alforno
Goto Top

Lancom 1711 VLAN einrichten

Hallo,

ich möchte gerne an einem Lancom 1711+ VLAN's einrichten.
Zwei Notebooks sollen Zugriff auf das Internet bekommen, das Ganze möchte ich aber vom restlichen LAN (192.168.10.0) abschotten.

Leider ist mir nicht ganz klar, wie ich die Einstellungen setzen muss.

Im LANconfig sehe unter dem Menüpunkt Schnittstellen die Registerkarte VLAN.

Muss ich zunächst einen eigenen IP-Bereich für das VLAN erstellen und diesem eine ID vergeben?
Wie kann ich dann festlegen, an welchem Port vom Lancom sich welches VLAN befindet?


Freue mich auf Antworten.
Vielen Dank im Voraus.

Alforno

Content-ID: 140874

Url: https://administrator.de/forum/lancom-1711-vlan-einrichten-140874.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

StefanKittel
StefanKittel 17.04.2010 um 11:29:49 Uhr
Goto Top
aqui
aqui 17.04.2010, aktualisiert am 18.10.2012 um 18:41:47 Uhr
Goto Top
Ja, das musst du machen ! Du erzeugst 2 VLANs mit einer eigenen ID z.B. 10 und 20 oder behälst einmal das default VLAN 1 und konfigurierst eins dazu wie z.B. 10.
In beiden VLAN musst du dann mit 2 separaten IP Netzen arbeiten z.B. 192.168.1.0 /24 und 192.168.10.0 /24. Der Router fügt beide VLANs dann entsprechend wieder zusammen...
Ggf. musst du im Router eine Accessliste definieren, die den Zugriff auf ein VLAN unterbindet so wie du es haben willst !
Grundlagen zu VLANs findest du hier:
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
bzw. ist das ggf.noch hilfreich fürs Verständnis:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
k4p00d
k4p00d 17.04.2010 um 13:11:27 Uhr
Goto Top
NEEEEIN!!!! Sonst passiert dir das gleiche wie mir damals.. das wäre unschön.. lol

1. Mach das VLAN Modul komplett aus.
2. Geh unter Schnittstellen und definiere ETH-1 als LAN-1 und ETH-2 als LAN-2 beide setze mit dem Haken in den Private Mode.
3. Geh unter TCP/IP und definiere unter netze das vordefinierte DMZ Netz als LAN-2 mit z.b. 192.168.44.1 für den Router, das setzt du als Intranet und bindest es an LAN-2. Das INTRANET Netz bindest du an LAN-1. Dann weißt du INTRANET den Routing Tag 1 zu und DMZ den Routing Tag 2. Die VLAN Tags bleiben bei beiden 0.
4. Nun richtest du unter DHCP noch einen weitren DHCP Server ein welchen du an DMZ und LAN-2 bindest.
5. Nun unter DNS falls gewünscht noch jedem der Netze eigene Subdomains zuweisen wegen Auflösung und unter Netbios auch die jeweiligen Netze anlegen.

Nun hast du 2 getrennte Netze. Das macht der Lancom über Routing udn nicht über VLAN. VLAN solltest du nur in einem VLAN Netzwerk aktivieren. Für deinen Zweck lass es unbedingt aus.

Habe diese Konstellation selber mehrfach im Einsatz. Dabei habe ich beim ersten Versuch auch das VLAN Modul aktiviert und das Ende war nicht sehr glorreich..^^

MfG

k4p00d
Alforno
Alforno 19.04.2010 um 09:39:33 Uhr
Goto Top
Ich danke euch für die Antworten.

@k4p00d

Da wäre ich alleine wohl in hundert Jahren nicht drauf gekommen. face-smile
Ich hatte leider noch keine Zeit es auszuprobieren.

Ich habe noch eine Frage zum Lancom.
Kann ich beim Zugriff via VPN für den einzelnen User nur bestimmte Ports für eine IP freigeben?
Hintergrund ist, dass die Außendienstler nur Zugriff auf Port 80 für den Webserver und die Ports für den Mailserver haben sollen.
Die restlichen IP Adressen im Netz sollen durch die Firewall gebklockt werden.

Das sollte mit dem Lancom ja sicher machbar sein, oder?
Bei der Einrichtung mit dem VPN Assistenten lässt sich der Zugriff ja bereits auf eine IP beschränken.
Die Portbeschränkung muss wohl händisch gesetzt werden.

Vielleicht hast du da ja auch noch einen Tipp für mich.

Ich bedanke mich schonmal für die Hilfe im Voraus.

mfg
Alforno
Alforno
Alforno 19.04.2010 um 20:49:40 Uhr
Goto Top
@k4p00d

Ich habe noch eine Frage.

