Mehrere Netze - Best Practice für Routing

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Mehrere Netze - Best Practice für Routing

Beitrag von firefox_i »

Hallo zusammen,
ich hab mal wieder eine - für mich knifflige - Situation, bei der ich gerne auf das Schwarmwissen hier zurückgreifen möchte.

Folgendes Szenario / Status Quo:

Location 1:

Es gibt einen WLAN-AP der an einem Switch hängt.
Alle Rechner hängen an dem Switch.
Der Router (1783VA-4G) hängt auch an dem Switch (via ETH1).
Ethernet Port ETH1 hat als Schnittstellenverwendung LAN-1 konfiguriert.
Bei der LAN-Bridge EInstellung habe ich LAN-1 in der BRG-1 drin.

Netzwerke:

Intranet: IP 10.72.30.1, VLAN 0, Tag 0, Schnittstelle BRG-1
WLAN1: IP 10.72.40.1, VLAN 100, Tag 100, LAN-1
WLAN1: IP 10.72.50.1, VLAN200,Tag 200, LAN-1
LAN2: IP 10.72.60.1, VLAN0,Tag 0, LAN-1

WANs:
2 verschiedene Internet Anbieter: UNITY und VODAFONE.



Location 2:
Ganz einfach: nur ein LAN mit 10.72.10.1 und ein WAN Anbieter.

Es gibt einen VPN Tunnel zwischen Location 1 und 2.

Routing:
Location 1
1) Route nach 10.72.10.0 mit Maske 255.255.255.0 und Tag 0 geht auf den Router "VPN_TUNNEL"
2) Route nach 255.255.255.255 mit Maske 0.0.0.0 und Tag 100 geht auf den Router "VODAFONE"
3) Route nach 255.255.255.255 mit Maske 0.0.0.0 und Tag 200 geht auf den Router "VODAFONE"
4) Die Defaultroute 255.255.255.255 mit Maske 0.0.0.0 und Tag 0 geht auf den Router "UNITY"



****

Nun ist die Aufgabenstellung folgende:
a) erst mal sollen alle Netzwerke voneinander getrennt sein und sich nicht sehen.
b) Location 1 soll das Nez in Location 2 sehen
c) WLAN1 und WLAN2 sollen VODAFONE nuzen, der Rest UNITY


So weit so gut.
Das Ganze scheint auch zu funktionieren.

Ich muss allerdings zugeben:
Ich habe noch nie getestet, ob ein Rechner im Intranet nicht doch einen Rechner im WLAN1 anpingen kann bzw. umgekehrt.
Sollte aber wegen der konfigurierten VLANs doch passen oder?

Nun ist es aber doch so, dass die Route nach 10.72.10.0 auch von den Rechnern in WLAN1 und WLAN2 genutzt werden könnte, oder, denn beim Router ist es ja so, dass die Route mit dem Tag 0 von allen genutzt werden kann, richtig?

Die Frage die ich mir nun Stelle:
Was ist da die beste Herangehensweise:

I) Die Route durch den VPN Tunnel mit einem Routing Tag versehen und dann über Firewall-Regeln das Tag setzen, wenn aus einem erlaubten Netz zugegriffen werden soll.
II) Über Firewallregeln den Zugriff aus den Netzen WLAN1 und WLAN2 explizit den Zugriff auf das Netz 10.72.10.0 blocken

Was ist da die übliche Vorgehensweise?

Danke schon vorab
S.
Benutzeravatar
Pothos
Moderator
Moderator
Beiträge: 366
Registriert: 09 Feb 2012, 10:26
Wohnort: Jülich

Re: Mehrere Netze - Best Practice für Routing

Beitrag von Pothos »

Hi firefox_i,
firefox_i hat geschrieben: 03 Aug 2021, 19:59 Ich muss allerdings zugeben:
Ich habe noch nie getestet, ob ein Rechner im Intranet nicht doch einen Rechner im WLAN1 anpingen kann bzw. umgekehrt.
Sollte aber wegen der konfigurierten VLANs doch passen oder?
Man darf hier VLAN und Rtg-Tag nicht verwechseln. VLANs trennen ja erstmal nur auf Layer 2. Wenn ein Router dazwischen steht der alle Netze und VLANs kennt (so wie es bei dir der Fall ist), dann kann der ganz normal dazwischen routen. Die unterschiedlichen Rtg-Tags verhindern das Routing jedoch, wobei man hier aufpassen muss. Rtg-Tag 0 ist eine Besonderheit. Aus diesen Netzen darfst du überall hin, sofern es keine Firewallregel unterbindet. Anders herum jedoch nicht. Also du müsstest aktuell eigentlich vom Intranet ins WLAN1 kommen können aber nicht anders herum.
firefox_i hat geschrieben: 03 Aug 2021, 19:59 Nun ist es aber doch so, dass die Route nach 10.72.10.0 auch von den Rechnern in WLAN1 und WLAN2 genutzt werden könnte, oder, denn beim Router ist es ja so, dass die Route mit dem Tag 0 von allen genutzt werden kann, richtig?
Korrekt. Außer du hast bei der VPN-Verbindung explizit gesagt, dass sich nur die zwei Netze unterhalten dürfen. Dann gibt es keine passenden SAs für die Netzbeziehungen und so auch keine Kommunikation.
firefox_i hat geschrieben: 03 Aug 2021, 19:59 Was ist da die beste Herangehensweise:

I) Die Route durch den VPN Tunnel mit einem Routing Tag versehen und dann über Firewall-Regeln das Tag setzen, wenn aus einem erlaubten Netz zugegriffen werden soll.
II) Über Firewallregeln den Zugriff aus den Netzen WLAN1 und WLAN2 explizit den Zugriff auf das Netz 10.72.10.0 blocken
Ich persönlich würde es über klassische Allow/Deny Firewallregeln lösen. Aber das ist Geschmackssache.
Gruß
Pothos
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: Mehrere Netze - Best Practice für Routing

Beitrag von firefox_i »

Moin Pothos,
dann hab ich ja garnicht so viel falsch gemacht ;-)

Ich hab immer nur nen Knoten im Hirn wenns um die physikalischen und logischen LANs geht.
Wenn mehrere IP Bereiche auf einem physikalischen Port ankommen, muss man die eben sauber durch Tags trennen, sonst wird das irgendwie nix ;-)
Pothos hat geschrieben: 04 Aug 2021, 08:17 Rtg-Tag 0 ist eine Besonderheit. Aus diesen Netzen darfst du überall hin, sofern es keine Firewallregel unterbindet. Anders herum jedoch nicht. Also du müsstest aktuell eigentlich vom Intranet ins WLAN1 kommen können aber nicht anders herum.
Stimmt, das muss ich noch ändern - hab ich übersehen.
Pothos hat geschrieben: 04 Aug 2021, 08:17 Korrekt. Außer du hast bei der VPN-Verbindung explizit gesagt, dass sich nur die zwei Netze unterhalten dürfen. Dann gibt es keine passenden SAs für die Netzbeziehungen und so auch keine Kommunikation.
.
Oh man, jetzt hast mich.
Ich erinner mich nicht, da speziell was angegeben zu haben.
Wo müsste ich das denn finden ?
Pothos hat geschrieben: 04 Aug 2021, 08:17 Ich persönlich würde es über klassische Allow/Deny Firewallregeln lösen. Aber das ist Geschmackssache.
Ja das ist irgendwie auch meine persönliche Variante.
Pakete modifizieren ist irgendwie so undurchsichtig, lieber explizit blocken /erlauben.



Danke nochmal
S.
Antworten