Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheit mit VLAN, aber wie einrichten?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: LLL0rd

LLL0rd (Level 1) - Jetzt verbinden

07.07.2013 um 01:00 Uhr, 3583 Aufrufe, 6 Kommentare, 1 Danke

Hallo Leute,

ich habe bei mir zu Hause einen Lancom GS-1224P Switch, der zumindest einigermaßen administrierbar ist. Ich war heute dabei, das Netzwerk etwas zu umzugestalten, doch leider verstehe ich die VLAN Geschichte nicht so ganz. Besonders dann, wenn es um WLAN APs geht.

Wenn ich es richtig verstanden habe, habe ich zwei Möglichkeiten, das Netzwerk in verschiedene Teile aufzuteilen. Einmal basierend auf dem Port und einmal auf dem Tag. Okay, wenn ich jetzt sage, dass der Port 1, 2 und 3 dem VLAN 1 gehören und Port 4, 5 und 6 dem VLAN 2 gehören, dann kann ein Rechner am Port 1 einen anderen am Port 6 nicht erreichen, bzw. muss dann einen Umweg über z.B. einen Router gehen. Einen anderen Weg gibt es nicht.

Beim Tag-Based Verfahren setzt der Rechner selbst ein VLAN Tag. Und wenn ich einfach die VLAN-Tags ändere, kann ich problemlos in ein anderes VLAN gehen, nichts hindert mich daran.

Doch wie sieht es jetzt aus, wenn ein WLAN-AP dazu kommt?

Bzw. ich schreibe das jetzt mal etwas anders. Ich hätte gerne bei mir drei Netze.

Netz 1 soll für meine Arbeit sein, in dem wichtige Geräte enthalten sind.
Netz 2 soll für die Familie sein, in dem z.B. ein Mediaserver läuft. In dem Fernseher, die Playstation, die Receiver, etc. sind.
Netz 3 soll für die Gäste sein, also wenn jemand mal bei mir online gehen will.

Zwischen diesen Netzen soll ein Router den Traffic regeln. Hätte ich jetzt nur kabelgebundene Ports, wäre alles kein Problem. Dann könnte ich die Netze einfach portbasierend aufteilen. Doch gerade Gästen möchte ich einen WLAN Zugang zur Verfügung stellen, ohne Verschlüsselung. Ich habe also beim WLAN Multi-SSID, wo jedes WLAN eine andere VLAN-ID bekommen soll.

Dann kann ich ja kein portbasiertes VLAN betreiben, sondern Tag-Based. Aber da kann dann der Client problemlos in mein inneres Netz eindringen, in dem er einfach die VLAN-ID ändert, mit der getagt wird. Oder verstehe ich es da falsch?
Mitglied: LordGurke
07.07.2013, aktualisiert um 02:02 Uhr
Zitat von LLL0rd:

Okay, wenn ich jetzt sage, dass der Port 1, 2 und 3 dem VLAN 1 gehören und
Port 4, 5 und 6 dem VLAN 2 gehören, dann kann ein Rechner am Port 1 einen anderen am Port 6 nicht erreichen, bzw. muss dann
einen Umweg über z.B. einen Router gehen. Einen anderen Weg gibt es nicht.

Korrekt, so ist das gedacht.


Beim Tag-Based Verfahren setzt der Rechner selbst ein VLAN Tag. Und wenn ich einfach die VLAN-Tags ändere, kann ich
problemlos in ein anderes VLAN gehen, nichts hindert mich daran.

Doch, der Switch.
Du musst dem Switchport normalerweise eine Liste mit VLANs mitgeben, in die er getagged hineindarf und aus denen er getaggete Daten empfängt. Macht ja auch keinen Sinn, wenn ein getaggeter Port hunderte Gigabit Traffic aus allen VLANs abbekommt den er garnicht haben will.
Steht das vom Rechner gesetzte VLAN-Tag nicht in der Liste der erlaubten VLANs verwirft der Switch die Pakete.

Ich habe also beim WLAN Multi-SSID, wo jedes WLAN eine andere VLAN-ID
bekommen soll.
Dann kann ich ja kein portbasiertes VLAN betreiben, sondern Tag-Based. Aber da kann dann der Client problemlos in mein inneres
Netz eindringen, in dem er einfach die VLAN-ID ändert, mit der getagt wird. Oder verstehe ich es da falsch?

Siehe oben, zusätzlich erzwingt der WLAN-AP aber ohnehin den von dir konfigurierten VLAN-Tag. Selbst wenn der Client da jetzt im Gast-WLAN hängt und mit VLAN 1 getaggete Pakete verschickt, überschreibt der AP sie mit dem für die betroffene SSID konfigurierten Wert.
Ein Paket kann nur für ein VLAN getagged sein und wenn der AP sagt, dass da jetzt VLAN 3 dranstehen muss, überschreibt er einen evtl. vorhandenen Wert oder verwirft das Paket direkt.
Bitte warten ..
Mitglied: MrNetman
07.07.2013, aktualisiert um 10:06 Uhr
Da fehlt ein grundlegender Ansatz:
VLAN-Ports sind prinzipiell immer ungetaggt und der Switch setzt das Tag, das er intern dann weiter verwendet und damit die Trennung der Netze realisiert.
Für einen Router, Uplink, oder WLAN-AP benötigst du einen getaggten Port, dort werden die Tags vonm Switch nicht entfernt. Deshalb kann das dort angeschlossene Gerät zwischen den Netzen unterscheiden. Der AP ist bei Multi-SSID auch an einem getaggten Port angeschlossen. Nur so kann er die Netze durchgängig unterschieden.

