WLan-Gastnetz

[ITasv]

Hallo zusammen,

wir brauchen im Betrieb ein Gastnetz für unser WLan. Ich habe zu dem Thema recherchiert und es sieht so aus, als wäre die flexibelste Lösung ein WLan-Router mit VLAN-Funktion.

Dieser Router soll dann auch als DHCP für das Gastnetz funktionieren. Ich bin sicher, dass ein entsprechender Router diese Funktion erfüllt, allerdings weiß ich nicht, wie ich dann verhindern kann, dass der DHCP nicht auch Adressen an unsere Arbeitsplatzrechner verteilt.

Das Ergebnis soll hinterher so aussehen, dass wir drei Netzwerke haben:

1. Kabelnetzwerk (nur Mitarbeiter; uneingeschränkt)

2. WLan (nur Mitarbeiter; uneingeschränkt)

3. WLan (für Gäste und Privatgeräte [smartphones etc.]; nur Internet)

Meine Fragen:

- Wie kann ich die DHCPs trennen?

- Welcher Router käme in Frage?

- Ist ein Budget von bis zu 200 Euro ausreichend? Der Router sollte alle notwendigen Funktionen erfüllen und mit handelsüblichen APs erweiterbar sein.

Schönes Wochenende

ITasv

[pcpeasant]

gut dass Du noch den Sollzustand angegeben hast, denn dein erster Satz klingt irgendwie komisch

Du benötigst hier kein VLAN (es sei denn die IP-Adressen die im Gast-Netz genutzt werden, sollen im gleichen Bereich sein wie die im Mitarbeiternetz).

Die günstigste Variante wäre wahrscheinlich einen Rechner zum Access Point umzufunktionieren. Dazu bräuchte dieser natürlich eine WIFI/WLAN-Karte und eine Software á la Connectify. Wenn es wirklich ein Hardware-Router sein soll, dann recht eigentlich schon was einfaches von Bintec/Funkwerk.

Schreib doch mal wie die Ausgangslage ist... was besteht schon ? Habt ihr schon einen oder mehrere AccessPoints im Einsatz ?

[axxis]

Moin,

wenn es nur um ein WLAN für deine Gäste geht, dann kannst du das zwar mit einem separaten VLAN abfackeln, wenn dein Switch, an dem der Router/AP dann hängt jedoch DHCP Snooping kann, brauchst du das nicht zwingend.

Leider habe ich 0 Überblick, ob es z.B. WLAN-APs gibt, die mehrere SSIDs zu je einem VLAN zuordnen können, das wäre wohl der Königsweg, wenn du auch noch Internen das Funknetz anbieten willst.

Edit: Scheints zu geben

http://www.heise.de/netze/meldung/Multi-SSID-taugliche-WLAN-Basisstation-970797.html

Bearbeitet 11. November 2011 von axxis

[ITasv]

Hi,

danke für eure Antworten. Wir haben momentan nur einen 3com OfficeConnect Wireless 11g Access Point, der tut also erstmal nicht so viel zur Sache.

V1RTU4L: Wir wollen dafür nicht extra einen Rechner einrichten.

axxis: Der Accesspoint bietet doch gar keinen DHCP-Server; das hilft uns doch dann nicht?!?

Also um meine Frage nochmal zu verdeutlichen: Wie kann ich es bewerkstelligen, dass der DHCP-Dienst des Routers die DHCP-Offers ausschließlich an das WLan überträgt? Welcher Router kann das?

Gruß

ITasv

[axxis]

Das war nur exemplarisch, dass du Multi-SSID mit separaten VLANs machen kannst.

Zu deiner Frage: Wenn deine Switche, an welchen die oder der AP hängt, DHCP Snooping kann, dann verbietest du dem AP-Port einfach, DHCP Offers rauszuschicken.

[Crash2001]

Schau dir mal einen Linksys E3000 an. Der sollte eigentlich alles können, was du benötigst. Diesen als einfachen Router benutzen anstatt als DSL-Zugang und gut ists.

Er kann auch mehrere SSIDs verwalten (ich glaube zwei) und separiert diese beiden Netze komplett voneinander.

Ansonsten einfach zwei WLAN-Router nehmen. Einen fürs Gast-WLAN und einen fürs Mitarbeiter-WLAN.

[ITasv]

Zu deiner Frage: Wenn deine Switche, an welchen die oder der AP hängt, DHCP Snooping kann, dann verbietest du dem AP-Port einfach, DHCP Offers rauszuschicken.

