T2600G-28TS: How to setup DMZ with VLAN and ACL
Hello all,
and sorry for this obviously rookie question. I have searched google to and fro, but did not come up with a solution so far. I have a T2600G smart switch and a FritzBox 9470 for Internet Access
I need
- a VLAN10 as Untrusted/DMZ extending the IP Adress Range of the Fritz, say 192.168.2.0/255.255.255.0 for a subset of the ports including the fritz trunk. All traffic from Fritz/Internet including WLAN is considered external/untrusted, guest at best. (VLAN is defined, works well)
- a VLAN20 as trusted VLAN, different IP Adress Range (say 192.168.20.0/255.255.255.0) for a different subset of the ports but including the trunk port of the Fritz, static route from Fritz pointing back to defined VLAN-Interface (DHCP pool 192.168.20.0 provided by T2600, Router-on-a-stick, defined, works well)
Resut: both VLANS can access the internet, clients can talk to each other. Unfortunately, due to the route/VLAN-Interface, between the VLANs in question too.
I would like to filter (ACL) the VLANs so that
- VLAN10 can talk to the internet and traffic stays stay within its VLAN (DMZ)
- VLAN20 can talk to the internet and between its clients as well and additionally access ressources in VLAN10 (e.g. printer, open NAS, mail server) if the connection originates in VLAN20
- access originating from internet or VLAN10 should be dropped by VLAN20
so that VLAN20 can use/see the contents of VLAN10, but only "replys" are allowed. VLAN10 shall not talk to VLAN20 uninvited.
I found some notions of "dynamic ACL" with cisco products, but cannot imagine how to transfer this idea to the TPLINK. Any other idea?
Thanks for your patience
-Michael
- Copy Link
- Subscribe
- Bookmark
- Report Inappropriate Content
@R1D2 Hallo,
schon merkwürdig, wie ich manchmal unzulässig vereinfache und dann wiederum zu kompliziert bin.
Deine skizzierte Lösung scheint die korrekze zu sein - das probiere ich nachher direkt mal aus.
Das abgesicherte NAS soll ein Katastrophen-Cloud-Backup für meine Schwägerin (Arztpraxis) sein neben den dortigen regelmäßigen Backups. Ich möchte dies gerne bei mir einsperren, so dass aus der normalen untrusted DMZ kein Zugriff möglich ist. Aus Sicht DMZ ist das Ding off-limits. Ich möchte aber auch, dass ein eventueller Hack dort sich erst mal totläuft, also kein Zugriff auf weitere lokale Ressourcen ohne weiteres möglich ist. Eierlegende Wollmilchsau halt... 🙄 Paranoid ich bin, wie Yoda sagen würde.
Rhein-Neckar ist nicht gerade Fahrradentfernung, aber aus Aachen auch nicht ewig weit. Welches Kaff genau?
- Copy Link
- Report Inappropriate Content
@R1D2 So, vermelde zumindest den 80%-Erfolg - nach gefühltem 143-maligem Reset-auf-Werkseinstellung des ER.
Danke für Deine Unterstützung. Sonst hätte ich wohl nochb tagelang an der falschen Stelle geschraubt ;-).
Also:
1) Frirtz ist am ISP mkit internem LAN x.x.2.0/24
2) T2600 hat eine Portgruppe als VLAN2 ohne VIF mit Kabel auf LAN1 der Fritz als Extension, darin liegen die Dosen der Kinder am Patchfeld auf - alles untrusted.
3) Der ER ist als WAN+2LAN konfiguriert mit aktivierten NAT zur Fritz (eth0, DHCP fixed, x.x.2.10) und internem Natz (switch0, eth1-4, x.x.1.0, DHCP off - das kommt dann vom T2600). Zufällig fällt das ER-interne Netz mit dem Admin-VLAN1 (x.x.1.0, VIF x.x.1.254) des T2600 zusammen ;-) Kabel von eth1 zu untagged Port im VLAN1.
Bis hierher: Fritz ist DMZ und spricht weder mit der Oberfläche vom ER (NAT blockiert) noch mit dem Netz dahinter - gut. Aus dem x.x.1.0-Netz dahinter, sowohl direkt auf eth1-4 oder auch auf einem VLAN1-Port des T2600 spreche ich mit allen, inc. WWW und Fritz - gut.
Jetzt kommt die 80%-Lösung: Routing im T2600
4) VLAN10 auf dem T2600 (VIF x.x.10.254, mit DHCP-Pool, Standard-Gateway x.x.1.1 da hinter dem ER) klappt, allerdings muß ich eine globale default-Route 0.0.0.0 auf x.x.1.1 als statische Route einrichten, weil sonst die NAS-Systeme irgendwie einige Dienste nicht nutzten können, obwohl WWW aus dem Browser per PC problemlos klappt. Staun...
