7
Inter-VLAN Kommunikation: ACLs oder Firewall
Hallo zusammen,
ich habe eine Verständnisfrage zu Layer3-Switches, Firewalls und Kommunikation zwischen VLANS. Bin da noch ziemlich neu.
Simpler Aufbau:
Ein Layer 3 Switch (Cisco SG350) und drei VLANs. VLAN 100, VLAN 200 (und noch ein VLAN zum Border-Router).
Webserver (VLAN 100) --------- Layer 3 Switch --------- (VLAN 200) Rechner mit Browser
Es geht darum
1. auf einen Webserver in VLAN 100 von einem Client in VLAN 200 aus zuzugreifen und
2. VLAN 100 soll keine eigenständigen Verbindungen zu VLAN 200 aufbauen können.
Über ACLs könnte ich aus VLAN 100 (inbound) alle Pakete zu VLAN 200 rausfiltern. Damit wäre schon mal kein Verbindungsaufbau möglich. Wenn ich das richtig verstanden habe geht das aber beim SG 350 nur stateless, mal von dynamischen ACLs ganz abgesehen. Was den Zugriff auf den Webserver angeht würde ein Request zum Webserver in VLAN 100 durchkommen, der Reply aber nicht zurück. Richtig? Oder lässt der Switch die Rückantwort in diesem Fall durch, also stateful?
Kann man das irgendwie mit einem Layer 3 Switch lösen, außer in einer ACE für die Rückantwort einen riesigen Portbereich ständig freizugeben.
Oder bräuchte ich eine Firewall, alternativ einen alten Router mit Firewall (ich hab noch ne Fritzbox rumliegen), die/den ich vor VLAN 200 hänge und dann die ACE für VLAN 100 rausnehme. Dann kann zwar alles aus VLAN 100 raus, nichts aber in VLAN 200 rein - außer es wurde innerhalb von VLAN 200 initiiert.
Wie würdet ihr das lösen?
ich habe eine Verständnisfrage zu Layer3-Switches, Firewalls und Kommunikation zwischen VLANS. Bin da noch ziemlich neu.
Simpler Aufbau:
Ein Layer 3 Switch (Cisco SG350) und drei VLANs. VLAN 100, VLAN 200 (und noch ein VLAN zum Border-Router).
Webserver (VLAN 100) --------- Layer 3 Switch --------- (VLAN 200) Rechner mit Browser
Es geht darum
1. auf einen Webserver in VLAN 100 von einem Client in VLAN 200 aus zuzugreifen und
2. VLAN 100 soll keine eigenständigen Verbindungen zu VLAN 200 aufbauen können.
Über ACLs könnte ich aus VLAN 100 (inbound) alle Pakete zu VLAN 200 rausfiltern. Damit wäre schon mal kein Verbindungsaufbau möglich. Wenn ich das richtig verstanden habe geht das aber beim SG 350 nur stateless, mal von dynamischen ACLs ganz abgesehen. Was den Zugriff auf den Webserver angeht würde ein Request zum Webserver in VLAN 100 durchkommen, der Reply aber nicht zurück. Richtig? Oder lässt der Switch die Rückantwort in diesem Fall durch, also stateful?
Kann man das irgendwie mit einem Layer 3 Switch lösen, außer in einer ACE für die Rückantwort einen riesigen Portbereich ständig freizugeben.
Oder bräuchte ich eine Firewall, alternativ einen alten Router mit Firewall (ich hab noch ne Fritzbox rumliegen), die/den ich vor VLAN 200 hänge und dann die ACE für VLAN 100 rausnehme. Dann kann zwar alles aus VLAN 100 raus, nichts aber in VLAN 200 rein - außer es wurde innerhalb von VLAN 200 initiiert.
Wie würdet ihr das lösen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 480385
Url: https://administrator.de/contentid/480385
Ausgedruckt am: 25.11.2024 um 19:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo signalgrau,
kurze Antwort: ja
Zwei Dinge vorweg, um mögliche Missverständnisse auszuschließen:
Sollte dem so sein, hier ein Link zum gleichen Thema und Switch inkl. super Erklärung von (na klar) @aqui:
ACLs bei Cisco SG350
Damit ist dir vermutlich am ehesten geholfen. Wenn nicht, einfach wieder hier fragen.
