17
Netzwerkerweiterung um VLAN-WLANs
Hallo!
Ich stehe vor einen kniffligen Problem, das mich schon viele Stunden Konfiguartions- und Testarbeit gekostet, aber bisher noch nicht das gewünschte Ergebnis gebracht hat. Hier die Aufgabenstellung:
Ein bestehendes Hotelnetzwerk soll derart erweitert werden, dass über bestehende Access-Points das Netzwerk des Gastronomiebetriebs angesprochen und Bestellungen, Buchungen, Bezahlvorgänge etc. via WLAN ausgeführt werden können. Ausserdem soll im Zuge dessen das öffentliche Hotel- und Gastronomienetz in eigene Netze mit der selben Sicherheitsfreigabe gesplittet werden.
Die bestehende Infrastruktur schaut wie folgt aus:
Hinter dem Modem des ISP läuft eine ZyXEL ZyWall USG-100. Auf dieser sind derzeit drei unterschiedliche Netzwerke (Zonen) konfiguriert. Auf LAN1 hängt das gesamte Büro- und Gastronomienetz, auf LAN2 alle Servicebereiche wie zB Lüftungssteuerung, Überwachungskameras, Klimaanlage, Heizung etc. und auf DMZ hängt das öffentliche Hotelnetz auf WLAN-Basis, das in zwei unterschiedliche SSID's mit unterschiedlicher Absicherung im selben IP-Bereich ausliefert. Die Vergabe der IP-Adressen erfolgt jeweils über DHCP-Server auf der ZyWall.
Für jedes der drei Netze stehen eigene Switches zur Verfügung (für das Hotelnetz sogar zwei). Als Hardware wurden hier vier baugleiche HP Switch 2530-24g-PoE+ verwendet. Im gesamten Hotel- und Gastronomiebereich wurden insgesamt 25 UniFi AP AC von Ubiquiti verbaut. Die Hotspot-Steuerung erfolgt über einen eigenen Server. Dabei wurden 24 AP für das öffentliche Hotel- und Gastronomienetz (Zone DMZ) und ein AP für das Büro- und Kassennetz (Zone LAN1) konfiguriert.
Nun wurde der Gastronomiebereich auf weitere Räumlichkeiten erweitert und es soll auch die Möglichkeit bestehen, im Hotel-Foyer (und anderen vom Gastronomiebereich weiter entfernten Räumlichkeiten) bei Veranstaltungen auf das Büro- und Gastronomienetz (Zone LAN1) Zugriff zu erhalten. Sämtliche dieser Bereiche sind schon mit AP's ausgestattet und es wird über diese der Netzwerkverkehr des öffentlichen Hotel- und Gastronomienetzes (Zone DMZ) abgewickelt. Diese hängen auch physisch am Port DMZ der ZyWall.
Momentan habe ich auf der ZyWall die VLANs entsprechend des Konfigurationsbeispiels von Studerus (siehe http://misc.nybergh.net/pub/doc/manuals_hardware/zyxel-usg-docs/USG100_ ..) ohne die Firewall-Einstellungen (diese bestehen für die jeweiligen Zonen bereits) und die DHCP-Einstellungen (DHCP Relay auf die bestehenden DHCP-Server statt eigener DHCP Server) angelegt. Auf den HP-Switches habe ich alle drei VLAN's (für Hotel, Bar und Kassa) angelegt und auf allen Ports auf TAGGED gesetzt. Einzig das VLAN1 ist standardmäßig auf allen Ports weiterhin auf UNTAGGED.
Ich erhalte vom Hotel-Netz ordnungsgemäß eine IP-Adresse in der richtigen Range, hab allerdings keinen Zugriff auf das Internet. In allen anderen VLAN-Netzen erhalte ich keine IP-Adresse und somit auch keinen Zugriff auf das Netz bzw. das Internet.
Die Konfiguration auf der ZyWall schaut wie folgt aus (gekürzt):
! saved at 2015-07-31 15:00:16
! model: ZyWALL USG100-PLUS
! firmware version: 3.30(AACV.6)
!
language German
!
hardware-watchdog-timer 10
!
software-watchdog-timer 300
!
interface-name ge1 wan1
interface-name ge2 wan2
interface-name ge3 lan1
interface-name ge4 lan2
interface-name ge5 dmz
!
port-grouping lan1
port 3
!
port-grouping lan2
port 6
!
port-grouping dmz
port 5
port 4
!
account pppoe WAN1_PPPoE_ACCOUNT
!
account pppoe WAN2_PPPoE_ACCOUNT
!
ip dhcp pool Network_Pool_LAN1
network 192.168.100.0 255.255.255.0
default-router 192.168.100.1
starting-address 192.168.100.33 pool-size 100
first-dns-server 8.8.8.8
second-dns-server 8.8.4.4
lease 0 4 0
third-dns-server ZyWALL
!
ip dhcp pool DMZ_POOL
network 10.0.0.0 255.255.0.0
default-router 10.0.100.1
starting-address 10.0.0.33 pool-size 1500
first-dns-server 8.8.8.8
lease 1 0 0
second-dns-server 8.8.4.4
third-dns-server ZyWALL
!
ip dhcp pool Network_Pool_LAN2
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
starting-address 192.168.2.133 pool-size 10
first-dns-server 8.8.8.8
second-dns-server 8.8.4.4
lease infinite
third-dns-server ZyWALL
!
ip dhcp pool Network_Pool_VLAN0
network 10.0.100.0 255.255.255.0
default-router 10.0.100.254
starting-address 10.0.100.50 pool-size 100
first-dns-server 4.4.8.8
second-dns-server 8.8.8.8
third-dns-server ZyWALL
lease infinite
!
interface wan1
ip address 89.26.41.229 255.255.255.248
type external
ip gateway 89.26.41.230 metric 0
upstream 1048576
downstream 1048576
mtu 1500
!
interface wan2
ip address dhcp
type external
!
interface lan1
ip address 192.168.100.1 255.255.255.0
type internal
upstream 1048576
downstream 1048576
mtu 1500
ip dhcp-pool Network_Pool_LAN1
!
interface lan2
ip address 192.168.2.1 255.255.255.0
type internal
ip dhcp-pool Network_Pool_LAN2
!
interface dmz
ip address 10.0.100.1 255.255.0.0
ip dhcp-pool DMZ_POOL
type internal
upstream 1048576
downstream 1048576
mtu 1500
interface vlan0
port dmz
vlan-id 1
ip address 10.0.100.254 255.255.255.0
upstream 1048576
downstream 1048576
mtu 1500
type general
ip rip send version 2
ip rip receive version 2
ip ospf priority 1
ip ospf cost 10
ip dhcp-pool Network_Pool_VLAN0
!
interface vlan999
port dmz
vlan-id 999
ip address 10.0.200.253 255.255.0.0
upstream 1048576
downstream 1048576
mtu 1500
type internal
ip rip send version 2
ip rip receive version 2
ip ospf priority 1
ip ospf cost 10
ip helper-address 10.0.0.1
!
interface vlan1234
port dmz
vlan-id 1234
ip address 192.168.100.254 255.255.255.0
upstream 1048576
downstream 1048576
mtu 1500
type internal
ip rip send version 2
ip rip receive version 2
ip ospf priority 1
ip ospf cost 10
ip helper-address 192.168.100.1
!
interface vlan1887
port dmz
vlan-id 1887
description Hotel Netz
ip address 10.0.200.254 255.255.0.0
upstream 1048576
downstream 1048576
mtu 1500
type internal
ip rip send version 2
ip rip receive version 2
ip ospf priority 1
ip ospf cost 10
ip helper-address 10.0.100.1
!
