fritzle24
Goto Top

LANCOM-Router: Zwei lokale Netze separieren

Hallo zusammen,
ich habe einen LANCOM-Router und möchte damit zwei lokale Netze separieren.
Bisher gibt es
INTRANET auf LAN-1 mit Schnittstellentag 0 (Das Supervisor-Netz für Adminzwecke) gebunden an ETH-1
VOIP auf LAN-2 mit Schnittstellentag 1 gebunden an ETH-2
WORK auf LAN-3 mit Schnittstellentag 2 gebunden an ETH-3 und ETH-4

Logischerweise kann man nun auf die Telefonanlage im VOIP-Netz aus dem Netzwerk WORK nicht zugreifen. Ich habe außerdem die DENY-ALL-Regel in die Firewall geladen und möchte nun folgendes konfigurieren:
Rechner aus WORK können mittels HTTPS auf die Telefonanlage in VOIP zugreifen.
Rechner aus WORK und VOIP können mittels HTTP(S), DNS und (nur VOIP) SIP auf das Internet (T-DSL) zugreifen.

Wie gestalte ich diese Netzwerktrennung bzw. das Routing. Was hat es vor allem mit den Routing-Tags aufsich? Mit den Schnittstellentags ist mir es nun klar, aber wie erkläre ich nun Ausnahmen von der Trennung, muss ich da Routing-Einträge setzen (wo, was?) ? Welche Firewall-Regeln sind zu erstellen?

Vielen Dank für eine Antwort!

Fritz

Content-ID: 287859

Url: https://administrator.de/contentid/287859

Ausgedruckt am: 26.11.2024 um 01:11 Uhr

tikayevent
tikayevent 08.11.2015 um 13:04:08 Uhr
Goto Top
Wenn du über die Netze springen willst, musst du entweder über die Firewall mittels Policy Based Routing ummarkieren oder du definierst das VoIP-Netz als DMZ.

DMZ hat nichts damit zu tun, dass die Geräte aus dem Internet erreichbar sind. DMZ bedeutet bei LANCOM, dass die Intranetz-Netze in die DMZ schauen dürfen, die DMZ aber nicht in die Intranet-Netze.

Routingtags funktionieren analog zu Schnittstellentags, aber mit leichten Besonderheiten.

Normal nutzen alle getaggten Schnittstellen die Routen mit dem Routingtag 0. Wenn du jetzt eine Route anlegst, bei der das Routingtag einem vorhandenen Schnittstellentag entspricht, wird diese Route genutzt.

Routingtabelle:

192.168.1.0 über Gegenstelle VPN_OFFICE mit Routingtag 7
192.168.1.0 über Gegenstelle VPN_OFFICE2 mit Routingtag 0
0.0.0.0 über Gegenstelle INTERNET mit Routingtag 0

Netzwerk1 192.168.10.0 mit Schnittstellentag 7
Netzwerk2 192.168.11.0 mit Schnittstellentag 8
Netzwerk3 192.168.12.0 mit Schnittstellentag 0

Wenn jetzt das Netzwerk 1 die IP 192.168.1.1 anspricht, läuft es über VPN_OFFICE, wenn Netzwerk 2 die 192.168.1.1 anspricht, läuft es über VPN_OFFICE2, ebenso, wenn Netzwerk 3 versucht die 192.168.1.1 zu erreichen.
Wenn jetzt eins der Netzwerke, egal ob 1, 2 oder 3 die IP 173.194.116.120 ansprechen wollen, nutzen alle die Gegenstelle INTERNET.
Fritzle24
Fritzle24 08.11.2015 um 15:10:55 Uhr
Goto Top
Das Problem das ich habe ist
a) Wo muss ich die Einstellungen tätigen (Routingtabelle oder Firewall))?
b) Wenn Routingtablle: Was ist das Routing-Ziel (aktuell gibt es nur DEFAULT und T-DSL)
tikayevent
tikayevent 08.11.2015 um 15:42:02 Uhr
Goto Top
Firewall
Von WORK nach VOIP, Regel ACCEPT, Routingtag = Schnittstellentag des VOIP-Netzes