emeriks
Goto Top

Konfiguration NETGEAR Switch GS308T

Hi,
mit der Konfiguration von LAN-Switchen habe ich sonst nichts zu tun. Aber ich denke, dass ich das Grundprinzip verstanden habe. Trotzdem seht es mit bitte nach ...

Ich habe hier im Privat-Umfeld einen NETGEAR GS308T. Kein "Bolide", ich weiß. Meine Anforderungen sind aber nicht so groß. Es kommt nicht auf Performance an. Ich will nur ein paar Geräte im LAN separieren.

Dieses Modell kann - meines Wissens - selbst nicht routen. Ein Router ist nicht vorhanden und soll auch nicht extra angeschafft werden, auch wenn man sowas mit nem alten Pi schnell herrichten könnte. Ich weiß. Darum geht es nicht.

Ich habe genau ein IP-Subnet (24' Maske). In diesem will ich auf Netzwerkebene Host voneinander trennen. Router und Firewall nicht vorhanden. Clients sind Windows Büchsen. Die haben zwar ne lokale Firewall, womit ich den Zugriff untereinander reglementieren könnte, aber das ist explizit nicht erwünscht. Ein Client-Admin soll nichts an diesen Regeln ändern dürfen, sprich: sie nicht umgehen können.
(Defacto ist doch ein Router vorhanden. Aber das ist ne Fritte für Internet-Zugang, für welche kein Adminzugriff besteht.)

Kein Routing, also kann ich es auch nicht über mehrere VLAN erledigen. Oder etwa doch?

Jetzt dachte ich mir: Kein Problem. Der GS308T kann ACLs.
Um es hier einfach zu halten soll jetzt ein Host, welcher direkt an einem Port des GS308T angestöpselt ist, reglementiert werden. Er darf einen anderen Host im Subnet erreichen, alle anderen nicht. Darüber hinaus darf er über die Fritte ins Internet.

Besagter Host ist an Port 8 des GS308T.
Also neue benannte IP-ACL erstellt und mit Port 8 verlinkt.
Dann 4 Regeln erstellt.
Sequenz 1: den anderen Host erlauben (192.168.172.100)
Sequenz 2: die Fritte erlauben (192.168.172.254)
Sequenz 3: das Subnetz verbieten (192.168.172.0)
Sequenz 1000: Alle anderen erlauben ("matchEvery 1") (für Internet)

Und genau das funktioniert nicht und ich verstehe nicht warum.
Laut Handbuch sollen die Regeln der ACL der Sequenz nach abgearbeitet werden. Sobald eine Regel zutrifft wird diese angewendet und alle nachfolgenden werden ignoriert. (Das habe ich doch richtig verstanden?)
Es stellt sich mir jetzt so dar, als wenn er bei Regeln für ein ganzes IP-Subnet keinen "Match" hat und diese irgnoriert.

ip acl "IP-ACL-Test-1"  
 sequence 1 permit protoKey 4 proto 4 sip any sport any 0 0 0 0 dip 192.168.172.100/0.0.0.0 dport any 0 0 0 0 igmp any icmp any any any frag 0 tos any 0 0 asq any mirror any redirect any matchEvery 0 logging 0 
 sequence 2 permit protoKey 4 proto 4 sip any sport any 0 0 0 0 dip 192.168.172.254/0.0.0.0 dport any 0 0 0 0 igmp any icmp any any any frag 0 tos any 0 0 asq any mirror any redirect any matchEvery 0 logging 0 
 sequence 3 deny protoKey 4 proto 4 sip any sport any 0 0 0 0 dip 192.168.172.0/255.255.255.0 dport any 0 0 0 0 igmp any icmp any any any frag 0 tos any 0 0 asq any mirror any redirect any matchEvery 0 logging 0 
 sequence 1000 permit protoKey 255 proto 0 sip any sport any 0 0 0 0 dip any dport any 0 0 0 0 igmp any icmp any any any frag 0 tos any 0 0 asq any mirror any redirect any matchEvery 1 logging 0 
!
interface g8
 acl bind seq 1 "IP-ACL-Test-1"  

Der Host am Port 8 hat die IP 192.168.172.74. Alle Host in diesem Subnetz haben eine 24' Maske eingestellt.

Lasse ich die ACL so wie o.g., dann kann der Host an P8 alle Host im Subnet erreichen und kommt auch ins Internet.
Entferne ich die Seqenz 1000, dann kann er nur die .100 und .254 erreichen, wie gewollt. Aber Internet fehlt dann.

Ich kapiere jetzt nicht, wo mein Fehler ist.

E.

