Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Lancom Firewall-Regel zu VLAN mit Tag 0 funktioniert nicht

Mitglied: Crally

Crally (Level 1) - Jetzt verbinden

08.10.2019 um 20:44 Uhr, 244 Aufrufe, 4 Kommentare

Hallo zusammen,

bitte seit ein bisschen nachsichtig, aber bin mit Lancom noch nicht so 100% vertraut.

Aber erstmal die Hardwarekonfiguration und Wünsche:

Lancom 1781EF+
Lancom GS-2326P
Ubiquiti APs (1x nanoHD + 1x AC-Lite)


Es sind aktuell 4 VLANs eingerichtet:

VLAN-ID 1 = 192.168.178.1/24 = INTRANET (Default vom Router) (TAG = 0)
VLAN-ID 20 = 10.10.20.1/24 = Heimnetz (TAG = 20)
VLAN-ID 30 = 10.10.30.1/24 = SmartHome (TAG = 30)
VLAN-ID 100 = 10.10.100.1/24 = Gastnetz (TAG = 100)

Wie sich vermuten lässt, war zuvor eine Fritzbox installiert und alle Clients im gleichen Netz. Der Lancom soll nun trennen. Tut er auch schon.
Später soll es auf 3 Netze reduziert werden, d.h. die VLAN-ID 1 (INTRANET) bleibt bestehen, allerdings mit anderem IP-Bereich (10.10.10.1/24).
Das VLAN 20 ist also erstmal nur zu Testzwecken eingerichtet.

Auf den APs hab ich verschiedene SSID's eingerichtet. Den SSID's hab ich jeweils VLAN-ID 20, 30 und 100 verpasst. Die SSID für das INTRANET hat keine VLAN-ID eingetragen.
Der Router ist mit dem Switch über den SFP-Port angeschlossen. Im Switch sind den entsprechenden Ports (SFP-Port 26) und den AP-Ports (21+23) alle VLAN-IDs zugewiesen (1,20,30,100).
Die Ports sind als "C-Port" definiert und bei Egress Rule ist "Hybrid" eingestellt. Die PVID ist auf jedem Port bei 1 geblieben (Standard).



Jedenfalls sind im Router die VLANs eingerichtet und jedes VLAN hat seinen eigenen DHCP-Server.
Es funktioniert bis hierhin auch alles tadellos. Ich verbinde mich z.B per WLAN mit dem SmartHome und bekomme vom Router eine IP aus dem VLAN-30, z.B:
IP: 10.10.30.91
Subnetz: 255.255.255.0
Gateway: 10.10.30.1
DNS: 10.10.30.1

Internetzugriff ist da, nur der Ping zu den anderen VLANs geht nicht. Also erstmal wie gewollt.

Verbinde ich mich mit der SSID, welche ohne VLAN-ID eingestellt ist, dann erhalte ich eine IP aus dem VLAN-1, also z.B. 192.168.178.91 und so weiter.
Von dort aus kann ich in jedes andere VLAN pingen. Das ist laut Anleitung auch richtig so und ist von mir auch so gewollt, quasi als Management-Netz.


Nun möchte ich aber diverse Freigaben unter den VLANs vergeben. Im Router hab ich dazu zwei neue Firewall-Objekte angelegt, in die ich jeweils "Alle Station aus dem jeweiligen VLAN" hinzugefügt habe.
Das habe ich zum Testen gemacht um einfach mal einen Vollzugriff aller Clients in ein anderes Netz zu realisieren. Später sollen nur einzelne Clients jeweils andere einzelne Clients gezielt erreichen dürfen.

Die Firewall-Regel um aus VLAN-30 ins VLAN-20 zu gelangen funktioniert auch so. Ich kann die 10.10.20.1 anpingen, wenn ich mit dem SmartHome-Netz verbunden bin.
Jedoch klappen die beiden anderen Regeln nicht, sprich alle Regeln, deren Routing-Tag 0 ist, funktionieren einfach nicht. Jetzt war meine Vermutung, dass dies grundsätzlich unterbunden wird?!