Kann man das selektiv?

With DHCP snooping, only a whitelist of IP addresses may access the network. The whitelist is configured at the switch port level, and the DHCP server manages the access control. Only specific IP addresses with specific MAC addresses on specific ports may access the IP network.

DHCP snooping also can prevent attackers from adding their own DHCP servers to the network.

Das hört sich für mich so an, als müsse man zwangsläufig eine Whitelist erstellen, wenn man DHCP-Signale von Port x blockieren möchte. Das würde ja aber dazu führen, dass auch der am Switch angeschlossene Router auf die Whitelist müsste um überhaupt ins Internet zu kommen. Dann wäre dem Router ja auch wieder gestattet, DHCP-Signale zu senden, oder?

--------------

Schau dir mal einen Linksys E3000 an. Der sollte eigentlich alles können, was du benötigst. Diesen als einfachen Router benutzen anstatt als DSL-Zugang und gut ists.

Er kann auch mehrere SSIDs verwalten (ich glaube zwei) und separiert diese beiden Netze komplett voneinander.

Im Handbuch des Geräts steht an keiner Stelle, dass man den DHCP-Dienst tatsächlich so trennen kann. Oder übersehe ich etwas?

http://content.etilize.com/User-Manual/1016512112.pdf

Ansonsten einfach zwei WLAN-Router nehmen. Einen fürs Gast-WLAN und einen fürs Mitarbeiter-WLAN.

Das löst doch mein DHCP-Problem an keiner Stelle?

-------

Also axxis Vorschlag ist bisher der einzige, den ich - nach Beantwortung der offenstehenden Frage - tatsächlich nachvollziehen kann. Beim vorgeschalteten Switch, bei dem man via DHCP-Snooping verbieten kann, dass über Port x DHCP-Offers ins Netz geschickt werden, würde verhindern, dass DHCP-Signale das Kabelnetz stören, beeinflusst den DHCP-Dienst des nachgeschalteten Routers auf der WLan-Ebene aber nicht.

Gruß

ITasv

[Crash2001]

Was genauz ist denn dein DHCP-Problem?

Dass du IPs per DHCP vergeben willst, aber sich Gastnetz und "internes WLAN" nicht sehen können sollen. Habe ich doch richtig verstanden, oder?

Was genau meinst du mit

[...]allerdings weiß ich nicht, wie ich dann verhindern kann, dass der DHCP nicht auch Adressen an unsere Arbeitsplatzrechner verteilt.[...]

? Meinst du damit per WLAN, oder im Netz so? :confused:

Also falls er DHCP-Server des Routers nur keine IP-Adressen an die anderen internen per Kabel angeschlossenen Rechner vergeben können soll, das ist einfacher zu realisieren, als du meinst.

Einfach hinter dem Router keine Verbindung zum internen Netzwerk herstellen, denn IP-Adressen vergeben macht er nur auf dem internen Interface (dem integrierten Switch). Wenn du ihn nciht als Verteiler einsetzt, kann er auch nur an die Stationen IP-Adressen vergeben, die entweder per Kabel oder per WLAN an seiner LAN-Seite dranhängen.

Ansonsten erkläre doch noch einmal GENAU, was du haben willst.

[ITasv]

Also falls er DHCP-Server des Routers nur keine IP-Adressen an die anderen internen per Kabel angeschlossenen Rechner vergeben können soll, das ist einfacher zu realisieren, als du meinst.

Exakt das möchte ich haben.

Einfach hinter dem Router keine Verbindung zum internen Netzwerk herstellen, denn IP-Adressen vergeben macht er nur auf dem internen Interface (dem integrierten Switch). Wenn du ihn nciht als Verteiler einsetzt, kann er auch nur an die Stationen IP-Adressen vergeben, die entweder per Kabel oder per WLAN an seiner LAN-Seite dranhängen.

Soll das heißen, wenn ich den Router über den meist mit "Internet" gekennzeichneten Port an die Netzwerkdose anschließe, darüber überhaupt kein DHCP-Broadcast über eben diesen Port gesendet werden kann?

[Crash2001]

Richtig.

Dafür muss natürlich das interne Modem (falls vorhanden) deaktiviert werden können.

Wäre doch ein wenig befremdlich, wenn der DHCP-Server deines Routers im Providernetz IP-Adressen vergeben würde, oder?

