10
Cisco 866VAE-K9 - Freifunk-VLAN sicher von Firmen-VLAN trennen?
Hallo allerseits,
wie schon aus dem Titel ersichtlich habe ich in unserem kleinen Büro einen Cisco 866VAE-K9 in Betrieb, dessen Konfiguration im Wesentlichen aquis Anleitung "Konfiguration Cisco 886va mit ADSL oder VDSL Anschluss, VPN und IP-TV" (Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV) folgt. Der Router funktioniert bis heute total problemlos, der Anschluß hat eine feste IP.
Firmenintern gibt es eigentlich keinen Grund, die aktuelle Konfiguration zu ändern, allerdings denken wir darüber nach, einen Teil unserer Bandbreite dem in Sichtweite befindlichem Container-Dorf für Flüchlinge via Freifunk (https://freifunk.net) zur Verfügung zu stellen, da es dort keinen Internetzugang gibt.
Da ich alles andere als ein Spezialist für Netztsicherheit bin, frage ich mich allerdings, ob man unser Firmennetz und das über einen Freifunk-Router eingespeiste Netz, das ja den Traffic aus dem und an das Container-Dorf enthält, wirklich 100prozentig voneinander trennen kann, so daß das Firmennetz einerseits von außen weiterhin so sicher bleibt, wie es ist, und daß es andererseits auch von innen über den Zugang des Freifunk-Routers, der seinen Traffic letztendlich ja an den Cisco 866VAE-K9 weiterreicht, nicht angegriffen werden kann. Darüberhinaus würde ich gerne wissen, ob es noch weitere Dinge gibt, die ich beachten sollte.
Freifunk funktioniert, wie ich das bisher verstanden habe, so, daß man über einen offenen WLAN-Hotspot auf das Internet zugreift. Auf dem betreffenden Freifunk-WLAN-Router läuft eine spezielle Sofware, die den gesamten Traffic verschlüsselt und an einen Server im Ausland (z.B. in Schweden) oder an einen Server mit Provider-Status tunnelt.
Die Frage der Störerhaftung und auch die Frage der verminderten Bandbreite möchte ich erstmal außer acht lassen. Zur Störerhaftung scheint es ein positives Gutachten der Stadt München zu geben, bei der Bandbreite gehe ich momentan davon aus, daß sie ausreichend ist.
Ich bedanke mich gleich vorab für die Hilfe.
Herzliche Grüße
Franz
wie schon aus dem Titel ersichtlich habe ich in unserem kleinen Büro einen Cisco 866VAE-K9 in Betrieb, dessen Konfiguration im Wesentlichen aquis Anleitung "Konfiguration Cisco 886va mit ADSL oder VDSL Anschluss, VPN und IP-TV" (Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV) folgt. Der Router funktioniert bis heute total problemlos, der Anschluß hat eine feste IP.
Firmenintern gibt es eigentlich keinen Grund, die aktuelle Konfiguration zu ändern, allerdings denken wir darüber nach, einen Teil unserer Bandbreite dem in Sichtweite befindlichem Container-Dorf für Flüchlinge via Freifunk (https://freifunk.net) zur Verfügung zu stellen, da es dort keinen Internetzugang gibt.
Da ich alles andere als ein Spezialist für Netztsicherheit bin, frage ich mich allerdings, ob man unser Firmennetz und das über einen Freifunk-Router eingespeiste Netz, das ja den Traffic aus dem und an das Container-Dorf enthält, wirklich 100prozentig voneinander trennen kann, so daß das Firmennetz einerseits von außen weiterhin so sicher bleibt, wie es ist, und daß es andererseits auch von innen über den Zugang des Freifunk-Routers, der seinen Traffic letztendlich ja an den Cisco 866VAE-K9 weiterreicht, nicht angegriffen werden kann. Darüberhinaus würde ich gerne wissen, ob es noch weitere Dinge gibt, die ich beachten sollte.
Freifunk funktioniert, wie ich das bisher verstanden habe, so, daß man über einen offenen WLAN-Hotspot auf das Internet zugreift. Auf dem betreffenden Freifunk-WLAN-Router läuft eine spezielle Sofware, die den gesamten Traffic verschlüsselt und an einen Server im Ausland (z.B. in Schweden) oder an einen Server mit Provider-Status tunnelt.