Zum Thema, wie "wir" das lösen würden, gilt der übliche Spruch -> kommt drauf an. Nun, worauf denn? Bei der Entscheidung im Produktivumfeld sollte man einige Punkte beachten, abwägen und sich dann entscheiden.
Grundsätzlich: Kommunikation kann sowohl über ACLs als über Firewallregeln beschränkt (oder je nach Sichtweise: erlaubt) werden, wie du schon richtig erkannt hast.
Nebenbei: die Diskussion wird man mit ähnlichen Argumenten auch zum Routing führen können (soll Firewall oder Layer3-Switch routen?).
Der nullte Punkt befasst sich mit der Lizenzierung und Fähigkeit der Hardware, dies umzusetzen. Ein 10€-Blödmarktswitch kann i. d. R. nicht mal VLAN ;) Auch können an dieser Stelle bereits spezialisierte Chips (wie z. B. ASICs) den Ausschlag geben.
Der erste Punkt ist die Infrastruktur. Wie groß ist diese? Gibt es zentrales Management? Wie viel Aufwand bedeuten die Implementierung, die Pflege und Wartung des Regelwerks?
Als zweiten Punkt würde ich bereits das Design sowie die Topologie nennen. Hier spielen u. a. die Quell- und Zielnetze eine Rolle. Etwas übertrieben formuliert: Warum ein Paket vom Endgerät über vier Switche an den Router oder die Firewall weitergeben, diesen entscheiden lassen und dann wieder über vier Switche das evtl. entstandene "deny" (statt eines "drop") zurück an den Absender schicken? Andererseits passiert das je nach Auslastung und Dimensionierung der Uplinks normalerweise mit Wirespeed. Für internen Verkehr könnte man allerdings wieder direkt am ersten Switch die Pakete ablehnen. Dieses Spiel kann man beliebig fortführen.
Der dritte Punkt zielt auf die Auslastung. Wie stark sind die jeweiligen Geräte mit ihrer grundlegenden Tätigkeit beschäftigt? Wie viel Ressourcen verwenden sie für zusätzliche Dinge, die gefordert oder aus anderen Gründen implementiert wurden? So wird man einer Firewall, die bereits 60% Ressourcen für VPN, IPS, und diese ganzen Next Generation Features aufwendet, vielleicht nicht noch zusätzlich mit internem Verkehr belasten wollen, wenn man mit einem größeren Wachstum rechnet oder die Geräte möglichst hoch ausgelastet werden sollen, weil diese bei der vorangegangenen Implementierung mit sehr spitzem Bleistift kalkuliert wurden.
Der vierte Punkt spielt auf Wachstum und Reserve an und ist daher mit dem vorherigen Aspekt verbandelt. Wie skalierbar muss es sein?
Weiterhin können auch grundsätzliche Entscheidungen oder andere Aspekte eine Rolle spielen. Vielleicht hat man Monitoring im Einsatz, welches nur die zentralen Komponenten überwacht. Vielleicht möchte man die Intelligenz des Netzwerks an einer Stelle konsolidieren. Vielleicht ist in der aktuellen Konstellation die präferierte Lösung nicht umsetzbar. Vielleicht... nun ja... "kommt halt drauf an" ;)
Eine grundlegende Antwort auf die Frage könnte unter Vorbehalt lauten: ACL für Performance, Firewallregeln für feine(re) Abstufungen inkl. Next Generation Firewalling.
"Ich" beispielsweise fackel sämtliche Zugriffe zwischen den Netzen und VLANs über die Firewall des jeweiligen Standortes ab. Einerseits, weil die Kapazität locker dafür reicht. Andererseits, weil ich so ein differenzierteres Regelwerk an einer Stelle kreieren kann. Weiterhin existieren ein zentrales Management sowie Blaupausen für die jeweilige Standortfunktion ("Reparatur", "Reparatur und Verkauf", "wir fliegen zum Mond"). Somit ist die Pflege sehr einfach und sollte ein zusätzlicher Standort aus dem Boden gestampft werden, hätte ich den netzwerktechnisch mit einem Dreizeiler konfiguriert und in Betrieb genommen.
In dem Sinne wünsche ich einen guten Morgen.
