Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Monowall VLAN Netze

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Andre2408

Andre2408 (Level 1) - Jetzt verbinden

18.01.2012, aktualisiert 18.10.2012, 4116 Aufrufe, 14 Kommentare

Folgende Aufgabenstellung die ich Lösen muss.

Wir haben eine M0n0wall mit verschiedenen VLAN`s . Funktioniert auch sehr gut.
Folgende VLAN sind verfügbar.

VLAN 5 = Bar
VLAN 10 = IT
VLAN 20 = VOIP

Leider haben wir einen externen Standort (BAR) der zwar mit VPN mit d. Hauptstandort verbunden ist , aber leider kann ich die Tagged Link nicht drüber schicken (Technich nicht möglich ohne mehrkosten)

Was möglich ist das ich zb. das VLAN 5 hinüberschicken kann. (untagged)

Auf d. externen Standort steht 1x Access Point und 1 x VOIP Telefon.

Der Betriebswirt sollte ins Internet kommen (VLAN5 )aber nicht auf zb. VLAN 10 oder 20. Das ist ja auch kein Problem.
Das Telefon sollte aber ins VLAN20. Der GF sollte aber irgendwie ins VLAN 10 kommen. (FileServer, Mail Server)

Wie kann ich das am besten lösen das dieses auch noch sicher ist.

Hat wer einen Vorschlag für mich ???

Danke
Mitglied: aqui
19.01.2012, aktualisiert 18.10.2012
Leider sind deine Ausführen etwas oberflächlich, sorry. Wichtig wäre zu wissen WER denn die VPN Verbindung realisiert ??
Macht das auch die Monowall wie hier beschrieben ??:
http://www.administrator.de/wissen/vpns-mit-dd-wrt%2c-m0n0wall-oder-pfs ...
oder statt PPTP mit IPsec:
http://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
Dann ist die Lösung kinderleicht !
Klar ist das du nicht das VLAN 5 transparent übertragen kannst, denn das würde eine MPLS Funktion mit VPLS Service vom Carrier erfordern zu erheblichen Mehrkosten wie du es auch richtigerweise schon angemerkt hast.
Wenn die Monowall das VPN Netz realisiert, dann routest du das remote Netzwerk (oder Client, wenn du keine LAN zu LAN Kopplung machst) ganz normal über den Tunnel. Das VPN Tunnel Interface taucht dann als separates Interface in der Monowall auf in den Firewall Regeln. Hier kannst du nun mit entsprechenden Regeln mit ein paar Mausklicks ganz genau festlegen wer was wohin machen darf.
Damit sind deine Anforderungen in 10 Minuten umgesetzt. Wo ist also wirklich dein Problem ?
Aber wie gesagt, da man nicht weiss WER das VPN macht ist eine sinnvolle Hilfestellung nicht möglich
Bitte warten ..
Mitglied: Andre2408
19.01.2012 um 12:59 Uhr
Hallo

Ups habe gerade d. Fehler gesehen.
nicht VPN sondern VLAN. Der Provider hat die 2 Standorte mittels VLAN verbunden.

Bez. wer und wie die VLAN zwischen d. Standorte verbindet ist ja eigentlich egal da es sowieso nur so geht. (ohne Mehrkosten lt. Provider)

Ja ich kann das VLAN 5 in die Bar schicken und diverse Regeln in der Monowall konfigurieren. Was ich natürlich nicht weiß ist ob man bei der Monowall MAC Adressen freischalten oder so kann. Ich möchte ja nur das zb 2 Rechner auf die Windows Freigabe (VLAN10) kommen.

Danke
Bitte warten ..
Mitglied: aqui
20.01.2012, aktualisiert 18.10.2012
OK, VLANs ist natürlich dann ein Kinderspiel, denn das supportet die Monowall ja problemlos:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Da das eh dann transparent vom provider übertragen wird brauchst du es ja dann nur an die MW anzuklemmen.
Die MW supportet keine Accesslisten auf Layer 2 Basis also auf MAC Adressen, nur ACLs auf Layer 3 als IP Ebene.
Du kannst also damit nicht innerhalb des VLANs den Zugang auf Mac Basis filtern das geht nicht.
Dafür benötigst du am besten einen managebaren Switch, die supporten in der Regel allesamt Layer 2 Filter auf Mac Adressbasis.
Bitte warten ..
Mitglied: Andre2408
20.01.2012 um 10:21 Uhr
Das heißt zusammengefasst

Ich kann zwar zwischen VLAN 5 und VLAN 10 diverse Regeln erstellen. (habe ich ja eh) Aber jeder PC der in VLAN 5 hängt kommt durch diese Regel in das VLAN 10.