interface wan1_ppp
account WAN1_PPPoE_ACCOUNT
!
interface wan2_ppp
account WAN2_PPPoE_ACCOUNT
!
vpn-configuration-provision authentication default
!
router rip
!
router ospf
!
zone LAN1
interface lan1
interface vlan1234
!
zone LAN2
interface lan2
!
zone WAN
interface wan1
interface wan1_ppp
interface wan2
interface wan2_ppp
block
!
zone DMZ
interface dmz
block
interface vlan999
interface vlan1887
!
zone SSL_VPN
sslvpn luefter
sslvpn HotSpot-Server
sslvpn Kameraserver
!
zone IPSec_VPN
crypto Default_L2TP_VPN_Connection
crypto vpn_tracker
crypto WIZ_VPN
!
zone TUNNEL
!
zone LAN3
!
zone vlan1887
!
ip ddns profile XXXXXXX
activate
service-type dyndns
username xxxxxxxxx encrypted-password xxxxxxxxxx
host xxxxxxxxxxx
wan-iface wan1
ip-select auto
ip-select-backup iface
!
ip http server
!
hostname zywall-usg100-plus
domainname xxxxxxxxxxxxxx
!
ip ssh server cert default
ip ssh server
!
console baud 115200
!
ip ftp server cert default
ip ftp server
!
ntp
clock time-zone +01
ntp server 0.pool.ntp.org
clock daylight-saving
clock saving-interval begin mar last sun 02:00 end oct last sun 03:00 1
!
snmp-server
!
report
!
ip load-balancing link-sticking activate
!
ip virtual-server Lueftersteuerung interface wan1 original-ip WAN1_IP map-to Lueftersteuerung map-type original-service Lueftersteuerung mapped-service Lueftersteuerung nat-loopback
ip virtual-server Webzugriff_Luefter interface wan1 original-ip WAN1_IP map-to Lueftersteuerung map-type original-service Luefter_Web mapped-service HTTP nat-loopback
ip virtual-server Hotspot-Server interface wan1 original-ip WAN1_IP map-to Hotspot-Server map-type port protocol any original-port 8443 mapped-port 8443 nat-loopback
ip virtual-server Kamerasteuerung interface wan1 original-ip WAN1_IP map-to Kamerasteuerung map-type original-service Kamerasteuerung mapped-service Kamerasteuerung nat-loopback
ip virtual-server Kassensystem_SSH interface wan1 original-ip WAN1_IP map-to Kassensystem map-type original-service CasaMiguel mapped-service SSH_TCP nat-loopback
ip virtual-server Kassensystem_3000_UDP interface wan1 original-ip WAN1_IP map-to Kassensystem map-type original-service Kassensystem_UDP mapped-service Kassensystem_UDP nat-loopback
ip virtual-server Kassensystem_3000_TCP interface wan1 original-ip WAN1_IP map-to Kassensystem map-type original-service Kassensystem_TCP mapped-service Kassensystem_TCP nat-loopback
ip virtual-server VNC_Tom interface wan1 original-ip WAN1_IP map-to PC_Rezeption map-type original-service VNC_Tom mapped-service VNC5900 nat-loopback
ip virtual-server Kamera-Fernzugriff_TCP interface wan1 original-ip WAN1_IP map-to Kamera-Fernzugriff map-type original-service Kamera-Fernzugriff_TCP mapped-service Kamera-Fernzugriff_TCP nat-loopback
ip virtual-server Kamera-Fernzugriff_UDP interface wan1 original-ip WAN1_IP map-to Kamera-Fernzugriff map-type original-service Kamera-Fernzugriff_UDP mapped-service Kamera-Fernzugriff_UDP nat-loopback
!
content-filter activate
no content-filter report deactivate
content-filter statistics collect
!
content-filter common-list trust
192.168.2.50
!
firewall 1
from IPSec_VPN
action allow
!
firewall 2
from SSL_VPN
action allow
!
firewall 3
from TUNNEL
action allow
!
firewall 4
from WAN
to ZyWALL
service Default_Allow_WAN_To_ZyWALL
action allow
!
firewall 5
from WAN
to ZyWALL
action deny
log
!
firewall 6
from WAN
to LAN1
destinationip Kassensystem
service SSH_TCP
action allow
!
firewall 7
from WAN
to LAN1
destinationip Kassensystem
service Kassensystem_TCP
action allow
!
firewall 8
from WAN
to LAN1
destinationip Kassensystem
service Kassensystem_UDP
action allow
!
firewall 9
from WAN
to LAN1
destinationip PC_Rezeption
service VNC5900
action allow
!
firewall 10
from WAN
to LAN1
action deny
log
!
firewall 11
from WAN
to LAN2
destinationip Lueftersteuerung
service Lueftersteuerung
action allow
!
firewall 12
from WAN
to LAN2
destinationip Lueftersteuerung
service HTTP
action allow
!
firewall 13
from WAN
to LAN2
destinationip Kamerasteuerung
service Kamerasteuerung
action allow
!
firewall 14
from WAN
to LAN2
destinationip Kamera-Fernzugriff
service Kamera-Fernzugriff_TCP
action allow
!
firewall 15
from WAN
to LAN2
destinationip Kamera-Fernzugriff
service Kamera-Fernzugriff_UDP
action allow
!
firewall 16
from WAN
to LAN2
action deny
log
!
firewall 17
from WAN
to DMZ
destinationip Hotspot-Server
service Hotspot-Server
action allow
!
firewall 18
from DMZ
to LAN1
destinationip PC_Rezeption
service VNC5900
action allow
!
firewall 19
from DMZ
to DMZ
sourceip Hotspot-Server
destinationip HP-Switch_1
log
action allow
no activate
!
firewall 20
from DMZ
to DMZ
sourceip Hotspot-Server
destinationip HP-Switch_2
log
action allow
no activate
!
firewall 21
from DMZ
to LAN1
action deny
log
!
firewall 22
from DMZ
to LAN2
action deny
log
!
firewall 23
from DMZ
to ZyWALL
action allow
service Default_Allow_DMZ_To_ZyWALL
!
firewall 24
from DMZ
to ZyWALL
action deny
log
!
firewall 25
from LAN1
action allow
!
firewall 26
from LAN2
action allow
!
firewall 27
from DMZ
to WAN
action allow
!
firewall 28
from LAN1
to ZyWALL
action allow
!
firewall 29
from LAN2
to ZyWALL
action allow
!
firewall 30
from IPSec_VPN
to ZyWALL
action allow
!
firewall 31
from SSL_VPN
to ZyWALL
action allow
!
firewall 32
from TUNNEL
to ZyWALL
action allow
!
firewall default-rule action deny log
!
firewall6 1
to ZyWALL
service Default_Allow_v6_any_to_ZyWALL
action allow
!
firewall6 2
from LAN1
action allow
!
firewall6 3
from LAN2
action allow
!
firewall6 4
from DMZ
to WAN
action allow
!
firewall6 5
from IPSec_VPN
action allow
!
firewall6 6
from SSL_VPN
action allow
!
firewall6 7
from TUNNEL
action allow
!
firewall6 8
from LAN1
to ZyWALL
action allow
!
firewall6 9
from LAN2
to ZyWALL
action allow
!
firewall6 10
from DMZ
to ZyWALL
service Default_Allow_v6_DMZ_To_ZyWALL
action allow
!
firewall6 11
from WAN
to ZyWALL
service Default_Allow_v6_WAN_To_ZyWALL
action allow
!
firewall6 12
from IPSec_VPN
to ZyWALL
action allow
!