Zudem stellst du ja auf dem Router für die LAN-Seite einen Netzbereich ein, aus dem er IP-Adressen vergeben soll. Das kann er selbstverständlich nur dann, wenn auf der entsprechenden Seite auch eine IP-Adresse aus dem Netz vorhanden ist.

Was du benötigst ist also nur ein Router, der das WAN-Interface ohne Modem hat, oder bei dem man das Modem abstellen kann und bei dem eine statische IP-Adresse auf WAN-Seite einstellbar ist und fertig ist die ganze Sache. Du hast dann halt 2 Netze. 1x dein normales internes Netz und das zweite Netz ist dann das Gastnetz. Da ist es dann egal, ob sich die Leute auf dem Router einstöpseln, oder per WLAN verbinden. Eventuell musst du noch ein oder zwei Routingeinträge auf den Routern tätigen, aber das war es auch schon.

[ITasv]

Ah, cool!

Ist es denn auch möglich, dass man auf dem Router zwei VLans einrichtet, die wie folgt aussehen:

1. DHCP des Routers (für Gäste)

2. DHCP des Kabelnetzwerks (für 'vollwertiges' WLan für Mitarbeiter)

Vielen Dank

ITasv

Ach so: Ich will heute einen Router bestellen, der jetzt doch nur bis zu 120 kosten soll. Ich möchte das Budget ausreizen und einen möglichst großen Funktionsumfang haben, damit wir das Ganze so gut wie möglich realisieren können.

Bearbeitet 22. November 2011 von ITasv

[Crash2001]

Das hängt ja wieder vom Router ab.

Beim E3000 weiß ich, dass er die Möglichkeit bietet, zwei WLANs anzubieten. Das ganze läuft dann über verschiedene SSIDs. Ob das jeweils noch in ein vlan gepackt wird, weiß ich jetzt auf Anhieb auch nicht. Rumtesten kann ich mit dem Gerät leider zurzeit auch nicht, da er im produktiven Einsatz hier @work ist.

Andererseits - du kannst natürlich das ganze auch so machen, wie im Anhang mal kurz dargestellt.

Es gibt aber auch definitiv genügend Router, die das LAN vom WLAN separieren (quasi in ein eigenes vlan einsperren), so dass vom LAN nicht ins Gastnetz (und umgekehrt natürlich auch nicht) kommuniziert werden kann. Ob das aber auch für den Switch-Anteil gilt, ob man den auch noch aufteilen kann, weiß ich beim besten Willen jetzt so nicht.

[ITasv]

So, ich habe jetzt den CISCO Small Business RV120W-E-G5 bestellt. Mir fehlt einfach an zu vielen Stellen noch Grundlagenwissen zu VLans, dementsprechend habe ich mich auf das Datasheet verlassen, welches folgendes Feature bewirbt:

Dank der Unterstützung für separate virtuelle Netzwerke können Sie den Zugriff auf vertrauliche Daten steuern und einen hochsicheren drahtlosen Gastzugriff einrichten

Was mich ein wenig stutzig macht ist, dass VLan dort in einer Zeile mit Layer 2 erwähnt wird, was ja bedeuten würde, dass man mit MAC-Adressen arbeiten müsste. Das ist hoffentlich nicht darauf beschränkt.

Meine Hoffnung ist, dass ich mit dem Gerät die Vorgaben erfüllen kann (die sehr offen formuliert sind, frei nach dem Motto: Hauptsache, es funktioniert) und gleichzeitig erste Erfahrungen mit VLans sammeln kann und dementsprechend ein besseres Verständnis dafür aufbauen kann.

Ich bedanke mich für eure Hilfe und halte euch - wie ich es für anständig halte - auf dem Laufenden.

ITasv

Edit:

Datasheet: http://www.cisco.com/en/US/prod/collateral/routers/ps9923/ps10852/DS_C78-590161-00_de.pdf

Handbuch: http://www.cisco.com/en/US/docs/routers/csbr/rv120w/administration/guide/rv120w_admin.pdf

Edit2: Ist diese (eine) grafische Oberfläche bei Ciscogeräten eigentlich die Norm? Ich hoffe, dass es auch einzelne Configdateien auf dem Router gibt, damit ich mich dahingehend auch weiterbilden kann.

