Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

Lancom 1711 VLAN einrichten

Mitglied: Alforno

Alforno (Level 1) - Jetzt verbinden

17.04.2010, aktualisiert 18.10.2012, 20555 Aufrufe, 12 Kommentare

Hallo,

ich möchte gerne an einem Lancom 1711+ VLAN's einrichten.
Zwei Notebooks sollen Zugriff auf das Internet bekommen, das Ganze möchte ich aber vom restlichen LAN (192.168.10.0) abschotten.

Leider ist mir nicht ganz klar, wie ich die Einstellungen setzen muss.

Im LANconfig sehe unter dem Menüpunkt Schnittstellen die Registerkarte VLAN.

Muss ich zunächst einen eigenen IP-Bereich für das VLAN erstellen und diesem eine ID vergeben?
Wie kann ich dann festlegen, an welchem Port vom Lancom sich welches VLAN befindet?


Freue mich auf Antworten.
Vielen Dank im Voraus.

Alforno
Mitglied: aqui
17.04.2010, aktualisiert 18.10.2012
Ja, das musst du machen ! Du erzeugst 2 VLANs mit einer eigenen ID z.B. 10 und 20 oder behälst einmal das default VLAN 1 und konfigurierst eins dazu wie z.B. 10.
In beiden VLAN musst du dann mit 2 separaten IP Netzen arbeiten z.B. 192.168.1.0 /24 und 192.168.10.0 /24. Der Router fügt beide VLANs dann entsprechend wieder zusammen...
Ggf. musst du im Router eine Accessliste definieren, die den Zugriff auf ein VLAN unterbindet so wie du es haben willst !
Grundlagen zu VLANs findest du hier:
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
bzw. ist das ggf.noch hilfreich fürs Verständnis:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
und
http://www.administrator.de/wissen/vlan-routing-%c3%bcber-802.1q-trunk- ...
Bitte warten ..
Mitglied: k4p00d
17.04.2010 um 13:11 Uhr
NEEEEIN!!!! Sonst passiert dir das gleiche wie mir damals.. das wäre unschön.. lol

1. Mach das VLAN Modul komplett aus.
2. Geh unter Schnittstellen und definiere ETH-1 als LAN-1 und ETH-2 als LAN-2 beide setze mit dem Haken in den Private Mode.
3. Geh unter TCP/IP und definiere unter netze das vordefinierte DMZ Netz als LAN-2 mit z.b. 192.168.44.1 für den Router, das setzt du als Intranet und bindest es an LAN-2. Das INTRANET Netz bindest du an LAN-1. Dann weißt du INTRANET den Routing Tag 1 zu und DMZ den Routing Tag 2. Die VLAN Tags bleiben bei beiden 0.
4. Nun richtest du unter DHCP noch einen weitren DHCP Server ein welchen du an DMZ und LAN-2 bindest.
5. Nun unter DNS falls gewünscht noch jedem der Netze eigene Subdomains zuweisen wegen Auflösung und unter Netbios auch die jeweiligen Netze anlegen.

Nun hast du 2 getrennte Netze. Das macht der Lancom über Routing udn nicht über VLAN. VLAN solltest du nur in einem VLAN Netzwerk aktivieren. Für deinen Zweck lass es unbedingt aus.

Habe diese Konstellation selber mehrfach im Einsatz. Dabei habe ich beim ersten Versuch auch das VLAN Modul aktiviert und das Ende war nicht sehr glorreich..^^

MfG

k4p00d
Bitte warten ..
Mitglied: Alforno
19.04.2010 um 09:39 Uhr
Ich danke euch für die Antworten.

@k4p00d

Da wäre ich alleine wohl in hundert Jahren nicht drauf gekommen.
Ich hatte leider noch keine Zeit es auszuprobieren.

Ich habe noch eine Frage zum Lancom.
Kann ich beim Zugriff via VPN für den einzelnen User nur bestimmte Ports für eine IP freigeben?
Hintergrund ist, dass die Außendienstler nur Zugriff auf Port 80 für den Webserver und die Ports für den Mailserver haben sollen.
Die restlichen IP Adressen im Netz sollen durch die Firewall gebklockt werden.

Das sollte mit dem Lancom ja sicher machbar sein, oder?
Bei der Einrichtung mit dem VPN Assistenten lässt sich der Zugriff ja bereits auf eine IP beschränken.
Die Portbeschränkung muss wohl händisch gesetzt werden.

Vielleicht hast du da ja auch noch einen Tipp für mich.

Ich bedanke mich schonmal für die Hilfe im Voraus.

mfg
Alforno
Bitte warten ..
Mitglied: Alforno
19.04.2010 um 20:49 Uhr
@k4p00d

Ich habe noch eine Frage.

Macht der Lancom das Routing zwischen den unterschiedlichen Netzen von alleine?
Der Router muss im Netz 192.168.2.0 hängen und vo dort auch als solcher ansprechbar sein.