Benandi
Edit / Nachtrag:
Bei der Variante mit der FritzBox baust du dir im Grunde nur eine Router-Kaskade ggf. mit doppeltem NAT. Davon ist eher abzuraten, sofern nicht anders lösbar. Grade in der Lernphase schießt man sich damit gerne ein Eigentor, weil eine zusätzliche Komplexität eingebracht wird, deren Auswirkungen nur schwer abschätzbar sind und teils kuriose Fehlerbilder entstehen, die man nicht einordnen kann.
kurze Antwort: ja
Zwei Dinge vorweg, um mögliche Missverständnisse auszuschließen:
- Den SG350 hast du vermutlich bereits in den Modus "Layer 3" versetzt, richtig?
- Lese ich richtig heraus, dass bereits Routen zwischen den VLANs respektive Netzen existieren und die Kommunikation einwandfrei (aber noch nicht reglementiert) funktioniert?
Sollte dem so sein, hier ein Link zum gleichen Thema und Switch inkl. super Erklärung von (na klar) @aqui:
ACLs bei Cisco SG350
Damit ist dir vermutlich am ehesten geholfen. Wenn nicht, einfach wieder hier fragen.
Zum Thema, wie "wir" das lösen würden, gilt der übliche Spruch -> kommt drauf an. Nun, worauf denn? Bei der Entscheidung im Produktivumfeld sollte man einige Punkte beachten, abwägen und sich dann entscheiden.
Grundsätzlich: Kommunikation kann sowohl über ACLs als über Firewallregeln beschränkt (oder je nach Sichtweise: erlaubt) werden, wie du schon richtig erkannt hast.
Nebenbei: die Diskussion wird man mit ähnlichen Argumenten auch zum Routing führen können (soll Firewall oder Layer3-Switch routen?).
Der nullte Punkt befasst sich mit der Lizenzierung und Fähigkeit der Hardware, dies umzusetzen. Ein 10€-Blödmarktswitch kann i. d. R. nicht mal VLAN ;) Auch können an dieser Stelle bereits spezialisierte Chips (wie z. B. ASICs) den Ausschlag geben.
Der erste Punkt ist die Infrastruktur. Wie groß ist diese? Gibt es zentrales Management? Wie viel Aufwand bedeuten die Implementierung, die Pflege und Wartung des Regelwerks?
Als zweiten Punkt würde ich bereits das Design sowie die Topologie nennen. Hier spielen u. a. die Quell- und Zielnetze eine Rolle. Etwas übertrieben formuliert: Warum ein Paket vom Endgerät über vier Switche an den Router oder die Firewall weitergeben, diesen entscheiden lassen und dann wieder über vier Switche das evtl. entstandene "deny" (statt eines "drop") zurück an den Absender schicken? Andererseits passiert das je nach Auslastung und Dimensionierung der Uplinks normalerweise mit Wirespeed. Für internen Verkehr könnte man allerdings wieder direkt am ersten Switch die Pakete ablehnen. Dieses Spiel kann man beliebig fortführen.
Der dritte Punkt zielt auf die Auslastung. Wie stark sind die jeweiligen Geräte mit ihrer grundlegenden Tätigkeit beschäftigt? Wie viel Ressourcen verwenden sie für zusätzliche Dinge, die gefordert oder aus anderen Gründen implementiert wurden? So wird man einer Firewall, die bereits 60% Ressourcen für VPN, IPS, und diese ganzen Next Generation Features aufwendet, vielleicht nicht noch zusätzlich mit internem Verkehr belasten wollen, wenn man mit einem größeren Wachstum rechnet oder die Geräte möglichst hoch ausgelastet werden sollen, weil diese bei der vorangegangenen Implementierung mit sehr spitzem Bleistift kalkuliert wurden.
Der vierte Punkt spielt auf Wachstum und Reserve an und ist daher mit dem vorherigen Aspekt verbandelt. Wie skalierbar muss es sein?
Weiterhin können auch grundsätzliche Entscheidungen oder andere Aspekte eine Rolle spielen. Vielleicht hat man Monitoring im Einsatz, welches nur die zentralen Komponenten überwacht. Vielleicht möchte man die Intelligenz des Netzwerks an einer Stelle konsolidieren. Vielleicht ist in der aktuellen Konstellation die präferierte Lösung nicht umsetzbar. Vielleicht... nun ja... "kommt halt drauf an" ;)
Eine grundlegende Antwort auf die Frage könnte unter Vorbehalt lauten: ACL für Performance, Firewallregeln für feine(re) Abstufungen inkl. Next Generation Firewalling.