Denn in der Anleitung steht, dass jedes ungetaggte Paket, automatisch mit dem Tag 0 versehen wird und es damit vielleicht "heilig" behandelt wird?!

Denn alle anderen Regeln, die ich so ausprobiert habe funktionierten immer auf anhieb.

Evtl. ist auch noch eine extra Route einzurichten, was aber aktuell noch gegen mein Verständnis spricht, da der Router ja eigtl. alle Netze eint und wissen müsste wie er Routen soll. Es bleibt ja alles intern. Aber ich lasse mich gerne belehren.


Jetzt hab ich viel geschrieben, ich hoffe es war dennoch halbwegs verständlich. Anbei nochmal ein Bild der Netzwerke und zwei Bilder (nur unterschiedlich dargestellt) der Regeln. Die mittlere Regel funktioniert wie gesagt, nur die obere und untere nicht.



Vielen herzlichsten Dank schonmal im Voraus für die Hilfe
bildschirmfoto 2019-10-08 um 20.29.35 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto 2019-10-08 um 20.30.02 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto 2019-10-08 um 20.30.31 - Klicke auf das Bild, um es zu vergrößern
Mitglied: NordicMike
09.10.2019 um 06:32 Uhr
Hi,

grundsätzlich wird zwischen VLANs nicht geroutet, deswegen bringen die Firewall Einstellungen nichts. Die Firewall blockiert und erlaubt nur, aber, wenn nichts geroutet wird, kann die Regel nichts blockieren oder durchlassen.

Du musst also in den IP Route Einstellungen eine Route dafür erzeugen.

Grüße, der Mike
Bitte warten ..
Mitglied: NixVerstehen
LÖSUNG 09.10.2019 um 06:58 Uhr
Moin,

ich hab zwar gerade hier zuhause keinen Lancom zur Hand, aber warum arbeitest du überhaupt mit Routing-Tags und Prio's in der FW? Meiner Meinung nach brauchst du das nicht.

Du gibst auf dem 1781 den angelegten VLANs die passende VLAN-ID, stellst bei Schnittstellen -> VLAN -> Port-Tabelle den Tagging-Modus auf Hybrid, erlaubst alle VLANs und die Port-ID ist 1. Das VLAN-Modul braucht NICHT aktiviert zu werden. In der VLAN-Tabelle steht nur Default-VLAN = 1. Unter Schnittstellen -> LAN -> LAN-Bridge-Einstellungen nimmst du den "isolierten Modus".

Auf dem Switch passt es, soweit ich sehen kann. Hier legst du ebenfalls alle VLANs an. Der Port zum Router ist dann Mitglied aller VLANs, Port-Type ist "C", Engress-Rule ist "Hybrid" und PVID ist "1". Die Engress Rule für die Access-Ports dann als solche einstellen, die PVID für das jeweilige VLAN eintragen und in VLAN-Membership den Haken im jeweiligen VLAN rein.

So geht erstmal jeglicher Traffic zwischen deinen lokalen Netzen über den Router. Dort erstellst du deine Firewall-Regeln. Siehe hier:
Lancom Firewall Deny all
Abweichend von der verlinkten Anleitung, die per "deny all" nur den Verkehr ins Internet verbietet, kannst du generell "zurückweisen" setzen.
Dann geht erstmal weder ins Internet noch in deine lokalen Netz etwas durch. Und dann kannst du gezielt das erlauben, was du möchtest.
Prioritäten in den FW-Rules brauchst du erstmal nicht setzen. Der Router sortiert das selbst in der richtigen Reihenfolge. Es gilt natürlich "erster Treffer gewinnt". Nachfolgende Regeln werden dann nicht mehr beachtet.

Erst wenn eine Regel vor allen anderen greifen soll, dann setzt du eine Prio. Wenn bspw. alle VLANs untereinander kommunizieren dürfen außer einem bestimmten, dann erlaubst du alles zwischen den VLANs mit Prio 0 und verbietest dem VLAN 100 den Zugang zu den anderen VLANs mit Prio 1.

