Monowall VLAN Netze
Folgende Aufgabenstellung die ich Lösen muss.
Wir haben eine M0n0wall mit verschiedenen VLAN`s . Funktioniert auch sehr gut.
Folgende VLAN sind verfügbar.
VLAN 5 = Bar
VLAN 10 = IT
VLAN 20 = VOIP
Leider haben wir einen externen Standort (BAR) der zwar mit VPN mit d. Hauptstandort verbunden ist , aber leider kann ich die Tagged Link nicht drüber schicken (Technich nicht möglich ohne mehrkosten)
Was möglich ist das ich zb. das VLAN 5 hinüberschicken kann. (untagged)
Auf d. externen Standort steht 1x Access Point und 1 x VOIP Telefon.
Der Betriebswirt sollte ins Internet kommen (VLAN5 )aber nicht auf zb. VLAN 10 oder 20. Das ist ja auch kein Problem.
Das Telefon sollte aber ins VLAN20. Der GF sollte aber irgendwie ins VLAN 10 kommen. (FileServer, Mail Server)
Wie kann ich das am besten lösen das dieses auch noch sicher ist.
Hat wer einen Vorschlag für mich ???
Danke
Wir haben eine M0n0wall mit verschiedenen VLAN`s . Funktioniert auch sehr gut.
Folgende VLAN sind verfügbar.
VLAN 5 = Bar
VLAN 10 = IT
VLAN 20 = VOIP
Leider haben wir einen externen Standort (BAR) der zwar mit VPN mit d. Hauptstandort verbunden ist , aber leider kann ich die Tagged Link nicht drüber schicken (Technich nicht möglich ohne mehrkosten)
Was möglich ist das ich zb. das VLAN 5 hinüberschicken kann. (untagged)
Auf d. externen Standort steht 1x Access Point und 1 x VOIP Telefon.
Der Betriebswirt sollte ins Internet kommen (VLAN5 )aber nicht auf zb. VLAN 10 oder 20. Das ist ja auch kein Problem.
Das Telefon sollte aber ins VLAN20. Der GF sollte aber irgendwie ins VLAN 10 kommen. (FileServer, Mail Server)
Wie kann ich das am besten lösen das dieses auch noch sicher ist.
Hat wer einen Vorschlag für mich ???
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 179123
Url: https://administrator.de/contentid/179123
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
14 Kommentare
Neuester Kommentar
Leider sind deine Ausführen etwas oberflächlich, sorry. Wichtig wäre zu wissen WER denn die VPN Verbindung realisiert ??
Macht das auch die Monowall wie hier beschrieben ??:
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
oder statt PPTP mit IPsec:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Dann ist die Lösung kinderleicht !
Klar ist das du nicht das VLAN 5 transparent übertragen kannst, denn das würde eine MPLS Funktion mit VPLS Service vom Carrier erfordern zu erheblichen Mehrkosten wie du es auch richtigerweise schon angemerkt hast.
Wenn die Monowall das VPN Netz realisiert, dann routest du das remote Netzwerk (oder Client, wenn du keine LAN zu LAN Kopplung machst) ganz normal über den Tunnel. Das VPN Tunnel Interface taucht dann als separates Interface in der Monowall auf in den Firewall Regeln. Hier kannst du nun mit entsprechenden Regeln mit ein paar Mausklicks ganz genau festlegen wer was wohin machen darf.
Damit sind deine Anforderungen in 10 Minuten umgesetzt. Wo ist also wirklich dein Problem ?
Aber wie gesagt, da man nicht weiss WER das VPN macht ist eine sinnvolle Hilfestellung nicht möglich
Macht das auch die Monowall wie hier beschrieben ??:
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
oder statt PPTP mit IPsec:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Dann ist die Lösung kinderleicht !
Klar ist das du nicht das VLAN 5 transparent übertragen kannst, denn das würde eine MPLS Funktion mit VPLS Service vom Carrier erfordern zu erheblichen Mehrkosten wie du es auch richtigerweise schon angemerkt hast.
Wenn die Monowall das VPN Netz realisiert, dann routest du das remote Netzwerk (oder Client, wenn du keine LAN zu LAN Kopplung machst) ganz normal über den Tunnel. Das VPN Tunnel Interface taucht dann als separates Interface in der Monowall auf in den Firewall Regeln. Hier kannst du nun mit entsprechenden Regeln mit ein paar Mausklicks ganz genau festlegen wer was wohin machen darf.
Damit sind deine Anforderungen in 10 Minuten umgesetzt. Wo ist also wirklich dein Problem ?
Aber wie gesagt, da man nicht weiss WER das VPN macht ist eine sinnvolle Hilfestellung nicht möglich
OK, VLANs ist natürlich dann ein Kinderspiel, denn das supportet die Monowall ja problemlos:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Da das eh dann transparent vom provider übertragen wird brauchst du es ja dann nur an die MW anzuklemmen.
Die MW supportet keine Accesslisten auf Layer 2 Basis also auf MAC Adressen, nur ACLs auf Layer 3 als IP Ebene.
Du kannst also damit nicht innerhalb des VLANs den Zugang auf Mac Basis filtern das geht nicht.
Dafür benötigst du am besten einen managebaren Switch, die supporten in der Regel allesamt Layer 2 Filter auf Mac Adressbasis.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Da das eh dann transparent vom provider übertragen wird brauchst du es ja dann nur an die MW anzuklemmen.
Die MW supportet keine Accesslisten auf Layer 2 Basis also auf MAC Adressen, nur ACLs auf Layer 3 als IP Ebene.
Du kannst also damit nicht innerhalb des VLANs den Zugang auf Mac Basis filtern das geht nicht.