5) Das VLAN10 iat als Router-on-a-stick unter paraleller Nutzung des Ports zum ER untagged konfiguriert, so dass ich auf dem ER eine statische Rückwärtsroute zu x.x.10.0 über x.x.1.254 einrichten muss.
aber: VLAN10 ist nicht vom VLAN2 sichtbar - gut. Umgekehrt schon - auch gut ;-)
VLAN-aware habe ich nicht ans laufen bekommen... ich wünschte mir schon, die VLANx (ausser VLAN2) auf dem ER getagged ohne Routenzaubereien aufzulegen.
- Copy Link
- Report Inappropriate Content
VLAN-aware habe ich nicht ans laufen bekommen... ich wünschte mir schon, die VLANx (ausser VLAN2) auf dem ER getagged ohne Routenzaubereien aufzulegen.
Also kompliziert. Kann man natürlich machen. Aber Routen brauchst Du dennoch, nur ist der next hop dann eben das VIF auf dem ER statt des VIFs auf dem T2600G (das Du bei Routing im Switch dann zusätzlich brauchst). Dafür kommen Firewall-Settings dazu, um das Routing zwischen den VLANs zu einzuschränken. Mit einem T2600G würde ich jedenfalls den Router vom Inter-VLAN-Routing entlasten. Das geht zwar auch mit meinem T1600G, aber es fehlt ein DHCP-Server und nur dafür brauche ich den Router (noch) in den VLANs, abgesehen vom Uplink in's Internet. Um Routing kommst Du mit mehreren Netzen nicht herum.
Die Default-Route (0.0.0.0) zum ER auf dem T2600G muss freilich vorhanden sein, wenn der Uplink zum ER untagged und somit nur in einem VLAN Member ist, wie sollte der Switch sonst wissen, wohin er external traffic vom NAS weiterleiten soll?
Schau mal hier und hier für Tipps zum Einrichten von VLANs und tagged ports. Es kann sein, dass Änderungen an der config.boot durch Vyatta OS überschrieben werden, wenn sie nicht auch letzterem bekannt gegeben wurden. Ich nutze meist den Config Tree oder die Kommandozeile (im configure mode!) und wenn man dann etwas an der config.boot manuell ändert, bietet das OS an, die Änderungen zu übernehmen. Lies auch erstmal die Basisdoku (UG und HowTos) zum ER, das geht deutlich schneller als 143mal den Router zu resetten. Der Router ist nicht so trivial wie 'ne FritzBOX.
- Copy Link
- Report Inappropriate Content
@R1D2 Danke für die Links. DIe hatte ich schon zum Teil angefangen, durchzustöbern: if all else fails, RTFM ;-)
Was mir zum Einstieg fehlte ist einen Gegenüberstellung der Vor- und Nachteile meiner jetzigen eher einfachen Router-on-a-stick-Lösung mit manuellen Routen (tuts ja) und den sophisticated VLAN-tags oder anderen Lösungen. Irgendeine Art "VLAN Routing for Dummies 101" - ansonsten stelle ich mir wieder magische Dinge vor, die dann doch zu Fuß gemacht werden müssen (siehe default route).
Letztlich waren meine Probleme beim jetzigen Setup weniger das, was im ER passiert, sondern ich hatte mich dämlich im T2600-VLAN10 selbst eingesperrt <augenroll>. Muss man aber erst mal finden...
Du schreibst: Die Default-Route (0.0.0.0) zum ER auf dem T2600G muss freilich vorhanden sein, wenn der Uplink zum ER untagged und somit nur in einem VLAN Member ist, wie sollte der Switch sonst wissen, wohin er external traffic vom NAS weiterleiten soll?
Äähm, ich habe den Uplink im VLAN10 und VLAN1 untagged als Member - so meinte ich den Router-on-a-stick verstanden zu haben. Ich entnehme dem obigen Satz aber: Njet. Wenn nur VLAN1 den Uplink enthält, reicht dann eine einfache Route von 10.0 auf das VIF1?
Schade wegen Ffm...
- Copy Link
- Report Inappropriate Content
@Mike63 Stimmt, Route reicht
- Copy Link
- Report Inappropriate Content
@Mike63 Nochmal Danke für die geduldige Hilfe.
Ich fasse mal zusammen, was ich glaube, gelernt zu haben.
In meinem primitiven Umfeld habe ich mit den statischen Route und max. 3 VLANs eine funktionierende Lösung gefunden. Das kann hier auch so bleiben, bis ggf. auf die Tatsache, dass ich leichtfertig das Admin-VLAN des T2600 produktiv für die Verbindung zum ER nutze statt ein hiervon abgesetztes weiteres VLAN.
