T2600G-28TS: How to setup DMZ with VLAN and ACL
Hello all,
and sorry for this obviously rookie question. I have searched google to and fro, but did not come up with a solution so far. I have a T2600G smart switch and a FritzBox 9470 for Internet Access
I need
- a VLAN10 as Untrusted/DMZ extending the IP Adress Range of the Fritz, say 192.168.2.0/255.255.255.0 for a subset of the ports including the fritz trunk. All traffic from Fritz/Internet including WLAN is considered external/untrusted, guest at best. (VLAN is defined, works well)
- a VLAN20 as trusted VLAN, different IP Adress Range (say 192.168.20.0/255.255.255.0) for a different subset of the ports but including the trunk port of the Fritz, static route from Fritz pointing back to defined VLAN-Interface (DHCP pool 192.168.20.0 provided by T2600, Router-on-a-stick, defined, works well)
Resut: both VLANS can access the internet, clients can talk to each other. Unfortunately, due to the route/VLAN-Interface, between the VLANs in question too.
I would like to filter (ACL) the VLANs so that
- VLAN10 can talk to the internet and traffic stays stay within its VLAN (DMZ)
- VLAN20 can talk to the internet and between its clients as well and additionally access ressources in VLAN10 (e.g. printer, open NAS, mail server) if the connection originates in VLAN20
- access originating from internet or VLAN10 should be dropped by VLAN20
so that VLAN20 can use/see the contents of VLAN10, but only "replys" are allowed. VLAN10 shall not talk to VLAN20 uninvited.
I found some notions of "dynamic ACL" with cisco products, but cannot imagine how to transfer this idea to the TPLINK. Any other idea?
Thanks for your patience
-Michael
- Copy Link
- Subscribe
- Bookmark
- Report Inappropriate Content
Mike63 wrote
Is this correct so far?
Yes, it's correct. Ja, passt.
Achte aber darauf, dass Vyatta auf dem ER zwar eine Web UI bietet, aber einige Funktionen nur über die Kommandozeile nutzbar sind, d.h. etwas Linux-Know-How ist erforderlich. Es ist halt ein Router, der für den Einsatz bei kleinen ISPs gedacht ist. Rezepte/Hilfe für Einstellungen außerhalb der Web UI gibt's in deren Forum. Vor der Erstkonfiguration einen Firmware-Update durchführen, das aktualisiert auch den Wizard, der einige one-click Configs bietet. HW off-loading muss explizit eingeschaltet werden, standardmäßig ist's ausgeschaltet.
Das Teil ist gut, habe einige im Einsatz, auch die Ausführung EP-R6 als Outdoor-Switch für Pharos CPEs und EAP225-Outdoor. Wenn ich mal etwas mehr Zeit habe, will ich auf einem der ER versuchsweise OpenWRT installieren. Was übrigens noch mitkommt beim ER: Deep-Packet Inspection für Statistiken der genutzten Dienste (ist allerdings proprietär, das ginge dann nicht mehr mit OpenWRT).
- Copy Link
- Report Inappropriate Content
- Copy Link
- Report Inappropriate Content
@Mike63, geht auch, der nutzt den selben Chip.
- Copy Link
- Report Inappropriate Content
@R1D2 So, ich hatte die Faxen dicke und nun den Switch bestellt.
Der Plan, im neu aktivierten 2-Kabel-Gastnetz das NAS vom Rest des LANs isoliert im WWW bereitzustellen, ist am besch**** Gastnetz gescheitert. Prinzipiell steht das NAS zwar im Internet zur Verfügung, aber die Firewall schluckt trotz Port-Forwarding die WebDAV-Verbindung. Entnervt aufgegeben...
Jetzt bleibt die Fritze Basis für die DMZ, der Rest wird über getaggte VLANs am WE abgebildet. Dann ist Ruhe.
Nochmals Danke für Deine Hilfe
- Copy Link
- Report Inappropriate Content
Ja, die FB mit FOS ist ganz nett für Privatnutzer mit 'nem einfachen Heimnetz, aber das war's dann auch schon.
Viel Spaß mit einem »richtigen« Router, wird Dir gefallen, denke ich!