Macht der Lancom das Routing zwischen den unterschiedlichen Netzen von alleine?
Der Router muss im Netz 192.168.2.0 hängen und vo dort auch als solcher ansprechbar sein.

Im Prinzip brauche ich drei Netze:

VLAN1 besteht aus einem Webserver: 192.168.13.0
VLAN2 besteht aus einem Client: 192.168.2.0
VLAN3 besteht aus mehreren Clients, die alle an einem Switch hängen: 192.168.1.0

Kann ich jetzt für jeden VLAN einen eigenen DHCP erstellen?
Wenn ich am Webserver als Gateway 192.168.13.1 einstelle, kann die Kiste dann auf den Router zugreifen?

Du siehst so ganz habe ich es noch nicht verstanden, wäre super wenn du mir nen bisschen helfen könntest.

Danke schonmal im Voraus.

mfg
Alforno
k4p00d
k4p00d 20.04.2010 um 00:22:45 Uhr
Goto Top
1. Das sind keine VLANs dann, das sind einfach verschiedene Netze!
2. Ja du kannst den Zugriff nach belieben regulieren, einfach in der Firewall eine Deny All Strategie und die Freigaben dementsprechend.
3. Der Router hängt dann in allen Netzen die du anlegst:
z.B.
Intranet: 192.168.2.0 > Lancom z.B. 192.168.2.1
DMZ: 192.168.4.0 > Lancom z.B. 192.168.4.1
Das sind keine VLANs!
Du gibst dem Router unter TCP/IP Netzwerke ja im jeweiligen Netz eine Adresse. Wenn du das Routing Tag bei beiden auf 0 hast routet er zwischen den Netzen. Wenn du für Intranet 1 und DMZ 2 sind sie getrennt.

In der Routing Tabelle kannst du dann auch für jedes Netz eine eigene Default Route anlegen in dem du selbiger das Routing Tag des jeweiligen Netzes gibst.

Unter DHCP Netzwerke legst du dann für jedes Netz einen separaten DHCP an. Im DMZ wäre der Gateway dann ja logischerweise 192.168.4.1 und im Netz Intranet 192.168.2.1..

Wie du dir das jetzt für dein Netz zusammenwürfeln musst sollte ersichtlich sein.. hoffe ich..

MfG

k4p00d
Alforno
Alforno 24.04.2010 um 08:27:29 Uhr
Goto Top
Ich muss zugeben, dass ich es noch nicht ganz verstanden habe.

Wenn ich für jeden Bereich ein eigenes Netz erzeuge, dann kann in jedem Netz der Lancom als Gateway angesprochen angesprochen werden.
In der Regel dann ja immer mit der 192.168.XXX.1 ?
Dies muss aber von mir konfiguriert werden, richtig?

Nochmal zum Routing.
Wenn ich das Routing zwischen den Netzen nicht zulasse, dann haben die Clients doch keine Möglichkeit auf die anderen Netze zuzugreifen, oder?
Die Netze wären dann ja voneinander getrennt. Das ist das was ich erreichen wollte.

Zur Zugriffsbeschränkung für die VPN-User:
Ich möchte gerne, dass die VPN User auf einer bestimmten IP nur die Ports 80, 143, nutzen können.
Du hast ja bereits die Deny-All angesprochen. Für welche Richtung gilt diese? Innen nach Außen? Von außen nach innen ist doch per default alles zu.
Mir geht es ja lediglich um die VPN User. Kann man nicht eine Firewall Regel erstellen, die ich dann nur auf bestimmte VPN Accounts anwende?
Mein eigener VPN Account darf davon nämlich nicht betroffen sein. Sonst schließe ich mich ja selbst aus.

Würde mich wirklich freuen, wenn du mir nochmals helfen würdest.

Vielen Dank im Voraus.

Alforno
k4p00d
k4p00d 24.04.2010 um 18:42:02 Uhr
Goto Top
1. Ja der Router kann in jedem Netz angesprochen werden. Aber der Router hat natürlich auch in jedem Netz eine eigene IP. Ist das Intranet 192.168.0.0 hat er da z.B. 192.168.0.1. Hat DMZ 192.168.254.1 kann er dort z.B. 192.168.254.234 haben. Welche du ihm in diesem Netz eben vergibst.

2. Das hängt vom Routing Tag ab. Routing Tag 0 ist sozusagen "root", von einem Netz mit diesem Tag kommt man in alle anderen Netze. Mit z.B. Tag 1,2,3,4 etc. kommt man nur in Netze die den selben Tag haben. Wenn du Intranet also Tag 1 gibst und DMZ Tag 2 sind diese getrennt. VLAN bleibt bei allen Tag 0.