Dafür benötigst du am besten einen managebaren Switch, die supporten in der Regel allesamt Layer 2 Filter auf Mac Adressbasis.
Doch doch, das kann sie natürlich auf IP Basis, das ist doch ein Kinderspiel. In den FW Regeln stellst du dann nur diese beiden Host IP Adressen als Source ein und Destination eben die VLAN 10 IP Adresse. Ggf. noch die Ports selektieren wenn die beiden nur bestimmte Dienste nutzen sollen.
Analog trägst du das für mehrere auf dem VLAN 10 Interface ein für die anderen PCs.
Das ist in 2 Minuten in den FW Regeln eingerichtet...wo ist dein Problem ?!
Logisch das so eine Banalanforderung klappt mit der MW wenns auf IP Basis ist. Das ist ja genau der tiefere Sinn einer Firewall !
Analog trägst du das für mehrere auf dem VLAN 10 Interface ein für die anderen PCs.
Das ist in 2 Minuten in den FW Regeln eingerichtet...wo ist dein Problem ?!
Logisch das so eine Banalanforderung klappt mit der MW wenns auf IP Basis ist. Das ist ja genau der tiefere Sinn einer Firewall !
Bedneke das die FW Regeln immer nur eingehend gelten also für reinkommende Pakete pro Interface !
Deshalb musst du die Logik richtig machen mit Source und Destination Adresse. Die Reihenfolge der Einträge in den Regeln ist auch relevant !
Ist eine Regel erfüllt werden die nachfolgenden nicht mehr ausgeführt ! Sog. "First match wins" Verhalten !
Bedenke auch das Pakete immer wieder den Weg rückwärts nehmen also muss auch der Antwortweg erlaubt sein !
Was oft vergessen wird. Wenn du mit Namen arbeitest musst du zwangsweise DNS zuerst durchlassen damit eine Auflösung in IPs möglich ist !
Ports checken bei Email, POP, IMAP und SMTP und vor allen Dingen deren Secure Variante Secure POP usw. !
Die Monowall ist nur Proxy DNS kann also keine aktive DNS Auflösung machen. Wenn du das musst, dann musst du die IP und Namen im Endgerät statisch angeben.
Wie das genau geht steht hier:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Wenn du nur einen DNS hast, dann müssen die Clients in VLAN 5 dort logischerweise die 172.16.10.80 konfiguriert haben um die Namen richtig auflösen zu können !!
Das musst du zwingend ändern.
Der DNS in VLAN 10 hat dann ja wieder ein Weiterleitung auf die dortige FW IP 172.16.10.1 (geraten) eingetragen (hoffentlich ?!).
Damit reicht er dann alles weiter was er nicht selber lokal auflösen kann.
Nur so ist das richtig.
Denk dran das du dann auch DNS in den FW Regeln zw. VLAN 5 und 10 freigibts !!
Tip:
Immer ins FW Log sehen !! Dort steht ganz genau WAS in der FW hängenbleibt !! Das kannst du dann immer selektiv in den regeln anpassen !!
Deshalb musst du die Logik richtig machen mit Source und Destination Adresse. Die Reihenfolge der Einträge in den Regeln ist auch relevant !
Ist eine Regel erfüllt werden die nachfolgenden nicht mehr ausgeführt ! Sog. "First match wins" Verhalten !
Bedenke auch das Pakete immer wieder den Weg rückwärts nehmen also muss auch der Antwortweg erlaubt sein !
Was oft vergessen wird. Wenn du mit Namen arbeitest musst du zwangsweise DNS zuerst durchlassen damit eine Auflösung in IPs möglich ist !
Ports checken bei Email, POP, IMAP und SMTP und vor allen Dingen deren Secure Variante Secure POP usw. !
Die Monowall ist nur Proxy DNS kann also keine aktive DNS Auflösung machen. Wenn du das musst, dann musst du die IP und Namen im Endgerät statisch angeben.
Wie das genau geht steht hier:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Wenn du nur einen DNS hast, dann müssen die Clients in VLAN 5 dort logischerweise die 172.16.10.80 konfiguriert haben um die Namen richtig auflösen zu können !!
Das musst du zwingend ändern.
Der DNS in VLAN 10 hat dann ja wieder ein Weiterleitung auf die dortige FW IP 172.16.10.1 (geraten) eingetragen (hoffentlich ?!).
Damit reicht er dann alles weiter was er nicht selber lokal auflösen kann.
Nur so ist das richtig.
Denk dran das du dann auch DNS in den FW Regeln zw. VLAN 5 und 10 freigibts !!
Tip:
Immer ins FW Log sehen !! Dort steht ganz genau WAS in der FW hängenbleibt !! Das kannst du dann immer selektiv in den regeln anpassen !!
Ja, so könnte man das umgehen. Aber auch eine Mac Adresse kannst du ganz einfach genau so fälschen. Genug Potential ist da immer.
Wenn du das ganz wasserdicht machen willst lässt du nur authentisierte Clients in dein Netzwerk:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Anders ist das mit einer nur Firewall Umgebung nicht zu machen !
Zusätzlich zur IP kannst du noch den Port angeben und dann die FW Regel wenigstens noch auf den Dienst einschränken zusätzlich (das hattest du oben vergessen !)
Wenn du das ganz wasserdicht machen willst lässt du nur authentisierte Clients in dein Netzwerk:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Anders ist das mit einer nur Firewall Umgebung nicht zu machen !
Zusätzlich zur IP kannst du noch den Port angeben und dann die FW Regel wenigstens noch auf den Dienst einschränken zusätzlich (das hattest du oben vergessen !)