- Copy Link
- Report Inappropriate Content
@R1D2 Ich glaube, dass ich noch mal lästig fallen muss. Ich stehe gerade auf dem Schlauch.
Die VLANs konfiguriere ich nach bisheriger Planung auf dem T2600. Check. Eine Extension des Fritz-Netzes (VLAN2) wegen Patchfeld, ein VLAN10.
Die Fritz bietet mit dem ISP und dem Standardnetzwerk einen Port für den ER als Uplink an und wird ansonsten als DMZ betrachtet. Ein Kabel von Fritz zu ER, eth0, mit DHCP-Adresse (fixiert) von der Fritze. Check. ER erreichbar mit FB-Adresse,192.168.2.x.
Hinter dem ER verbinde ich ein Kabel (das was vorher Trunk fur die Fritz war), mit z.B. eth1. Check - Internet-Erreichbarkeit vom ER mit Fb-Adresse.
Fazit: ER reicht den gesamten Traffic des T2600 untagged an die Fritze durch, ich bin so weit wie vorher. Zwischenschritt erreicht - check.
Jetzt will ich den ER VLAN-aware machen. Wizard ist nicht besser als die Admin-Oberfläche direkt.
Reicht das Häkchen bei VLAN-Aware (ist an) nicht, um dann die getagten VLAN des T2600 korrekt zu behandeln, d.h. muss ich die im ER nachkonfigurieren? Wenn ich bei den T2600-Vlans den Trunk in den VLANs auf Tagged umschiesse, sperre ich mich aus.
Verwirrt
Michael
- Copy Link
- Report Inappropriate Content
schau mal in den Config Tree. Der Wizard ist nur für die allererste Konfiuration, danach entweder über die GUI, den Config Tree oder die cmdline weitermachen.
Ausserdem empfehle ich, immer einen Port erstmal untagged zu lassen, den nutzt Du für die Konfiguration der restlichen Ports. Screenies wären hier nicht so angemessen, aber es gibt sehr gute HowTos im Forum von demjenigen, der für den ER das ist, was TP-Link für den T2600G ist. :-)
Bei meinem Outdoor-Switch für die EAPs und CPEs sieht das so aus, dass ich alle Interfaces in einen Switch verpacke – bei Dir sind das nur die Interfaces eth1-eth4, die zu einem Switch zusammengefasst werden. Den sollte der Wizard schon erstellt haben.
Geh mal im Config Tree zu switch → switch0 → switch-port → interface → eth1 → vlan
Dort trägst Du die VLAN-IDs für den Trunk ein. Generell gilt: Enthält das Feld PVID die VID und ist nur eine VID – nämlich die selbe – vorhanden, ist's ein untagged Access-Port. Ist die PVID leer und sind mehrere VIDs eingetragen, ist's ein Trunk-Port.
Trage dort dann für jeden Trunk-Port (genauer: Interface) – ausser vorerst eth4 – die VLAN IDs (z.B. 2, 11, 79) ein.
Z.B. 2 = LAN, 11 = guest net, 79 = FritzBOX guest net.
Noch ist der Switch unter der IP über das virtuelle Interface switch0 erreichbar, untagged über eth4.
switch0 heisst der, weil man auch mehrere switches definieren kann.
Jetzt schließt Du eth1 and den T2600G an, konfigurierst dort auch einen Trunk mit den VLAN IDs. Dann erstelltst ein weiteres virtuelles Interface (VIF) für den Switch, z.B. switch0.2, ist über die GUI oder den Config Tree möglich. switch0.2 heisst, dass dieses VIF für switch0 dem VLAN 2 zugeordnet ist. Diesem neuen VIF verpasst Du dann die IP-Adresse des Switchs (statt wie bisher dem Interface switch0). Jetzt kommst an den Switch über den T2600G via VLAN 2 ran, d.h. kannst nun auch eth4 konfigurieren, nämlich auch dem VLAN 2 zuordnen.
