Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Monowall VLAN Netze

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Andre2408

Andre2408 (Level 1) - Jetzt verbinden

18.01.2012, aktualisiert 18.10.2012, 4170 Aufrufe, 14 Kommentare

Folgende Aufgabenstellung die ich Lösen muss.

Wir haben eine M0n0wall mit verschiedenen VLAN`s . Funktioniert auch sehr gut.
Folgende VLAN sind verfügbar.

VLAN 5 = Bar
VLAN 10 = IT
VLAN 20 = VOIP

Leider haben wir einen externen Standort (BAR) der zwar mit VPN mit d. Hauptstandort verbunden ist , aber leider kann ich die Tagged Link nicht drüber schicken (Technich nicht möglich ohne mehrkosten)

Was möglich ist das ich zb. das VLAN 5 hinüberschicken kann. (untagged)

Auf d. externen Standort steht 1x Access Point und 1 x VOIP Telefon.

Der Betriebswirt sollte ins Internet kommen (VLAN5 )aber nicht auf zb. VLAN 10 oder 20. Das ist ja auch kein Problem.
Das Telefon sollte aber ins VLAN20. Der GF sollte aber irgendwie ins VLAN 10 kommen. (FileServer, Mail Server)

Wie kann ich das am besten lösen das dieses auch noch sicher ist.

Hat wer einen Vorschlag für mich ???

Danke
Mitglied: aqui
19.01.2012, aktualisiert 18.10.2012
Leider sind deine Ausführen etwas oberflächlich, sorry. Wichtig wäre zu wissen WER denn die VPN Verbindung realisiert ??
Macht das auch die Monowall wie hier beschrieben ??:
http://www.administrator.de/wissen/vpns-mit-dd-wrt%2c-m0n0wall-oder-pfs ...
oder statt PPTP mit IPsec:
http://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
Dann ist die Lösung kinderleicht !
Klar ist das du nicht das VLAN 5 transparent übertragen kannst, denn das würde eine MPLS Funktion mit VPLS Service vom Carrier erfordern zu erheblichen Mehrkosten wie du es auch richtigerweise schon angemerkt hast.
Wenn die Monowall das VPN Netz realisiert, dann routest du das remote Netzwerk (oder Client, wenn du keine LAN zu LAN Kopplung machst) ganz normal über den Tunnel. Das VPN Tunnel Interface taucht dann als separates Interface in der Monowall auf in den Firewall Regeln. Hier kannst du nun mit entsprechenden Regeln mit ein paar Mausklicks ganz genau festlegen wer was wohin machen darf.
Damit sind deine Anforderungen in 10 Minuten umgesetzt. Wo ist also wirklich dein Problem ?
Aber wie gesagt, da man nicht weiss WER das VPN macht ist eine sinnvolle Hilfestellung nicht möglich
Bitte warten ..
Mitglied: Andre2408
19.01.2012 um 12:59 Uhr
Hallo

Ups habe gerade d. Fehler gesehen.
nicht VPN sondern VLAN. Der Provider hat die 2 Standorte mittels VLAN verbunden.

Bez. wer und wie die VLAN zwischen d. Standorte verbindet ist ja eigentlich egal da es sowieso nur so geht. (ohne Mehrkosten lt. Provider)

Ja ich kann das VLAN 5 in die Bar schicken und diverse Regeln in der Monowall konfigurieren. Was ich natürlich nicht weiß ist ob man bei der Monowall MAC Adressen freischalten oder so kann. Ich möchte ja nur das zb 2 Rechner auf die Windows Freigabe (VLAN10) kommen.

Danke
Bitte warten ..
Mitglied: aqui
20.01.2012, aktualisiert 18.10.2012
OK, VLANs ist natürlich dann ein Kinderspiel, denn das supportet die Monowall ja problemlos:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Da das eh dann transparent vom provider übertragen wird brauchst du es ja dann nur an die MW anzuklemmen.
Die MW supportet keine Accesslisten auf Layer 2 Basis also auf MAC Adressen, nur ACLs auf Layer 3 als IP Ebene.
Du kannst also damit nicht innerhalb des VLANs den Zugang auf Mac Basis filtern das geht nicht.
Dafür benötigst du am besten einen managebaren Switch, die supporten in der Regel allesamt Layer 2 Filter auf Mac Adressbasis.
Bitte warten ..
Mitglied: Andre2408
20.01.2012 um 10:21 Uhr
Das heißt zusammengefasst

Ich kann zwar zwischen VLAN 5 und VLAN 10 diverse Regeln erstellen. (habe ich ja eh) Aber jeder PC der in VLAN 5 hängt kommt durch diese Regel in das VLAN 10.