Bearbeitet 22. November 2011 von ITasv

[@@@]

Was mich ein wenig stutzig macht ist, dass VLan dort in einer Zeile mit Layer 2 erwähnt wird, was ja bedeuten würde, dass man mit MAC-Adressen arbeiten müsste. Das ist hoffentlich nicht darauf beschränkt

802.1q bzw. Tagged VLANs ist eine Layer 2 Funktionalität, das hat schon seine Richtigkeit.Im Prinzip fügt diese Funktionalität dem Ethernet Frame eine 4 Byte grosse Kennung hinzu, woraus sich schliessen lässt, zu welchem VLAN der Ethernet Frame gehört.

Die Beschränkung entsteht dadurch, dass die Kommunikation zwischen den VLANs auf der nächsthöhere Ebene (Layer3) läuft, also durch Routing bzw. interVLAN Routing (steht ja auch direkt darüber im Datenblatt)

[Crash2001]

[...]Was mich ein wenig stutzig macht ist, dass VLan dort in einer Zeile mit Layer 2 erwähnt wird, was ja bedeuten würde, dass man mit MAC-Adressen arbeiten müsste. Das ist hoffentlich nicht darauf beschränkt.

vlan ist eine Layer2-Technik. Was nicht heisst, dass man sie auf Layer 3 nicht auch nutzen könnte. Laut Standard 802.1q wird ein Frame um 4 Byte erweitert, in denen dann diverse Informationen, wie Priorität und die Vlan-ID gespeichert werden. Daher auch Layer2-Technik. Nicht vlan-fähige Geräte können den Frame aber dennoch korrekt weiterleiten, da es nur eine Erweiterung des Ethernet-Headers ist und somit die benötigten Daten vorhanden sind.

[...]Ist diese (eine) grafische Oberfläche bei Ciscogeräten eigentlich die Norm? Ich hoffe, dass es auch einzelne Configdateien auf dem Router gibt, damit ich mich dahingehend auch weiterbilden kann.

Die meisten (ich meine sogar alle) Cisco Geräte haben die Möglichkeit für eine grafische Webfrontendsteuerung (integrierter Webserver). Auf dieser Oberfläche kann man aber nicht immer alles einstellen, bzw wer sich mit der Console was auskennt, ist darüber im Normalfall auch meist schneller. Über die Oberfläche kann man Kommandos aber meist auch abgeben.

[edit]

Oh, da war ich wohl was langsam bzw wurde immer wieder beim tippen unterbrochen.

[/edit]

[ITasv]

Hi,

also es gibt wohl auch Router, bei denen die Frameerweiterung ausschließlich auf eben diesem stattfindet und die Frames zu den Clients der Norm entsprechen.

Der bestellte Router - der übrigens morgen ankommt - hat alleine über die grafische Oberfläche 101 Einstellungsbildschirme: da kann ich schön alles kaputtkonfigurieren und dann über die Konsole weitermachen...

[Crash2001]

Hi,

also es gibt wohl auch Router, bei denen die Frameerweiterung ausschließlich auf eben diesem stattfindet und die Frames zu den Clients der Norm entsprechen.[...]

Das kann auch jeder bessere Switch oder Router. Das nennt sich portbasiertes vlans und die Pakete werden erst beim Eintritt in den Port getaggt - beim Verlassen des Ports sind sie ungetaggt. Nur wenn ein Trunk genutzt, oder halt kein postbasiertes vlan, sondern dot1q vlan verwendet wird, wird das Frame auch entsprechend getaggt. Da die Netzwerkkarten der PCs früher die Pakete noch nicht entsprechend taggen konnten, wurden halt portbasierte vlans entwickelt als alternative Methode, ein vlan einem Port zuzuweisen.

Du kannst dir das folgendermassen vorstellen:

Du hast ein Haus mit sagen wir mal 100 Türen, das mittels eines Tunnels mit einem anderen Haus mit 100 Türen verbunden ist. Sobald du das Haus betrittst, bekommst du einen Zettel in die Hand gedrückt (der dot1q-Tag), dass du über sagen wir mal Türe 20 ins Haus gekommen bist. Mit diesem Zettel kommst du nur an Türen wieder heraus, auf denen die Nummer 20 steht. Alle, die ins andere Haus wollen, müssen mit dem Zettel in der Hand durch diesen Tunnel (Trunk) laufen. Beim Verlassen im anderen Haus, oder im selben Haus musst du den Zettel (das dot1q-Tag) wieder abgeben. Verlassen kannst du das Haus nur durch Türen mit der Nummer 20.

