L-11 und der "Isolierte Modus" ...

[mipo]

Hallo zusammen,

ich habe ein Netzwerk mit zwei Routern und zwei Accesspoints (L-11 und 54ag). Ich möchte alle WLAN Clients, die über den L-11 sich anmelden, über den Router 1 "routen". Die Adresszuweisung dieser WLAN Clients soll über DHCP erfolgen.

Die WLAN Clients, die über den LANCOM 54ag Accesspoint zugreifen, sollen weiterhin wie gewohnt ins lokale Netz und Internet können.

Hintergrund:
Router 1 hat geringere Firewall Anforderungen als Router 2, ebenso einen anderen Internet Provider ...

Ich möchte "natürlich" alle LANCOM Geräte, also auch den L-11 über das Firmenlan konfigurieren. Die WLAN Clients sollen aber quasi durch das LAN "getunnelt" werden zum Router 1 = 192.168.2.27.

Ich habe mir überlegt, ich versetze den IL-11 in den Isolierten Modus. Doch habe ich hier trotz viel herumkonfiguriererei erhebliche Probleme die Kiste zum Laufen zu bekommen.

Wer kennt sich hier aus, wie könnte exemplarisch eine Konfiguration aussehen, so dass auch das Routing funktioniert. Was mir nicht ganz klar ist, wie zwischen LAN und WLAN Adressen = Interfaces hier unterschieden wird. Welche Rolle spielt hier die DMZ Adresse? Wie sieht hier die Routing Tabelle aus? => Router fürs Internet im LAN ist die 192.168.2.27 ...

Ich wäre für hilfreiche Tips wirklich sehr dankbar!!!

Viele Grüße
Michael

P.S: Funktioniert eigentlich mein Vorhaben?

[alf29]

Moin,

da gibt's keinen Unterschied, sowohl Intranet- als auch DMZ-Adresse
gelten sowohl auf LAN als auch auf WLAN - das wird sich erst in LCOS 5.20
ändern, das es für ein L-11 natürlich nie geben wird...die einzige Möglichkeit,
auf einem L-11 zwischen LAN und WLAN zu routen, wäre DSLoL.

Gruß Alfred

[mipo]

Moin,

da gibt's keinen Unterschied, sowohl Intranet- als auch DMZ-Adresse
gelten sowohl auf LAN als auch auf WLAN - das wird sich erst in LCOS 5.20
ändern, das es für ein L-11 natürlich nie geben wird...die einzige Möglichkeit,
auf einem L-11 zwischen LAN und WLAN zu routen, wäre DSLoL.

Gruß Alfred

Hallo Alfred,

hm, und wie könnte man mein Problem lösen?

Ist dann die Option sinnlos? Meine den Isolieren Modus??

Oder habe ich Dich mißverstanden? (Beziehst Dich also nur auf
LAN und DMZ) ...

MfG Michael

[eddia]

Hallo Michael,

Ist dann die Option sinnlos? Meine den Isolieren Modus??

wenn Du den isolierten Modus einschaltest, musst Du für LAN und WLAN unterschiedliche IP-Netze konfigurieren. Und das zweite Netz gibt man eben unter 'DMZ' an. Da aber eben derzeit keine Trennung zwischen beiden Netzen erfolgt, könnte sich ein WLAN-Client einfach eine IP aus dem LAN geben, um Deine Beschränkung zu umgehen.

Besser wäre da die Nutzung der Protokollfilter:

http://www2.lancom.de/kb.nsf/a5ddf48173 ... lan,German

Gruß

Mario

[alf29]

Moin,

hm, und wie könnte man mein Problem lösen?

Ist dann die Option sinnlos? Meine den Isolieren Modus??

Oder habe ich Dich mißverstanden? (Beziehst Dich also nur auf
LAN und DMZ) ...

Den isolierten Modus wirst Du trotzdem brauchen, um erstmal überhaupt das
Bridging abzuschalten. DSLoL auf dem LAN im Exklusiv-Modus ist dann der
nächste Schritt. Eventuell dann noch ein paar Firewall-Regeln...

Gruß Alfred

[mipo]

Moin,

Den isolierten Modus wirst Du trotzdem brauchen, um erstmal überhaupt das
Bridging abzuschalten. DSLoL auf dem LAN im Exklusiv-Modus ist dann der
nächste Schritt. Eventuell dann noch ein paar Firewall-Regeln...

Gruß Alfred

Hallo Alfred,

kannst Du mir ein wenig auf die Sprünge helfen?! ... Wie komme ich
a) in den Exclusivmodus?!
b) Was ist zu tun (konfigurieren) um DSLoL auf LAN umzustellen? Ist
DSLoL nicht ein besonderes Protokoll?

MfG Michael

[mipo]

Besser wäre da die Nutzung der Protokollfilter:

http://www2.lancom.de/kb.nsf/a5ddf48173 ... lan,German

Gruß

Mario

Hallo Mario, Hallo Alfred,

hatte erst "natürlich" nur Alfreds Antwort gelesen

Hört sich ja im Prinzip nicht schlecht an, was in Deinem Artikel beschrieben wurden. Nur funktioniert das auch mit dem L-11 ??