firewall6 13
from SSL_VPN
to ZyWALL
action allow
!
firewall6 14
from TUNNEL
to ZyWALL
action allow
!
firewall6 default-rule action deny log
!
idp signature update auto
!
idp signature update hourly
!
idp signature activate
!
idp anomaly activate
!
idp statistics collect
!
idp signature LAN_IDP base lan
!
idp signature DMZ_IDP base dmz
!
idp anomaly ADP_PROFILE base all
flood-detection tcp-flood block
flood-detection udp-flood block
flood-detection icmp-flood block
flood-detection ip-flood block
flood-detection icmp-flood threshold 1000
flood-detection ip-flood threshold 1000
flood-detection tcp-flood threshold 1000
flood-detection udp-flood threshold 1000
scan-detection sensitivity medium
scan-detection block-period 5
flood-detection block-period 5
!
idp signature rule 1
from-zone any
to-zone LAN1
bind LAN_IDP
activate
!
idp signature rule 2
from-zone any
to-zone LAN2
bind LAN_IDP
activate
!
idp signature rule 3
from-zone any
to-zone DMZ
bind DMZ_IDP
activate
!
idp anomaly rule 1
from-zone any
to-zone LAN1
bind ADP_PROFILE
activate
!
idp anomaly rule 2
from-zone any
to-zone LAN2
bind ADP_PROFILE
activate
!
idp anomaly rule 3
from-zone any
to-zone DMZ
bind ADP_PROFILE
activate
!
idp anomaly rule 4
from-zone any
to-zone ZyWALL
bind ADP_PROFILE
activate
!
anti-spam activate
!
anti-spam statistics collect
!
anti-virus activate
!
anti-virus rule 1
activate
no from-zone
no to-zone
scan http
scan smtp
scan pop3
scan ftp
scan imap4
infected-action destroy
infected-action send-win-msg
no bypass white-list
no bypass black-list
file-decompression
no file-decompression unsupported destroy
log
!
anti-virus update auto
!
anti-virus update hourly
!
anti-virus statistics collect
!
no bwm activate
!
policy controll-ipsec-dynamic-rules activate
!
policy 1
description Policy-Route VLAN1234
interface vlan1234
source LAN1_SUBNET
dscp any
next-hop trunk SYSTEM_DEFAULT_WAN_TRUNK
snat outgoing-interface
!
policy 2
description Policy-Route VLAN 1887
interface vlan1887
source VLAN1887_SUBNET
dscp any
next-hop trunk SYSTEM_DEFAULT_WAN_TRUNK
snat outgoing-interface
deactivate
!
policy 3
description Policy_vlan999
interface vlan999
source VLAN999_SUBNET
dscp any
next-hop trunk SYSTEM_DEFAULT_WAN_TRUNK
snat outgoing-interface
!
app SMTP defaultport 25
!
app POP3 defaultport 110
!
app SIP defaultport 5060
!
app HTTP defaultport 80
app HTTP defaultport 8080
app HTTP defaultport 3128
!
alg sip defaultport 5060
!
users retry-limit
users retry-count 5
users lockout-period 30
!
users update-lease automation
!
app-watch-dog activate
!
htm phase 1 add all
!
force-auth exceptional-service DNS
!
force-auth default-rule authentication unnecessary no log
!
l2tp-over-ipsec crypto Default_L2TP_VPN_Connection
l2tp-over-ipsec pool LAN2_SUBNET
l2tp-over-ipsec user luefter
!
Wo könnte hier der Fehler begraben liegen?
Herzlichen Dank für Eure Tipps!
Ich stehe vor einen kniffligen Problem, das mich schon viele Stunden Konfiguartions- und Testarbeit gekostet, aber bisher noch nicht das gewünschte Ergebnis gebracht hat. Hier die Aufgabenstellung:
Ein bestehendes Hotelnetzwerk soll derart erweitert werden, dass über bestehende Access-Points das Netzwerk des Gastronomiebetriebs angesprochen und Bestellungen, Buchungen, Bezahlvorgänge etc. via WLAN ausgeführt werden können. Ausserdem soll im Zuge dessen das öffentliche Hotel- und Gastronomienetz in eigene Netze mit der selben Sicherheitsfreigabe gesplittet werden.
Die bestehende Infrastruktur schaut wie folgt aus:
Hinter dem Modem des ISP läuft eine ZyXEL ZyWall USG-100. Auf dieser sind derzeit drei unterschiedliche Netzwerke (Zonen) konfiguriert. Auf LAN1 hängt das gesamte Büro- und Gastronomienetz, auf LAN2 alle Servicebereiche wie zB Lüftungssteuerung, Überwachungskameras, Klimaanlage, Heizung etc. und auf DMZ hängt das öffentliche Hotelnetz auf WLAN-Basis, das in zwei unterschiedliche SSID's mit unterschiedlicher Absicherung im selben IP-Bereich ausliefert. Die Vergabe der IP-Adressen erfolgt jeweils über DHCP-Server auf der ZyWall.
Für jedes der drei Netze stehen eigene Switches zur Verfügung (für das Hotelnetz sogar zwei). Als Hardware wurden hier vier baugleiche HP Switch 2530-24g-PoE+ verwendet. Im gesamten Hotel- und Gastronomiebereich wurden insgesamt 25 UniFi AP AC von Ubiquiti verbaut. Die Hotspot-Steuerung erfolgt über einen eigenen Server. Dabei wurden 24 AP für das öffentliche Hotel- und Gastronomienetz (Zone DMZ) und ein AP für das Büro- und Kassennetz (Zone LAN1) konfiguriert.
Nun wurde der Gastronomiebereich auf weitere Räumlichkeiten erweitert und es soll auch die Möglichkeit bestehen, im Hotel-Foyer (und anderen vom Gastronomiebereich weiter entfernten Räumlichkeiten) bei Veranstaltungen auf das Büro- und Gastronomienetz (Zone LAN1) Zugriff zu erhalten. Sämtliche dieser Bereiche sind schon mit AP's ausgestattet und es wird über diese der Netzwerkverkehr des öffentlichen Hotel- und Gastronomienetzes (Zone DMZ) abgewickelt. Diese hängen auch physisch am Port DMZ der ZyWall.
Momentan habe ich auf der ZyWall die VLANs entsprechend des Konfigurationsbeispiels von Studerus (siehe http://misc.nybergh.net/pub/doc/manuals_hardware/zyxel-usg-docs/USG100_ ..) ohne die Firewall-Einstellungen (diese bestehen für die jeweiligen Zonen bereits) und die DHCP-Einstellungen (DHCP Relay auf die bestehenden DHCP-Server statt eigener DHCP Server) angelegt. Auf den HP-Switches habe ich alle drei VLAN's (für Hotel, Bar und Kassa) angelegt und auf allen Ports auf TAGGED gesetzt. Einzig das VLAN1 ist standardmäßig auf allen Ports weiterhin auf UNTAGGED.
Ich erhalte vom Hotel-Netz ordnungsgemäß eine IP-Adresse in der richtigen Range, hab allerdings keinen Zugriff auf das Internet. In allen anderen VLAN-Netzen erhalte ich keine IP-Adresse und somit auch keinen Zugriff auf das Netz bzw. das Internet.