So brauchst du meiner Meinung nach weder Routing-Tags, Quell-Tags und auch nicht unnötig viele Prio's in der FW. Routing-Regeln brauchst du auch nicht, da der Router ja alle deine Netze selbst kennt.

Das Design produziert natürlich zwischen Router und Switch einen ziemlichen Flaschenhals, weil jeglicher Inter-VLAN-Verkehr zum Router und wieder zurück zum Switch muss. Ein L3-Switch wäre hier bestimmt die bessere Wahl.

Ich hoffe, ich habe es aus der Hüfte heraus richtig beschrieben, da ich wie gesagt gerade nicht nachschauen kann.

Gruß NV
Bitte warten ..
Mitglied: Crally
09.10.2019, aktualisiert um 21:05 Uhr
Zitat von NixVerstehen:

ich hab zwar gerade hier zuhause keinen Lancom zur Hand, aber warum arbeitest du überhaupt mit Routing-Tags und Prio's in der FW? Meiner Meinung nach brauchst du das nicht.


Vergiss die Prios, war nur Spielerei...
Wenn ich die Tags entferne (in den IP-Netzwerk Konfiguration vom Router (sie Bild erster Post)), dann komme ich ja von jedem VLAN ins andere. Da wird nichts geblockt. Ich verbinde mich also zu VLAN-30, und kann von dort aus jedes andere VLAN erreichen. Sobald ich den Tag einstelle habe ich eine Trennung.
So habe ich das auch hier verstanden: https://www2.lancom.de/kb.nsf/0/34AC60870BB8FB6AC12583CA00384AF9?opendoc ...

Jedes ungetaggte Paket bekommt automatisch Tag 1, da immer die PVID genutzt wird. Und am Switch habe ich ja sowohl den Port zum Router, als auch den Port zu den APs auf PVID 1.

Stelle ich nun die Tags wieder ein, so wird auch der Verkehr unter den VLANs wieder unterbunden.

Bilder der Switch-Konfig weiter unten...

Du gibst auf dem 1781 den angelegten VLANs die passende VLAN-ID,
So hab ich es aktuell:
https://administrator.de/images/c/1/5/5cd91b0d6b56144dddd195f5223be2df.j ...

stellst bei Schnittstellen -> VLAN -> Port-Tabelle den Tagging-Modus auf Hybrid, erlaubst alle VLANs und die Port-ID ist 1.
Check
https://administrator.de/images/c/1/5/e4c3feac38b702b7c93df2359e053ab9.j ...
https://administrator.de/images/c/1/5/b284ce02022f2f15f080860d28d5a758.j ...

Das VLAN-Modul braucht NICHT aktiviert zu werden.
Das war mir nicht bewusst. Das war eigentlich mein erster Schritt, als ich mit dem Konfigurieren anfing.
Also kann ich das bedenkenlos wieder deaktivieren? Und muss ich dann die VLAN-ID vom INTRANET von 1 auf 0 zurücksetzen?
Denn das wurde beim Aktivieren des Moduls ja automatisch vom Router durchgeführt. Siehe -> https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa108451 ...

In der VLAN-Tabelle steht nur Default-VLAN = 1.
Das hab ich momentan so:
https://administrator.de/images/c/1/5/a4968d19f8244b2e1175733dc3a62c08.j ...

Unter Schnittstellen -> LAN -> LAN-Bridge-Einstellungen nimmst du den "isolierten Modus".

Laut dem hier-> https://www.lancom-systems.de/docs/LCOS-Menu/9.10-RC2/DE/topics/aa138961 ...

Meinst du wohl die Bridge-Gruppe. Das steht auf "Keine". Laut Anleitung = isolierter Modus. Sollte dann passen.
https://administrator.de/images/c/1/5/0a2fbe105b144194e639d9de0ab2abdb.j ...

Auf dem Switch passt es, soweit ich sehen kann. Hier legst du ebenfalls alle VLANs an. Der Port zum Router ist dann Mitglied aller VLANs, Port-Type ist "C", Engress-Rule ist "Hybrid" und PVID ist "1". Die Engress Rule für die Access-Ports dann als solche einstellen, die PVID für das jeweilige VLAN eintragen und in VLAN-Membership den Haken im jeweiligen VLAN rein.

