andre2408
Goto Top

Monowall VLAN Netze

Folgende Aufgabenstellung die ich Lösen muss.

Wir haben eine M0n0wall mit verschiedenen VLAN`s . Funktioniert auch sehr gut.
Folgende VLAN sind verfügbar.

VLAN 5 = Bar
VLAN 10 = IT
VLAN 20 = VOIP

Leider haben wir einen externen Standort (BAR) der zwar mit VPN mit d. Hauptstandort verbunden ist , aber leider kann ich die Tagged Link nicht drüber schicken (Technich nicht möglich ohne mehrkosten)

Was möglich ist das ich zb. das VLAN 5 hinüberschicken kann. (untagged)

Auf d. externen Standort steht 1x Access Point und 1 x VOIP Telefon.

Der Betriebswirt sollte ins Internet kommen (VLAN5 )aber nicht auf zb. VLAN 10 oder 20. Das ist ja auch kein Problem.
Das Telefon sollte aber ins VLAN20. Der GF sollte aber irgendwie ins VLAN 10 kommen. (FileServer, Mail Server)

Wie kann ich das am besten lösen das dieses auch noch sicher ist.

Hat wer einen Vorschlag für mich ???

Danke

Content-ID: 179123

Url: https://administrator.de/contentid/179123

Ausgedruckt am: 05.11.2024 um 19:11 Uhr

aqui
aqui 19.01.2012, aktualisiert am 18.10.2012 um 18:49:47 Uhr
Goto Top
Leider sind deine Ausführen etwas oberflächlich, sorry. Wichtig wäre zu wissen WER denn die VPN Verbindung realisiert ??
Macht das auch die Monowall wie hier beschrieben ??:
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
oder statt PPTP mit IPsec:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Dann ist die Lösung kinderleicht !
Klar ist das du nicht das VLAN 5 transparent übertragen kannst, denn das würde eine MPLS Funktion mit VPLS Service vom Carrier erfordern zu erheblichen Mehrkosten wie du es auch richtigerweise schon angemerkt hast.
Wenn die Monowall das VPN Netz realisiert, dann routest du das remote Netzwerk (oder Client, wenn du keine LAN zu LAN Kopplung machst) ganz normal über den Tunnel. Das VPN Tunnel Interface taucht dann als separates Interface in der Monowall auf in den Firewall Regeln. Hier kannst du nun mit entsprechenden Regeln mit ein paar Mausklicks ganz genau festlegen wer was wohin machen darf.
Damit sind deine Anforderungen in 10 Minuten umgesetzt. Wo ist also wirklich dein Problem ?
Aber wie gesagt, da man nicht weiss WER das VPN macht ist eine sinnvolle Hilfestellung nicht möglich face-sad
Andre2408
Andre2408 19.01.2012 um 12:59:29 Uhr
Goto Top
Hallo

Ups habe gerade d. Fehler gesehen.
nicht VPN sondern VLAN. Der Provider hat die 2 Standorte mittels VLAN verbunden.

Bez. wer und wie die VLAN zwischen d. Standorte verbindet ist ja eigentlich egal da es sowieso nur so geht. (ohne Mehrkosten lt. Provider)

Ja ich kann das VLAN 5 in die Bar schicken und diverse Regeln in der Monowall konfigurieren. Was ich natürlich nicht weiß ist ob man bei der Monowall MAC Adressen freischalten oder so kann. Ich möchte ja nur das zb 2 Rechner auf die Windows Freigabe (VLAN10) kommen.

Danke
aqui
aqui 20.01.2012, aktualisiert am 18.10.2012 um 18:49:48 Uhr
Goto Top
OK, VLANs ist natürlich dann ein Kinderspiel, denn das supportet die Monowall ja problemlos:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Da das eh dann transparent vom provider übertragen wird brauchst du es ja dann nur an die MW anzuklemmen.
Die MW supportet keine Accesslisten auf Layer 2 Basis also auf MAC Adressen, nur ACLs auf Layer 3 als IP Ebene.
Du kannst also damit nicht innerhalb des VLANs den Zugang auf Mac Basis filtern das geht nicht.
Dafür benötigst du am besten einen managebaren Switch, die supporten in der Regel allesamt Layer 2 Filter auf Mac Adressbasis.
Andre2408
Andre2408 20.01.2012 um 10:21:50 Uhr
Goto Top
Das heißt zusammengefasst

Ich kann zwar zwischen VLAN 5 und VLAN 10 diverse Regeln erstellen. (habe ich ja eh) Aber jeder PC der in VLAN 5 hängt kommt durch diese Regel in das VLAN 10.