Die Frage der Störerhaftung und auch die Frage der verminderten Bandbreite möchte ich erstmal außer acht lassen. Zur Störerhaftung scheint es ein positives Gutachten der Stadt München zu geben, bei der Bandbreite gehe ich momentan davon aus, daß sie ausreichend ist.
Ich bedanke mich gleich vorab für die Hilfe.
Herzliche Grüße
Franz
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 292772
Url: https://administrator.de/contentid/292772
Ausgedruckt am: 04.11.2024 um 18:11 Uhr
10 Kommentare
Neuester Kommentar
Zur Bandbreite:
Freifunk nimmt für gewöhnlich bis zu 8 MBit pro Router in Anspruch, so hat man es mir jedenfall gesagt. Unser Router befindet sich noch im Teststadium daher kann ich zu der Last noch nicht viel sagen.
Zur Trennung der Netze:
Wir haben unseren Freifunk Router auch direkt an unserem WAN Router hängen an einem physischen, dedizierten Port. Ein VLAN sollte meiner Ansicht nach nur bei der Weiterleitung per Switch sinnvoll sein. Des Weiteren sollte der Router nicht aus dem dedizierten Netzwerk für Freifunk heraus administrierbar sein.
Freifunk nimmt für gewöhnlich bis zu 8 MBit pro Router in Anspruch, so hat man es mir jedenfall gesagt. Unser Router befindet sich noch im Teststadium daher kann ich zu der Last noch nicht viel sagen.
Zur Trennung der Netze:
Wir haben unseren Freifunk Router auch direkt an unserem WAN Router hängen an einem physischen, dedizierten Port. Ein VLAN sollte meiner Ansicht nach nur bei der Weiterleitung per Switch sinnvoll sein. Des Weiteren sollte der Router nicht aus dem dedizierten Netzwerk für Freifunk heraus administrierbar sein.
Hallo,
technisch überhaupt kein Problem.
du schliesst den Freifunk Router an eien freien Port des Cisco 886 an, konifugrierst ein eigenständiges VLAN
dann noch ins Routing einbauen und fertig...
brammer
technisch überhaupt kein Problem.
du schliesst den Freifunk Router an eien freien Port des Cisco 886 an, konifugrierst ein eigenständiges VLAN
interface FastEthernet3
description FREIFUNK
switchport access vlan 123
interface Vlan123
description FREIFUNK
ip address 172.16.0.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452dann noch ins Routing einbauen und fertig...
brammer
@ukulele-7 & brammer: Herzlichen Dank erstmal für eure Antworten.
An einer Stelle bin ich weiter unsicher. ukulele-7 sagt, ich bräuchte kein eigenes VLAN, brammer hingegen schlägt genau das vor, was auch dem entspricht, was ich mir selbst zusammengereimt habe. Was ist nun richtig?
@brammer: Kannst du mir bitte noch einen kurzen Tip geben, wie bzw. wo man das neue VLAN ins Routing einer Konfiguration einbaut? Ich hab mir schnell mal meine aktuelle Konfiguration (siehe aquis oben verlinkte Beschreibung) angeschaut und finde da auf die Schnelle nichts, wo's bei mir Aha macht.
Eine andere Frage, über die ich mir unsicher bin: Wenn der Freifunk-Traffic über unseren Router verschlüsselt auf einen Server irgendwo im Internet (entweder Provider-Server in D oder ein Server in Nl oder Sw) getunnelt wird, ist dann unsere fest IP-Adresse überhaupt irgendwie nach außen als beteilgt sichtbar, oder muß ich mir darüber keine Gedanken machen?
Viele Grüße
Franz
An einer Stelle bin ich weiter unsicher. ukulele-7 sagt, ich bräuchte kein eigenes VLAN, brammer hingegen schlägt genau das vor, was auch dem entspricht, was ich mir selbst zusammengereimt habe. Was ist nun richtig?
@brammer: Kannst du mir bitte noch einen kurzen Tip geben, wie bzw. wo man das neue VLAN ins Routing einer Konfiguration einbaut? Ich hab mir schnell mal meine aktuelle Konfiguration (siehe aquis oben verlinkte Beschreibung) angeschaut und finde da auf die Schnelle nichts, wo's bei mir Aha macht.