Da das native vlan (vlan 1) standardmässig (also solange kein anderes vlan als native vlan konfiguriert ist) nicht getaggt ist, bekommst du, wenn du durch Tür 1 das Haus betrittst einen leeren Zettel oder einen Zettel mit NULL (kein dot1q-Tag) drauf stehen. Du kannst den Switch dann nur durch entsprechend gekennzeichnete Türen, auf denen nichts oder NULL steht, verlassen.

Neben dot1q gibt es noch den proprietären "Standard" ISL (=Inter Switch Link) von Cisco, mit dem man ebenfalls vlans realisieren kann. Dort wird jedoch auch das native vlan getaggt - jedoch anders als bei dot1q. Und zwar wird es gekapselt, anstatt dass dem Header nur ein Feld hinzugefügt wird. Dadurch ist es inkompatibel mit dot1q und nur Geräte von Cisco oder Lizenznehmern sind in der Lage, das entsprechende Paket zu lesen.

[ITasv]

Hi crash,

erstmal vielen Dank für deine ausführlichen Antworten: coole Sache!

Ich habe nach deinem Beispiel nun eine anfängliche Grundvorstellung, wie die Sache funktionieren muss. Ich stehe jetzt aber trotzdem erstmal noch recht hilflos vor der Konfiguration. Ich habe jetzt zwei VLans eingerichtet (Gäste; Mitarbeiter) und versuche nun herauszufinden, wie ich ein VLan dazu bringen kann, dass nur der Internetzugriff gestattet ist, nicht aber der Netzwerkzugriff. Ich vermute, dass ich das mit Änderungen des Routings machen muss. Aber auch da sehe ich noch nicht, wie man wirkungsvoll verhindert, dass man nicht ins Netzwerk kommt.

Eine gute Lösung (?) wäre es ja vielleicht auch, via Firewall einfach die Server zu sperren. Dazu müsste ich aber eine Option finden, die für die VLans unterschiedliche Firewallkonfigurationen zulässt...

Ich bleib am Ball!

[Crash2001]

Also verhindern, dass jemand aus einem vlan in ein Netz kommt, jedoch Zugriff auf ein anderes Netz haben darf, geht eigentlich vom Prinzip her ganz einfach.

Auf dem Gerät, das das Gateway für das Netz ist, einfach eine entsprechende accessliste anlegen, in der der gewollte Traffic erlaubt und alles andere verboten ist.

Alternativ gehts natürlich auch andersherum, dass man angibt, was verboten werden soll und den Rest freigibt.

Wenn man einen L3-switch / Router hat, kann man auch direkt auf die vlan-Interfaces die access-liste binden. DAs hat den Vorteil, dass die Liste vielleicht nicht so lang ist und somit das Gerät nicht so ausgelastet wird. Eine Access-Liste wird ja immer so weit abgearbeitet, bis eine Regel mit dem Paket übereinstimmt.

Was genau deine Hardware alles unterstützt und was nicht, weiß ich jetzt leider nicht. Vom Prinzip her ist es ein Router und du müsstest vlan-Interface nutzen können. Inwieveit das bei den Small Business Geräten jedoch an Funktionen beschnitten ist, weiß ich nicht.

Wie hast du die vlans eingerichtet? Über Console, oder per Webfrontend?

[ITasv]

Ich habe die VLans über das Webinterface eingerichtet. Ich bin leider noch keinen Schritt weiter, weil nonstop irgendjemand was von mir möchte...TBC

[tetreb]

Auf dem Gerät, das das Gateway für das Netz ist, einfach eine entsprechende accessliste anlegen, in der der gewollte Traffic erlaubt und alles andere verboten ist.

Heißt das, das man die IP adresse der WAN Seite kennen muß, damit man das Mitarbeiternetz und das Gastnetz ins internet lassen kann? Naja, sollte wohl kein großartiges Problem sein.

Alternativ gehts natürlich auch andersherum, dass man angibt, was verboten werden soll und den Rest freigibt.

Ist zwar bei einem anderem Hersteller, aber so wie ich deren Anleitung über Access Lists verstanden habe, könnten ALs immer sperrend sein, oder? Also man könnte nicht nur einen Teil angeben, den man sperrt, und der Rest wäre erlaubt?

These two ACLs (101 and 102) have the same effect.