Die Konfiguration auf der ZyWall schaut wie folgt aus (gekürzt):
! saved at 2015-07-31 15:00:16
! model: ZyWALL USG100-PLUS
! firmware version: 3.30(AACV.6)
!
language German
!
hardware-watchdog-timer 10
!
software-watchdog-timer 300
!
interface-name ge1 wan1
interface-name ge2 wan2
interface-name ge3 lan1
interface-name ge4 lan2
interface-name ge5 dmz
!
port-grouping lan1
port 3
!
port-grouping lan2
port 6
!
port-grouping dmz
port 5
port 4
!
account pppoe WAN1_PPPoE_ACCOUNT
!
account pppoe WAN2_PPPoE_ACCOUNT
!
ip dhcp pool Network_Pool_LAN1
network 192.168.100.0 255.255.255.0
default-router 192.168.100.1
starting-address 192.168.100.33 pool-size 100
first-dns-server 8.8.8.8
second-dns-server 8.8.4.4
lease 0 4 0
third-dns-server ZyWALL
!
ip dhcp pool DMZ_POOL
network 10.0.0.0 255.255.0.0
default-router 10.0.100.1
starting-address 10.0.0.33 pool-size 1500
first-dns-server 8.8.8.8
lease 1 0 0
second-dns-server 8.8.4.4
third-dns-server ZyWALL
!
ip dhcp pool Network_Pool_LAN2
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
starting-address 192.168.2.133 pool-size 10
first-dns-server 8.8.8.8
second-dns-server 8.8.4.4
lease infinite
third-dns-server ZyWALL
!
ip dhcp pool Network_Pool_VLAN0
network 10.0.100.0 255.255.255.0
default-router 10.0.100.254
starting-address 10.0.100.50 pool-size 100
first-dns-server 4.4.8.8
second-dns-server 8.8.8.8
third-dns-server ZyWALL
lease infinite
!
interface wan1
ip address 89.26.41.229 255.255.255.248
type external
ip gateway 89.26.41.230 metric 0
upstream 1048576
downstream 1048576
mtu 1500
!
interface wan2
ip address dhcp
type external
!
interface lan1
ip address 192.168.100.1 255.255.255.0
type internal
upstream 1048576
downstream 1048576
mtu 1500
ip dhcp-pool Network_Pool_LAN1
!
interface lan2
ip address 192.168.2.1 255.255.255.0
type internal
ip dhcp-pool Network_Pool_LAN2
!
interface dmz
ip address 10.0.100.1 255.255.0.0
ip dhcp-pool DMZ_POOL
type internal
upstream 1048576
downstream 1048576
mtu 1500
interface vlan0
port dmz
vlan-id 1
ip address 10.0.100.254 255.255.255.0
upstream 1048576
downstream 1048576
mtu 1500
type general
ip rip send version 2
ip rip receive version 2
ip ospf priority 1
ip ospf cost 10
ip dhcp-pool Network_Pool_VLAN0
!
interface vlan999
port dmz
vlan-id 999
ip address 10.0.200.253 255.255.0.0
upstream 1048576
downstream 1048576
mtu 1500
type internal
ip rip send version 2
ip rip receive version 2
ip ospf priority 1
ip ospf cost 10
ip helper-address 10.0.0.1
!
interface vlan1234
port dmz
vlan-id 1234
ip address 192.168.100.254 255.255.255.0
upstream 1048576
downstream 1048576
mtu 1500
type internal
ip rip send version 2
ip rip receive version 2
ip ospf priority 1
ip ospf cost 10
ip helper-address 192.168.100.1
!
interface vlan1887
port dmz
vlan-id 1887
description Hotel Netz
ip address 10.0.200.254 255.255.0.0
upstream 1048576
downstream 1048576
mtu 1500
type internal
ip rip send version 2
ip rip receive version 2
ip ospf priority 1
ip ospf cost 10
ip helper-address 10.0.100.1
!
interface wan1_ppp
account WAN1_PPPoE_ACCOUNT
!
interface wan2_ppp
account WAN2_PPPoE_ACCOUNT
!
vpn-configuration-provision authentication default
!
router rip
!
router ospf
!
zone LAN1
interface lan1
interface vlan1234
!
zone LAN2
interface lan2
!
zone WAN
interface wan1
interface wan1_ppp
interface wan2
interface wan2_ppp
block
!
zone DMZ
interface dmz
block
interface vlan999
interface vlan1887
!
zone SSL_VPN
sslvpn luefter
sslvpn HotSpot-Server
sslvpn Kameraserver
!
zone IPSec_VPN
crypto Default_L2TP_VPN_Connection
crypto vpn_tracker
crypto WIZ_VPN
!
zone TUNNEL
!
zone LAN3
!
zone vlan1887
!
ip ddns profile XXXXXXX
activate
service-type dyndns
username xxxxxxxxx encrypted-password xxxxxxxxxx
host xxxxxxxxxxx
wan-iface wan1
ip-select auto
ip-select-backup iface
!
ip http server
!
hostname zywall-usg100-plus
domainname xxxxxxxxxxxxxx
!
ip ssh server cert default
ip ssh server
!
console baud 115200
!
ip ftp server cert default
ip ftp server
!
ntp
clock time-zone +01
ntp server 0.pool.ntp.org
clock daylight-saving
clock saving-interval begin mar last sun 02:00 end oct last sun 03:00 1
!
snmp-server
!
report
!
ip load-balancing link-sticking activate
!
ip virtual-server Lueftersteuerung interface wan1 original-ip WAN1_IP map-to Lueftersteuerung map-type original-service Lueftersteuerung mapped-service Lueftersteuerung nat-loopback
ip virtual-server Webzugriff_Luefter interface wan1 original-ip WAN1_IP map-to Lueftersteuerung map-type original-service Luefter_Web mapped-service HTTP nat-loopback
ip virtual-server Hotspot-Server interface wan1 original-ip WAN1_IP map-to Hotspot-Server map-type port protocol any original-port 8443 mapped-port 8443 nat-loopback
ip virtual-server Kamerasteuerung interface wan1 original-ip WAN1_IP map-to Kamerasteuerung map-type original-service Kamerasteuerung mapped-service Kamerasteuerung nat-loopback
ip virtual-server Kassensystem_SSH interface wan1 original-ip WAN1_IP map-to Kassensystem map-type original-service CasaMiguel mapped-service SSH_TCP nat-loopback
ip virtual-server Kassensystem_3000_UDP interface wan1 original-ip WAN1_IP map-to Kassensystem map-type original-service Kassensystem_UDP mapped-service Kassensystem_UDP nat-loopback
ip virtual-server Kassensystem_3000_TCP interface wan1 original-ip WAN1_IP map-to Kassensystem map-type original-service Kassensystem_TCP mapped-service Kassensystem_TCP nat-loopback
ip virtual-server VNC_Tom interface wan1 original-ip WAN1_IP map-to PC_Rezeption map-type original-service VNC_Tom mapped-service VNC5900 nat-loopback
ip virtual-server Kamera-Fernzugriff_TCP interface wan1 original-ip WAN1_IP map-to Kamera-Fernzugriff map-type original-service Kamera-Fernzugriff_TCP mapped-service Kamera-Fernzugriff_TCP nat-loopback
ip virtual-server Kamera-Fernzugriff_UDP interface wan1 original-ip WAN1_IP map-to Kamera-Fernzugriff map-type original-service Kamera-Fernzugriff_UDP mapped-service Kamera-Fernzugriff_UDP nat-loopback
!
content-filter activate
no content-filter report deactivate
content-filter statistics collect
!
content-filter common-list trust
192.168.2.50
!
firewall 1
from IPSec_VPN
action allow
!
firewall 2
from SSL_VPN
action allow
!
firewall 3
from TUNNEL
action allow
!
firewall 4
from WAN
to ZyWALL
service Default_Allow_WAN_To_ZyWALL
action allow
!
firewall 5
from WAN
to ZyWALL
action deny
log
!