Eine andere Frage, über die ich mir unsicher bin: Wenn der Freifunk-Traffic über unseren Router verschlüsselt auf einen Server irgendwo im Internet (entweder Provider-Server in D oder ein Server in Nl oder Sw) getunnelt wird, ist dann unsere fest IP-Adresse überhaupt irgendwie nach außen als beteilgt sichtbar, oder muß ich mir darüber keine Gedanken machen?
Viele Grüße
Franz
Zitat von @panchon:
An einer Stelle bin ich weiter unsicher. ukulele-7 sagt, ich bräuchte kein eigenes VLAN, brammer hingegen schlägt genau das vor, was auch dem entspricht, was ich mir selbst zusammengereimt habe. Was ist nun richtig?
Das kommt darauf an. Unser Router kommt zunächst einmal mit "dummen" Ports daher. Wenn ich an zwei Ports zwei Rechner hänge können die nicht miteinander kommunizieren (auch nicht mit dem Internet), es sei denn ich erlaube es ihnen. In sofern brauche ich kein VLAN da unser Freifunk Router an genau so einem Port hängt und "nur" mit dem Internet sprechen darf.An einer Stelle bin ich weiter unsicher. ukulele-7 sagt, ich bräuchte kein eigenes VLAN, brammer hingegen schlägt genau das vor, was auch dem entspricht, was ich mir selbst zusammengereimt habe. Was ist nun richtig?
Das trifft natürlich nicht auf alle Router zu und ich kenne dein Modell auch nicht. Außerdem könnte man die Daten auch über Switche verteilen, in solchen Fällen ist ein VLAN genau richtig.
Zitat von @panchon:
Eine andere Frage, über die ich mir unsicher bin: Wenn der Freifunk-Traffic über unseren Router verschlüsselt auf einen Server irgendwo im Internet (entweder Provider-Server in D oder ein Server in Nl oder Sw) getunnelt wird, ist dann unsere fest IP-Adresse überhaupt irgendwie nach außen als beteilgt sichtbar, oder muß ich mir darüber keine Gedanken machen?
Der Freifunk Router baut eine (verschlüsselte) Verbindung zu einem Server im Internet auf und leitet seinen gesammten Verkehr darüber. Der eine Server kennt natürlich deine IP, leitet aber den Datenverkehr mit seiner IP weiter in das (unverschlüsselte) Internet.Eine andere Frage, über die ich mir unsicher bin: Wenn der Freifunk-Traffic über unseren Router verschlüsselt auf einen Server irgendwo im Internet (entweder Provider-Server in D oder ein Server in Nl oder Sw) getunnelt wird, ist dann unsere fest IP-Adresse überhaupt irgendwie nach außen als beteilgt sichtbar, oder muß ich mir darüber keine Gedanken machen?
Hallo ukulele-7,
fast ein wenig spät, aber ich hoffe, es ist nicht zu spät, um mich zu bedanken. Meine Zweifel sind beseitigt, ich muß mir jetzt halt überlegen, wie der Router passend zu konfigurieren ist. Das ist relativ eilig, weil noch nicht mal die in der Flüchtlingsunterkunft tätige Sozialarbeiterin Telefon oder gar Internet-Zugang hat. Das macht die Arbeit dort richtig schwierig.
Viele Grüße
Franz
fast ein wenig spät, aber ich hoffe, es ist nicht zu spät, um mich zu bedanken. Meine Zweifel sind beseitigt, ich muß mir jetzt halt überlegen, wie der Router passend zu konfigurieren ist. Das ist relativ eilig, weil noch nicht mal die in der Flüchtlingsunterkunft tätige Sozialarbeiterin Telefon oder gar Internet-Zugang hat. Das macht die Arbeit dort richtig schwierig.