Content-ID: 7657767629

Url: https://administrator.de/contentid/7657767629

Ausgedruckt am: 18.11.2024 um 13:11 Uhr

Spirit-of-Eli
Spirit-of-Eli 26.06.2023 um 22:12:34 Uhr
Goto Top
Moin,

dein Vorhaben wird an der Stelle schwierig, dass du nur ein Subnetz hast. Ohne eine Gateway würden dir die ACLs auch nicht bringen. Diese werden bei einzelnen IPs nicht greifen können.

Korrigiert mich falls das so nicht stimmt. Aqui wird sicher eine schlüssige Erklärung haben, warum dies so ist.

Ohne Router oder Firewall wird das leider nichts.

Gruß
Spirit
emeriks
emeriks 26.06.2023 um 22:17:59 Uhr
Goto Top
Ich könnte es jetzt noch mit MAC-Regeln versuchen. Aber man kann da keine Kommentare hinterlegen (welche MAC zu welchem Gerät gehört), sodass es sehr mühseelig werden würde, wenn man das mal nach längere Zeit wieder anpassen will.
Avoton
Avoton 26.06.2023 um 22:38:08 Uhr
Goto Top
Moin,

Mac Regeln lassen sich in <1 Minute vom Client Admin umgehen, indem er die MAC Adresse der NIC einfach ändert.
Wenn ich das richtig verstehe erlaubst du mit der Sequence 1000 den Zugriff auf alles (Dip any). Ich würde da als Destination IP Mal das Gateway eintragen.

Gruß,
Avoton
Spirit-of-Eli
Spirit-of-Eli 26.06.2023 um 23:03:23 Uhr
Goto Top
Zitat von @Avoton:

Moin,

Mac Regeln lassen sich in <1 Minute vom Client Admin umgehen, indem er die MAC Adresse der NIC einfach ändert.
Wenn ich das richtig verstehe erlaubst du mit der Sequence 1000 den Zugriff auf alles (Dip any). Ich würde da als Destination IP Mal das Gateway eintragen.

Gruß,
Avoton

Geht das denn über haupt bei nur einem Subnetz??
Avoton
Avoton 27.06.2023 um 05:39:51 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
Geht das denn über haupt bei nur einem Subnetz??

Was genau meinst du jetzt?
Auch ein einzelnes Subnetz hat ein Standard Gateway...
aqui
aqui 27.06.2023 um 08:27:04 Uhr
Goto Top
Kein Routing, also kann ich es auch nicht über mehrere VLAN erledigen. Oder etwa doch?
Ginge wenn die NIC zumindest einer der Windows Rechner VLANs kann (was die meisten können). Einer der Windows Rechner könnte dann Router spielen zwischen 2 VLANs auf dem Switch.
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
emeriks
Lösung emeriks 27.06.2023 um 08:29:35 Uhr
Goto Top
Danke für Euren Input.

Ich denke, ich habe es hinbekommen, wenngleich mich das trotzdem doch sehr wundert. Ein Nacht drüber schlafen hilft eben manchmal.

Mir war aufgefallen, dass - wenn man als Ziel "Host" wählt, wo man nur die IP-Adresse und keine Maske angeben kann - dann automatisch 0.0.0.0 als Maske eingetragen wird (siehe Sequenzen 1 & 2). Ich hatte da eigentlich 255.255.255.255 erwartet.
Also habe ich mal experimentiert und dieses Schema übernommen. Also in Sequenz 3 die Maske von 255.255.255.0 auf 0.0.0.255 geändert. Und damit funktioniert das jetzt.

Es hat alles Widersinn ...

E.
emeriks
emeriks 27.06.2023 aktualisiert um 08:35:34 Uhr
Goto Top
@aqui:
Ja, sowas kam mir auch schon in den Sinn. Doch wie füge ich unter Windows bei nur einer NIC eine 2. "virtuelle" NIC mit einem anderen VLAN hinzu?
Ich kann von der einen NIC in der Konfig das VLAN ändern, ja. Aber dann bin ich ja wieder nur in genau einem VLAN.
aqui
aqui 27.06.2023 aktualisiert um 08:43:22 Uhr
Goto Top
Doch wie füge ich unter Windows bei nur einer NIC eine 2. "virtuelle" NIC mit einem anderen VLAN hinzu?
Das steht im o.a. Tutorial. Der NIC Treiber muss das natürlich supporten. Die meisten können das aber. Macht man in den erweiterten Eigenschaften des Treibers.

Was dein Regelwerk anbetrifft ist das syntaktisch alles richtig. Das das Internet mit dem Fehlen der Sequenz 1000 geblockt ist ist klar.
Die Logik mit den inversen Masken in den ACLs ist aber allgemein üblich das machen alle Hersteller so. Hast du also letztlich intuitiv richtig gemacht! 👍
emeriks
emeriks 27.06.2023 um 08:43:10 Uhr
Goto Top
Danke @aqui, das schaue ich mir mal an.