firewall 6
from WAN
to LAN1
destinationip Kassensystem
service SSH_TCP
action allow
!
firewall 7
from WAN
to LAN1
destinationip Kassensystem
service Kassensystem_TCP
action allow
!
firewall 8
from WAN
to LAN1
destinationip Kassensystem
service Kassensystem_UDP
action allow
!
firewall 9
from WAN
to LAN1
destinationip PC_Rezeption
service VNC5900
action allow
!
firewall 10
from WAN
to LAN1
action deny
log
!
firewall 11
from WAN
to LAN2
destinationip Lueftersteuerung
service Lueftersteuerung
action allow
!
firewall 12
from WAN
to LAN2
destinationip Lueftersteuerung
service HTTP
action allow
!
firewall 13
from WAN
to LAN2
destinationip Kamerasteuerung
service Kamerasteuerung
action allow
!
firewall 14
from WAN
to LAN2
destinationip Kamera-Fernzugriff
service Kamera-Fernzugriff_TCP
action allow
!
firewall 15
from WAN
to LAN2
destinationip Kamera-Fernzugriff
service Kamera-Fernzugriff_UDP
action allow
!
firewall 16
from WAN
to LAN2
action deny
log
!
firewall 17
from WAN
to DMZ
destinationip Hotspot-Server
service Hotspot-Server
action allow
!
firewall 18
from DMZ
to LAN1
destinationip PC_Rezeption
service VNC5900
action allow
!
firewall 19
from DMZ
to DMZ
sourceip Hotspot-Server
destinationip HP-Switch_1
log
action allow
no activate
!
firewall 20
from DMZ
to DMZ
sourceip Hotspot-Server
destinationip HP-Switch_2
log
action allow
no activate
!
firewall 21
from DMZ
to LAN1
action deny
log
!
firewall 22
from DMZ
to LAN2
action deny
log
!
firewall 23
from DMZ
to ZyWALL
action allow
service Default_Allow_DMZ_To_ZyWALL
!
firewall 24
from DMZ
to ZyWALL
action deny
log
!
firewall 25
from LAN1
action allow
!
firewall 26
from LAN2
action allow
!
firewall 27
from DMZ
to WAN
action allow
!
firewall 28
from LAN1
to ZyWALL
action allow
!
firewall 29
from LAN2
to ZyWALL
action allow
!
firewall 30
from IPSec_VPN
to ZyWALL
action allow
!
firewall 31
from SSL_VPN
to ZyWALL
action allow
!
firewall 32
from TUNNEL
to ZyWALL
action allow
!
firewall default-rule action deny log
!
firewall6 1
to ZyWALL
service Default_Allow_v6_any_to_ZyWALL
action allow
!
firewall6 2
from LAN1
action allow
!
firewall6 3
from LAN2
action allow
!
firewall6 4
from DMZ
to WAN
action allow
!
firewall6 5
from IPSec_VPN
action allow
!
firewall6 6
from SSL_VPN
action allow
!
firewall6 7
from TUNNEL
action allow
!
firewall6 8
from LAN1
to ZyWALL
action allow
!
firewall6 9
from LAN2
to ZyWALL
action allow
!
firewall6 10
from DMZ
to ZyWALL
service Default_Allow_v6_DMZ_To_ZyWALL
action allow
!
firewall6 11
from WAN
to ZyWALL
service Default_Allow_v6_WAN_To_ZyWALL
action allow
!
firewall6 12
from IPSec_VPN
to ZyWALL
action allow
!
firewall6 13
from SSL_VPN
to ZyWALL
action allow
!
firewall6 14
from TUNNEL
to ZyWALL
action allow
!
firewall6 default-rule action deny log
!
idp signature update auto
!
idp signature update hourly
!
idp signature activate
!
idp anomaly activate
!
idp statistics collect
!
idp signature LAN_IDP base lan
!
idp signature DMZ_IDP base dmz
!
idp anomaly ADP_PROFILE base all
flood-detection tcp-flood block
flood-detection udp-flood block
flood-detection icmp-flood block
flood-detection ip-flood block
flood-detection icmp-flood threshold 1000
flood-detection ip-flood threshold 1000
flood-detection tcp-flood threshold 1000
flood-detection udp-flood threshold 1000
scan-detection sensitivity medium
scan-detection block-period 5
flood-detection block-period 5
!
idp signature rule 1
from-zone any
to-zone LAN1
bind LAN_IDP
activate
!
idp signature rule 2
from-zone any
to-zone LAN2
bind LAN_IDP
activate
!
idp signature rule 3
from-zone any
to-zone DMZ
bind DMZ_IDP
activate
!
idp anomaly rule 1
from-zone any
to-zone LAN1
bind ADP_PROFILE
activate
!
idp anomaly rule 2
from-zone any
to-zone LAN2
bind ADP_PROFILE
activate
!
idp anomaly rule 3
from-zone any
to-zone DMZ
bind ADP_PROFILE
activate
!
idp anomaly rule 4
from-zone any
to-zone ZyWALL
bind ADP_PROFILE
activate
!
anti-spam activate
!
anti-spam statistics collect
!
anti-virus activate
!
anti-virus rule 1
activate
no from-zone
no to-zone
scan http
scan smtp
scan pop3
scan ftp
scan imap4
infected-action destroy
infected-action send-win-msg
no bypass white-list
no bypass black-list
file-decompression
no file-decompression unsupported destroy
log
!
anti-virus update auto
!
anti-virus update hourly
!
anti-virus statistics collect
!
no bwm activate
!
policy controll-ipsec-dynamic-rules activate
!
policy 1
description Policy-Route VLAN1234
interface vlan1234
source LAN1_SUBNET
dscp any
next-hop trunk SYSTEM_DEFAULT_WAN_TRUNK
snat outgoing-interface
!
policy 2
description Policy-Route VLAN 1887
interface vlan1887
source VLAN1887_SUBNET
dscp any
next-hop trunk SYSTEM_DEFAULT_WAN_TRUNK
snat outgoing-interface
deactivate
!
policy 3
description Policy_vlan999
interface vlan999
source VLAN999_SUBNET
dscp any
next-hop trunk SYSTEM_DEFAULT_WAN_TRUNK
snat outgoing-interface
!
app SMTP defaultport 25
!
app POP3 defaultport 110
!
app SIP defaultport 5060
!
app HTTP defaultport 80
app HTTP defaultport 8080
app HTTP defaultport 3128
!
alg sip defaultport 5060
!
users retry-limit
users retry-count 5
users lockout-period 30
!
users update-lease automation
!
app-watch-dog activate
!
htm phase 1 add all
!
force-auth exceptional-service DNS
!
force-auth default-rule authentication unnecessary no log
!
l2tp-over-ipsec crypto Default_L2TP_VPN_Connection
l2tp-over-ipsec pool LAN2_SUBNET
l2tp-over-ipsec user luefter
!
Wo könnte hier der Fehler begraben liegen?
Herzlichen Dank für Eure Tipps!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 281655
Url: https://administrator.de/contentid/281655
Printed on: April 25, 2024 at 06:04 o'clock
17 Comments
Latest comment
Das selbe "in grün": Kein Internet in der DMZ ZyWALL USG 110
Kurzfassung: Nur wenn Du die Netze zur Zywall hin auf dem gleichen Kabel tagged übertragen möchtest, benötigst Du auf der Zywall VLANs. Auch das wäre kein Problem, jedoch musst Du dann darauf achten, dass sich die IP-Adressbereiche nicht überschneiden. (Etwas) komplizierter wird es, wenn Du die Netze zur Zywall hin tagged übergeben möchtest und diese Netze gleichzeitig an einem Port der Zywall untagged anliegen sollen (z.B. für einen an der Zywall angeschlossenen Server). Dann müsstest Du auf der Zywall eine Bridge aus einem VLAN und einer Portgroup konfigurieren. Aber das wird hier vermutlich nicht erforderlich sein...
