8
Intern Routen mit Lancom 1611+
Moin Leute, ich habe mal wieder ein Problem, an dem ich mir die Zähne ausbeiße.
Folgendes Szenario:
Eine Einrichtung benutzt einen Lancom 1611+. Dort sind zwei Netzwerke konfiguriert. Ein Mitarbeiter-Netz 192.168.234.0/24 und ein Gäste-Netz 10.10.8.0/24. Beider Traffic wird komplett über eine VPN Leitung zur Gegenstelle übertragen, was auch wunderbar funktioniert. Nun möchte der Kunde aber auf den Drucker im Mitarbeiter-Netz von Gäste-Netz aus erreichen.
Das Gäste-Netz wird durch einen Unifi AP AC LR mit einem Captive-Portal realisiert. Der Controller für das Captive-Portal sitzt im Netz der Gegenstelle.
Jetzt soll natürlich der Druckauftrag nicht erst zur Gegenstelle und dann wieder zurück geroutet werden. Das wäre irgendwie von hinten durch die Brust ins Auge geschossen. Ich würde gerne den Druckauftrag direkt über den 1611+ in der Einrichtung routen, was aber nicht so funktioniert, wie ich das will. Da der Router ja standardmäßig über den VPN Tunnel routet.
Ich habe schon einige Versuche hinter mir und weiß langsam nicht mehr weiter. Vielleicht habt ihr ja Lösungsansätze, über die ich mich im Voraus schon mal bedanken möchte.
Mit freundlichen Grüßen
Kelevra
Folgendes Szenario:
Eine Einrichtung benutzt einen Lancom 1611+. Dort sind zwei Netzwerke konfiguriert. Ein Mitarbeiter-Netz 192.168.234.0/24 und ein Gäste-Netz 10.10.8.0/24. Beider Traffic wird komplett über eine VPN Leitung zur Gegenstelle übertragen, was auch wunderbar funktioniert. Nun möchte der Kunde aber auf den Drucker im Mitarbeiter-Netz von Gäste-Netz aus erreichen.
Das Gäste-Netz wird durch einen Unifi AP AC LR mit einem Captive-Portal realisiert. Der Controller für das Captive-Portal sitzt im Netz der Gegenstelle.
Jetzt soll natürlich der Druckauftrag nicht erst zur Gegenstelle und dann wieder zurück geroutet werden. Das wäre irgendwie von hinten durch die Brust ins Auge geschossen. Ich würde gerne den Druckauftrag direkt über den 1611+ in der Einrichtung routen, was aber nicht so funktioniert, wie ich das will. Da der Router ja standardmäßig über den VPN Tunnel routet.
Ich habe schon einige Versuche hinter mir und weiß langsam nicht mehr weiter. Vielleicht habt ihr ja Lösungsansätze, über die ich mich im Voraus schon mal bedanken möchte.
Mit freundlichen Grüßen
Kelevra
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 558072
Url: https://administrator.de/contentid/558072
Printed on: June 4, 2024 at 04:06 o'clock
8 Comments
Latest comment
Zitat von @Kelevra9987:
Ich würde gerne den Druckauftrag direkt über den 1611+ in der Einrichtung routen, was aber nicht so funktioniert, wie ich das will. Da der Router ja standardmäßig über den VPN Tunnel routet.
Ich würde gerne den Druckauftrag direkt über den 1611+ in der Einrichtung routen, was aber nicht so funktioniert, wie ich das will. Da der Router ja standardmäßig über den VPN Tunnel routet.
Moin,
wenn beide Netze am Lancom anliegen weiß der eigentlich von alleine das er nicht über den VPN Tunnel gehen muß, kannst du das Konstrukt mal aufmalen?
/Thomas
Zitat von @Kelevra9987:
Ich habe schon einige Versuche hinter mir und weiß langsam nicht mehr weiter. Vielleicht habt ihr ja Lösungsansätze, über die ich mich im Voraus schon mal bedanken möchte.
Ich habe schon einige Versuche hinter mir und weiß langsam nicht mehr weiter. Vielleicht habt ihr ja Lösungsansätze, über die ich mich im Voraus schon mal bedanken möchte.
Moin,
welches Druckaufkommen habt Ihr denn bei den Gästen? Ggf. reicht es einfach einen billigen Multifunktionslaser (evtl. sogar sw) ins GästeLAN zu stellen. Die 150€ bis 200€ dürften deutlich günstiger sein als die Arbeitszeit die Du da reinsteckst. Und Du mußt keine Löcher in eure Firewall stanzen.
lks
Das LANCOM ARF hat eine Besonderheit. Du kannst ein Netz mit Routingtag als DMZ definieren. Damit ist das Netzwerk für alle anderen Netzwerke sichtbar, kann aber nicht in andere Netze hineinschauen. Sprich das GästeWLAN und das interne Netz sehen den Drucker, aber können darüber nicht kommunizieren, außer mit dem Drucker selbst. Erfordert aber, dass der Drucker oder alle Ressourcen, die für beide Netze erreichbar sein sollen, in einem gesondern Netz sind.