Aktuell sieht das so aus:
https://administrator.de/images/c/1/5/c6f1dc50ba53aeadfa7d9c63108450a2.j ...
https://administrator.de/images/c/1/5/5ebbbdc98f68d2b74112006d12ee6185.j ...
https://administrator.de/images/c/1/5/ef9dde8182339f8a2bb37daaf17073f3.j ...
https://administrator.de/images/c/1/5/16b0dbddd0a589061e35b6f78a0aefe7.j ...

Wegen der Multi-SSID bzw. eben mehrerer VLANs über den gleichen Port müssen doch auch die Ports der APs auf "Hybrid" stehen, oder nicht?

So geht erstmal jeglicher Traffic zwischen deinen lokalen Netzen über den Router. Dort erstellst du deine Firewall-Regeln. Siehe hier:
Lancom Firewall Deny all
Abweichend von der verlinkten Anleitung, die per "deny all" nur den Verkehr ins Internet verbietet, kannst du generell "zurückweisen" setzen.
Dann geht erstmal weder ins Internet noch in deine lokalen Netz etwas durch. Und dann kannst du gezielt das erlauben, was du möchtest.

Ok... also bestätige oder korrigiere mich....
Ich schrieb ja weiter oben, dass wenn ich die eingestellten Tags entferne, ich von jedem VLAN in jedes andere pingen kann. Heißt das, dass der Datenverkehr erst mit einer Deny-All Regel unterbunden werden würde und ich dann erst alles einzeln freigeben kann/muss?

Erst wenn eine Regel vor allen anderen greifen soll, dann setzt du eine Prio. Wenn bspw. alle VLANs untereinander kommunizieren dürfen außer einem bestimmten, dann erlaubst du alles zwischen den VLANs mit Prio 0 und verbietest dem VLAN 100 den Zugang zu den anderen VLANs mit Prio 1.

Klingt so, als hätte ich es richtig verstanden. Also alle VLANs müssen entweder mit einer Deny-ALL Regel oder eben einzeln gesperrt werden.

So brauchst du meiner Meinung nach weder Routing-Tags, Quell-Tags und auch nicht unnötig viele Prio's in der FW.
Hört sich gut an^^

Routing-Regeln brauchst du auch nicht, da der Router ja alle deine Netze selbst kennt.

Genau das dachte ich mir ja eigtl. auch schon.

Das Design produziert natürlich zwischen Router und Switch einen ziemlichen Flaschenhals, weil jeglicher Inter-VLAN-Verkehr zum Router und wieder zurück zum Switch muss. Ein L3-Switch wäre hier bestimmt die bessere Wahl.

Ja, aber den hab ich leider nicht :D
Es geht ja auch "nur" um ein Heimnetzwerk. Knapp 50 daueraktive Geräte. Die Reaktionszeiten sowie die Bandbreite im Netzwerk sind absolut zufriedenstellend und flott. Passt also schon


Ich hoffe, ich habe es aus der Hüfte heraus richtig beschrieben, da ich wie gesagt gerade nicht nachschauen kann.

Gruß NV

Alles gut. Ich bin wirklich dankbar für die ganzen Hinweise und Erklärungen. Ist für mich noch etwas Neuland, weshalb ich über jeden Hinweis dankbar bin.
Bevor ich jetzt wieder was an der Konfiguration ändere, wäre es super wenn du nochmal über meine Fragen drüberschauen könntest.
Will mich ja vor allem nicht vom Router "aussperren" :D
bildschirmfoto 2019-10-09 um 20.34.49 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto 2019-10-09 um 20.32.51 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto 2019-10-09 um 20.33.01 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto 2019-10-09 um 20.32.39 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto 2019-10-09 um 20.00.37 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto 2019-10-09 um 19.54.14 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto 2019-10-09 um 19.56.54 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto 2019-10-09 um 19.57.09 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto 2019-10-09 um 20.45.02 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Crally
11.10.2019, aktualisiert um 05:25 Uhr
Hallo,


also die ursprüngliche Frage habe ich nun gelöst, weshalb ich das hier auch erstmal als gelöst markiere.