=> Weil hier in diesem Artikel die Firmware > 5.xx erwähnt wurde.


Viele Grüße
Michael

P.S: Mich freut natürlich, das ich nicht der Einzigste bin. der genau solch
eine Lösung suchte. Doch gibt es vielleicht ein Dokument auch für
den L-11 ??

[eddia]

Hallo Michael,

Hört sich ja im Prinzip nicht schlecht an, was in Deinem Artikel beschrieben wurden. Nur funktioniert das auch mit dem L-11 ??

Die Protokollfilter schon. Nur die Konfiguration mit verschiedenen logischen WLANs nicht - aber das benötigst Du in Deinem Fall ja nicht.

Weil hier in diesem Artikel die Firmware > 5.xx erwähnt wurde.

Die Filter gibt es auch in der 3.x.

Gruß

Mario

[mipo]

Hallo Mario, hallo Louis, Hallo alle Anderen, ...

ich bin immer noch ein wenig am "Basteln"

1. Gehe ich richtig davon aus, das die Firewall im Modus "Verbindung über eine Bridge herstellen" funktionslos bleibt? Ich habe eine zuerst eine DENY_All Regel definiert, sehe aber im LANMONITOR keinerlei Zurückweisung. Ich kann im gesamten, lokalen Netz pingen, telnet usw.

2. Sofern 1 zutreffen sollte, die Firwall des L-11 nur im "Isolierten" Modus
funktionieren würde?

3. Ich bekomme einfach kein Routing im isolierten Modus hin! Der DHCP
Server des L-11 weist dem WLAN Client eine passende IP Adresse zu,
ich kann von dem WLAN Client den L-11 munter anpingen, komme aber
nicht über ihn hinweg Logge ich mich per Telnet im L-11 ein, so
kann ich sowohl den WLAN Client anpingen als auch Adressen im LAN.
Denke ich muss eine statische Route definieren, doch mache ich best-
immt einen Denkfehler.

Könntet ihr mir hier einen brauchbaren Tip geben?!!!

Also ich möchte von einem WLAN Client IP: 192.168.2.40-49 per
default auf den Router: 192.168.2.27 kommen.

L-11 ----> WLAN DHCP zugewiesen: IP: 192.168.2.40...49
! GW: 192.168.2.27
! NM: 255.255.255.0
! LAN
! Router 1 (192.168.2.27) nur für L-11 (!)
! Router 2 (192.168.2.28) default für Rest-LAN
!
! LAN
! PC 1..5 gehen über Router 2 (Statisch + DHCP Server Microsoft)
! ABER L-11 LANCONFIG, LANMONITOR etc. administrierbar.

Hab die Config hier als Attachment mal gelöscht

MfG Michael

[eddia]

Hallo Michael,

1. Gehe ich richtig davon aus, das die Firewall im Modus "Verbindung über eine Bridge herstellen" funktionslos bleibt?

Ja - die Firewall ist nur verwendbar, wenn Du über das Router-Modul gehst.

2. Sofern 1 zutreffen sollte, die Firwall des L-11 nur im "Isolierten" Modus funktionieren würde?

Im isolierten Modus hast Du gar keine andere Möglichkeit, als WLAN und LAN über den Router zu verbinden.

L-11 ----> WLAN DHCP zugewiesen: IP: 192.168.2.40...49
! GW: 192.168.2.27

So kann das nicht funktionieren. Damit haben WLAN- und LAN-Clients IPs aus dem selben Netz - das ist im isolierten Modus die sicherste Methode, um jede Kommunikation zu verhindern.

Du musst für das WLAN ein eigenes IP-Netz definieren und dem Lancom unter DMZ-IP eine Adresse aus diesem Netz geben. Diese Adresse müssen die WLAN-Clients als Gateway eingetragen bekommen..

Anbei meine angefangene Config-Datei.

Das Passwort darin, welches einen vor langer Zeit sehr beliebten Heimcomputer bezeichnet, solltest Du gleich ändern.

Gruß

Mario

[mipo]

Das Passwort darin, welches einen vor langer Zeit sehr beliebten Heimcomputer bezeichnet, solltest Du gleich ändern.

Gruß

Mario

Hallo Mario,

das habe ich mir gedacht - wegen der Adressen. Also habe ich euch falsch verstanden, der L-11 kann *doch* mit zwei Adressen im "Isolierten" Modus umgehen?

Klar, mit diesem Heimcomputer fing mal alles an ... Kennste den?

Viele Grüße
Michael

[eddia]

Hallo Michael,

das habe ich mir gedacht - wegen der Adressen. Also habe ich euch falsch verstanden, der L-11 kann *doch* mit zwei Adressen im "Isolierten" Modus umgehen?

Sollte das jetzt noch eine Frage sein oder eine Feststellung?

Klar, mit diesem Heimcomputer fing mal alles an Smile ... Kennste den?

Na klar - mit dem hab ich meine ersten Basic Programmierversuche unternommen.

Gruß

Mario

[alf29]

das habe ich mir gedacht - wegen der Adressen. Also habe ich euch falsch verstanden, der L-11 kann *doch* mit zwei Adressen im "Isolierten" Modus umgehen?