Im Prinzip brauche ich drei Netze:

VLAN1 besteht aus einem Webserver: 192.168.13.0
VLAN2 besteht aus einem Client: 192.168.2.0
VLAN3 besteht aus mehreren Clients, die alle an einem Switch hängen: 192.168.1.0

Kann ich jetzt für jeden VLAN einen eigenen DHCP erstellen?
Wenn ich am Webserver als Gateway 192.168.13.1 einstelle, kann die Kiste dann auf den Router zugreifen?

Du siehst so ganz habe ich es noch nicht verstanden, wäre super wenn du mir nen bisschen helfen könntest.

Danke schonmal im Voraus.

mfg
Alforno
Bitte warten ..
Mitglied: k4p00d
20.04.2010 um 00:22 Uhr
1. Das sind keine VLANs dann, das sind einfach verschiedene Netze!
2. Ja du kannst den Zugriff nach belieben regulieren, einfach in der Firewall eine Deny All Strategie und die Freigaben dementsprechend.
3. Der Router hängt dann in allen Netzen die du anlegst:
z.B.
Intranet: 192.168.2.0 > Lancom z.B. 192.168.2.1
DMZ: 192.168.4.0 > Lancom z.B. 192.168.4.1
Das sind keine VLANs!
Du gibst dem Router unter TCP/IP Netzwerke ja im jeweiligen Netz eine Adresse. Wenn du das Routing Tag bei beiden auf 0 hast routet er zwischen den Netzen. Wenn du für Intranet 1 und DMZ 2 sind sie getrennt.

In der Routing Tabelle kannst du dann auch für jedes Netz eine eigene Default Route anlegen in dem du selbiger das Routing Tag des jeweiligen Netzes gibst.

Unter DHCP Netzwerke legst du dann für jedes Netz einen separaten DHCP an. Im DMZ wäre der Gateway dann ja logischerweise 192.168.4.1 und im Netz Intranet 192.168.2.1..

Wie du dir das jetzt für dein Netz zusammenwürfeln musst sollte ersichtlich sein.. hoffe ich..

MfG

k4p00d
Bitte warten ..
Mitglied: Alforno
24.04.2010 um 08:27 Uhr
Ich muss zugeben, dass ich es noch nicht ganz verstanden habe.

Wenn ich für jeden Bereich ein eigenes Netz erzeuge, dann kann in jedem Netz der Lancom als Gateway angesprochen angesprochen werden.
In der Regel dann ja immer mit der 192.168.XXX.1 ?
Dies muss aber von mir konfiguriert werden, richtig?

Nochmal zum Routing.
Wenn ich das Routing zwischen den Netzen nicht zulasse, dann haben die Clients doch keine Möglichkeit auf die anderen Netze zuzugreifen, oder?
Die Netze wären dann ja voneinander getrennt. Das ist das was ich erreichen wollte.

Zur Zugriffsbeschränkung für die VPN-User:
Ich möchte gerne, dass die VPN User auf einer bestimmten IP nur die Ports 80, 143, nutzen können.
Du hast ja bereits die Deny-All angesprochen. Für welche Richtung gilt diese? Innen nach Außen? Von außen nach innen ist doch per default alles zu.
Mir geht es ja lediglich um die VPN User. Kann man nicht eine Firewall Regel erstellen, die ich dann nur auf bestimmte VPN Accounts anwende?
Mein eigener VPN Account darf davon nämlich nicht betroffen sein. Sonst schließe ich mich ja selbst aus.

Würde mich wirklich freuen, wenn du mir nochmals helfen würdest.

Vielen Dank im Voraus.

Alforno
Bitte warten ..
Mitglied: k4p00d
24.04.2010 um 18:42 Uhr
1. Ja der Router kann in jedem Netz angesprochen werden. Aber der Router hat natürlich auch in jedem Netz eine eigene IP. Ist das Intranet 192.168.0.0 hat er da z.B. 192.168.0.1. Hat DMZ 192.168.254.1 kann er dort z.B. 192.168.254.234 haben. Welche du ihm in diesem Netz eben vergibst.

2. Das hängt vom Routing Tag ab. Routing Tag 0 ist sozusagen "root", von einem Netz mit diesem Tag kommt man in alle anderen Netze. Mit z.B. Tag 1,2,3,4 etc. kommt man nur in Netze die den selben Tag haben. Wenn du Intranet also Tag 1 gibst und DMZ Tag 2 sind diese getrennt. VLAN bleibt bei allen Tag 0.

3. In der Ausgangssituation verlässt sich der Router in Sachen Sicherheit auf NAT und IDS. Die Firewall musst du einrichten. Das einzig sinnvolle ist dabei eine Deny All. Diese gilt wenn du eine richtige Deny All Regel definierst logischerweise in beide Richtungen. Dann solltest du eben nur das freigeben was du auch wirklich brauchst. Auch von innen nach außen. Dabei kannst du verschiedenen Netzen und VPN Eiwnahlen ja unterschiedliche Rechte zuweisen.
Du kannst auch einzelne Regeln anlegen die bestimmten Netzen/Usern bestimmte Sachen verbieten. Das ist aber eine unsaubere Lösung und von daher Pfusch.