"Ich" beispielsweise fackel sämtliche Zugriffe zwischen den Netzen und VLANs über die Firewall des jeweiligen Standortes ab. Einerseits, weil die Kapazität locker dafür reicht. Andererseits, weil ich so ein differenzierteres Regelwerk an einer Stelle kreieren kann. Weiterhin existieren ein zentrales Management sowie Blaupausen für die jeweilige Standortfunktion ("Reparatur", "Reparatur und Verkauf", "wir fliegen zum Mond"). Somit ist die Pflege sehr einfach und sollte ein zusätzlicher Standort aus dem Boden gestampft werden, hätte ich den netzwerktechnisch mit einem Dreizeiler konfiguriert und in Betrieb genommen.
In dem Sinne wünsche ich einen guten Morgen.
Benandi
Edit / Nachtrag:
Bei der Variante mit der FritzBox baust du dir im Grunde nur eine Router-Kaskade ggf. mit doppeltem NAT. Davon ist eher abzuraten, sofern nicht anders lösbar. Grade in der Lernphase schießt man sich damit gerne ein Eigentor, weil eine zusätzliche Komplexität eingebracht wird, deren Auswirkungen nur schwer abschätzbar sind und teils kuriose Fehlerbilder entstehen, die man nicht einordnen kann.
Simpler Aufbau:
Also genau sowas wie hier, richtig ?Verständnissproblem Routing mit SG300-28
Du hast dir deine Frage eigentlich schon selber umfassend beantwortet bzw. auch der Kollege @Benandi oben.
ACL ist im Gegensatz zu einer Firewall NICHT stateful. Dynamische ACL und andere ACL Features können sehr einfache Websmart Layer 3 Switches nicht. Erst wenn du statt deiner SG Serie einen richtigen Catalysten nimmst ist sowas möglich, es bleibt aber immer das manko das es nicht stateful ist.
Bei Firewalls ist das eben anders wie du ja auch selber weisst.
Eigentlich reicht eine ACL vollauf um den Zugrff auf bestimmte Systeme, Hosts oder Applikationen zu blocken.
Wenn dir das aber zu unsicher ist oder du entsprechende ACL Features brauchst, bleibt dir nur das L3 auf dem Switch zu deaktivieren und das dann auf einer Firewall oder Router mit Firewall zu machen.
Wie das geht erklärt dir das VLAN / L3 Tutorial hier im Forum:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
FritzBox ist da komplett außen vor die supportet keine VLANs.
Sinnvoller wäre da eine pfSense/OpnSense Firewall oder ein preiswerter Mikrotik_Router mit Firewall.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Hi Benandi,
danke für die schnelle Antwort. Den Beitrag von aqui hatte ich schon gelesen. Das ist eine prima Anleitung für ACLs - aber die Antwort auf die Frage nach der Response ist mir daraus nicht klar geworden.
Zu Deinen Fragen: Es geht um eine kleineres Netzwerk, kleine Firma, Bereich Büro, Bereich IT, Bereiche mit IoT, diversen Geräten von Dritten. Der Fall, den ich hier skizziert habe ist: Steuern eines IoT-Devices in VLAN 100 aus dem IT VLAN 200 heraus. Aber natürlich nicht umgekehrt ;)
Ja, Modus ist Layer 3 und Routen funktionieren zwischen den VLANs. Wenn ich ACLs/ACEs einrichte funktionieren die auch (und immer schön inbound, das habe ich aus aquis Erklärung mitgenommen).
Meine eigentliche Frage ist dann:
Wie sehen die ACLs aus, damit nur Responses zu Requests herausgehen (Response aus VLAN 100), aber niemals eigenständige Verbindungen. Oder geht genau das mit einfachen ACEs/ACLs nicht?
Konkret: Blocke ich bei VLAN 100 (inbound) TCP, UDP, damit aus VLAN 100 keine eigenständigen Verbindungen initiiert werden können, kommt bei mir keine Response mehr durch. Was ja auch völlig richtig zu sein scheint. Aber wie schaffe ich es, aus VLAN 100 nur Antworten auf Requests von außen durchzulassen?
