Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 4 subscribers
  • Views 14695 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Traffic zwischen VLANs

SteffenGohne

Hallo,


Umgebung:

Sophos UTM (Home-Lizeenz)

Mainboard mit 2 LAN Schnittstellen

LAN1 - eth0 - WAN

LAN2 - eth1 - VLAN1 und VLAN2

Jedes der VLANs hat einen eigenen DHCP Server mit anderem Adressbereich.

Die DHCP Zuweisungen funktionieren, die Clients aus beiden VLANs kommen ins Internet.

An welcher Stelle kann ich einstellen, dass die VLANs voneinander abgeschottet sind? Im Moment kann ich aus VLAN1 auf VLAN2 zugreifen.

Da das nur geht wenn die UTM am Switch angeschlossen ist, schließe ich eine Fehlkonfiguration des Switches aus.

Danke für den Denkanstoss.

Gruß Steffen



This thread was automatically locked due to age.
Parents
  • 0

    Welches Interface ist das "interne Interface? Was verstehst u unter "zugreifen"? ICMP? Prüfe die ICMP Konfiguration unter Networkprotection? HTTP & Co? Prüfe Deine Webproxy Konfiguration. Sonstiges? Welche Firewallregeln (PFL) gibt es?

  • 0 in reply to K.N.

    Hallo,

    ich hätte vielleicht doch ausführlicher werden sollen. Sorry. :-/
    Das interne Interface ist eth1. Dort sind 2 Interfaces vom Typ Ethernetet VLAN angelegt.
    Jedem dieser Interface ist eine eigen IP zugewiesen (192.168.1.1/24 bzw 192.168.2.1/24).

    Am angeschlossenen "Hauptswitch" sind die VLANs definiert- dort hängt je VLAN ein dedizierter Switch mit Drucker, NAS, Accesspoint und Clients dran.
    Je nachdem auf welchem Port des Hauptswitches die Geräte angeschlossen sind bekommen sie eine IP aus VLAN1 oder 2 und können die jeweiligen Ressourcen incl Internetzugang nutzen.
    Klappt auch mit allen WLAN Geräten wunderbar.
    Soweit sogut.

    Nicht so gut ist, dass jeder Client auch in das jeweils andere VLAN kommt. Ping, Netzwerkfreigaben, drucken - alles ist nutzbar.
    Dies soll alles verhindert werden. Es soll eine strikte Trennung geben. Kein Gerät aus VLAN1 darf irgendwas in VLAN2 sehen oder nutzen.
    Natürlich soll das auch andersherum genauso sein. Die einzige Gemeinsamkeit der VLANS soll der Internetzugriff sein.

    Was haben wir bis jetzt eingerichtet:
    NAT aus den VLANs nach Internet IPv4
    Web Filtering - beide VLANs (Network) in die Liste der allowed Netzwerke aufgenommen (Transparent mode)
    eigene Firewallregel für jedes VLAN (allow email, filetransfer, web surfing)

    Mehr ist noch nicht geschehen, weil da hörte es mit meinem/unseren Wissen auf.

    Was kann ich dir noch an Informationen geben?

    Gruß,
    Steffen & David

  • 0 in reply to DavidDanzer

    Ihr braucht für jedes VLAN ein Webfilterprofil, in dem dann das jeweils andere VLAN verboten wird. 

    Die Firewallregeln haben ANY als Ziel? Das würde auch die VLANs einschließen, also hier besser das Objekt Internet als Ziel nehmen.

    ICMP siehe meinen ersten Beitrag. Dort entsprechend dekonfigurieren.

  • 0 in reply to DavidDanzer

    Hi,

    eigentlich ist es Standard das man zwischen zwei VLANs nicht kommunizieren kann. Das Routing zwischen den beiden Netzen ist zwar vorhanden, aber erst wenn man die entsprechende Firewall Regel einrichtet ist ein Zugriff zwischen den VLANs möglich.

    Daher vermute ich wie meine Vorrednerin K.N. das ihr irgendwo eine Regel habt, die sowohl Intenet als auch den Zugriff zwischen den VLANs erlaubt, z.B. Internes Netzwerk VLAN A > Web,Email, Filetransfer > Any. Richtig wäre Internes Netzwerk VLAN A > Web,Email, Filetransfer > Internet IPv4. Das Ziel Internet IPv4 bezieht sich nur auf öffentliche Adressen, sprich Internet. Danach sollte der Zugriff zwischen den VLANs nicht mehr möglich sein.

    Gruß

    Jas Man

Reply
  • 0 in reply to DavidDanzer

    Hi,

    eigentlich ist es Standard das man zwischen zwei VLANs nicht kommunizieren kann. Das Routing zwischen den beiden Netzen ist zwar vorhanden, aber erst wenn man die entsprechende Firewall Regel einrichtet ist ein Zugriff zwischen den VLANs möglich.

    Daher vermute ich wie meine Vorrednerin K.N. das ihr irgendwo eine Regel habt, die sowohl Intenet als auch den Zugriff zwischen den VLANs erlaubt, z.B. Internes Netzwerk VLAN A > Web,Email, Filetransfer > Any. Richtig wäre Internes Netzwerk VLAN A > Web,Email, Filetransfer > Internet IPv4. Das Ziel Internet IPv4 bezieht sich nur auf öffentliche Adressen, sprich Internet. Danach sollte der Zugriff zwischen den VLANs nicht mehr möglich sein.

    Gruß

    Jas Man

Children
No Data
Cookie Information Banner