MfG

k4p00d
Bitte warten ..
Mitglied: Alforno
24.04.2010 um 19:37 Uhr
Danke Dir für die schnelle Antwort.

zu 1.
Dann habe ich es jetzt verstanden.

zu 2.
Im Prinzip verstanden, aber noche eine Frage dazu.
Die beiden Netze Internet und DMZ sind ja standardmäßig schon angelegt. Haben diese eine besondere Bedeutung. Oder kann ich die einfach für meine Zwecke bearbeiten.

zu 3.
Deiner Meinung nach lieber alles verbieten und dann sukzessive mit Regeln das Erlauben, was benötigt wird?
Hat das Verbot dann nicht eine höhere Priorität?

Kannst du mir ein Beispiel nennen, wie ich für einen VPN Benutzer eine Regel anlege?
Als Beispiel soll der VPN User "vpn01" nur Zugriff auf die IP-Adresse 192.168.2.130 haben und das Ganze nur auf den Port 80.

Auch wenn mein Beispiel nicht deinem Vorschlag entspricht, würde mich interessieren, wie man es einrichtet.
Ich habe vorher nur mi Draytek Routern gearbeitet und der Schritt zum Lancom ist ein großer.

Ich habe gesehen, dass es auf der Lancom Seite, bereits fertige Skripte gibt, mit denen man ein Firewallkonzept umsetzen kann.

Würde mich freuen, wenn du mir nochmals ein wenig helfen könntest.

Vielen Dank schonmal im Voraus.

mfg
Alforno
Bitte warten ..
Mitglied: k4p00d
24.04.2010 um 20:03 Uhr
2. Du kannst die beiden editieren wie du willst. Nur solltest du ihnen die Namen INTRANET und DMZ lassen. Man kann sie zwar löschen/umbenennen, aber damit habe ich bereits mehrmal schlechte erfahrungen gemacht.

3. Ja meiner Meinung nach nur erlauben was nötig ist.

Neue z.b. allow_vpnuser_to_intern Regel - Priorität 1 (deny-all hat ja 0), erkauben - von gegenstelle vpn01 (kann man auch mehrere eintragen) an intranet/192.168.x.x - unter Dienste dann unter Protokolle/Zieldienste deine Ports eintragen und fertig.

Ja die fertigen Skripte kann man verwenden, ich mache es lieber selber.

MfG

k4p00d
Bitte warten ..
Mitglied: Alforno
24.04.2010 um 22:09 Uhr
Nabend k4p00d,

ich wollte mich gerade an der Einrichtung der Netze versuchen.
Aber ich scheitere an Punkt 4 aus deinem 1. Beitrag.

Unter TCP/IP -> DHCP habe ich bereits zwei Einträge, nämlich INTRANET und DMZ. Soll ich da nun einen 3. Eintrag erstellen DMZ?
Oder einfach von DMZ den DHCP aktivieren? An dieser Stelle kann ich die Einträge aber nicht an die Schnittstellen binden.
Muss ich hier auch IP Pools festlegen?

Danke.

mfg
Alforno
Bitte warten ..
Mitglied: k4p00d
25.04.2010 um 09:56 Uhr
Du legst unter TCP/IP Netzwerke DMZ fest dass es ein Intranet ist, Tag 2, die IP Adresse des Routrs in diesem Netz sowie die Subnetzmaske und die Bindung an Lan-2.

Unter DHCP aktivierst du diesen für Lan-2. Unter DHCP Netzwerke trägst du dann bei DMZ alles einwie du es brauchst.

MfG

k4p00d
Bitte warten ..
Ähnliche Inhalte
Router & Routing
LANCOM 1711+VPN TCOM Einwahl
gelöst Frage von pzwopt19Router & Routing21 Kommentare

Hallo, habe hier einen LANCOM 1711+VPN. Bei der Einrichtung für den Zugang zum Internet über den Assistenten habe ich ...

LAN, WAN, Wireless
LANCOM VLAN mit HP Switch?
Frage von TBTuR0kLAN, WAN, Wireless1 Kommentar

Guten Abend liebe Admins, ich habe ein kleines Problem mit meinem aktuellen Projekt und weiß nach 3 Tagen rumprobieren ...

LAN, WAN, Wireless
Lancom AP an Mikrotik über VLAN
gelöst Frage von fredfredLAN, WAN, Wireless3 Kommentare

Hallo Forum, bin schon seit geraumer Zeit am rumprobieren von folgendem Szenario : Hardware : 1 Mikrotik RB2011 1 ...

Router & Routing
LANCOM WAN-VLAN: QoS wirksam?
Frage von C.R.S.Router & Routing

Hallo zusammen, ich habe einen Zwangsrouter durch einen LANCOM ersetzt und aus dieser Status-Anzeige des LANmonitor werde ich nun ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...