Das schon, aber wenn Du dafür Intranet- und DMZ-Adresse benutzt,
kannst Du diese beiden Adressen nicht an LAN bzw. WLAN binden -
das Gerät wird auf beiden Seiten auf beide Adressen reagieren. Du
kannst nicht verhindern, daß ein Client im WLAN sich eine Adresse aus
dem IP-Bereich nimmt, der eigentlich dem LAN zugewiesen war , und
das Gerät darüber erreicht. Ob das ein Problem für Dich darstellt oder
nicht, mußt Du entscheiden...

Gruß Alfred

[AndreasMarx]

Das schon, aber wenn Du dafür Intranet- und DMZ-Adresse benutzt,
kannst Du diese beiden Adressen nicht an LAN bzw. WLAN binden -
das Gerät wird auf beiden Seiten auf beide Adressen reagieren. Du
kannst nicht verhindern, daß ein Client im WLAN sich eine Adresse aus
dem IP-Bereich nimmt, der eigentlich dem LAN zugewiesen war , und
das Gerät darüber erreicht. Ob das ein Problem für Dich darstellt oder
nicht, mußt Du entscheiden...

Gruß Alfred

Ich glaube ich hab's richtig verstanden aber zur Sicherheit frag' ich nochmal nach: Die Firewallregeln können eigentlich nie prüfen, über welchen Port ein Paket reinkam, also weder zwischen WLAN und LAN unterscheiden, noch zwischen den verschiedenen LAN-Ports, richtig?

Das heißt natürlich, wenn ich eine DMZ an LAN-1 und drei Mitarbeiter-PCs an LAN-2 bis LAN-4 hab, und ich will verhindern, daß ein gehackter Server in der DMZ sich (per Änderung der IP) als Mitarbeiter-PC ausgibt, dann muß ich (natürlich erstens private mode einschalten und) in der Firewall Verkehr von Mitarbeiter-PC auf Mitarbeiter-PC blocken.
Das ist m.E. keine gravierende Einschränkung, da die Mitarbeiter-PCs ja nicht direkt am LANCOM hängen müssen (wenn sie denn zwecks Arbeitsgruppe miteinander reden müssen), sondern zuserst mal sternförmig auf einem Switch zusammengefaßt werden können und dann mit einer Strippe an dem LANCOM gehen (bei mehr als 3 PCs geht's ja eh nicht anders).

Gruß,
Andreas

Fazit: Wenn ich DMZ --> LAN blocken will und LAN <--> LAN und/oder DMZ <--> DMZ erlauben, dann geht das "sicher" nie ohne separaten Switch oder Hub

[backslash]

Hi AndreasMarx

Ich glaube ich hab's richtig verstanden aber zur Sicherheit frag' ich nochmal nach: Die Firewallregeln können eigentlich nie prüfen, über welchen Port ein Paket reinkam, also weder zwischen WLAN und LAN unterscheiden, noch zwischen den verschiedenen LAN-Ports, richtig?

bis jetzt nicht, da es für die Firewall nur ein LAN-Interface gibt. Die DMZ, die über den private Mode des Switches eingerichtet wird existiert nur "adreßmäsig". Das wird sich aber mit der 5.20 ändern - da wird es eine echte DMZ geben, d.h. einzelne Switchports können der DMZ exklusiv zugewiesen werden - dann greift auch die Intrusion-Detection der Firewall ...

Das heißt natürlich, wenn ich eine DMZ an LAN-1 und drei Mitarbeiter-PCs an LAN-2 bis LAN-4 hab, und ich will verhindern, daß ein gehackter Server in der DMZ sich (per Änderung der IP) als Mitarbeiter-PC ausgibt, dann muß ich (natürlich erstens private mode einschalten und) in der Firewall Verkehr von Mitarbeiter-PC auf Mitarbeiter-PC blocken

im Prinzip ja, da es sich aber bei einem Paket, daß (adreßmäsig) vom LAN empfangen wurden und (adreßmäsig) wieder aufs LAN gesendet werden soll, um ein "Back-Routing" handelt, wird diese Paket zwar nicht von der Firewall, wohl aber vom Router verworfen. Daher ist eine solche Regel nicht nötig.

Das ist m.E. keine gravierende Einschränkung, da die Mitarbeiter-PCs ja nicht direkt am LANCOM hängen müssen (wenn sie denn zwecks Arbeitsgruppe miteinander reden müssen), sondern zuserst mal sternförmig auf einem Switch zusammengefaßt werden können und dann mit einer Strippe an dem LANCOM gehen (bei mehr als 3 PCs geht's ja eh nicht anders).

Selbst wenn sie direkt am LANCOM "hingen" wäre es kein Problem, da sie ja durch den Switch des LANCOMs - genau so wie durch den vorgelagerten Switch - miteinader kommunizieren können.

Es geht hier ja nur um den Switchport, der in den Private-Mode geschaltet wurde und an dem die DMZ hängt. Wenn in dieser DMZ ein Recher übernommen wird, dann muß er über den Router (und somit die Firewall) gehen, um überhaupt ins Intranet zu kommen...

Gruß
Backslash