Das mit d. managbaren Switch bringt mir ja auch nicht viel. Ich möchte ja nicht nur 2 PC ins VLAN 5 lassen sondern mehrere. Es sollte ja nur 2 PC die Berrechtigung haben das diese ins VLAN 10 dürfen. (das müßte die MW können was sie leider lt. deiner Aussage ja nicht kann) Schade

Danke
aqui
aqui 20.01.2012 um 22:22:23 Uhr
Goto Top
Doch doch, das kann sie natürlich auf IP Basis, das ist doch ein Kinderspiel. In den FW Regeln stellst du dann nur diese beiden Host IP Adressen als Source ein und Destination eben die VLAN 10 IP Adresse. Ggf. noch die Ports selektieren wenn die beiden nur bestimmte Dienste nutzen sollen.
Analog trägst du das für mehrere auf dem VLAN 10 Interface ein für die anderen PCs.
Das ist in 2 Minuten in den FW Regeln eingerichtet...wo ist dein Problem ?!
Logisch das so eine Banalanforderung klappt mit der MW wenns auf IP Basis ist. Das ist ja genau der tiefere Sinn einer Firewall !
Andre2408
Andre2408 22.01.2012 um 22:35:07 Uhr
Goto Top
Ja Super. Bin auf der Leitung gestanden. Oft sieht man d. Wald vor l. Bäumen nicht gg

Danke
Andre2408
Andre2408 25.01.2012 um 15:18:55 Uhr
Goto Top
Eine Frage habe ich noch.
Ich habe die Regel erstellt und die 2 Clients kommen auch in das VLAN10 (Fileserver usw). Ist ja auch Ok.

Mailserver funkt nicht.

Wenn ich die E-Mail abfragen möchte dann komme ich nicht durch. (Mailserver steht auch im VLAN10)
Bei meinen Clients ist natürlich bei Posteingang und Postausgang zb. mail.meinserver.de eingetragen.

Wie kann ich v. VLAN5 über d. Namen (mail.meinserver.de) auf die Adresse zb. 172.16.10.85 routen. ???
Kann man das bei d. M0n0wall irgendwo einrichten.

Standart bei d. VLAN5 ist der DNS 172.16.5.1
und bei d. VLAN10 ist der DNS 172.16.10.80
Ich habe ja nur einen DNS Server im Netz stehen (VLAN10). Brauch ich i. VLAN5 auch einen eigenen Server

Ich hoffe ich habe das verständlich ausgedrückt.

Danke
aqui
aqui 26.01.2012, aktualisiert am 18.10.2012 um 18:49:53 Uhr
Goto Top
Bedneke das die FW Regeln immer nur eingehend gelten also für reinkommende Pakete pro Interface !
Deshalb musst du die Logik richtig machen mit Source und Destination Adresse. Die Reihenfolge der Einträge in den Regeln ist auch relevant !
Ist eine Regel erfüllt werden die nachfolgenden nicht mehr ausgeführt ! Sog. "First match wins" Verhalten !
Bedenke auch das Pakete immer wieder den Weg rückwärts nehmen also muss auch der Antwortweg erlaubt sein !
Was oft vergessen wird. Wenn du mit Namen arbeitest musst du zwangsweise DNS zuerst durchlassen damit eine Auflösung in IPs möglich ist !
Ports checken bei Email, POP, IMAP und SMTP und vor allen Dingen deren Secure Variante Secure POP usw. !
Die Monowall ist nur Proxy DNS kann also keine aktive DNS Auflösung machen. Wenn du das musst, dann musst du die IP und Namen im Endgerät statisch angeben.
Wie das genau geht steht hier:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Wenn du nur einen DNS hast, dann müssen die Clients in VLAN 5 dort logischerweise die 172.16.10.80 konfiguriert haben um die Namen richtig auflösen zu können !!
Das musst du zwingend ändern.
Der DNS in VLAN 10 hat dann ja wieder ein Weiterleitung auf die dortige FW IP 172.16.10.1 (geraten) eingetragen (hoffentlich ?!).
Damit reicht er dann alles weiter was er nicht selber lokal auflösen kann.
Nur so ist das richtig.
Denk dran das du dann auch DNS in den FW Regeln zw. VLAN 5 und 10 freigibts !!
Tip:
Immer ins FW Log sehen !! Dort steht ganz genau WAS in der FW hängenbleibt !! Das kannst du dann immer selektiv in den regeln anpassen !!
Andre2408
Andre2408 28.01.2012 um 09:18:06 Uhr
Goto Top
Hallo aqui