Gruß
sk
P.S.
noch eine inhaltliche Empfehlung: Erstell für das Management der Accesspoints ein dediziertes VLAN, welches untagged an den Ports der Switche zu den Accesspoints hin anliegt. Dieses VLAN kommt in eine separate Firewallzone, aus der heraus weder ein Zugriff ins Internet noch in andere lokale Netze erlaubt ist.
Kurzfassung: Nur wenn Du die Netze zur Zywall hin auf dem gleichen Kabel tagged übertragen möchtest, benötigst Du auf der Zywall VLANs. Auch das wäre kein Problem, jedoch musst Du dann darauf achten, dass sich die IP-Adressbereiche nicht überschneiden. (Etwas) komplizierter wird es, wenn Du die Netze zur Zywall hin tagged übergeben möchtest und diese Netze gleichzeitig an einem Port der Zywall untagged anliegen sollen (z.B. für einen an der Zywall angeschlossenen Server). Dann müsstest Du auf der Zywall eine Bridge aus einem VLAN und einer Portgroup konfigurieren. Aber das wird hier vermutlich nicht erforderlich sein...
Gruß
sk
P.S.
noch eine inhaltliche Empfehlung: Erstell für das Management der Accesspoints ein dediziertes VLAN, welches untagged an den Ports der Switche zu den Accesspoints hin anliegt. Dieses VLAN kommt in eine separate Firewallzone, aus der heraus weder ein Zugriff ins Internet noch in andere lokale Netze erlaubt ist.
Und Grundlagen dazu gibt es hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dediziert im "Praxisbeispiel" !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dediziert im "Praxisbeispiel" !
Danke. Diesen Artikel kenne ich bereits und er hat mir schon sehr bei der Fehlersuche weitergeholfen. Allerdings hat er auch nicht die Fehler komplett behoben (vielleicht deshalb, weil da keine ZyWall als Router-/Firewall-Lösung verwendet wird.
Danke für den Tipp. Das muss ich probieren. Allerdings wäre ich mit meinem Netzwerk- und Sicherheitsverständnis nicht auf die Idee gekommen, den Hotel-Switch (Zone DMZ) via Patch-Kabel mit dem Büro-Switch (Zone LAN1) zu verbinden und die Verbindung auf diesem Port auf UNTAGGED für die VLAN-ID des Kassennetzes zu setzen (und dabei die Zuwahl zur Absicherung des Netzwerkverkehrs aussen vor zu lassen). Oder habe ich da was falsch verstanden?
Hast du wohl was falsch verstanden....
Wenn du alle diese VLANs (DMZ, Kasse, LAN1 Zone) AUCH auf dem Büro Switch benötigst, dann richtet man logischerweise einen tagged Uplink zwischen BEIDEN Switches ein um die VLAN Information von Switch zu Switch übertragen zu können.
Alles andere ist gefährlich was die Sicherheit anbetrifft und da muss man dann SEHR genau hinsehen beim kabelstecken, das man nicht im falschen VLAN landet !
Wenn du alle diese VLANs (DMZ, Kasse, LAN1 Zone) AUCH auf dem Büro Switch benötigst, dann richtet man logischerweise einen tagged Uplink zwischen BEIDEN Switches ein um die VLAN Information von Switch zu Switch übertragen zu können.
Alles andere ist gefährlich was die Sicherheit anbetrifft und da muss man dann SEHR genau hinsehen beim kabelstecken, das man nicht im falschen VLAN landet !
Ich benötige eigentlich nur das Kassen-VLAN im Büronetz (= Zone LAN1). Die DMZ-VLANs benötige ich nicht im Büronetz. Darf auch gar nicht sein, weil sonst die Gefahr besteht, dass das Büronetz intern gehackt werden kann. Sprich: Netzwerkverkehr, der über das neue Kassen-VLAN auf den AP's erfolgt, soll ins Büronetz gehen (und natürlich auch über den DHCP-Server IP-Adressen erhalten). Netzwerkverkehr, der nicht über das neue Kassen-VLAN auf den selben AP's erfolgt, soll in die Zone DMZ gehen. Ist das verständlich ausgedrückt?
Dass Du in der Lage bist, auf den Switches VLANs anzulegen, auf Uplinks tagged zu übertragen sowie bedarfsgerecht auf einzelnen Ports untagged zur Verfügung zu stellen, dürfen wir ja wohl hoffentlich als selbstverständlich voraussetzen. An Banalität ist dies schließlich kaum zu überbieten.
Die gepostete Konfig der Zywall offenbart jedoch gravierende Verständnisdefizite (überlappende IP-Adressbereiche; auf sich selbst verweisende DHCP-Relays...). Ein Router ist nunmal kein Layer2-Swich: ein VLAN ist dort ein eigenständiges Interface!
Gruß
sk
Die gepostete Konfig der Zywall offenbart jedoch gravierende Verständnisdefizite (überlappende IP-Adressbereiche; auf sich selbst verweisende DHCP-Relays...). Ein Router ist nunmal kein Layer2-Swich: ein VLAN ist dort ein eigenständiges Interface!
Gruß
sk
Hallo sk,
danke für Dein Post. Natürlich bin ich in der Lage, auf Switches VLANs anzulegen und die entsprechende Konfiguration, auch über die Console, auszuführen. Mag zwar für dich banal sein, kann aber für einen Ottonormalverbraucher, der normalerweise nur Win- und Apple-Workstations bearbeitet, durchaus knifflig werden.
Bei der geposteten Konfig wurden ja, wie bereits geschrieben, gewisse Angaben (wie zB die Objekte oder div. statische IP-Vergaben) gelöscht, da diese nichts zur Sache beitragen (oder etwa doch?). Überlappende IP-Adressbereiche gibt es in der Normalkonfiguration (ohne VLANs) nicht, da das Hotel-Netz (Zone DMZ) die IP-Range 10.0.0.0 bis 10.0.255.255 verwendet (auf zwei SSID's verteilt), das Büronetz hingegen die IP-Range 192.168.100.0 bis 192.168.100.255 und das Netz für die Servicebereiche die Range 192.168.2.0 bis 192.168.2.255 verwendet. Wo es hier zu einer Überlappung kommen soll, ist mir ein Rätsel.
Im Zusammenhang mit den neu angelegten VLANs gibt es, wie ich nun selbst in der Konfig festgestellt habe, Überlappungen bei den VLAN0, VLAN999 und VLAN1887, wobei VLAN999 und VLAN1887 jeweils in der Zone DMZ positioniert sind und sich via DHCP-Relay die IP-Adressen vom DHCP-Server des Hotel-Netzes (ebenfalls Zone DMZ) holen sollen. Kann es sein, dass ich aufgrund des VLAN0 die Probleme beim VLAN999 und/oder VLAN1887 habe? Warum bekomme ich dann aber beim VLAN1234, das zum Büronetz gehört, über den DHCP-Relay keine IP-Adresse zugewiesen? Habe ich da ein Verständnisproblem?
danke für Dein Post. Natürlich bin ich in der Lage, auf Switches VLANs anzulegen und die entsprechende Konfiguration, auch über die Console, auszuführen. Mag zwar für dich banal sein, kann aber für einen Ottonormalverbraucher, der normalerweise nur Win- und Apple-Workstations bearbeitet, durchaus knifflig werden.