Spezialfall ungesichertes WLAN:
Das Gerät, das die Verbindungen zwischen den VLANs und auch zum Internet herstellt, sorgt für die Sicherheit. Dort müssen Regeln (ACL) für den Zugriff auf die anderen Netze hinterlegt werden. SO kann das Gast-WLAN eben nur ins Internet, während das Busieness-LAN auch auf das Privat-LAN zugreifen und ins Internet kann.

Wenn du auch sonst Lancom hast, sollte das problemlos gehen.

GRuß
Netman
Bitte warten ..
Mitglied: aqui
07.07.2013, aktualisiert um 10:44 Uhr
Die WLAN AP Geschichte mit Multi SSIDs ist in diesem Forumstutorial genau beschrieben im Kapitel "Praxisbeispiel":

http://www.administrator.de/contentid/110259

Im WLAN AP weist du im Setup jeder virtuellen SSID ein VLAN Tag zu. Mit diesem Tag landen dann die Pakete der jeweiligen SSIDs in einem separaten VLAN. So kannst du mehrere WLANs sauber trennen. Das obige "Praxisbeispiel" erläutert das wie bereits gesagt leicht verständlich !

Wie VLANs am Rechner selber mit Tagging übertragen werden erklärt dir dieses Tutorial:
http://www.administrator.de/contentid/58974
Im Grunde wird hier das Endgerät das VLAN Tags versenden kann mit den Paketen genau so angebunden wie der Multi SSID AP vom obigen Beispiel.
Das Prinzip wird damit schnell klar: Anhand des empfangenen VLAN Tags im Paket weiss der Switch ganz genau welchem VLAN er dieses Paket zuordnen muss.

Im Grunde behandelt das erste Tutorial ganz genau dein angestrebtes Szenario und erklärt auch die Zusammenhänge.
Hilfreich ist ggf. noch ein Grundkurs zum Thema VLAN wie dieser hier:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/

Mit dem Rüstzeug sollte dir schnell klar sein wie das alles zusammenspielt...
Bitte warten ..
Mitglied: LLL0rd
07.07.2013 um 23:34 Uhr
Danke euch für die Hilfe. Mit den Tutorials und etwas rumprobieren, habe ich es nun geschafft, das VLAN so einzurichten, wie ich es brauche.

Allerdings habe ich jetzt noch eine andere Frage. Wo ich nur kann, verwende ich dot1x, damit ich tatsächlich weiß, dass im Kabelgebundenen Netzwerk nur meine Devices angeschlossen sind. Der Switch authentifiziert die Rechner per EAP-TLS an einem Radius Server. Wenn ich es allerdings richtig verstanden habe, dann kann ich per Radius auch ein VLAN mitgeben.

Momentan ist es so, dass per angeschlossenem Rechner entschieden wird, in welchem VLAN ein Rechner landet. Mit dot1x wäre es aber anscheinend möglich, per Benutzer festzulegen, in welchem VLAN der Rechner landet. So könnte ich z.B. im Wohnzimmer an den Rechner gehen, mich einloggen und hätte dann Zugriff auf das Business (V)LAN.

Allerdings weiß ich nicht, ob der Switch, den ich habe, dieses Feature auch unterstützt. Wie nennt man das denn?
Bitte warten ..
Mitglied: MrNetman
08.07.2013 um 09:04 Uhr
Deine Vorgangsweise wäre nachvollziehbar - aber:

Wenn du mit einem PC bei 802.1x am Switch angemeldet bist, dann gibt es für den Switch keine Notwendigkeit dich wieder raus zu schmeißen. Bei einem Reboot wäre das anders.
Switchkonfigurationen ein VLAN mit zu geben funktioniert via SNMP set. Aber das ist für jeden Switch getrennt heraus (OID 3.1.6.1....) zu finden und via Skript auszuführen.
Im Switch selbst gitbt es solche Funktionen typischerweise nicht. 802.1x ist sogar überlistbar, wenn man am Switchport einen Dummswitch (nicht nmanagebar) dran hat. Dann kommt mit dem einen zugelassenen Gerät auch ein nicht zugelassenes Gerät ins Netz.

Gruß
Netman
Bitte warten ..
Mitglied: aqui
08.07.2013, aktualisiert um 12:35 Uhr
.@LLLord
Dieses Tutorial beschreibt dir genau wie du auch die VLANs am Switch dynamisch mit 802.1x am Port via Radius einstellst:

http://www.administrator.de/contentid/154402
Kapitel --> "Dynamische VLANs"
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
Frage zum Erzeugen eines portbasiertem VLAN (7)

Frage von presto-18 zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst VLAN Routing mit Netgear GS724Tv4 (8)

Frage von stpb10 zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Neuplanung Netzwerk mit VLAN, VOIP, Gästenetz (4)

Frage von GKKKAT zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...