Vielleicht habe ich gar kein Verständnisproblem und das geht so einfach nicht. Dann wäre ich bei der Frage: Firewall, oder ist eine ACL die Responses generell erlaubt ausreichend (sicher)? Dazu würde ich ein Permit (an VLAN 100 gebunden) einrichten, das die höheren Ports für die Rückantwort zulässt (ist ja immer unterschiedlich, an welchen Port die Response geht).
Was die Fritzbox angeht ist es so wie Du es beschreibst: Router-Kaskade wollte ich eigentlich vermeiden, weil das wieder neue Probleme schafft. Die sind zwar nicht unlösbar, aber der Aufwand dafür ist schwer einzuschätzen.
danke für die schnelle Antwort. Den Beitrag von aqui hatte ich schon gelesen. Das ist eine prima Anleitung für ACLs - aber die Antwort auf die Frage nach der Response ist mir daraus nicht klar geworden.
Zu Deinen Fragen: Es geht um eine kleineres Netzwerk, kleine Firma, Bereich Büro, Bereich IT, Bereiche mit IoT, diversen Geräten von Dritten. Der Fall, den ich hier skizziert habe ist: Steuern eines IoT-Devices in VLAN 100 aus dem IT VLAN 200 heraus. Aber natürlich nicht umgekehrt ;)
Ja, Modus ist Layer 3 und Routen funktionieren zwischen den VLANs. Wenn ich ACLs/ACEs einrichte funktionieren die auch (und immer schön inbound, das habe ich aus aquis Erklärung mitgenommen).
Meine eigentliche Frage ist dann:
Wie sehen die ACLs aus, damit nur Responses zu Requests herausgehen (Response aus VLAN 100), aber niemals eigenständige Verbindungen. Oder geht genau das mit einfachen ACEs/ACLs nicht?
Konkret: Blocke ich bei VLAN 100 (inbound) TCP, UDP, damit aus VLAN 100 keine eigenständigen Verbindungen initiiert werden können, kommt bei mir keine Response mehr durch. Was ja auch völlig richtig zu sein scheint. Aber wie schaffe ich es, aus VLAN 100 nur Antworten auf Requests von außen durchzulassen?
Vielleicht habe ich gar kein Verständnisproblem und das geht so einfach nicht. Dann wäre ich bei der Frage: Firewall, oder ist eine ACL die Responses generell erlaubt ausreichend (sicher)? Dazu würde ich ein Permit (an VLAN 100 gebunden) einrichten, das die höheren Ports für die Rückantwort zulässt (ist ja immer unterschiedlich, an welchen Port die Response geht).
Was die Fritzbox angeht ist es so wie Du es beschreibst: Router-Kaskade wollte ich eigentlich vermeiden, weil das wieder neue Probleme schafft. Die sind zwar nicht unlösbar, aber der Aufwand dafür ist schwer einzuschätzen.
Hallo Aqui,
jetzt haben wir zeitgleich was gepostet ;)
Ich hab das alles offensichtlich richtig verstanden.
Bleibt noch die Frage: ist eine ACE, die für die Response die höheren Ports freigibt "ausreichend" sicher. Ich weiß, jetzt kommt die Rückfrage, was ist "ausreichend"? Ich kann halt nicht einschätzen, wie viel Blödsinn man damit machen kann. Wären ja dann eine Menge Ports offen. Kannst Du oder ihr das irgendwie einschätzen? Also in der Art: "Das macht man so nicht" oder "Wenn man nicht paranoid ist, dann ist das schon völlig OK".
Danke!
(Die Fritzbox würde in einem VLAN hängen und kein VLAN machen, aber die Lösung, darüber sind wir uns alle einig ist sicherlich nicht optimal).
jetzt haben wir zeitgleich was gepostet ;)
Ich hab das alles offensichtlich richtig verstanden.
Bleibt noch die Frage: ist eine ACE, die für die Response die höheren Ports freigibt "ausreichend" sicher. Ich weiß, jetzt kommt die Rückfrage, was ist "ausreichend"? Ich kann halt nicht einschätzen, wie viel Blödsinn man damit machen kann. Wären ja dann eine Menge Ports offen. Kannst Du oder ihr das irgendwie einschätzen? Also in der Art: "Das macht man so nicht" oder "Wenn man nicht paranoid ist, dann ist das schon völlig OK".
