crally
Goto Top

Lancom Firewall-Regel zu VLAN mit Tag 0 funktioniert nicht

Hallo zusammen,

bitte seit ein bisschen nachsichtig, aber bin mit Lancom noch nicht so 100% vertraut.

Aber erstmal die Hardwarekonfiguration und Wünsche:

Lancom 1781EF+
Lancom GS-2326P
Ubiquiti APs (1x nanoHD + 1x AC-Lite)


Es sind aktuell 4 VLANs eingerichtet:

VLAN-ID 1 = 192.168.178.1/24 = INTRANET (Default vom Router) (TAG = 0)
VLAN-ID 20 = 10.10.20.1/24 = Heimnetz (TAG = 20)
VLAN-ID 30 = 10.10.30.1/24 = SmartHome (TAG = 30)
VLAN-ID 100 = 10.10.100.1/24 = Gastnetz (TAG = 100)

Wie sich vermuten lässt, war zuvor eine Fritzbox installiert und alle Clients im gleichen Netz. Der Lancom soll nun trennen. Tut er auch schon. face-smile
Später soll es auf 3 Netze reduziert werden, d.h. die VLAN-ID 1 (INTRANET) bleibt bestehen, allerdings mit anderem IP-Bereich (10.10.10.1/24).
Das VLAN 20 ist also erstmal nur zu Testzwecken eingerichtet.

Auf den APs hab ich verschiedene SSID's eingerichtet. Den SSID's hab ich jeweils VLAN-ID 20, 30 und 100 verpasst. Die SSID für das INTRANET hat keine VLAN-ID eingetragen.
Der Router ist mit dem Switch über den SFP-Port angeschlossen. Im Switch sind den entsprechenden Ports (SFP-Port 26) und den AP-Ports (21+23) alle VLAN-IDs zugewiesen (1,20,30,100).
Die Ports sind als "C-Port" definiert und bei Egress Rule ist "Hybrid" eingestellt. Die PVID ist auf jedem Port bei 1 geblieben (Standard).


Jedenfalls sind im Router die VLANs eingerichtet und jedes VLAN hat seinen eigenen DHCP-Server.
Es funktioniert bis hierhin auch alles tadellos. Ich verbinde mich z.B per WLAN mit dem SmartHome und bekomme vom Router eine IP aus dem VLAN-30, z.B:
IP: 10.10.30.91
Subnetz: 255.255.255.0
Gateway: 10.10.30.1
DNS: 10.10.30.1

Internetzugriff ist da, nur der Ping zu den anderen VLANs geht nicht. Also erstmal wie gewollt.

Verbinde ich mich mit der SSID, welche ohne VLAN-ID eingestellt ist, dann erhalte ich eine IP aus dem VLAN-1, also z.B. 192.168.178.91 und so weiter.
Von dort aus kann ich in jedes andere VLAN pingen. Das ist laut Anleitung auch richtig so und ist von mir auch so gewollt, quasi als Management-Netz.


Nun möchte ich aber diverse Freigaben unter den VLANs vergeben. Im Router hab ich dazu zwei neue Firewall-Objekte angelegt, in die ich jeweils "Alle Station aus dem jeweiligen VLAN" hinzugefügt habe.
Das habe ich zum Testen gemacht um einfach mal einen Vollzugriff aller Clients in ein anderes Netz zu realisieren. Später sollen nur einzelne Clients jeweils andere einzelne Clients gezielt erreichen dürfen.

Die Firewall-Regel um aus VLAN-30 ins VLAN-20 zu gelangen funktioniert auch so. Ich kann die 10.10.20.1 anpingen, wenn ich mit dem SmartHome-Netz verbunden bin.
Jedoch klappen die beiden anderen Regeln nicht, sprich alle Regeln, deren Routing-Tag 0 ist, funktionieren einfach nicht. Jetzt war meine Vermutung, dass dies grundsätzlich unterbunden wird?!

Denn in der Anleitung steht, dass jedes ungetaggte Paket, automatisch mit dem Tag 0 versehen wird und es damit vielleicht "heilig" behandelt wird?!