Bei der geposteten Konfig wurden ja, wie bereits geschrieben, gewisse Angaben (wie zB die Objekte oder div. statische IP-Vergaben) gelöscht, da diese nichts zur Sache beitragen (oder etwa doch?). Überlappende IP-Adressbereiche gibt es in der Normalkonfiguration (ohne VLANs) nicht, da das Hotel-Netz (Zone DMZ) die IP-Range 10.0.0.0 bis 10.0.255.255 verwendet (auf zwei SSID's verteilt), das Büronetz hingegen die IP-Range 192.168.100.0 bis 192.168.100.255 und das Netz für die Servicebereiche die Range 192.168.2.0 bis 192.168.2.255 verwendet. Wo es hier zu einer Überlappung kommen soll, ist mir ein Rätsel.
Im Zusammenhang mit den neu angelegten VLANs gibt es, wie ich nun selbst in der Konfig festgestellt habe, Überlappungen bei den VLAN0, VLAN999 und VLAN1887, wobei VLAN999 und VLAN1887 jeweils in der Zone DMZ positioniert sind und sich via DHCP-Relay die IP-Adressen vom DHCP-Server des Hotel-Netzes (ebenfalls Zone DMZ) holen sollen. Kann es sein, dass ich aufgrund des VLAN0 die Probleme beim VLAN999 und/oder VLAN1887 habe? Warum bekomme ich dann aber beim VLAN1234, das zum Büronetz gehört, über den DHCP-Relay keine IP-Adresse zugewiesen? Habe ich da ein Verständnisproblem?
Zitat von @freakkiller:
Bei der geposteten Konfig wurden ja, wie bereits geschrieben, gewisse Angaben (wie zB die Objekte oder div. statische IP-Vergaben)
gelöscht, da diese nichts zur Sache beitragen (oder etwa doch?).
Bei der geposteten Konfig wurden ja, wie bereits geschrieben, gewisse Angaben (wie zB die Objekte oder div. statische IP-Vergaben)
gelöscht, da diese nichts zur Sache beitragen (oder etwa doch?).
Was ich nicht kenne, kann ich nicht beurteilen.
Zitat von @freakkiller:
Überlappende IP-Adressbereiche gibt es in der Normalkonfiguration (ohne VLANs) nicht
Überlappende IP-Adressbereiche gibt es in der Normalkonfiguration (ohne VLANs) nicht
Stimmt und hat auch niemand anders behauptet. Murks ist nur die Kombination mit den zusätzlich erstellten VLAN-Interfaces.
Zitat von @freakkiller:
Im Zusammenhang mit den neu angelegten VLANs gibt es, wie ich nun selbst in der Konfig festgestellt habe, Überlappungen bei
den VLAN0, VLAN999 und VLAN1887, wobei VLAN999 und VLAN1887 jeweils in der Zone DMZ positioniert sind und sich via DHCP-Relay die
IP-Adressen vom DHCP-Server des Hotel-Netzes (ebenfalls Zone DMZ) holen sollen. Kann es sein, dass ich aufgrund des VLAN0 die
Probleme beim VLAN999 und/oder VLAN1887 habe? Warum bekomme ich dann aber beim VLAN1234, das zum Büronetz gehört,
über den DHCP-Relay keine IP-Adresse zugewiesen? Habe ich da ein Verständnisproblem?
Im Zusammenhang mit den neu angelegten VLANs gibt es, wie ich nun selbst in der Konfig festgestellt habe, Überlappungen bei
den VLAN0, VLAN999 und VLAN1887, wobei VLAN999 und VLAN1887 jeweils in der Zone DMZ positioniert sind und sich via DHCP-Relay die
IP-Adressen vom DHCP-Server des Hotel-Netzes (ebenfalls Zone DMZ) holen sollen. Kann es sein, dass ich aufgrund des VLAN0 die
Probleme beim VLAN999 und/oder VLAN1887 habe? Warum bekomme ich dann aber beim VLAN1234, das zum Büronetz gehört,
über den DHCP-Relay keine IP-Adresse zugewiesen? Habe ich da ein Verständnisproblem?
Wie ich bereits schrieb, geht das so eben nicht! Das sind alles eigenständige Interfaces - keine Untermengen anderer Interfaces!
Das IP-Netz von Interface "Portgrouping lan1" überschneidet sich mit dem von Interface "vlan1234".
Und das IP-Netz von Interface "Portgrouping dmz" überschneidet sich mit den Netzen der übrigen VLAN-Interfaces.
Gruß
sk
Wenn ich das also richtig verstehe, brauche ich nur bei dem Interface 'VLAN1234' die IP-Adresse auf (Hausnummer) 192.168.200.254 ändern, wodurch ich bei den beiden Netzen der Zone LAN1 keine Überschneidung mehr habe. Mittels DHCP-Relay auf den DHCP-Server der Portgruppe LAN1 müsste ich dann auch im VLAN1234 IP-Adressen der Zone LAN1 bekommen (zeichengleich auch bei den anderen VLAN-Interfaces.). Oder bin ich da immer noch auf dem Holzweg?
Zitat von @freakkiller:
Wenn ich das also richtig verstehe, brauche ich nur bei dem Interface 'VLAN1234' die IP-Adresse auf (Hausnummer)
192.168.200.254 ändern, wodurch ich bei den beiden Netzen der Zone LAN1 keine Überschneidung mehr habe.
Wenn ich das also richtig verstehe, brauche ich nur bei dem Interface 'VLAN1234' die IP-Adresse auf (Hausnummer)
192.168.200.254 ändern, wodurch ich bei den beiden Netzen der Zone LAN1 keine Überschneidung mehr habe.
ja.
Zitat von @freakkiller:
Mittels DHCP-Relay auf den DHCP-Server der Portgruppe LAN1 müsste ich dann auch im VLAN1234 IP-Adressen der
Zone LAN1 bekommen ... Oder bin ich da immer noch auf dem Holzweg?
Mittels DHCP-Relay auf den DHCP-Server der Portgruppe LAN1 müsste ich dann auch im VLAN1234 IP-Adressen der
Zone LAN1 bekommen ... Oder bin ich da immer noch auf dem Holzweg?
Da bist Du wieder auf dem Holzweg, weil Du erneut versuchst, vlan1234 und lan1 (gemeint ist das Interface, nicht die Zone LAN1 --> Groß-/Kleinschreibung beachten!) mit dem gleichen IP-Adresskonzept zu betreiben.
Gruß
sk
Irgendwer steht da jetzt auf der Leitung. Ich muss auf die Geräte, die am Interface lan1 angeschlossen sind, aus dem vlan1234 Zugrff haben (und umgekehrt). Das ist ja der Grund, warum ich das Ganze mache. Sonst kann ich nicht mit einer Kassen-App, die auf einem Notebook oder Tablet läuft, auf das Kassensystem zugreifen. Selbiges gilt auch für die Kreditkartenterminals. Also brauche ich das selbe IP-Adressenkonzept (und die Zuweisung von IP-Adressen vom DHCP-Server an lan1).
Vielleicht solltest du zuallererst mal ein paar banale Grundlagen zum Thema VPN lesen bevor du weitermachst:
http://www.schulnetz.info/vlan-teil1-die-einkaufsliste-layer2-vs-layer3 ...
bzw. das Thema Layer 3 und VLANs:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Oder wir drehen uns weiter im Kreis hier....
Vorausgesetzt man hat das richtige IP Adressdesign in den VLANs und natürlich die richtigen Firewall Regeln.
