panchon
Goto Top

Cisco 866VAE-K9 - Freifunk-VLAN sicher von Firmen-VLAN trennen?

Hallo allerseits,

wie schon aus dem Titel ersichtlich habe ich in unserem kleinen Büro einen Cisco 866VAE-K9 in Betrieb, dessen Konfiguration im Wesentlichen aquis Anleitung "Konfiguration Cisco 886va mit ADSL oder VDSL Anschluss, VPN und IP-TV" (Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV) folgt. Der Router funktioniert bis heute total problemlos, der Anschluß hat eine feste IP.

Firmenintern gibt es eigentlich keinen Grund, die aktuelle Konfiguration zu ändern, allerdings denken wir darüber nach, einen Teil unserer Bandbreite dem in Sichtweite befindlichem Container-Dorf für Flüchlinge via Freifunk (https://freifunk.net) zur Verfügung zu stellen, da es dort keinen Internetzugang gibt.

Da ich alles andere als ein Spezialist für Netztsicherheit bin, frage ich mich allerdings, ob man unser Firmennetz und das über einen Freifunk-Router eingespeiste Netz, das ja den Traffic aus dem und an das Container-Dorf enthält, wirklich 100prozentig voneinander trennen kann, so daß das Firmennetz einerseits von außen weiterhin so sicher bleibt, wie es ist, und daß es andererseits auch von innen über den Zugang des Freifunk-Routers, der seinen Traffic letztendlich ja an den Cisco 866VAE-K9 weiterreicht, nicht angegriffen werden kann. Darüberhinaus würde ich gerne wissen, ob es noch weitere Dinge gibt, die ich beachten sollte.

Freifunk funktioniert, wie ich das bisher verstanden habe, so, daß man über einen offenen WLAN-Hotspot auf das Internet zugreift. Auf dem betreffenden Freifunk-WLAN-Router läuft eine spezielle Sofware, die den gesamten Traffic verschlüsselt und an einen Server im Ausland (z.B. in Schweden) oder an einen Server mit Provider-Status tunnelt.

Die Frage der Störerhaftung und auch die Frage der verminderten Bandbreite möchte ich erstmal außer acht lassen. Zur Störerhaftung scheint es ein positives Gutachten der Stadt München zu geben, bei der Bandbreite gehe ich momentan davon aus, daß sie ausreichend ist.

Ich bedanke mich gleich vorab für die Hilfe.

Herzliche Grüße
Franz

Content-ID: 292772

Url: https://administrator.de/forum/cisco-866vae-k9-freifunk-vlan-sicher-von-firmen-vlan-trennen-292772.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

ukulele-7
Lösung ukulele-7 11.01.2016, aktualisiert am 15.01.2016 um 11:14:18 Uhr
Goto Top
Zur Bandbreite:
Freifunk nimmt für gewöhnlich bis zu 8 MBit pro Router in Anspruch, so hat man es mir jedenfall gesagt. Unser Router befindet sich noch im Teststadium daher kann ich zu der Last noch nicht viel sagen.

Zur Trennung der Netze:
Wir haben unseren Freifunk Router auch direkt an unserem WAN Router hängen an einem physischen, dedizierten Port. Ein VLAN sollte meiner Ansicht nach nur bei der Weiterleitung per Switch sinnvoll sein. Des Weiteren sollte der Router nicht aus dem dedizierten Netzwerk für Freifunk heraus administrierbar sein.
brammer
Lösung brammer 11.01.2016, aktualisiert am 15.01.2016 um 11:14:16 Uhr
Goto Top
Hallo,

technisch überhaupt kein Problem.

du schliesst den Freifunk Router an eien freien Port des Cisco 886 an, konifugrierst ein eigenständiges VLAN

interface FastEthernet3
description FREIFUNK
switchport access vlan 123

interface Vlan123
description FREIFUNK
ip address 172.16.0.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452

dann noch ins Routing einbauen und fertig...

brammer
panchon
panchon 12.01.2016 um 12:04:11 Uhr
Goto Top
@ukulele-7 & brammer: Herzlichen Dank erstmal für eure Antworten.

An einer Stelle bin ich weiter unsicher. ukulele-7 sagt, ich bräuchte kein eigenes VLAN, brammer hingegen schlägt genau das vor, was auch dem entspricht, was ich mir selbst zusammengereimt habe. Was ist nun richtig?

@brammer: Kannst du mir bitte noch einen kurzen Tip geben, wie bzw. wo man das neue VLAN ins Routing einer Konfiguration einbaut? Ich hab mir schnell mal meine aktuelle Konfiguration (siehe aquis oben verlinkte Beschreibung) angeschaut und finde da auf die Schnelle nichts, wo's bei mir Aha macht.

Eine andere Frage, über die ich mir unsicher bin: Wenn der Freifunk-Traffic über unseren Router verschlüsselt auf einen Server irgendwo im Internet (entweder Provider-Server in D oder ein Server in Nl oder Sw) getunnelt wird, ist dann unsere fest IP-Adresse überhaupt irgendwie nach außen als beteilgt sichtbar, oder muß ich mir darüber keine Gedanken machen?