!--- This command is used to permit IP traffic from 10.1.1.0 

!--- network to 172.16.1.0 network. All packets with a source 

!--- address not in this range will be rejected.


access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255


!--- This command is used to permit IP traffic from 10.1.1.0 

!--- network to 172.16.1.0 network. All packets with a source 

!--- address not in this range will be rejected.


access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 

access-list 102 deny ip any any

Bearbeitet 25. November 2011 von tetreb

[ITasv]

Hallo zusammen,

also das funktioniert tatsächlich ganz einfach. Man kann bei den Accesslisten die Client-IP-Range vorgeben und die sind ja mit den VLANs tatsächlich getrennt.

Als Erklärung:

VLAN 1: 192.168.1.1 - 192.168.1.254

VLAN 2: 192.168.2.1 - 192.168.2.254

Jetzt kann man in den Firewallregeln festlegen, was diese IP-Ranges (oder auch einzelne IPs) dürfen oder eben auch nicht. Das geht in beide Richtungen, also 'always block' oder 'always allow'.

Vielen Dank für eure Hilfe! Am Ende ja tatsächlich eine ziemlich triviale Sache, aber ich wüsste auch jetzt noch nicht, welche Features ein Router erfüllen muss um eben genau diese Funktionen zu bieten. Weiß das jemand?

Gruß

ITasv

[Crash2001]

Also mal noch ein kleiner Nachtrag:

Wenn man eine Accessliste erstellt, dann ist es bei Cisco-Geräten so, dass man sich am Ende noch ein "deny any any" hinzudenken muss.

Ob man dies nun explizit in die Accessliste schreibt, oder ob es automatisch angehängt wird, ist dabei egal.

Permit und Deny kann man dabei mischen wie man will. es wird halt entweder was erlaubt, oder verboten. Dabei muss man halt die reihenfolge beachten, dass von der ersten Regel bis zur letzten geprüft wird, ob sie auf das Paket zutrifft und sobald es zutrifft, wird die Regel genommen und dei Accessliste nciht weiter durchgegangen.

Heißt das, das man die IP adresse der WAN Seite kennen muß, damit man das Mitarbeiternetz und das Gastnetz ins internet lassen kann? Naja, sollte wohl kein großartiges Problem sein.

Nein. Man muss wissen, wohin der Traffic gehen darf und wohin nicht. Alles andere ist ja eh automatisch verboten.

Ist zwar bei einem anderem Hersteller, aber so wie ich deren Anleitung über Access Lists verstanden habe, könnten ALs immer sperrend sein, oder? Also man könnte nicht nur einen Teil angeben, den man sperrt, und der Rest wäre erlaubt?

Geht sowohl so, als auch andersherum. Halt je nachdem, ob du permit oder deny nimmst und wenn alles andere erlaubt sein darf, dann musst du halt am Ende der Accessliste noch ein "permit any any" hinzufügen. Dann kommt es quasi gar nicht zum "deny any any", was dahinter steht, sondern es wird immer schon vorher aus der Accessliste gegangen, da es schon vorher zutrifft.

Beispiele:

access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255


access-list 102 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

access-list 102 permit any any

Bei Accessliste 101 ist jeglicher Traffic aus dem Netz 10.1.1.0/24 zu 172.16.1.0/24 erlaubt und alles andere verboten.

Bei Accesslist 102 ist jeglicher Traffic aus dem Netz 10.1.1.0/24 zu 172.16.1.0/24 verboten und alles andere erlaubt.

Du musst dann halt die Accessliste noch an entsprechender Stelle, wo der Traffic passieren muss, einbinden (entweder als incoming oder als outgoing).

[ITasv]

Wenn man eine Accessliste erstellt, dann ist es bei Cisco-Geräten so, dass man sich am Ende noch ein "deny any any" hinzudenken muss.

Ist das 'any any' auf den Service (Port) bezogen? Ich stelle das wie gesagt über die Weboberfläche ein.

[ITasv]

Hallo zusammen,

also soweit läuft alles, wie es soll. Allerdings erreiche ich den Router aus dem Netzwerk nicht. Der Router hat für den WAN-Port eine externe Adresse. Wenn ich nun aus dem WAN versuche, den Router anzupingen, bekomme ich eine Rückmeldung. Wenn ich allerdings über den Browser auf die Oberfläche gehe, versucht er von der externen IP auf die privaten Routeradressen (192.168.1.1) zuzugreifen, und das funktioniert dann nicht. Das bedeutet, ich müsste für jegliche Wartung entweder über das WLan oder mit einer direkten Kabelverbindung an den Router gehen. Inter-VLan-Routing ist für alle VLans aktiviert, aber ich komme trotzdem nicht auf den Router.

Was mache ich falsch?