3. In der Ausgangssituation verlässt sich der Router in Sachen Sicherheit auf NAT und IDS. Die Firewall musst du einrichten. Das einzig sinnvolle ist dabei eine Deny All. Diese gilt wenn du eine richtige Deny All Regel definierst logischerweise in beide Richtungen. Dann solltest du eben nur das freigeben was du auch wirklich brauchst. Auch von innen nach außen. Dabei kannst du verschiedenen Netzen und VPN Eiwnahlen ja unterschiedliche Rechte zuweisen.
Du kannst auch einzelne Regeln anlegen die bestimmten Netzen/Usern bestimmte Sachen verbieten. Das ist aber eine unsaubere Lösung und von daher Pfusch.

MfG

k4p00d
Alforno
Alforno 24.04.2010 um 19:37:09 Uhr
Goto Top
Danke Dir für die schnelle Antwort.

zu 1.
Dann habe ich es jetzt verstanden.

zu 2.
Im Prinzip verstanden, aber noche eine Frage dazu.
Die beiden Netze Internet und DMZ sind ja standardmäßig schon angelegt. Haben diese eine besondere Bedeutung. Oder kann ich die einfach für meine Zwecke bearbeiten.

zu 3.
Deiner Meinung nach lieber alles verbieten und dann sukzessive mit Regeln das Erlauben, was benötigt wird?
Hat das Verbot dann nicht eine höhere Priorität?

Kannst du mir ein Beispiel nennen, wie ich für einen VPN Benutzer eine Regel anlege?
Als Beispiel soll der VPN User "vpn01" nur Zugriff auf die IP-Adresse 192.168.2.130 haben und das Ganze nur auf den Port 80.

Auch wenn mein Beispiel nicht deinem Vorschlag entspricht, würde mich interessieren, wie man es einrichtet.
Ich habe vorher nur mi Draytek Routern gearbeitet und der Schritt zum Lancom ist ein großer. face-smile

Ich habe gesehen, dass es auf der Lancom Seite, bereits fertige Skripte gibt, mit denen man ein Firewallkonzept umsetzen kann.

Würde mich freuen, wenn du mir nochmals ein wenig helfen könntest.

Vielen Dank schonmal im Voraus.

mfg
Alforno
k4p00d
k4p00d 24.04.2010 um 20:03:40 Uhr
Goto Top
2. Du kannst die beiden editieren wie du willst. Nur solltest du ihnen die Namen INTRANET und DMZ lassen. Man kann sie zwar löschen/umbenennen, aber damit habe ich bereits mehrmal schlechte erfahrungen gemacht.

3. Ja meiner Meinung nach nur erlauben was nötig ist.

Neue z.b. allow_vpnuser_to_intern Regel - Priorität 1 (deny-all hat ja 0), erkauben - von gegenstelle vpn01 (kann man auch mehrere eintragen) an intranet/192.168.x.x - unter Dienste dann unter Protokolle/Zieldienste deine Ports eintragen und fertig.

Ja die fertigen Skripte kann man verwenden, ich mache es lieber selber.

MfG

k4p00d
Alforno
Alforno 24.04.2010 um 22:09:52 Uhr
Goto Top
Nabend k4p00d,

ich wollte mich gerade an der Einrichtung der Netze versuchen.
Aber ich scheitere an Punkt 4 aus deinem 1. Beitrag.

Unter TCP/IP -> DHCP habe ich bereits zwei Einträge, nämlich INTRANET und DMZ. Soll ich da nun einen 3. Eintrag erstellen DMZ?
Oder einfach von DMZ den DHCP aktivieren? An dieser Stelle kann ich die Einträge aber nicht an die Schnittstellen binden.
Muss ich hier auch IP Pools festlegen?

Danke.

mfg
Alforno
k4p00d
k4p00d 25.04.2010 um 09:56:55 Uhr
Goto Top
Du legst unter TCP/IP Netzwerke DMZ fest dass es ein Intranet ist, Tag 2, die IP Adresse des Routrs in diesem Netz sowie die Subnetzmaske und die Bindung an Lan-2.

Unter DHCP aktivierst du diesen für Lan-2. Unter DHCP Netzwerke trägst du dann bei DMZ alles einwie du es brauchst.

MfG

k4p00d
Gerhard56
Gerhard56 13.12.2022 um 23:19:57 Uhr
Goto Top
Hallo,
habe es versucht, aber das mit den Sub-Domänen bekomme ich nicht hin
Hauptnetz geht, Gast-Netz verliert ~50% der Pakete ....