow-Inet Regel hinterlegt. Funktioniert alles soweit auch richtig, nur habe ich leider festgestellt, dass trotzdem der Zugriff vom Gastnetz auf auf das Intranet möglich ist.

Wahrscheinlich keine schwierige Sache, trotzdem möchte ich kurz nachfragen, wie ich dieses Problem am besten löse. Mit einem Schnittstellen Tag wird es wahrscheinlich nicht gehen, da ja beide Netze über die gleiche Schnittstelle ETH-1 zum Router kommen oder? Ich würde jetzt eine weitere Firewall Regel anlegen:

Aktion: Zurückweisen
Stationen: Quelle: Intranet und Gastnetz, Ziel: Intranet und Gastnetz
Alle Dienste

Ist das so richtig oder sollte die Einrichtung grundsätzlich anders gemacht werden? Habe mich bislang leider noch nicht viel mit VLAN auseindergesetzt. Zusätzlich würde ich gerne auch den Routerkonfigurationszugriff vom Gastnetz unterbinden, also dass keine Telnet, http etc. Verbindung zum Router aufgebaut werden kann. Wie wäre das möglich? Vielen Dank schon mal vorab,

Grüße
blackeagle2002de

[backslash]

Hi blackeagle2002de

Funktioniert alles soweit auch richtig, nur habe ich leider festgestellt, dass trotzdem der Zugriff vom Gastnetz auf auf das Intranet möglich ist.

korrekt - weil der Zugriff über den Router erfolgt...

Wahrscheinlich keine schwierige Sache, trotzdem möchte ich kurz nachfragen, wie ich dieses Problem am besten löse. Mit einem Schnittstellen Tag wird es wahrscheinlich nicht gehen, da ja beide Netze über die gleiche Schnittstelle ETH-1 zum Router kommen oder?

das wäre die schnellste Lösung: einfach dem Gastnetz ein Interface-Tag ungleich 0 geben und das Gastnetz kann nicht mehr ins Intranet - umgekehrt geht es schon noch, weil das Intranet weiterhin das Tag 0 ("supervisor"-Tag) hat. Willst du das auch unterbinden, so gibst du auch dem Intranet ein anderes Tag...

Ich würde jetzt eine weitere Firewall Regel anlegen:

Aktion: Zurückweisen
Stationen: Quelle: Intranet und Gastnetz, Ziel: Intranet und Gastnetz
Alle Dienste

Ist das so richtig oder sollte die Einrichtung grundsätzlich anders gemacht werden?

das wäre auch eine Lösung, die vielleicht sogar verständlicher ist, als die ARF-Lösung mit den Interface-Tags

Zusätzlich würde ich gerne auch den Routerkonfigurationszugriff vom Gastnetz unterbinden, also dass keine Telnet, http etc. Verbindung zum Router aufgebaut werden kann. Wie wäre das möglich?

Das geht für IPv4 nur über die Access-Tabelle unter Management -> Admin -> Zugriffs-Stationen. Solange diese Tabelle leer ist, dürfen alle auf das LANCOM zugreifen. Sobald dort Einträg existieren, dürfen nur Host aus passenden Netzen zugreifen. In deinem Fall würdest du dort das Intranet eintragen.

Für IPv6 hast du in der Firewall eplizite Inbound-Regeln. Hier müßtest du die Regel ALLOW-CONFIG-LOCALNET anpassen...

Gruß
Backslash