Denn alle anderen Regeln, die ich so ausprobiert habe funktionierten immer auf anhieb.

Evtl. ist auch noch eine extra Route einzurichten, was aber aktuell noch gegen mein Verständnis spricht, da der Router ja eigtl. alle Netze eint und wissen müsste wie er Routen soll. Es bleibt ja alles intern. Aber ich lasse mich gerne belehren.


Jetzt hab ich viel geschrieben, ich hoffe es war dennoch halbwegs verständlich. Anbei nochmal ein Bild der Netzwerke und zwei Bilder (nur unterschiedlich dargestellt) der Regeln. Die mittlere Regel funktioniert wie gesagt, nur die obere und untere nicht.


Vielen herzlichsten Dank schonmal im Voraus für die Hilfe
bildschirmfoto 2019-10-08 um 20.29.35
bildschirmfoto 2019-10-08 um 20.30.31
bildschirmfoto 2019-10-08 um 20.30.02

Content-ID: 502252

Url: https://administrator.de/forum/lancom-firewall-regel-zu-vlan-mit-tag-0-funktioniert-nicht-502252.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

NordicMike
NordicMike 09.10.2019 um 06:32:00 Uhr
Goto Top
Hi,

grundsätzlich wird zwischen VLANs nicht geroutet, deswegen bringen die Firewall Einstellungen nichts. Die Firewall blockiert und erlaubt nur, aber, wenn nichts geroutet wird, kann die Regel nichts blockieren oder durchlassen.

Du musst also in den IP Route Einstellungen eine Route dafür erzeugen.

Grüße, der Mike
NixVerstehen
Lösung NixVerstehen 09.10.2019 um 06:58:16 Uhr
Goto Top
Moin,

ich hab zwar gerade hier zuhause keinen Lancom zur Hand, aber warum arbeitest du überhaupt mit Routing-Tags und Prio's in der FW? Meiner Meinung nach brauchst du das nicht.

Du gibst auf dem 1781 den angelegten VLANs die passende VLAN-ID, stellst bei Schnittstellen -> VLAN -> Port-Tabelle den Tagging-Modus auf Hybrid, erlaubst alle VLANs und die Port-ID ist 1. Das VLAN-Modul braucht NICHT aktiviert zu werden. In der VLAN-Tabelle steht nur Default-VLAN = 1. Unter Schnittstellen -> LAN -> LAN-Bridge-Einstellungen nimmst du den "isolierten Modus".

Auf dem Switch passt es, soweit ich sehen kann. Hier legst du ebenfalls alle VLANs an. Der Port zum Router ist dann Mitglied aller VLANs, Port-Type ist "C", Engress-Rule ist "Hybrid" und PVID ist "1". Die Engress Rule für die Access-Ports dann als solche einstellen, die PVID für das jeweilige VLAN eintragen und in VLAN-Membership den Haken im jeweiligen VLAN rein.

So geht erstmal jeglicher Traffic zwischen deinen lokalen Netzen über den Router. Dort erstellst du deine Firewall-Regeln. Siehe hier:
Lancom Firewall Deny all
Abweichend von der verlinkten Anleitung, die per "deny all" nur den Verkehr ins Internet verbietet, kannst du generell "zurückweisen" setzen.
Dann geht erstmal weder ins Internet noch in deine lokalen Netz etwas durch. Und dann kannst du gezielt das erlauben, was du möchtest.
Prioritäten in den FW-Rules brauchst du erstmal nicht setzen. Der Router sortiert das selbst in der richtigen Reihenfolge. Es gilt natürlich "erster Treffer gewinnt". Nachfolgende Regeln werden dann nicht mehr beachtet.

Erst wenn eine Regel vor allen anderen greifen soll, dann setzt du eine Prio. Wenn bspw. alle VLANs untereinander kommunizieren dürfen außer einem bestimmten, dann erlaubst du alles zwischen den VLANs mit Prio 0 und verbietest dem VLAN 100 den Zugang zu den anderen VLANs mit Prio 1.