Einfacher gehts über die cmdline, unten die Datei /config/config.boot meines ER (Achtung, eth0 ist bei Dir die WAN-, bei mir aber eine LAN-Schnittstelle). eth1 sei Dein Trunk-Port zum T2600G, bei mir ist's der Trunk zum EAP225-OD. eth3 (LAN2) und eth4 (LAN11) sind untagged Access-Ports, die den VLANs 2 bzw. 11 zugeordnet sind. So komme ich auch an das VLAN 2, also auch an switch0.2 ran, ohne über den Trunk-Port zu gehen. Geiches gilt für eth4 und VLAN 11.
interfaces {
ethernet eth0 {
description "Trunk (Switch / PoE IN)"
duplex auto
poe {
output off
}
speed auto
}
ethernet eth1 {
description "Trunk (EAP-Outdoor / PoE OUT)"
duplex auto
poe {
output 24v # stellst bei Dir auf "off"!
}
speed auto
}
ethernet eth2 {
description "Trunk (CPE510 / PoE OUT)"
disable
duplex auto
poe {
output 24v # stellst bei Dir auf "off"!
}
speed auto
}
ethernet eth3 {
description "LAN 11"
disable
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
description "LAN 2"
disable
duplex auto
poe {
output off
}
speed auto
}
Im nächsten Abschnitt werden die Interfaces zu einem Switch zusammengefasst. Nochmal: eth0 ist bei Dir WAN (nicht im Switch), nur bei mir hier im LAN.
Vorsicht, der Abschnitt ist immer noch im Abschnitt Interfaces, der ganz oben begann, d.h. switch ist auf dem selben Level wie ein Interface ethernet:
switch switch0 {
mtu 1500
switch-port {
interface eth0 {
vlan {
vid 2
vid 11
vid 79
}
}
interface eth1 {
vlan {
vid 2
vid 11
vid 79
}
}
interface eth2 {
vlan {
vid 2
vid 11
vid 79
}
}
interface eth3 {
vlan {
pvid 11
}
}
interface eth4 {
vlan {
pvid 2
}
}
vlan-aware enable
}
vif 2 {
address 192.168.1.251/24
description "Outdoor Switch"
mtu 1500
}
}
}
Das wär's schon. Den Switch erreiche ich so immer auch über LAN2 oder einen der Trunk-Ports im VLAN2.
Recht elegant gemacht, aber nicht offensichtlich, hatte auch lange gebraucht, das Schema zu verstehen.
- Copy Link
- Report Inappropriate Content
@R1D2 Wow, danke für die Mühe.
Es ist vermutlich schlau, den eth4 immer "frei" zu lassen. Ich brauche ihn physikalisch nicht, und mit einem Kabel und fester IP-Adresse im Notfall dran zu kommen schadet jedenfalls nicht. Der könnte auch statisch eine IP im (meinem) Admin-Bereich im x.x.1.x dauerhaft bekommen.
Mein Denkfehler scheint zu sein, dass ich annahm, der ER würde das VLAN-zu-NAT ohne lokale Konfiguration out-of-the-box wie ein unmanaged smart switch einfach so tun. Dabei habe ich ubersehen, dass ich in meiner jetzigen Konfiguration der Fritze über eine statische Route auch jedes interne VLAN bekannt machen muss, weil sonst der return traffic nicht funktioniert. Das wollte ich einsparen...
Leider kann ich jetzt keine Bilder malen, aber ich glaube, dass folgende Konfiguration bei mir erforderlich wird:
1) Fritze ist am ISP/DSL und stellt das Netz x.x.2.0 als LAN und WLAN zur Verfügung und routet allen traffic intern. check.
2) auf dem T2600 richte ich ein VLAN2 (meine Namenskonvetion VLANn = Netzwerk x.x.n.0, alle Netze aus dem privaten Bereich 192.168.x.x) als Extension des Fritz-Netzes wegen Schaltschrank und Patchfeld, direktes Kabel zur Fritz ohne ER, kein VIF, keine Routen, DHCP über Fritz)
Zwischenergebnis: Fritz und VLAN2 sind untrusted und sprechen nur mit dem Internet. check.