Danke für deine sehr gute Beschreibung.
Das mit d. Regeln ist klar. "First match wins"

Mein Problem ist das diese Clients nicht nur in ein WLAN (VLAN5 Netz) einwählen sondern Weltweit unterwegs sind. Ich kann d. User nicht sagen das er sich (in der Bar) d. fixen DNS (172.16.10.80) einrichtet.

Das muss alles per DHCP funken. Ich dachte das es vielleicht bei der Monowall irgendwo einen Trick gibt wie ich das umgehen kann.

Besser wäre wahrscheinlich ein eigener DNS Server im VLAN 5. ODER

DAnke
aqui
aqui 28.01.2012 um 22:56:26 Uhr
Goto Top
Das kannst du doch ganz einfach fixen indem du über den DHCP jeweils einen anderen DNS pro Segemnt vergibst.
Je nachdem welchen du für welches VLAN verwenden willst.
Was nicht geht ist in einem VLAN Segemtn unterschiedliche DNS automatisch vergeben lassen...wie sollte das auch gehen.
Andre2408
Andre2408 28.01.2012 um 23:16:51 Uhr
Goto Top
Ja das stimmt schon. Ich habe aber in d. VLAN 5 d.DHCP von der Monowall eingeschaltet. Da kann ich keinen anderen DNS einrichten.

Bestand, VLAN. 10 DNS,DHCP Server
Andre2408
Andre2408 06.03.2012 um 16:47:18 Uhr
Goto Top
Zitat von @aqui:
Das kannst du doch ganz einfach fixen indem du über den DHCP jeweils einen anderen DNS pro Segemnt vergibst.


Aber das kann ich nicht über die M0n0wall oder ???

Da brauche ich einen eigenen DHCP Server oder ???
Andre2408
Andre2408 06.03.2012 um 16:55:12 Uhr
Goto Top
Zitat von @aqui:
Doch doch, das kann sie natürlich auf IP Basis, das ist doch ein Kinderspiel. In den FW Regeln stellst du dann nur diese
beiden Host IP Adressen als Source ein und Destination eben die VLAN 10 IP Adresse. Ggf. noch die Ports selektieren wenn die
beiden nur bestimmte Dienste nutzen sollen.
Analog trägst du das für mehrere auf dem VLAN 10 Interface ein für die anderen PCs.
Das ist in 2 Minuten in den FW Regeln eingerichtet...wo ist dein Problem ?!
Logisch das so eine Banalanforderung klappt mit der MW wenns auf IP Basis ist. Das ist ja genau der tiefere Sinn einer Firewall !


Da sehe ich auch noch ein kleines Problemchen.

Wenn der Client per Mac Adresse Authorisiert wird und eine IP Adresse bekommt zb. 172.16.5.40 und diese in der M0n0wall auch so konfiguriert wird (Regel -> VLAN 10) kommt dieser natürlich ins VLAN10.

Aber. Wie kann ich es verhindern wenn zb. ein Fremder auf seinen Notebook die IP 172.16.5.40 Statisch einträgt. ??? Dann kommt er auch auf die VLAN10 ??? In der Firewall Rule kann ich ja nur IP Adresse Auth. und nicht MAc Adresse oder .
Wäre ja sicherer oder ???
aqui
aqui 07.03.2012, aktualisiert am 18.10.2012 um 18:50:15 Uhr
Goto Top
Ja, so könnte man das umgehen. Aber auch eine Mac Adresse kannst du ganz einfach genau so fälschen. Genug Potential ist da immer.
Wenn du das ganz wasserdicht machen willst lässt du nur authentisierte Clients in dein Netzwerk:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Anders ist das mit einer nur Firewall Umgebung nicht zu machen !
Zusätzlich zur IP kannst du noch den Port angeben und dann die FW Regel wenigstens noch auf den Dienst einschränken zusätzlich (das hattest du oben vergessen !)