Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 25 subscribers
  • Views 4121 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Internetzugriff aus VLAN - Firewallregel

sschacht
Hallo,

da ich nun meine erste Astarobox weitestgehend konfiguriert habe, habe ich noch ein kleines Problem:

Ich habe mehre VLANs (10,20,50) eingerichtet, die als eigene Schnittstellen aufgeführt sind.  
Nun möchte ich, dass VLAN 50 ins Internet Daten senden kann, aber nicht in die anderen VLANs kommt.

Unter Network Security Firewall habe ich nun eine Regel eingerichtet:
VLAN 50 (Network) -> ANY -> External WAN (Network)

External WAN ist das Netzwerk zu meiner Fritz.Box (Kabelmodem DHCP). NAT und DNS habe ich gepflegt.

Mittels dieser Regel bekomme ich aber ständig "Default Drops" im Live-Protokoll der Firewall. 

Ändere ich die Regel in

VLAN 50 (Network) -> ANY -> ANY

funktioniert es einwandfrei. Ich bekomme dann aber auch Zugriff auf die anderen VLANs, was ich nicht möchte.

Jetzt weiß ich leider nicht wie ich es hinbekomme, dass ANY gleich alles im Internet aber nicht die internen VLANs ist.
Kann mir hier jemand einen Tipp geben?

Grüße und Danke
Ralf


This thread was automatically locked due to age.
Parents
  • 0
    Hallo,

    da ich nun meine erste Astarobox weitestgehend konfiguriert habe, habe ich noch ein kleines Problem:

    Ich habe mehre VLANs (10,20,50) eingerichtet, die als eigene Schnittstellen aufgeführt sind.  
    Nun möchte ich, dass VLAN 50 ins Internet Daten senden kann, aber nicht in die anderen VLANs kommt.

    Unter Network Security Firewall habe ich nun eine Regel eingerichtet:
    VLAN 50 (Network) -> ANY -> External WAN (Network)
    External WAN ist das Netzwerk zu meiner Fritz.Box (Kabelmodem DHCP). NAT und DNS habe ich gepflegt.

    Mittels dieser Regel bekomme ich aber ständig "Default Drops" im Live-Protokoll der Firewall. 

    Das ist kein Fehler, das bedeutet nur die Firewall hat ein Paket gedropped welches du nicht explizit in deinen Regeln aufführst. 

    Um das nicht über den Default zu machen musst du 2 Regeln anlegen:

    1 Allow: VLAN 50 (Network) -> ANY -> External WAN (Network)
    2 Deny: VLAN 50 (Network) -> ANY -> ANY



    Ändere ich die Regel in

    VLAN 50 (Network) -> ANY -> ANY

    funktioniert es einwandfrei. Wohl eher nicht...

    Ich bekomme dann aber auch Zugriff auf die anderen VLANs, was ich nicht möchte. Ist klar, schreibst du ja in der Regel... Clients aus VLAN 50 dürfen überall (ANY) rumturnen.

    Jetzt weiß ich leider nicht wie ich es hinbekomme, dass ANY gleich alles im Internet aber nicht die internen VLANs ist.
    Kann mir hier jemand einen Tipp geben?

    Grüße und Danke
    Ralf

    sdffd df fdgdf gdg dsfg sdfg
    ***x
Reply
  • 0
    Hallo,

    da ich nun meine erste Astarobox weitestgehend konfiguriert habe, habe ich noch ein kleines Problem:

    Ich habe mehre VLANs (10,20,50) eingerichtet, die als eigene Schnittstellen aufgeführt sind.  
    Nun möchte ich, dass VLAN 50 ins Internet Daten senden kann, aber nicht in die anderen VLANs kommt.

    Unter Network Security Firewall habe ich nun eine Regel eingerichtet:
    VLAN 50 (Network) -> ANY -> External WAN (Network)
    External WAN ist das Netzwerk zu meiner Fritz.Box (Kabelmodem DHCP). NAT und DNS habe ich gepflegt.

    Mittels dieser Regel bekomme ich aber ständig "Default Drops" im Live-Protokoll der Firewall. 

    Das ist kein Fehler, das bedeutet nur die Firewall hat ein Paket gedropped welches du nicht explizit in deinen Regeln aufführst. 

    Um das nicht über den Default zu machen musst du 2 Regeln anlegen:

    1 Allow: VLAN 50 (Network) -> ANY -> External WAN (Network)
    2 Deny: VLAN 50 (Network) -> ANY -> ANY



    Ändere ich die Regel in

    VLAN 50 (Network) -> ANY -> ANY

    funktioniert es einwandfrei. Wohl eher nicht...

    Ich bekomme dann aber auch Zugriff auf die anderen VLANs, was ich nicht möchte. Ist klar, schreibst du ja in der Regel... Clients aus VLAN 50 dürfen überall (ANY) rumturnen.

    Jetzt weiß ich leider nicht wie ich es hinbekomme, dass ANY gleich alles im Internet aber nicht die internen VLANs ist.
    Kann mir hier jemand einen Tipp geben?

    Grüße und Danke
    Ralf

    sdffd df fdgdf gdg dsfg sdfg
    ***x
Children
No Data