Viele Grüße
Franz
Richte einen freien Port am Router wie folgt ein:
- Konfiguriere ein Netz mit eingener IP Range
- Richte einen DHCP Server / Range nur auf diesem Port für dieses Netz ein
- Erlaube den Internet Zugriff aus diesem Netz
- Verbiete den Zugriff auf andere lokale Netze aus diesem Netz (ist vermutlich per default gegeben)
- Prüfe mit einem Notebook / Client ob du eine IP bekommst und Internet Zugriff hast
- Prüfe, ob du z.B. durch manuelles ändern der IP Zugriff auf dein Produktivnetz hast, das darf nicht passieren
- Prüfe, ob der Router aus deinem neuen Netz administrierbar ist, das sollte besser nicht der Fall sein
- Ersetze das Testgerät durch den Freifunk Router
Das müsste es meiner Meinung nach gewesen sein.
- Konfiguriere ein Netz mit eingener IP Range
- Richte einen DHCP Server / Range nur auf diesem Port für dieses Netz ein
- Erlaube den Internet Zugriff aus diesem Netz
- Verbiete den Zugriff auf andere lokale Netze aus diesem Netz (ist vermutlich per default gegeben)
- Prüfe mit einem Notebook / Client ob du eine IP bekommst und Internet Zugriff hast
- Prüfe, ob du z.B. durch manuelles ändern der IP Zugriff auf dein Produktivnetz hast, das darf nicht passieren
- Prüfe, ob der Router aus deinem neuen Netz administrierbar ist, das sollte besser nicht der Fall sein
- Ersetze das Testgerät durch den Freifunk Router
Das müsste es meiner Meinung nach gewesen sein.
Das ist toll. Ganz dickes Danke.
Franz
Franz
Hallo allerseits,
es hat eine Weile gedauert, bis ich alles ausprobieren konnte. Jetzt bin ich aber soweit. Im Prinzip funktioniert das für den Freifunk-Bereich eingerichtete Netz, aber es hat noch ein kleines Manko: DHCP funktioniert für dieses Netz nicht (für die beiden anderen schon), und ich habe keine Idee, woran das liegen kann. Vielleicht weiß jemand Rat?
Zum Testen habe ich einen Win7-Rechner an das VLAN3 angeschlossen. Er funktioniert perfekt (Internet-Zugriff klappt, kein Zugriff auf VLAN1 und VLAN2), aber ich muß IP-Adresse etc. manuell eingeben. DHCP klappt, wie gesagt, nicht. Hier meine aktuelle Konfiguaration:
Ich wäre sehr froh, wenn ich dieses Thema schnell abschließen könnte, denn ich müßte dringend an anderen Stelle der Internetversorgung arbeiten.
Vielen Dank vorab
Franz
es hat eine Weile gedauert, bis ich alles ausprobieren konnte. Jetzt bin ich aber soweit. Im Prinzip funktioniert das für den Freifunk-Bereich eingerichtete Netz, aber es hat noch ein kleines Manko: DHCP funktioniert für dieses Netz nicht (für die beiden anderen schon), und ich habe keine Idee, woran das liegen kann. Vielleicht weiß jemand Rat?
Zum Testen habe ich einen Win7-Rechner an das VLAN3 angeschlossen. Er funktioniert perfekt (Internet-Zugriff klappt, kein Zugriff auf VLAN1 und VLAN2), aber ich muß IP-Adresse etc. manuell eingeben. DHCP klappt, wie gesagt, nicht. Hier meine aktuelle Konfiguaration:
!
! Last configuration change at 14:11:44 Berlin Mon Feb 1 2016 by franz
version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname Moringaoelbaum
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
enable secret xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
wan mode dsl
clock timezone Berlin 1 0
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
no ipv6 cef
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
ip dhcp excluded-address 192.168.2.1
ip dhcp excluded-address 192.168.0.131 192.168.0.198
ip dhcp excluded-address 192.168.0.200 192.168.0.254
ip dhcp excluded-address 192.168.0.1 192.168.0.4
ip dhcp excluded-address 192.168.0.54 192.168.0.64
ip dhcp excluded-address 192.168.2.62 192.168.2.65
!
ip dhcp pool Lattich
host 192.168.0.53 255.255.255.0
hardware-address 047d.7b56.8ae1 ieee802
client-name Lattich
!
ip dhcp pool Vlan1-Internal
import all
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 192.168.0.1
domain-name irgendwer.daham
lease 0 2
!
ip dhcp pool Vlan2
import all
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 192.168.0.1
lease 0 2
!
