Nach VLAN Konfiguration - Router hält getaggte Pakete für IP-Spoofing Angriffe
Hallo,
da unser Router keine Möglichkeit bietet Firewall-Regeln zwischen zwei VLANs zu setzen, habe ich versucht ihn auszutricksen.
Dabei habe ich für jedes unserer zwei VLANs ein eigenes Patchkabel vom Switch zum Router gelegt.
Das Kabel von VLAN 1 steckt im LAN Port des Routers und das Kabel von VLAN 2 steckt im DMZ Port des Routers.
Dadurch können nun beide VLANs ins Internet und ich kann per DMZ/LAN Richtlinien verhindern daß zwischen den VLANs geroutet wird. (Was vorher nämlich der Fall war.)
Das Problem bei der Geschichte ist nun, daß der Router die getaggedten Datenpakete des VLAN2 für DoS Attacken (IP-Spoofing Attacken) hält und blockt. Das untagged Default VLAN 1 macht macht hingegen keine Probleme.
Damit VLAN 2 ins Internet kommt, musste ich den IP-Spoofing Schutz im Router deaktivieren. Das ist allerdings keine Optimale Lösung, da ja dann auch echte Attacken nicht mehr geblockt werden.
Hat vielleicht jemand eine Idee was schief läuft?
Danke für ein paar Tipps!
da unser Router keine Möglichkeit bietet Firewall-Regeln zwischen zwei VLANs zu setzen, habe ich versucht ihn auszutricksen.
Dabei habe ich für jedes unserer zwei VLANs ein eigenes Patchkabel vom Switch zum Router gelegt.
Das Kabel von VLAN 1 steckt im LAN Port des Routers und das Kabel von VLAN 2 steckt im DMZ Port des Routers.
Dadurch können nun beide VLANs ins Internet und ich kann per DMZ/LAN Richtlinien verhindern daß zwischen den VLANs geroutet wird. (Was vorher nämlich der Fall war.)
Das Problem bei der Geschichte ist nun, daß der Router die getaggedten Datenpakete des VLAN2 für DoS Attacken (IP-Spoofing Attacken) hält und blockt. Das untagged Default VLAN 1 macht macht hingegen keine Probleme.
Damit VLAN 2 ins Internet kommt, musste ich den IP-Spoofing Schutz im Router deaktivieren. Das ist allerdings keine Optimale Lösung, da ja dann auch echte Attacken nicht mehr geblockt werden.
Hat vielleicht jemand eine Idee was schief läuft?
Danke für ein paar Tipps!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 144189
Url: https://administrator.de/forum/nach-vlan-konfiguration-router-haelt-getaggte-pakete-fuer-ip-spoofing-angriffe-144189.html
Ausgedruckt am: 23.04.2025 um 22:04 Uhr
4 Kommentare
Neuester Kommentar
Tagging deaktivieren.
Wenn nur ein VLAN pro Port genutzt wird hat das ohnehin keinen Sinn.
Wenn nur ein VLAN pro Port genutzt wird hat das ohnehin keinen Sinn.
Das Tag wird doch benötigt damit die Pakete über die drei Switches zum Zielhost gelangen, der am dritten switch hängt.
Der Tag wird aber nicht zwischen Switch und Router benötigt wenn pro Port nur ein VLAN konfiguriert ist.
Das hat doch keinen Einfluss auf die Tags im Rest des Netzwerks.
Das hat doch keinen Einfluss auf die Tags im Rest des Netzwerks.
Danke für den Hinweis! Werde morgen mal gucken wie ich unseren Lancom Switch konfiguriert hatte. Im Router war der Port untagged, aber ich glaube im switch hatte ich ihn getagged.