Das mit d. managbaren Switch bringt mir ja auch nicht viel. Ich möchte ja nicht nur 2 PC ins VLAN 5 lassen sondern mehrere. Es sollte ja nur 2 PC die Berrechtigung haben das diese ins VLAN 10 dürfen. (das müßte die MW können was sie leider lt. deiner Aussage ja nicht kann) Schade

Danke
Bitte warten ..
Mitglied: aqui
20.01.2012 um 22:22 Uhr
Doch doch, das kann sie natürlich auf IP Basis, das ist doch ein Kinderspiel. In den FW Regeln stellst du dann nur diese beiden Host IP Adressen als Source ein und Destination eben die VLAN 10 IP Adresse. Ggf. noch die Ports selektieren wenn die beiden nur bestimmte Dienste nutzen sollen.
Analog trägst du das für mehrere auf dem VLAN 10 Interface ein für die anderen PCs.
Das ist in 2 Minuten in den FW Regeln eingerichtet...wo ist dein Problem ?!
Logisch das so eine Banalanforderung klappt mit der MW wenns auf IP Basis ist. Das ist ja genau der tiefere Sinn einer Firewall !
Bitte warten ..
Mitglied: Andre2408
22.01.2012 um 22:35 Uhr
Ja Super. Bin auf der Leitung gestanden. Oft sieht man d. Wald vor l. Bäumen nicht gg

Danke
Bitte warten ..
Mitglied: Andre2408
25.01.2012 um 15:18 Uhr
Eine Frage habe ich noch.
Ich habe die Regel erstellt und die 2 Clients kommen auch in das VLAN10 (Fileserver usw). Ist ja auch Ok.

Mailserver funkt nicht.

Wenn ich die E-Mail abfragen möchte dann komme ich nicht durch. (Mailserver steht auch im VLAN10)
Bei meinen Clients ist natürlich bei Posteingang und Postausgang zb. mail.meinserver.de eingetragen.

Wie kann ich v. VLAN5 über d. Namen (mail.meinserver.de) auf die Adresse zb. 172.16.10.85 routen. ???
Kann man das bei d. M0n0wall irgendwo einrichten.

Standart bei d. VLAN5 ist der DNS 172.16.5.1
und bei d. VLAN10 ist der DNS 172.16.10.80
Ich habe ja nur einen DNS Server im Netz stehen (VLAN10). Brauch ich i. VLAN5 auch einen eigenen Server

Ich hoffe ich habe das verständlich ausgedrückt.

Danke
Bitte warten ..
Mitglied: aqui
26.01.2012, aktualisiert 18.10.2012
Bedneke das die FW Regeln immer nur eingehend gelten also für reinkommende Pakete pro Interface !
Deshalb musst du die Logik richtig machen mit Source und Destination Adresse. Die Reihenfolge der Einträge in den Regeln ist auch relevant !
Ist eine Regel erfüllt werden die nachfolgenden nicht mehr ausgeführt ! Sog. "First match wins" Verhalten !
Bedenke auch das Pakete immer wieder den Weg rückwärts nehmen also muss auch der Antwortweg erlaubt sein !
Was oft vergessen wird. Wenn du mit Namen arbeitest musst du zwangsweise DNS zuerst durchlassen damit eine Auflösung in IPs möglich ist !
Ports checken bei Email, POP, IMAP und SMTP und vor allen Dingen deren Secure Variante Secure POP usw. !
Die Monowall ist nur Proxy DNS kann also keine aktive DNS Auflösung machen. Wenn du das musst, dann musst du die IP und Namen im Endgerät statisch angeben.
Wie das genau geht steht hier:
http://www.administrator.de/forum/xp-home-mit-2-kabelgebundenen-und-wla ...
Wenn du nur einen DNS hast, dann müssen die Clients in VLAN 5 dort logischerweise die 172.16.10.80 konfiguriert haben um die Namen richtig auflösen zu können !!
Das musst du zwingend ändern.
Der DNS in VLAN 10 hat dann ja wieder ein Weiterleitung auf die dortige FW IP 172.16.10.1 (geraten) eingetragen (hoffentlich ?!).
Damit reicht er dann alles weiter was er nicht selber lokal auflösen kann.
Nur so ist das richtig.
Denk dran das du dann auch DNS in den FW Regeln zw. VLAN 5 und 10 freigibts !!
Tip:
Immer ins FW Log sehen !! Dort steht ganz genau WAS in der FW hängenbleibt !! Das kannst du dann immer selektiv in den regeln anpassen !!
Bitte warten ..
Mitglied: Andre2408
28.01.2012 um 09:18 Uhr
Hallo aqui

Danke für deine sehr gute Beschreibung.
Das mit d. Regeln ist klar. "First match wins"

Mein Problem ist das diese Clients nicht nur in ein WLAN (VLAN5 Netz) einwählen sondern Weltweit unterwegs sind. Ich kann d. User nicht sagen das er sich (in der Bar) d. fixen DNS (172.16.10.80) einrichtet.

Das muss alles per DHCP funken. Ich dachte das es vielleicht bei der Monowall irgendwo einen Trick gibt wie ich das umgehen kann.

