Traffic zwischen VLANs

Welches Interface ist das "interne Interface? Was verstehst u unter "zugreifen"? ICMP? Prüfe die ICMP Konfiguration unter Networkprotection? HTTP & Co? Prüfe Deine Webproxy Konfiguration. Sonstiges? Welche Firewallregeln (PFL) gibt es?

Hallo,

ich hätte vielleicht doch ausführlicher werden sollen. Sorry. :-/
Das interne Interface ist eth1. Dort sind 2 Interfaces vom Typ Ethernetet VLAN angelegt.
Jedem dieser Interface ist eine eigen IP zugewiesen (192.168.1.1/24 bzw 192.168.2.1/24).

Am angeschlossenen "Hauptswitch" sind die VLANs definiert- dort hängt je VLAN ein dedizierter Switch mit Drucker, NAS, Accesspoint und Clients dran.
Je nachdem auf welchem Port des Hauptswitches die Geräte angeschlossen sind bekommen sie eine IP aus VLAN1 oder 2 und können die jeweiligen Ressourcen incl Internetzugang nutzen.
Klappt auch mit allen WLAN Geräten wunderbar.
Soweit sogut.

Nicht so gut ist, dass jeder Client auch in das jeweils andere VLAN kommt. Ping, Netzwerkfreigaben, drucken - alles ist nutzbar.
Dies soll alles verhindert werden. Es soll eine strikte Trennung geben. Kein Gerät aus VLAN1 darf irgendwas in VLAN2 sehen oder nutzen.
Natürlich soll das auch andersherum genauso sein. Die einzige Gemeinsamkeit der VLANS soll der Internetzugriff sein.

Was haben wir bis jetzt eingerichtet:
NAT aus den VLANs nach Internet IPv4
Web Filtering - beide VLANs (Network) in die Liste der allowed Netzwerke aufgenommen (Transparent mode)
eigene Firewallregel für jedes VLAN (allow email, filetransfer, web surfing)

Mehr ist noch nicht geschehen, weil da hörte es mit meinem/unseren Wissen auf.

Was kann ich dir noch an Informationen geben?

Gruß,
Steffen & David

Ihr braucht für jedes VLAN ein Webfilterprofil, in dem dann das jeweils andere VLAN verboten wird. 

Die Firewallregeln haben ANY als Ziel? Das würde auch die VLANs einschließen, also hier besser das Objekt Internet als Ziel nehmen.

ICMP siehe meinen ersten Beitrag. Dort entsprechend dekonfigurieren.

Hi,

eigentlich ist es Standard das man zwischen zwei VLANs nicht kommunizieren kann. Das Routing zwischen den beiden Netzen ist zwar vorhanden, aber erst wenn man die entsprechende Firewall Regel einrichtet ist ein Zugriff zwischen den VLANs möglich.

Daher vermute ich wie meine Vorrednerin K.N. das ihr irgendwo eine Regel habt, die sowohl Intenet als auch den Zugriff zwischen den VLANs erlaubt, z.B. Internes Netzwerk VLAN A > Web,Email, Filetransfer > Any. Richtig wäre Internes Netzwerk VLAN A > Web,Email, Filetransfer > Internet IPv4. Das Ziel Internet IPv4 bezieht sich nur auf öffentliche Adressen, sprich Internet. Danach sollte der Zugriff zwischen den VLANs nicht mehr möglich sein.

Gruß

Jas Man

"Ihr braucht für jedes VLAN ein Webfilterprofil, in dem dann das jeweils andere VLAN verboten wird. "

Ich habe die Stelle gefunden, an der ich Profile einrichten kann, aber ich finde nicht den Punkt an der ich etwas "verbieten" kann. Kannst du das bitte etwas näher erläutern? (ein Screenshot wäre hilfreich)

Danke,

Steffen

"Ihr braucht für jedes VLAN ein Webfilterprofil, in dem dann das jeweils andere VLAN verboten wird. "

Ich habe die Stelle gefunden, an der ich Profile einrichten kann, aber ich finde nicht den Punkt an der ich etwas "verbieten" kann. Kannst du das bitte etwas näher erläutern? (ein Screenshot wäre hilfreich)

Danke,

Steffen

Dein VLAN1 hat die VLAN ID 1 tagged, also die default VLAN ID? Ich hoffe, es ist eine sprachliche Hürde, wenn Du schreibst, dass das zweite VLAN Interface analog zum ersten konfiguriert ist und eben nicht die gleiche ID hat? Hier solltest Du zwingend die Portkonfiguration am Hauptswitch prüfen, wenn die VLANs dort miteinander kommunizieren können.

Und entgegen meiner Überzeugung spendieren ich tatsächlich einen Screenshot und einen Rat: Im Handbuch steht der Webfilter gut beschrieben.

@K.N.: Zwei VLA Ns mit gleicher ID lassen sich nicht auf der UTM einrichten. Von daher kann es nicht sein das beide die gleiche ID haben.

Auch wenn der Switch auf Layer 2 falsch konfiguriert ist (beide VLANs auf allen Ports) könnten die Clients nicht von VLAN1 auf VLAN2 zugreifen, da es zwei unterschiedliche Subnetze sind. Irgendwas muss ja dazwischen routen. Und da Steffen schreibt, dass der Zugriff nicht mehr klappt, sobald er die UTM abklemmt kann es nur die UTM sein.

Das einrichten des WebProxys macht momentan keinen Sinn. Das könnte man später einrichten wenn das Problem an sich gelöst wurde.

Aber grad stehe ich auch etwas auf'm Schlauch.
Wenn der Aufbau so ist, wie Du es hier beschreibst, dann hat die UTM nur einen Uplink zum Hauptswitch. Wird dieser getrennt, dann funzt der Zugriff zwischen den VLANs nicht mehr. D.h. die UTM macht das Routing, und erlaubt außerdem noch den Zugriff zwischen den VLANs. Das ist die Situation.

Siehst Du denn die Zugriffe im LiveLog der Firewall? Wenn Du für alle Regeln das Logging aktiviert hast, dann müsste man da sehen welche Regel den Zugriff erlaubt. Der Screenshot der Regeln sieht zwar gut aus, aber ich vermute das Problem immer noch bei den Firewall Regeln.

EDIT: Ich sehe grad das Du über einen Zugriff auf den Webserver im VLAN1 schreibst. Vorher ging es auch um Zugriffe auf Netzwerkfreigaben, Drucker, etc. Wenn es nur noch um die Webserver-Zugriffe geht, dann wird der Zugriff vermutlich durch den WebProxy erlaubt. Den kann man testweise mal abschalten um zu schauen, ob der Zugriff dann nicht mehr funktioniert. Theoretisch könnten auch die anderen Services über den Proxy laufen, wenn man die Dienste explizit im Proxy hinzugefügt hat. Wobei ich das für recht unwahrscheinlich halte. Aber ein Versuch ist es Wert.