Das mit d. managbaren Switch bringt mir ja auch nicht viel. Ich möchte ja nicht nur 2 PC ins VLAN 5 lassen sondern mehrere. Es sollte ja nur 2 PC die Berrechtigung haben das diese ins VLAN 10 dürfen. (das müßte die MW können was sie leider lt. deiner Aussage ja nicht kann) Schade

Danke
Bitte warten ..
Mitglied: aqui
20.01.2012 um 22:22 Uhr
Doch doch, das kann sie natürlich auf IP Basis, das ist doch ein Kinderspiel. In den FW Regeln stellst du dann nur diese beiden Host IP Adressen als Source ein und Destination eben die VLAN 10 IP Adresse. Ggf. noch die Ports selektieren wenn die beiden nur bestimmte Dienste nutzen sollen.
Analog trägst du das für mehrere auf dem VLAN 10 Interface ein für die anderen PCs.
Das ist in 2 Minuten in den FW Regeln eingerichtet...wo ist dein Problem ?!
Logisch das so eine Banalanforderung klappt mit der MW wenns auf IP Basis ist. Das ist ja genau der tiefere Sinn einer Firewall !
Bitte warten ..
Mitglied: Andre2408
22.01.2012 um 22:35 Uhr
Ja Super. Bin auf der Leitung gestanden. Oft sieht man d. Wald vor l. Bäumen nicht gg

Danke
Bitte warten ..
Mitglied: Andre2408
25.01.2012 um 15:18 Uhr
Eine Frage habe ich noch.
Ich habe die Regel erstellt und die 2 Clients kommen auch in das VLAN10 (Fileserver usw). Ist ja auch Ok.

Mailserver funkt nicht.

Wenn ich die E-Mail abfragen möchte dann komme ich nicht durch. (Mailserver steht auch im VLAN10)
Bei meinen Clients ist natürlich bei Posteingang und Postausgang zb. mail.meinserver.de eingetragen.

Wie kann ich v. VLAN5 über d. Namen (mail.meinserver.de) auf die Adresse zb. 172.16.10.85 routen. ???
Kann man das bei d. M0n0wall irgendwo einrichten.

Standart bei d. VLAN5 ist der DNS 172.16.5.1
und bei d. VLAN10 ist der DNS 172.16.10.80
Ich habe ja nur einen DNS Server im Netz stehen (VLAN10). Brauch ich i. VLAN5 auch einen eigenen Server

Ich hoffe ich habe das verständlich ausgedrückt.

Danke
Bitte warten ..
Mitglied: aqui
26.01.2012, aktualisiert 18.10.2012
Bedneke das die FW Regeln immer nur eingehend gelten also für reinkommende Pakete pro Interface !
Deshalb musst du die Logik richtig machen mit Source und Destination Adresse. Die Reihenfolge der Einträge in den Regeln ist auch relevant !
Ist eine Regel erfüllt werden die nachfolgenden nicht mehr ausgeführt ! Sog. "First match wins" Verhalten !
Bedenke auch das Pakete immer wieder den Weg rückwärts nehmen also muss auch der Antwortweg erlaubt sein !
Was oft vergessen wird. Wenn du mit Namen arbeitest musst du zwangsweise DNS zuerst durchlassen damit eine Auflösung in IPs möglich ist !
Ports checken bei Email, POP, IMAP und SMTP und vor allen Dingen deren Secure Variante Secure POP usw. !
Die Monowall ist nur Proxy DNS kann also keine aktive DNS Auflösung machen. Wenn du das musst, dann musst du die IP und Namen im Endgerät statisch angeben.
Wie das genau geht steht hier:
http://www.administrator.de/forum/xp-home-mit-2-kabelgebundenen-und-wla ...
Wenn du nur einen DNS hast, dann müssen die Clients in VLAN 5 dort logischerweise die 172.16.10.80 konfiguriert haben um die Namen richtig auflösen zu können !!
Das musst du zwingend ändern.
Der DNS in VLAN 10 hat dann ja wieder ein Weiterleitung auf die dortige FW IP 172.16.10.1 (geraten) eingetragen (hoffentlich ?!).
Damit reicht er dann alles weiter was er nicht selber lokal auflösen kann.
Nur so ist das richtig.
Denk dran das du dann auch DNS in den FW Regeln zw. VLAN 5 und 10 freigibts !!
Tip:
Immer ins FW Log sehen !! Dort steht ganz genau WAS in der FW hängenbleibt !! Das kannst du dann immer selektiv in den regeln anpassen !!
Bitte warten ..
Mitglied: Andre2408
28.01.2012 um 09:18 Uhr
Hallo aqui

Danke für deine sehr gute Beschreibung.
Das mit d. Regeln ist klar. "First match wins"

Mein Problem ist das diese Clients nicht nur in ein WLAN (VLAN5 Netz) einwählen sondern Weltweit unterwegs sind. Ich kann d. User nicht sagen das er sich (in der Bar) d. fixen DNS (172.16.10.80) einrichtet.