ip dhcp pool Begleiter
host 192.168.0.50 255.255.255.0
hardware-address 50ea.d696.2670
client-name Begleiter
!
ip dhcp pool Kumis
host 192.168.0.51 255.255.255.0
hardware-address 442a.608a.6c2a
client-name Kumis
!
ip dhcp pool Klatschmohn
host 192.168.0.199 255.255.255.0
client-identifier 0100.237d.1eaa.8a
default-router 192.168.0.1
dns-server 192.168.0.1
client-name Klatschmohn
domain-name irgendwer.daham
!
ip dhcp pool Amt
host 192.168.2.65 255.255.255.0
hardware-address 0030.4868.b64a
default-router 192.168.2.1
dns-server 192.168.2.1
client-name Amt
domain-name irgendwer.daham
!
ip dhcp pool Mauswicke
host 192.168.2.2 255.255.255.0
client-identifier 0100.0b82.4683.09
default-router 192.168.2.1
dns-server 192.168.2.1
client-name Mauswicke
domain-name irgendwer.daham
!
ip dhcp pool FreifunkVlan
import all
network 172.16.0.0 255.255.255.0
dns-server 172.16.0.1 8.8.8.8
default-router 172.16.0.1
!
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip domain name irgendwer.daham
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-2733807167
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2733807167
revocation-check none
rsakeypair TP-self-signed-2733807167
!
crypto pki trustpoint test_trustpoint_config_created_for_sdm
subject-name e=sdmtest@sdmtest.com
revocation-check crl
!
!
crypto pki certificate chain TP-self-signed-2733807167
certificate self-signed 01 nvram:IOS-Self-Sig#B.cer
crypto pki certificate chain test_trustpoint_config_created_for_sdm
!
!
username xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
!
controller VDSL 0
operating mode vdsl2
!
!
!
!
!
!
!
!
!
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0
no ip address
no ip route-cache
!
interface Ethernet0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
no ip route-cache
pppoe-client dial-pool-number 1
no cdp enable
!
interface FastEthernet0
description Freifunk
switchport access vlan 3
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
description CommonServmces
switchport access vlan 2
no ip address
no cdp enable
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description Lokales LAN
ip address 192.168.0.1 255.255.255.0
ip helper-address 192.168.2.255
ip directed-broadcast
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan2
description CommonServmces-FE3
ip address 192.168.2.1 255.255.255.0
ip helper-address 192.168.0.255
ip directed-broadcast
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan3
description Freifunk-FE0
ip address 172.16.0.1 255.255.255.0
ip access-group freifunk-only in
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Dialer0
description DSL Einwahl-Interface
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip inspect myfw out
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ppp chap password xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
no ip forward-protocol nd
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
ip nat inside source list 120 interface Dialer0 overload
ip nat inside source static tcp 192.168.0.xxx yyyy aaa.bbb.ccc.ddd yyyy extendable
...
...
...
!
ip access-list extended freifunk-only
deny ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
deny ip 172.16.0.0 0.0.0.255 192.168.2.0 0.0.0.255
deny ip 172.16.0.0 0.0.0.255 10.0.0.0 0.255.255.255
permit ip 172.16.0.0 0.0.0.255 any
!
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 111 permit tcp host zzz.yyy.xxx.www host aaa.bbb.ccc.ddd eq aaaa
...
...
...
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any
access-list 120 permit ip 192.168.0.0 0.0.0.255 any
access-list 120 permit ip 192.168.2.0 0.0.0.255 any
access-list 120 permit ip 172.16.0.0 0.0.0.255 any
dialer-list 1 protocol ip list 120
!
no cdp run
!
!
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input ssh
!
scheduler allocate 60000 1000
endIch wäre sehr froh, wenn ich dieses Thema schnell abschließen könnte, denn ich müßte dringend an anderen Stelle der Internetversorgung arbeiten.
Vielen Dank vorab
Franz
Am besten du machst zu deinem neuen Router und DHCP auf VLAN einen neuen Thread auf. Ich hab die config mal überfolgen, kann mir da auch keinen Reim drauf machen aber kenne mich mit der Kiste auch nicht aus.
Okay, das mach ich. Danke für den Tip.
Franz
Franz