So brauchst du meiner Meinung nach weder Routing-Tags, Quell-Tags und auch nicht unnötig viele Prio's in der FW. Routing-Regeln brauchst du auch nicht, da der Router ja alle deine Netze selbst kennt.

Das Design produziert natürlich zwischen Router und Switch einen ziemlichen Flaschenhals, weil jeglicher Inter-VLAN-Verkehr zum Router und wieder zurück zum Switch muss. Ein L3-Switch wäre hier bestimmt die bessere Wahl.

Ich hoffe, ich habe es aus der Hüfte heraus richtig beschrieben, da ich wie gesagt gerade nicht nachschauen kann.

Gruß NV
Crally
Crally 09.10.2019, aktualisiert am 21.04.2022 um 15:15:28 Uhr
Goto Top
Zitat von @NixVerstehen:

ich hab zwar gerade hier zuhause keinen Lancom zur Hand, aber warum arbeitest du überhaupt mit Routing-Tags und Prio's in der FW? Meiner Meinung nach brauchst du das nicht.


Vergiss die Prios, war nur Spielerei...
Wenn ich die Tags entferne (in den IP-Netzwerk Konfiguration vom Router (sie Bild erster Post)), dann komme ich ja von jedem VLAN ins andere. Da wird nichts geblockt. Ich verbinde mich also zu VLAN-30, und kann von dort aus jedes andere VLAN erreichen. Sobald ich den Tag einstelle habe ich eine Trennung.
So habe ich das auch hier verstanden: https://www2.lancom.de/kb.nsf/0/34AC60870BB8FB6AC12583CA00384AF9?opendoc ...

Jedes ungetaggte Paket bekommt automatisch Tag 1, da immer die PVID genutzt wird. Und am Switch habe ich ja sowohl den Port zum Router, als auch den Port zu den APs auf PVID 1.

Stelle ich nun die Tags wieder ein, so wird auch der Verkehr unter den VLANs wieder unterbunden.

Bilder der Switch-Konfig weiter unten...

Du gibst auf dem 1781 den angelegten VLANs die passende VLAN-ID,
So hab ich es aktuell:
bildschirmfoto 2019-10-09 um 20.00.37

stellst bei Schnittstellen -> VLAN -> Port-Tabelle den Tagging-Modus auf Hybrid, erlaubst alle VLANs und die Port-ID ist 1.
Check
bildschirmfoto 2019-10-09 um 19.56.54
bildschirmfoto 2019-10-09 um 19.57.09

Das VLAN-Modul braucht NICHT aktiviert zu werden.
Das war mir nicht bewusst. Das war eigentlich mein erster Schritt, als ich mit dem Konfigurieren anfing.
Also kann ich das bedenkenlos wieder deaktivieren? Und muss ich dann die VLAN-ID vom INTRANET von 1 auf 0 zurücksetzen?
Denn das wurde beim Aktivieren des Moduls ja automatisch vom Router durchgeführt. Siehe -> https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa108451 ...

In der VLAN-Tabelle steht nur Default-VLAN = 1.
Das hab ich momentan so:
bildschirmfoto 2019-10-09 um 19.54.14

Unter Schnittstellen -> LAN -> LAN-Bridge-Einstellungen nimmst du den "isolierten Modus".

Laut dem hier-> https://www.lancom-systems.de/docs/LCOS-Menu/9.10-RC2/DE/topics/aa138961 ...

Meinst du wohl die Bridge-Gruppe. Das steht auf "Keine". Laut Anleitung = isolierter Modus. Sollte dann passen.
bildschirmfoto 2019-10-09 um 20.45.02

Auf dem Switch passt es, soweit ich sehen kann. Hier legst du ebenfalls alle VLANs an. Der Port zum Router ist dann Mitglied aller VLANs, Port-Type ist "C", Engress-Rule ist "Hybrid" und PVID ist "1". Die Engress Rule für die Access-Ports dann als solche einstellen, die PVID für das jeweilige VLAN eintragen und in VLAN-Membership den Haken im jeweiligen VLAN rein.