Danke!
(Die Fritzbox würde in einem VLAN hängen und kein VLAN machen, aber die Lösung, darüber sind wir uns alle einig ist sicherlich nicht optimal).
Für dein relativ kleines und überschaubares Netzwerk ist sowas hinreichend sicher. Es geht dir ja primär darum den Traffic und Zugang zu Netzsegmenten etwas restriktiv zu handhaben, was ja auch durchaus richtig ist.
M.E. reichen die Switch ACLs dafür allemal aus.
Starte doch erstmal damit und wenn das von den Anforderungen gut und ausreichend ist, OK.
Wenn doch höhere Anforderungen auftauchen sollten kannst du ja immer noch umschwenken wenn es sein muss.
Das ist etwas wirr... Verstehen tut man es so das du ein Internet Transfer VLAN einrichtest auf dem Switch in dem die FritzBox hängt und das den Internet Traffic bedient, damit du diesen Traffic sinnvollerweise von den Produktiv- und gesicherten VLAN fernhälst. Genau so wie es HIER beschrieben ist ?!
Das wäre dann auch der richtige Weg.
M.E. reichen die Switch ACLs dafür allemal aus.
Starte doch erstmal damit und wenn das von den Anforderungen gut und ausreichend ist, OK.
Wenn doch höhere Anforderungen auftauchen sollten kannst du ja immer noch umschwenken wenn es sein muss.
Die Fritzbox würde in einem VLAN hängen und kein VLAN machen
Was meinst du genau damit ??Das ist etwas wirr... Verstehen tut man es so das du ein Internet Transfer VLAN einrichtest auf dem Switch in dem die FritzBox hängt und das den Internet Traffic bedient, damit du diesen Traffic sinnvollerweise von den Produktiv- und gesicherten VLAN fernhälst. Genau so wie es HIER beschrieben ist ?!
Das wäre dann auch der richtige Weg.
Starte doch erstmal damit und wenn das von den Anforderungen gut und ausreichend ist, OK.
Wenn doch höhere Anforderungen auftauchen sollten kannst du ja immer noch umschwenken wenn es sein muss.
Alles klar, so werde ich es machen. Ob es ausreichend sicher war, erfährt man oft erst hinterher.Wenn doch höhere Anforderungen auftauchen sollten kannst du ja immer noch umschwenken wenn es sein muss.
Die Fritzbox würde in einem VLAN hängen und kein VLAN machen
Was meinst du genau damit ??Das ist etwas wirr... Verstehen tut man es so das du ein Internet Transfer VLAN einrichtest auf dem Switch in dem die FritzBox hängt und das den Internet Traffic bedient, damit du diesen Traffic sinnvollerweise von den Produktiv- und gesicherten VLAN fernhälst.
Genau so wie es HIER beschrieben ist ?!
Das wäre dann auch der richtige Weg.
Danke an euch. Superschnelle Antworten. Würde auch gerne mal hier aushelfen, aber in der iOS, macOS, Objective-C und Swift-Ecke hier ist ja nicht so viel los.Vielleicht sollte man mal einen Spenden-Button einführen, ist ja schon Beratung, für die man anderswo viel Geld zahlen müsste
Ob es ausreichend sicher war, erfährt man oft erst hinterher.
Solange du keinen Netzwerk Hacker mit tiefgreifenden Kenntnissen in der Belegschaft hast ist das sicher....weil ich sie noch habe und zur Not mit einsetzen könnte.
Nein, die kannst du leider nicht verwenden, denn bei der FritzBox lässt sich die NATT Funktion intern beim Routen nicht deaktivieren. Für ein transparentes Routing im lokalen LAN ist das aber zwingend erforderlch. Die FritzBox ist für sowas völlig ungeeignet.Besser ist da dann ein 20 Euro Mikrotik Router...oder eben ein Layer 3 Switch wie du ihn ja schon hast !
Siehe dazu auch:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
für die man anderswo viel Geld zahlen müsste
Ein sehr wahres Wort !!! Danke für die Blumen... 