Hinweis am Rande: der 1611+ ist seit sehr sehr langer Zeit aus dem Support raus und stellt ein Sicherheitsrisiko dar.
Hinweis am Rande: der 1611+ ist seit sehr sehr langer Zeit aus dem Support raus und stellt ein Sicherheitsrisiko dar.
Druckaufkommen ist nicht sonderlich hoch. Allerdings hatte ich den Vorschlag bereits dem Kunden gegenüber geäußert, welchen er strikt ablehnte. Der Kunde möchte keine zwei Geräte verwenden müssen. Auch ein USB-Kabel lehnte er ab.
Das der 1611+ schon deutlich veraltet ist, ist uns bewusst und dieser soll auch in naher Zukunft noch erneuert werden.
Wenn ich dich richtig Verstanden habe, tikayevent, muss ich noch ein drittes Netz anlegen nur für den Drucker? Das ist mit einem 1611+ gar nicht möglich. Mein Gedankengang war ja, das man über Firewall-Regeln eine Route aus dem Gäste-Netz nur auf den Drucker anlegt. Dies ist aber gescheitert.
MfG
Das der 1611+ schon deutlich veraltet ist, ist uns bewusst und dieser soll auch in naher Zukunft noch erneuert werden.
Wenn ich dich richtig Verstanden habe, tikayevent, muss ich noch ein drittes Netz anlegen nur für den Drucker? Das ist mit einem 1611+ gar nicht möglich. Mein Gedankengang war ja, das man über Firewall-Regeln eine Route aus dem Gäste-Netz nur auf den Drucker anlegt. Dies ist aber gescheitert.
MfG
Das Problem ist kein wirkliches Problem, denn mit einer entsprechenden IP Access Regel die den Zugriff auf die Drucker IP aus dem Gästenetz erlaubt ist das ja mit normalen Routern oder Firewalls eine Lachnummer und in 5 Minuten erledigt.
Voraussetzung ist natürlich zusärtlich auch das der Gast Client sich im CP authentisiert, denn ohne Authentisierung kommt er logischerweise nirgendwo sonst hin.
Voraussetzung ist natürlich zusärtlich auch das der Gast Client sich im CP authentisiert, denn ohne Authentisierung kommt er logischerweise nirgendwo sonst hin.
Klar, der Client ist im CP authentisiert und eine Ausnahme für den Drucker habe ich auch angelegt. Somit soll es möglich sein, dass Authentisierte Clients nur den Drucker im Mitarbeiter-Netz erreichen können, jedoch nichts anderes.
Hast du auch die Rückroute bedacht also vom Druckernetz ins Gastnetz ?? In der Regel sind dort auch strikte Access Listen bzw. FW Regeln aktiv !
Der Drucker sollte natürlich auch einen Gateway Eintrag mit der IP des Lancom konfiguriert haben.
Der Drucker sollte natürlich auch einen Gateway Eintrag mit der IP des Lancom konfiguriert haben.
Zitat von @Kelevra9987:
Druckaufkommen ist nicht sonderlich hoch. Allerdings hatte ich den Vorschlag bereits dem Kunden gegenüber geäußert, welchen er strikt ablehnte. Der Kunde möchte keine zwei Geräte verwenden müssen.
Druckaufkommen ist nicht sonderlich hoch. Allerdings hatte ich den Vorschlag bereits dem Kunden gegenüber geäußert, welchen er strikt ablehnte. Der Kunde möchte keine zwei Geräte verwenden müssen.
Du solltest dem Kunden klarmachen, daß Zugriff aus ungesicherten Netzen auf Drucker in "sicheren" Netzen die Sicherheit unterminiert. Oft genug dienen Drucker als Einfallstore in ein Netzwerk, weil diese meist nicht die Aufmerksamkeit beim Absichern erhalten, die die Admins den PCs entgegenbringen. Ich nenne beispielhaft mal diesen Bug in HP-Druckern.
Dann sollte man eher den Drucker ins GästeLan stellen und den Zugriff aus dem LAN dorthin erlauben oder wie schon vorgeschlagen, den Drucker in eine DMZ packen.
lks
PS: Ich halte einen eigenen Drucker immer noch für die kostengünstigste und sicherste Lösung.
PPS: Rechner ihm einfach die Kosten vor. Dann entscheiden sich die Kunden meistens für "die billigere Lösung".