Aktuell sieht das so aus:
bildschirmfoto 2019-10-09 um 20.32.39
bildschirmfoto 2019-10-09 um 20.32.51
bildschirmfoto 2019-10-09 um 20.33.01
bildschirmfoto 2019-10-09 um 20.34.49

Wegen der Multi-SSID bzw. eben mehrerer VLANs über den gleichen Port müssen doch auch die Ports der APs auf "Hybrid" stehen, oder nicht?

So geht erstmal jeglicher Traffic zwischen deinen lokalen Netzen über den Router. Dort erstellst du deine Firewall-Regeln. Siehe hier:
Lancom Firewall Deny all
Abweichend von der verlinkten Anleitung, die per "deny all" nur den Verkehr ins Internet verbietet, kannst du generell "zurückweisen" setzen.
Dann geht erstmal weder ins Internet noch in deine lokalen Netz etwas durch. Und dann kannst du gezielt das erlauben, was du möchtest.

Ok... also bestätige oder korrigiere mich....
Ich schrieb ja weiter oben, dass wenn ich die eingestellten Tags entferne, ich von jedem VLAN in jedes andere pingen kann. Heißt das, dass der Datenverkehr erst mit einer Deny-All Regel unterbunden werden würde und ich dann erst alles einzeln freigeben kann/muss?

Erst wenn eine Regel vor allen anderen greifen soll, dann setzt du eine Prio. Wenn bspw. alle VLANs untereinander kommunizieren dürfen außer einem bestimmten, dann erlaubst du alles zwischen den VLANs mit Prio 0 und verbietest dem VLAN 100 den Zugang zu den anderen VLANs mit Prio 1.

Klingt so, als hätte ich es richtig verstanden. Also alle VLANs müssen entweder mit einer Deny-ALL Regel oder eben einzeln gesperrt werden.

So brauchst du meiner Meinung nach weder Routing-Tags, Quell-Tags und auch nicht unnötig viele Prio's in der FW.
Hört sich gut an^^

Routing-Regeln brauchst du auch nicht, da der Router ja alle deine Netze selbst kennt.

Genau das dachte ich mir ja eigtl. auch schon.

Das Design produziert natürlich zwischen Router und Switch einen ziemlichen Flaschenhals, weil jeglicher Inter-VLAN-Verkehr zum Router und wieder zurück zum Switch muss. Ein L3-Switch wäre hier bestimmt die bessere Wahl.

Ja, aber den hab ich leider nicht :D
Es geht ja auch "nur" um ein Heimnetzwerk. Knapp 50 daueraktive Geräte. Die Reaktionszeiten sowie die Bandbreite im Netzwerk sind absolut zufriedenstellend und flott. Passt also schon face-smile


Ich hoffe, ich habe es aus der Hüfte heraus richtig beschrieben, da ich wie gesagt gerade nicht nachschauen kann.

Gruß NV

Alles gut. Ich bin wirklich dankbar für die ganzen Hinweise und Erklärungen. Ist für mich noch etwas Neuland, weshalb ich über jeden Hinweis dankbar bin.
Bevor ich jetzt wieder was an der Konfiguration ändere, wäre es super wenn du nochmal über meine Fragen drüberschauen könntest.
Will mich ja vor allem nicht vom Router "aussperren" :D
Crally
Crally 11.10.2019 aktualisiert um 05:25:11 Uhr
Goto Top
Hallo,


also die ursprüngliche Frage habe ich nun gelöst, weshalb ich das hier auch erstmal als gelöst markiere.

Um eine Firewall-Regel von diversen VLANs mit entsprechenden Tags auf den Tag 0 zu erstellen, muss man tatsächlich den ziel-Tag 65535 eingeben.

Lösung dazu fand ich hier: https://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/probleme-be ...

Also vorerst ist mein Problem gelöst und ich kann weiter machen.

Ich werde mir dennoch die Optimierungsvorschläge zu herzen nehmen face-smile

Danke nochmal