LANCOM-Router: Zwei lokale Netze separieren
Hallo zusammen,
ich habe einen LANCOM-Router und möchte damit zwei lokale Netze separieren.
Bisher gibt es
INTRANET auf LAN-1 mit Schnittstellentag 0 (Das Supervisor-Netz für Adminzwecke) gebunden an ETH-1
VOIP auf LAN-2 mit Schnittstellentag 1 gebunden an ETH-2
WORK auf LAN-3 mit Schnittstellentag 2 gebunden an ETH-3 und ETH-4
Logischerweise kann man nun auf die Telefonanlage im VOIP-Netz aus dem Netzwerk WORK nicht zugreifen. Ich habe außerdem die DENY-ALL-Regel in die Firewall geladen und möchte nun folgendes konfigurieren:
Rechner aus WORK können mittels HTTPS auf die Telefonanlage in VOIP zugreifen.
Rechner aus WORK und VOIP können mittels HTTP(S), DNS und (nur VOIP) SIP auf das Internet (T-DSL) zugreifen.
Wie gestalte ich diese Netzwerktrennung bzw. das Routing. Was hat es vor allem mit den Routing-Tags aufsich? Mit den Schnittstellentags ist mir es nun klar, aber wie erkläre ich nun Ausnahmen von der Trennung, muss ich da Routing-Einträge setzen (wo, was?) ? Welche Firewall-Regeln sind zu erstellen?
Vielen Dank für eine Antwort!
Fritz
ich habe einen LANCOM-Router und möchte damit zwei lokale Netze separieren.
Bisher gibt es
INTRANET auf LAN-1 mit Schnittstellentag 0 (Das Supervisor-Netz für Adminzwecke) gebunden an ETH-1
VOIP auf LAN-2 mit Schnittstellentag 1 gebunden an ETH-2
WORK auf LAN-3 mit Schnittstellentag 2 gebunden an ETH-3 und ETH-4
Logischerweise kann man nun auf die Telefonanlage im VOIP-Netz aus dem Netzwerk WORK nicht zugreifen. Ich habe außerdem die DENY-ALL-Regel in die Firewall geladen und möchte nun folgendes konfigurieren:
Rechner aus WORK können mittels HTTPS auf die Telefonanlage in VOIP zugreifen.
Rechner aus WORK und VOIP können mittels HTTP(S), DNS und (nur VOIP) SIP auf das Internet (T-DSL) zugreifen.
Wie gestalte ich diese Netzwerktrennung bzw. das Routing. Was hat es vor allem mit den Routing-Tags aufsich? Mit den Schnittstellentags ist mir es nun klar, aber wie erkläre ich nun Ausnahmen von der Trennung, muss ich da Routing-Einträge setzen (wo, was?) ? Welche Firewall-Regeln sind zu erstellen?
Vielen Dank für eine Antwort!
Fritz
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 287859
Url: https://administrator.de/contentid/287859
Ausgedruckt am: 05.11.2024 um 04:11 Uhr
3 Kommentare
Neuester Kommentar
Wenn du über die Netze springen willst, musst du entweder über die Firewall mittels Policy Based Routing ummarkieren oder du definierst das VoIP-Netz als DMZ.
DMZ hat nichts damit zu tun, dass die Geräte aus dem Internet erreichbar sind. DMZ bedeutet bei LANCOM, dass die Intranetz-Netze in die DMZ schauen dürfen, die DMZ aber nicht in die Intranet-Netze.
Routingtags funktionieren analog zu Schnittstellentags, aber mit leichten Besonderheiten.
Normal nutzen alle getaggten Schnittstellen die Routen mit dem Routingtag 0. Wenn du jetzt eine Route anlegst, bei der das Routingtag einem vorhandenen Schnittstellentag entspricht, wird diese Route genutzt.
Routingtabelle:
192.168.1.0 über Gegenstelle VPN_OFFICE mit Routingtag 7
192.168.1.0 über Gegenstelle VPN_OFFICE2 mit Routingtag 0
0.0.0.0 über Gegenstelle INTERNET mit Routingtag 0
Netzwerk1 192.168.10.0 mit Schnittstellentag 7
Netzwerk2 192.168.11.0 mit Schnittstellentag 8
Netzwerk3 192.168.12.0 mit Schnittstellentag 0
Wenn jetzt das Netzwerk 1 die IP 192.168.1.1 anspricht, läuft es über VPN_OFFICE, wenn Netzwerk 2 die 192.168.1.1 anspricht, läuft es über VPN_OFFICE2, ebenso, wenn Netzwerk 3 versucht die 192.168.1.1 zu erreichen.
Wenn jetzt eins der Netzwerke, egal ob 1, 2 oder 3 die IP 173.194.116.120 ansprechen wollen, nutzen alle die Gegenstelle INTERNET.
DMZ hat nichts damit zu tun, dass die Geräte aus dem Internet erreichbar sind. DMZ bedeutet bei LANCOM, dass die Intranetz-Netze in die DMZ schauen dürfen, die DMZ aber nicht in die Intranet-Netze.
Routingtags funktionieren analog zu Schnittstellentags, aber mit leichten Besonderheiten.
Normal nutzen alle getaggten Schnittstellen die Routen mit dem Routingtag 0. Wenn du jetzt eine Route anlegst, bei der das Routingtag einem vorhandenen Schnittstellentag entspricht, wird diese Route genutzt.
Routingtabelle:
192.168.1.0 über Gegenstelle VPN_OFFICE mit Routingtag 7
192.168.1.0 über Gegenstelle VPN_OFFICE2 mit Routingtag 0
0.0.0.0 über Gegenstelle INTERNET mit Routingtag 0
Netzwerk1 192.168.10.0 mit Schnittstellentag 7
Netzwerk2 192.168.11.0 mit Schnittstellentag 8
Netzwerk3 192.168.12.0 mit Schnittstellentag 0
Wenn jetzt das Netzwerk 1 die IP 192.168.1.1 anspricht, läuft es über VPN_OFFICE, wenn Netzwerk 2 die 192.168.1.1 anspricht, läuft es über VPN_OFFICE2, ebenso, wenn Netzwerk 3 versucht die 192.168.1.1 zu erreichen.
Wenn jetzt eins der Netzwerke, egal ob 1, 2 oder 3 die IP 173.194.116.120 ansprechen wollen, nutzen alle die Gegenstelle INTERNET.