Ggf. hilft dir das hier noch als Grundlage zum Thema routing zw. 2 IP Segmenten:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
http://www.schulnetz.info/vlan-teil1-die-einkaufsliste-layer2-vs-layer3 ...
bzw. das Thema Layer 3 und VLANs:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Oder wir drehen uns weiter im Kreis hier....
Ich muss auf die Geräte, die am Interface lan1 angeschlossen sind, aus dem vlan1234 Zugrff haben (und umgekehrt).
Ist ja ein Kinderspiel mit deiner FW. Dafür ist die doch da !Vorausgesetzt man hat das richtige IP Adressdesign in den VLANs und natürlich die richtigen Firewall Regeln.
Ggf. hilft dir das hier noch als Grundlage zum Thema routing zw. 2 IP Segmenten:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Da ich es nicht bin, wird die Auswahl ziemlich eng... *lach*
Zitat von @freakkiller:
läuft eine ZyXEL ZyWall USG-100. Auf dieser sind derzeit drei unterschiedliche Netzwerke (Zonen) konfiguriert.
läuft eine ZyXEL ZyWall USG-100. Auf dieser sind derzeit drei unterschiedliche Netzwerke (Zonen) konfiguriert.
Da fängt Dein Verständnisfehler schon an. Die IP-Netze liegen auf den Interfaces nicht auf den Zonen! Die Zonen sind lediglich eine Gruppierungsmöglichkeit für das Firewallregelwerk. Die Zonen können mehrere Interfaces enthalten. Das macht die Firewallkonfiguration sehr flexibel.
Beispiel 1: Die Interfaces "wan1" und "wan2" gehören bei der USG100 hardcodiert zur Zone "WAN".
Beispiel 2: Das Interface "lan1" gehört bei der USG100 hardcodiert zur (leider) gleichnamigen Zone "LAN1" (GROß-/KLEINSCHREIBUNG BEACHTEN!!!). Die Zone "LAN1" kann jedoch durchaus auch weitere Interfaces enthalten. Z.B. weitere VLAN- und Bridge-Interfaces.
Ich gebe zu, das Ganze ist sehr verwirrend, wenn man die ZyNOS-basierenden Vorgängergeräte und die in dieser Hinsicht nicht eingeschränkten größeren Geräte der USG-Serie (ab 3xx aufwärts) nicht kennt. ZyXEL hat hier 2 Dinge versucht:
1. Angleichung der für den "Small-Business-Markt" vorgesehenen Geräte an die Konfigurationslogik der (wie "geschnitten Brot" verkauften) Vorserie (welche ein komplett anderes System war)
2. Durchsetzung künstlicher Restriktionen zur Abstandswahrung gegenüber den teureren Modellen
Siehe hierzu bereits:
http://www.zyxelforum.de/viewtopic.php?f=219&t=8989
http://www.zyxelforum.de/viewtopic.php?f=219&t=9106
Interfacetypen gibt es auf der Zywall mehrere: Neben den Dir bereits bekannten Standard-(Ethernet-)Interfaces und VLAN-Interfaces wären da z.B. PPP-, Bridge-, Tunnel- und virtual Interfaces zu nennen. Uns interessieren hier nur die beiden erstgenannten.
Aus der Sicht eines Admins, der sich hoffentlich mit der Konfiguration eines VLAN-fähigen Switches auskennt, kannst Du Dir ein Standard-(Ethernet-)Interface der Zywall auch als ein VLAN vorstellen. Die Besonderheit ist jedoch, dass dieses ausschließlich UNTAGGED an den physischen Ports der Zywall anliegen kann. Ein VLAN-Interface an der Zywall kann demgegenüber ausschließlich TAGGED an den physischen Ports derselben anliegen! Also nochmal:
Standard-(Ethernet-)Interfaces = untagged
VLAN-Interface = tagged
Die Zuweisung dieser beiden Interfacetypen an die physischen Ports ist bei den SMB-Zywalls wie gesagt aus Vermarktungsgründen teilweise restriktiert. Die Interfaces "wan1" und "wan2" sind z.B. hardcodiert an die physischen Ports 1 und 2 gebunden. Die verbliebenen Ports kannst Du hingegen als Gruppe ("Portgrouping") auf die (repräsentativen) Interfaces verteilen.
In Deinem Beispiel bedeutet dies:
- das VLAN des Interfaces "lan1" liegt am physischen Port 3 untagged an
- das VLAN des Interfaces "lan2" liegt am physischen Port 6 untagged an
- das VLAN des Interfaces "dmz" liegt an den physischen Ports 4 und 5 untagged an
Sofern Du also zwischen den Switches und der Zywall die switchseitig vorhandenen VLANs ausschließlich untagged übergibst (hier also mit 3 dedizierten Patchkabeln arbeitest), benötigst Du auf der Zywall keine (ich wieder wiederhole: KEINE) zusätzlichen VLAN-Interfaces! Das ist der Weg, den ich Dir bereits in meiner ersten Antwort per Link auf den anderen Thread aufgezeigt habe.
Dieser Weg ist simpel aber freilich nicht sonderlich elegant. Klassicher Weise macht man das anders. Man verwendet nur ein Patchkabel zwischen dem Übergabeswitch und der Zywall. Auf diesem Kabel wird dann ein Netz untagged und die restlichen beiden tagged übergeben. Für diese Konfiguration benötigt man also auf der Zywall folgende Interfaces: 1x ein Standard-(Ethernet-)Interface und 2x ein zusätzliches VLAN-Interface.
Nehmen wir für ersteres z.B. das Interface "lan1", welches über ein Portgrouping mit gleichem Namen mindestens einem Port zugewiesen ist. Nun erstellen wir zwei VLAN-Interfaces, z.B. "vlan100" und "vlan200". Hierauf wird jeweils die gewünschte IP-Konfiguration vorgenommen - einschließlich eines DHCP-Servers (kein Relay!). Das VLAN-Interface "vlan100" kommt in die Zone(!) "LAN2" und das VLAN-Interface "vlan200" in die Zone "DMZ". Base-"Port" (die Beschriftung in der GUI ist m.E. falsch) ist in beiden Fällen jedoch das Portgrouping von "lan1", denn wir wollen ja, dass die VLANs tagged auf den gleichen physischen Ports anliegen, auf denen "lan1" untagged anliegt. Die weiterhin vorhandenen Standard-(Ethernet-)Interfaces "lan2" und "dmz" werden in dieser Konfiguration nicht verwendet. Zur Vermeidung von IP-Adresskonflikten werden sie daher jeweils in einen anderen (überscheidungsfreien) IP-Adressbereich verlegt oder besser: die IP-Konfiguration dieser Interfaces wird komplett entfernt (alles auf 0.0.0.0 setzen).
Statt das Interface "vlan100" in die vordefinierte Zone "LAN2" und das Interface "vlan200" in die vordefinierte Zone "DMZ" aufzunehmen, könntest Du für beide auch jeweils selbstdefinierte Zonen anlegen und diese individuell mit der Firewall beregeln. Dann wird das Prinzip hoffentlich noch deutlicher. Ob diese Zonen dann "VLAN100" und "VLAN200" oder "Servicebereiche" und "oeffHotelnetz" oder auch "Haensel" und "Gretel" nennst, ist Dir überlassen...
Der Rest ist dann eine Frage der korrekten Switch- und WLAN-Konfiguration.
Gruß
sk
Da ich es nicht bin, wird die Auswahl ziemlich eng... *lach*
Ich auch nicht !! Egal wer's war ich wars nicht !!! 
Muss dann wohl ich sein. Viel mehr Auswahl bleibt nicht.