Viele Grüße
Franz
ukulele-7
Lösung ukulele-7 12.01.2016, aktualisiert am 15.01.2016 um 11:14:07 Uhr
Goto Top
Zitat von @panchon:
An einer Stelle bin ich weiter unsicher. ukulele-7 sagt, ich bräuchte kein eigenes VLAN, brammer hingegen schlägt genau das vor, was auch dem entspricht, was ich mir selbst zusammengereimt habe. Was ist nun richtig?
Das kommt darauf an. Unser Router kommt zunächst einmal mit "dummen" Ports daher. Wenn ich an zwei Ports zwei Rechner hänge können die nicht miteinander kommunizieren (auch nicht mit dem Internet), es sei denn ich erlaube es ihnen. In sofern brauche ich kein VLAN da unser Freifunk Router an genau so einem Port hängt und "nur" mit dem Internet sprechen darf.

Das trifft natürlich nicht auf alle Router zu und ich kenne dein Modell auch nicht. Außerdem könnte man die Daten auch über Switche verteilen, in solchen Fällen ist ein VLAN genau richtig.

Zitat von @panchon:
Eine andere Frage, über die ich mir unsicher bin: Wenn der Freifunk-Traffic über unseren Router verschlüsselt auf einen Server irgendwo im Internet (entweder Provider-Server in D oder ein Server in Nl oder Sw) getunnelt wird, ist dann unsere fest IP-Adresse überhaupt irgendwie nach außen als beteilgt sichtbar, oder muß ich mir darüber keine Gedanken machen?
Der Freifunk Router baut eine (verschlüsselte) Verbindung zu einem Server im Internet auf und leitet seinen gesammten Verkehr darüber. Der eine Server kennt natürlich deine IP, leitet aber den Datenverkehr mit seiner IP weiter in das (unverschlüsselte) Internet.
panchon
panchon 15.01.2016 um 11:14:35 Uhr
Goto Top
Hallo ukulele-7,

fast ein wenig spät, aber ich hoffe, es ist nicht zu spät, um mich zu bedanken. Meine Zweifel sind beseitigt, ich muß mir jetzt halt überlegen, wie der Router passend zu konfigurieren ist. Das ist relativ eilig, weil noch nicht mal die in der Flüchtlingsunterkunft tätige Sozialarbeiterin Telefon oder gar Internet-Zugang hat. Das macht die Arbeit dort richtig schwierig.

Viele Grüße
Franz
ukulele-7
Lösung ukulele-7 15.01.2016 aktualisiert um 12:50:59 Uhr
Goto Top
Richte einen freien Port am Router wie folgt ein:
- Konfiguriere ein Netz mit eingener IP Range
- Richte einen DHCP Server / Range nur auf diesem Port für dieses Netz ein
- Erlaube den Internet Zugriff aus diesem Netz
- Verbiete den Zugriff auf andere lokale Netze aus diesem Netz (ist vermutlich per default gegeben)
- Prüfe mit einem Notebook / Client ob du eine IP bekommst und Internet Zugriff hast
- Prüfe, ob du z.B. durch manuelles ändern der IP Zugriff auf dein Produktivnetz hast, das darf nicht passieren
- Prüfe, ob der Router aus deinem neuen Netz administrierbar ist, das sollte besser nicht der Fall sein
- Ersetze das Testgerät durch den Freifunk Router

Das müsste es meiner Meinung nach gewesen sein.
panchon
panchon 15.01.2016 um 12:50:56 Uhr
Goto Top
Das ist toll. Ganz dickes Danke.

Franz
panchon
panchon 02.02.2016 um 11:36:09 Uhr
Goto Top
Hallo allerseits,

es hat eine Weile gedauert, bis ich alles ausprobieren konnte. Jetzt bin ich aber soweit. Im Prinzip funktioniert das für den Freifunk-Bereich eingerichtete Netz, aber es hat noch ein kleines Manko: DHCP funktioniert für dieses Netz nicht (für die beiden anderen schon), und ich habe keine Idee, woran das liegen kann. Vielleicht weiß jemand Rat?

Zum Testen habe ich einen Win7-Rechner an das VLAN3 angeschlossen. Er funktioniert perfekt (Internet-Zugriff klappt, kein Zugriff auf VLAN1 und VLAN2), aber ich muß IP-Adresse etc. manuell eingeben. DHCP klappt, wie gesagt, nicht. Hier meine aktuelle Konfiguaration:

!
! Last configuration change at 14:11:44 Berlin Mon Feb 1 2016 by franz
version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname Moringaoelbaum
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
enable secret xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
wan mode dsl
clock timezone Berlin 1 0
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
no ipv6 cef
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
ip dhcp excluded-address 192.168.2.1
ip dhcp excluded-address 192.168.0.131 192.168.0.198
ip dhcp excluded-address 192.168.0.200 192.168.0.254
ip dhcp excluded-address 192.168.0.1 192.168.0.4
ip dhcp excluded-address 192.168.0.54 192.168.0.64
ip dhcp excluded-address 192.168.2.62 192.168.2.65
!
ip dhcp pool Lattich
 host 192.168.0.53 255.255.255.0
 hardware-address 047d.7b56.8ae1 ieee802
 client-name Lattich
!
ip dhcp pool Vlan1-Internal
 import all
 network 192.168.0.0 255.255.255.0
 default-router 192.168.0.1
 dns-server 192.168.0.1
 domain-name irgendwer.daham
 lease 0 2
!
ip dhcp pool Vlan2
 import all
 network 192.168.2.0 255.255.255.0
 default-router 192.168.2.1
 dns-server 192.168.0.1
 lease 0 2
!
ip dhcp pool Begleiter
 host 192.168.0.50 255.255.255.0
 hardware-address 50ea.d696.2670
 client-name Begleiter
!
ip dhcp pool Kumis
 host 192.168.0.51 255.255.255.0
 hardware-address 442a.608a.6c2a
 client-name Kumis
!
ip dhcp pool Klatschmohn
 host 192.168.0.199 255.255.255.0
 client-identifier 0100.237d.1eaa.8a
 default-router 192.168.0.1
 dns-server 192.168.0.1
 client-name Klatschmohn
 domain-name irgendwer.daham
!
ip dhcp pool Amt
 host 192.168.2.65 255.255.255.0
 hardware-address 0030.4868.b64a
 default-router 192.168.2.1
 dns-server 192.168.2.1
 client-name Amt
 domain-name irgendwer.daham
!
ip dhcp pool Mauswicke
 host 192.168.2.2 255.255.255.0
 client-identifier 0100.0b82.4683.09
 default-router 192.168.2.1
 dns-server 192.168.2.1
 client-name Mauswicke
 domain-name irgendwer.daham
!
ip dhcp pool FreifunkVlan
 import all
 network 172.16.0.0 255.255.255.0
 dns-server 172.16.0.1 8.8.8.8
 default-router 172.16.0.1
!
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip domain name irgendwer.daham
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-2733807167
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2733807167
 revocation-check none
 rsakeypair TP-self-signed-2733807167
!
crypto pki trustpoint test_trustpoint_config_created_for_sdm
 subject-name e=sdmtest@sdmtest.com
 revocation-check crl
!
!
crypto pki certificate chain TP-self-signed-2733807167
 certificate self-signed 01 nvram:IOS-Self-Sig#B.cer
crypto pki certificate chain test_trustpoint_config_created_for_sdm
!
!
username xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
!
controller VDSL 0
 operating mode vdsl2
!
!
!
!
!
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet0
 no ip address
 no ip route-cache
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 no ip route-cache
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface FastEthernet0
 description Freifunk
 switchport access vlan 3
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 description CommonServmces
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.0.1 255.255.255.0
 ip helper-address 192.168.2.255
 ip directed-broadcast
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Vlan2
 description CommonServmces-FE3
 ip address 192.168.2.1 255.255.255.0
 ip helper-address 192.168.0.255
 ip directed-broadcast
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Vlan3
 description Freifunk-FE0
 ip address 172.16.0.1 255.255.255.0
 ip access-group freifunk-only in
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Dialer0
 description DSL Einwahl-Interface
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip inspect myfw out
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication chap pap callin
 ppp chap hostname xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 ppp chap password xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 ppp pap sent-username xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
no ip forward-protocol nd
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
ip nat inside source list 120 interface Dialer0 overload
ip nat inside source static tcp 192.168.0.xxx yyyy aaa.bbb.ccc.ddd yyyy extendable
...
...
...
!
ip access-list extended freifunk-only
 deny   ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
 deny   ip 172.16.0.0 0.0.0.255 192.168.2.0 0.0.0.255
 deny   ip 172.16.0.0 0.0.0.255 10.0.0.0 0.255.255.255
 permit ip 172.16.0.0 0.0.0.255 any
!
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 111 permit tcp host zzz.yyy.xxx.www host aaa.bbb.ccc.ddd eq aaaa
...
...
...
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit gre any any
access-list 111 deny   ip any any
access-list 120 permit ip 192.168.0.0 0.0.0.255 any
access-list 120 permit ip 192.168.2.0 0.0.0.255 any
access-list 120 permit ip 172.16.0.0 0.0.0.255 any
dialer-list 1 protocol ip list 120
!
no cdp run
!
!
!
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input ssh
!
scheduler allocate 60000 1000
end


Ich wäre sehr froh, wenn ich dieses Thema schnell abschließen könnte, denn ich müßte dringend an anderen Stelle der Internetversorgung arbeiten.

Vielen Dank vorab
Franz
ukulele-7
ukulele-7 02.02.2016 um 12:02:07 Uhr
Goto Top
Am besten du machst zu deinem neuen Router und DHCP auf VLAN einen neuen Thread auf. Ich hab die config mal überfolgen, kann mir da auch keinen Reim drauf machen aber kenne mich mit der Kiste auch nicht aus.
panchon
panchon 02.02.2016 um 14:09:41 Uhr
Goto Top
Okay, das mach ich. Danke für den Tip.

Franz