3) Der ER wird Bridge zu den kritischen VLANs. Er wird mit einem Kabel entweder direkt an der Fritz oder im VLAN2 auf dem T2600 an eth0 angeschlossen, bekommt eine 2.x-Adresse um mit dem VLAN2 und dem Interrnet zu reden (das ist später die NAT-Seite).
Zwischenergebnis: alles am ER spricht Internet und Fritz. check.
Jetzt kommt der Knackpunkt: abgesicherte VLANs. Einmal hypothetisch für VLAN10 (trusted) und VLAN20 (homeoffice) beispielhaft durchgespielt:
4) auf dem T2600 beide VLANs jeweils mit DHCP für den jeweiligen IP-Bereich eingerichtet. Im T2600 keine VIF, keine Routen. Damit sollten auf dem T2600 nun drei völlig isolierte VLANs existieren, dessen Mitglieder zwar untereinander, aber nicht übergreifend kommunizieren können (2, 10, 20).
5) 10 und 20 nutzen einen neuen getaggten Port als Trunk, der auf eth1 am ER aufgelegt ist. eth1 bekommt PVID 10 und 20 zugeordnet (VIF switch0.1). Habe ich dann richtig verstanden, dass der ER nun das weitere Routing/NAT zum default Gateway der Fritz übernimmt? Ist das tatsächlich schon alles für die Abgrenzung untrusted/trusted bzw. die Grundeinrichtung? Rückrichtung bei Fritz entfällt, ER weiss über das VIF wegen der Rückrichtung Bescheid?
6) ich würde jetzt aber erwarten, dass hierdurch VLAN10 und VLAN20 auf dem ER-VIF miteinander reden können. Das würde ich gerne je nach Bedarf zulassen oder unterbinden. Wo im ER wird das gesteuert?
7) Wenn im VLAN20 ein NAS als WebDAV-Server steht, der aus dem Internet ereicht werden muss: kriegt der ER das per UPnP mit der Fritz alleine ausgehandelt, oder muss man da wegen des Doppel-NAT besonders aufpassen (Forward auf der Fritz zum ER, von dort zweites Forward weiter auf das NAS)?
Puuh, ich bin komplizierer drauf, als ich am Anfang dachte... 🤔😌
Denn 8) ich will am Ende noch ein Management-VLAN nachschieben, das alles erreicht. Nur ein Port, nur physikalisch verbunden, keine Routen (ggf. VLAN1 über T2600, Kabel auf den reservierten eth4 s.o.)
Ist hier irgendwo noch ein prinzipieller catch22/Denkfehler verborgen? Hintergrund der Frage ist, dass ich ohne häusliche Gefährdung des Friedens experimentieren kann, so lange ich will, sofern im 2er Netz das Internet nicht ausfällt (so wie gestern mehrfach). Dann erkennt man nach wenigen Sekunden, das pubertierende Kinder im Haus leben...
Beste Grüsse
Michael
PS: in welcher Gegend bist Du angesiedelt? Ggf. kann ich mal einen Kaffee oder ein Bier spendieren 😉
- Copy Link
- Report Inappropriate Content
- Copy Link
- Report Inappropriate Content
Mike63 wrote
Mein Denkfehler scheint zu sein, dass ich annahm, der ER würde das VLAN-zu-NAT ohne lokale Konfiguration out-of-the-box wie ein unmanaged smart switch einfach so tun. Dabei habe ich ubersehen, dass ich in meiner jetzigen Konfiguration der Fritze über eine statische Route auch jedes interne VLAN bekannt machen muss, weil sonst der return traffic nicht funktioniert. Das wollte ich einsparen...
Das macht der ER doch aber auch, wenn Du ihn als Router mit WAN/LANs einrichtest. Eben dafür sorgt NAT. Die FritzBox muss keine Route haben, sie soll die VLANs gar nicht kennen müssen. Die FB sieht nur einen Router und dessen IP im FB-Subnetz. Von VLANs weiss sie nichts.
3) Der ER wird Bridge zu den kritischen VLANs. Er wird mit einem Kabel entweder direkt an der Fritz oder im VLAN2 auf dem T2600 an eth0 angeschlossen, bekommt eine 2.x-Adresse um mit dem VLAN2 und dem Interrnet zu reden (das ist später die NAT-Seite).