Das muss alles per DHCP funken. Ich dachte das es vielleicht bei der Monowall irgendwo einen Trick gibt wie ich das umgehen kann.

Besser wäre wahrscheinlich ein eigener DNS Server im VLAN 5. ODER

DAnke
Bitte warten ..
Mitglied: aqui
28.01.2012 um 22:56 Uhr
Das kannst du doch ganz einfach fixen indem du über den DHCP jeweils einen anderen DNS pro Segemnt vergibst.
Je nachdem welchen du für welches VLAN verwenden willst.
Was nicht geht ist in einem VLAN Segemtn unterschiedliche DNS automatisch vergeben lassen...wie sollte das auch gehen.
Bitte warten ..
Mitglied: Andre2408
28.01.2012 um 23:16 Uhr
Ja das stimmt schon. Ich habe aber in d. VLAN 5 d.DHCP von der Monowall eingeschaltet. Da kann ich keinen anderen DNS einrichten.

Bestand, VLAN. 10 DNS,DHCP Server
Bitte warten ..
Mitglied: Andre2408
06.03.2012 um 16:47 Uhr
Zitat von aqui:
Das kannst du doch ganz einfach fixen indem du über den DHCP jeweils einen anderen DNS pro Segemnt vergibst.


Aber das kann ich nicht über die M0n0wall oder ???

Da brauche ich einen eigenen DHCP Server oder ???
Bitte warten ..
Mitglied: Andre2408
06.03.2012 um 16:55 Uhr
Zitat von aqui:
Doch doch, das kann sie natürlich auf IP Basis, das ist doch ein Kinderspiel. In den FW Regeln stellst du dann nur diese
beiden Host IP Adressen als Source ein und Destination eben die VLAN 10 IP Adresse. Ggf. noch die Ports selektieren wenn die
beiden nur bestimmte Dienste nutzen sollen.
Analog trägst du das für mehrere auf dem VLAN 10 Interface ein für die anderen PCs.
Das ist in 2 Minuten in den FW Regeln eingerichtet...wo ist dein Problem ?!
Logisch das so eine Banalanforderung klappt mit der MW wenns auf IP Basis ist. Das ist ja genau der tiefere Sinn einer Firewall !


Da sehe ich auch noch ein kleines Problemchen.

Wenn der Client per Mac Adresse Authorisiert wird und eine IP Adresse bekommt zb. 172.16.5.40 und diese in der M0n0wall auch so konfiguriert wird (Regel -> VLAN 10) kommt dieser natürlich ins VLAN10.

Aber. Wie kann ich es verhindern wenn zb. ein Fremder auf seinen Notebook die IP 172.16.5.40 Statisch einträgt. ??? Dann kommt er auch auf die VLAN10 ??? In der Firewall Rule kann ich ja nur IP Adresse Auth. und nicht MAc Adresse oder .
Wäre ja sicherer oder ???
Bitte warten ..
Mitglied: aqui
07.03.2012, aktualisiert 18.10.2012
Ja, so könnte man das umgehen. Aber auch eine Mac Adresse kannst du ganz einfach genau so fälschen. Genug Potential ist da immer.
Wenn du das ganz wasserdicht machen willst lässt du nur authentisierte Clients in dein Netzwerk:
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...
Anders ist das mit einer nur Firewall Umgebung nicht zu machen !
Zusätzlich zur IP kannst du noch den Port angeben und dann die FW Regel wenigstens noch auf den Dienst einschränken zusätzlich (das hattest du oben vergessen !)
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerke
Getrennte Netze durch VLAn realisieren (15)

Frage von fritte87 zum Thema Netzwerke ...

Netzwerkgrundlagen
gelöst Vlan Routing Pfsense APU2 vs L3 (6)

Frage von TimMayer zum Thema Netzwerkgrundlagen ...

LAN, WAN, Wireless
Frage zum Erzeugen eines portbasiertem VLAN (7)

Frage von presto-18 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...