Besser wäre wahrscheinlich ein eigener DNS Server im VLAN 5. ODER

DAnke
Bitte warten ..
Mitglied: aqui
28.01.2012 um 22:56 Uhr
Das kannst du doch ganz einfach fixen indem du über den DHCP jeweils einen anderen DNS pro Segemnt vergibst.
Je nachdem welchen du für welches VLAN verwenden willst.
Was nicht geht ist in einem VLAN Segemtn unterschiedliche DNS automatisch vergeben lassen...wie sollte das auch gehen.
Bitte warten ..
Mitglied: Andre2408
28.01.2012 um 23:16 Uhr
Ja das stimmt schon. Ich habe aber in d. VLAN 5 d.DHCP von der Monowall eingeschaltet. Da kann ich keinen anderen DNS einrichten.

Bestand, VLAN. 10 DNS,DHCP Server
Bitte warten ..
Mitglied: Andre2408
06.03.2012 um 16:47 Uhr
Zitat von aqui:
Das kannst du doch ganz einfach fixen indem du über den DHCP jeweils einen anderen DNS pro Segemnt vergibst.


Aber das kann ich nicht über die M0n0wall oder ???

Da brauche ich einen eigenen DHCP Server oder ???
Bitte warten ..
Mitglied: Andre2408
06.03.2012 um 16:55 Uhr
Zitat von aqui:
Doch doch, das kann sie natürlich auf IP Basis, das ist doch ein Kinderspiel. In den FW Regeln stellst du dann nur diese
beiden Host IP Adressen als Source ein und Destination eben die VLAN 10 IP Adresse. Ggf. noch die Ports selektieren wenn die
beiden nur bestimmte Dienste nutzen sollen.
Analog trägst du das für mehrere auf dem VLAN 10 Interface ein für die anderen PCs.
Das ist in 2 Minuten in den FW Regeln eingerichtet...wo ist dein Problem ?!
Logisch das so eine Banalanforderung klappt mit der MW wenns auf IP Basis ist. Das ist ja genau der tiefere Sinn einer Firewall !


Da sehe ich auch noch ein kleines Problemchen.

Wenn der Client per Mac Adresse Authorisiert wird und eine IP Adresse bekommt zb. 172.16.5.40 und diese in der M0n0wall auch so konfiguriert wird (Regel -> VLAN 10) kommt dieser natürlich ins VLAN10.

Aber. Wie kann ich es verhindern wenn zb. ein Fremder auf seinen Notebook die IP 172.16.5.40 Statisch einträgt. ??? Dann kommt er auch auf die VLAN10 ??? In der Firewall Rule kann ich ja nur IP Adresse Auth. und nicht MAc Adresse oder .
Wäre ja sicherer oder ???
Bitte warten ..
Mitglied: aqui
07.03.2012, aktualisiert 18.10.2012
Ja, so könnte man das umgehen. Aber auch eine Mac Adresse kannst du ganz einfach genau so fälschen. Genug Potential ist da immer.
Wenn du das ganz wasserdicht machen willst lässt du nur authentisierte Clients in dein Netzwerk:
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...
Anders ist das mit einer nur Firewall Umgebung nicht zu machen !
Zusätzlich zur IP kannst du noch den Port angeben und dann die FW Regel wenigstens noch auf den Dienst einschränken zusätzlich (das hattest du oben vergessen !)
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Fritzbox 7490 an Monowall mit VLAN
gelöst Frage von zahniRouter & Routing9 Kommentare

Hallo zusammen, bei uns wurde gestern DSL + ISDN auf IP umgestellt: Hatte deshalb schon mal einen Thread eröffnet ...

LAN, WAN, Wireless
Keine Verbindung über Monowall VLAN mit Cisco Switch
Frage von ph0rl2LAN, WAN, Wireless5 Kommentare

Hallo zusammen, also erst einmal vorweg: Dies sind meine ersten Gehversuche mit einem managerbaren Switch und VLANs. Für ein ...

LAN, WAN, Wireless
Getrennte Netze durch Vlan
Frage von Santa-ClausLAN, WAN, Wireless10 Kommentare

Hallo, ich versuche das Problem mal kurz zu schildern, momentan ist es ein reines Gedankenkonstrukt: Es gibt das normale ...

Netzwerke
Getrennte Netze durch VLAn realisieren
Frage von fritte87Netzwerke15 Kommentare

Hallo zusammen, bin neu hier im Forum und hab gerade irgendwie ein Knoten im Kopf. Folgende Situation: Großes Haus, ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 4 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 9 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 9 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 21 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Windows Server
Remotesteuerung der Sitzung (Kennung XX) fehlgeschlagen
gelöst Frage von Stefan91Windows Server14 Kommentare

Hallo Zusammen, seit kurzem bekomme ich oben genannte Fehlermeldung, wenn ich versuche eine Remotesitzung über den Taskmanager fernzusteuern (Rechtsklick ...