Um eine Firewall-Regel von diversen VLANs mit entsprechenden Tags auf den Tag 0 zu erstellen, muss man tatsächlich den ziel-Tag 65535 eingeben.

Lösung dazu fand ich hier: https://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/probleme-be ...

Also vorerst ist mein Problem gelöst und ich kann weiter machen.

Ich werde mir dennoch die Optimierungsvorschläge zu herzen nehmen

Danke nochmal
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Opnsense Firewall Regel - NAS
gelöst Frage von BalivorinskyRouter & Routing8 Kommentare

Ich will auch einen NAS Server betreiben, allerdings brauche ich den nur lokal für Backups. Wenn es nicht unbedingt ...

Router & Routing
Cisco Monitoring Session Vlan Tag
gelöst Frage von MikePostRouter & Routing1 Kommentar

Hallo zusammen Ich habe einen Cisco ME 3400 Switch. Port Gig 0/3 und 0/4 sind als Trunking Ports konfiguriert. ...

Router & Routing
SFTP durch Lancom Firewall
gelöst Frage von mcmaccaRouter & Routing8 Kommentare

Hallo zusammen, ich habe hier folgendes Problem bei dem ich aktuell leider nicht weiterkomme: Auf einer Synology Box läuft ...

Netzwerkgrundlagen

Opnsense Firewall Regel Verständnis Frage

gelöst Frage von BalivorinskyNetzwerkgrundlagen13 Kommentare

Hallo, zur Firewall Regel habe ich ein paar Verständnis Regeln. Ich habe hier mal ein Beipiel einer Regel für ...

Neue Wissensbeiträge
MikroTik RouterOS

Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Anleitung von aqui vor 3 TagenMikroTik RouterOS

1. Allgemeine Einleitung: Das folgende Tutorial gibt einen Überblick über die dynamische VLAN Zuweisung von WLAN und LAN Clients ...

Humor (lol)
Würde man Frauen in IT-Klassen einteilen
Information von Henere vor 5 TagenHumor (lol)19 Kommentare

wollen, gäbe es folgende Varianten: Die Internet-Frau: Man muss bezahlen, um sich Zugang zu ihr zu verschaffen. Die Server-Frau: ...

Sicherheits-Tools

TrendMicro WorryFree Business Security 10.0 SP1 - neuer Patch 2179 (Korrekturupdate) verfügbar!

Tipp von VGem-e vor 6 TagenSicherheits-Tools

Servus, grad eben entdeckt, nachdem Patch 2178 zurückgezogen wurde: Gruß

Administrator.de Feedback
Entwicklertagebuch: Tracking und Werbung
Information von admtech vor 10 TagenAdministrator.de Feedback3 Kommentare

Hallo Administrator User, wir haben unser Tracking auf das Matomo Tool umgestellt. Damit hosten wir die Webanalyse ab sofort ...

Heiß diskutierte Inhalte
Ubuntu
Linux Ubuntu VNC IP
Frage von 141835Ubuntu58 Kommentare

Wie finde ich bei Linux Ubuntu die IP-Adresse vom VNC Server heraus???

Windows Server
Domaincontroller Windows Server 2003 durch 2016 ersetzen
Frage von MilordWindows Server18 Kommentare

Hallo zusammen, eventuell kann einer von euch weiterhelfen. Ich stecke aktuell etwas fest und komme nicht richtig weiter. Folgende ...

Batch & Shell
Wiederkehrende Ausgabe in .csv ausblenden
Frage von chkdskBatch & Shell15 Kommentare

Guten Tag zusammen, ich habe folgendes Powershell Skript geschrieben, welches mit alle AD Gruppen inkl NTFS Berechtigungen eines gewünschten ...

Hyper-V
Hyper-V-Host rebootet - einige wenige Gäste haben danach Ping-Zeiten von über 400ms!
Frage von DerWoWussteHyper-V15 Kommentare

Moin an alle Hyper-V Admins! Hat jemand außer mir schon einmal Folgendes erlebt? Hyper-V auf Server 2019. Server startet ...