Nicht Bridge, NAT-Router. Du musst entscheiden, ob der Inter-VLAN-Traffic auf dem ER geroutet werden soll oder gleich im Switch. Mit einem T2600G würde ich das so aufsetzen:
Ob der Uplink vom T2600G zum ER ein VLAN oder ein routed port ist, ist zweitrangig, auf jeden Fall wäre dann die IP 172.16.0.1 das Default-Gateway für alle Geräte in den VLANs 10 und 20. Inter-VLAN-Routing erledigt der Switch, ebenso läuft dort der DHCP-Dienst. Der Uplink ist ausschließlich für den Internet-Traffic zuständig bzw. für den Zugriff auf's untrusted VLAN2 der FB. Der Weg zurück im ER führt über NAT, der Weg zurück in die VLANs 10 und 20 über zwei Netz-Routen auf dem ER, next-hop ist der Switch mit der IP 172.16.0.254.
Der L2+-Switch übernimmt das Routing von VLAN 10 zu VLAN 20 und vice versa. Dieser Traffic geht schon gar nicht über's Transfer-Netz 172.16.0.0 zum ER, wozu auch?
Wenn Du natürlich im ER auch die internen Netze routen willst, müssen da eben Netzrouten und Firewall-Einträge definiert sein, klar. Aber weshalb das? Dein T2600G kann doch auch routen und das ist die typische Anwendung, für die ein L3-Switch Routing-Funktionen hat.
4) auf dem T2600 beide VLANs jeweils mit DHCP für den jeweiligen IP-Bereich eingerichtet. Im T2600 keine VIF, keine Routen. Damit sollten auf dem T2600 nun drei völlig isolierte VLANs existieren, dessen Mitglieder zwar untereinander, aber nicht übergreifend kommunizieren können (2, 10, 20).
Na dafür hätte es dann aber auch ein reiner L2-Switch getan. :-)
6) ich würde jetzt aber erwarten, dass hierdurch VLAN10 und VLAN20 auf dem ER-VIF miteinander reden können. Das würde ich gerne je nach Bedarf zulassen oder unterbinden. Wo im ER wird das gesteuert?
Zu 5. und 6.: geht freilich auch. Dann musst Du die Netze im ER absichern per Firewall. Lies dazu mal in dem anderen Forum die HowTos zum Thema Firewalling, wenn Du das so machen willst.
7) Wenn im VLAN20 ein NAS als WebDAV-Server steht, der aus dem Internet ereicht werden muss: kriegt der ER das per UPnP mit der Fritz alleine ausgehandelt, oder muss man da wegen des Doppel-NAT besonders aufpassen (Forward auf der Fritz zum ER, von dort zweites Forward weiter auf das NAS)?
UPnP? Um Himmels willen, lass diesen Mickeysoft-Käse bloß weg. Du willst doch Kontrolle über Deine Netze haben, oder doch nicht? :-)
Ein NAS mit Internet-Zugang hat in isolierten Netzen nichts zu suchen, das gehört in's untrusted Netz. Warum nicht im VLAN 2 ansiedeln, da kommst doch aus den geschützten Netzen auch drauf? Es geht nur eins: entweder Netze isolieren oder nicht isolieren. Für »halb isoliert, halb offen« braucht's den ganzen Aufwand nicht.
Für's Mgmt-VLAN muss der Router dann doch wieder irgendwie eingebunden werden, aber ich würde es erst einmal so einfach wie möglich halten (»keep it small and simple«, KISS-Prinzip). Kompliziert kann man's später immer noch machen, wenn man das will. Definiere einfach mal, wo für Dich »Feindesland« beginnt, dann kannst Du entscheiden, wo die Grenzen sein sollen.
Ich lebe im Wilden Süden, Rhein-Neckar-Kreis. Wenn's örtlich passt, können wir ja mal 'nen Tee trinken oder so.
- Copy Link
- Report Inappropriate Content
Information
Helpful: 0
Views: 7697
Replies: 30
Voters 0
No one has voted for it yet.