VLANs segmentieren einen physikalischen Switch in mehrere virtuelle. Ein VIF ist der Softwareersatz für einen patchbaren Port zwischen zwei physikalischen Switchen. Wie der Traffic läuft, muss in jedem Fall definiert werden. Ein getagter Port ist hier kein Abkürzung in dem Sinn, dass die darauf laufenden Broadcast Domains automatisch miteinander kommunizieren können, sondern nur ein Sparprogramm für ansonsten mehrere zu patchende, d.h. auch mehrere Ports auf jedem physikalischen Switch benötigende, Verbindungen zwischen den Broadcast Domains..
Super für große Netzwerke, für mein Mickymaus (ausser aus Spass- und Lerngründen) aber weitgehend überflüssig. Ob ich jetzt Routen zwischen Subnetzen oder VIFs festlege, bleibt aufwandsmässig weitgehend gleich.
- Copy Link
- Report Inappropriate Content
Mike63 wrote
Irgendeine Art "VLAN Routing for Dummies 101" - ansonsten stelle ich mir wieder magische Dinge vor, die dann doch zu Fuß gemacht werden müssen (siehe default route).
Naja, VLANs und managed switches wie der T2600G sind ja auch nichts für Dummies.
Ich vermute, dass Du einfach zu viel in VLANs und Routing siehst; das eine hebt das andere nicht auf. VLANs sind nichts weiter als ein Weg doppelt und dreifach ausgelegte Geräte und Verkabelung einzusparen. Das ist schon alles. Es sind genauso Netze wie alle andere und Routing sowie Interfaces werden immer dort benötigt, wo Netz- oder Host-Routen erforderlich sind. Ob das der Switch oder der Router macht: Routing ist essentiell in jedem Netz, selbst in einem einfachen Netz, und hat nichts mit Magie zu tun. Ich setze hier fünf Router für fünf isolierte Netze ein und die Switches dienen dabei nur der Port-Erweiterung.
Äähm, ich habe den Uplink im VLAN10 und VLAN1 untagged als Member - so meinte ich den Router-on-a-stick verstanden zu haben. Ich entnehme dem obigen Satz aber: Njet. Wenn nur VLAN1 den Uplink enthält, reicht dann eine einfache Route von 10.0 auf das VIF1?
Ja, klar. Aber siehe oben: wenn man in mehr als einem Netz nach aussen (= außerhalb des Netzes) kommunizieren will, braucht man Routing. Jeder Server braucht immer auch Routing. Man kann freilich auch Routing-Protokolle einsetzen, wenn's manuell zu aufwendig wird, aber für übersichtliche und weitgehend unveränderte Netztopologien lohnt sich das nicht.
Mike63 wrote
Ein getagter Port ist hier kein Abkürzung in dem Sinn, dass die darauf laufenden Broadcast Domains automatisch miteinander kommunizieren können, sondern nur ein Sparprogramm für ansonsten mehrere zu patchende, d.h. auch mehrere Ports auf jedem physikalischen Switch benötigende, Verbindungen zwischen den Broadcast Domains..
Das verstehe ich jetzt nicht ganz. VLANs sollen Netze trennen, also auch Broadcast-Domains isolieren. Das genau ist ihr einziger Zweck.
Betrachte zwei VLANs doch einfach als zwei separate Netze: Zwei Router, zwei Switches, zwei Kabelinstallationen, zwei Nutzergruppen, keine Verbindung zueinander. Das alles dann mit jeweils einem Gerät, wobei ein Gerät nur dann ausreicht, wenn es eben VLANs beherrscht. Die VLANs existieren immer nur intern in den Geräten, wobei das VLAN vom Router bis zur Workstation reichen kann (aber nicht muss). Daraus folgt auch: für die Verbindung zweier VLANs (Netze) braucht es zwingend immer Routing.
Eigentlich ist's ganz einfach:
- VLANs ist eine Technik zwei (oder mehr) logische Netze über ein physikalisches Kabel zu realisieren.
- Im Gegensatz dazu ist Link Aggregation eine Technik, ein logisches Netz über zwei (oder mehr) physikalische Kabel zu realisieren.
- Routing ist die Technik, zwei (oder mehr) Netze miteinander kommunizieren zu lassen.
- Copy Link
- Report Inappropriate Content
@R1D2 Danke dafür. Eigentlich wollte ich genau das aussagen. Anfangs hatte ich vermutet, das die VIFs bzw die getaggten Ports schon eine default Route zwischen den beteiligten Netzen mitbringen. Aber letztlich werden nur physikalische Kabel und Portschnittstellen eingespart. Die Routen muss ich im physikalischen und virtuellen Fall völlig analog einrichten.
Meine jetzige Lösung bleibt also, weil sie tut, was ich will.
Möglicherweise richte ich lediglich statt des x.x.1.x-Netzes zwischen ER und T2600 noch ein anders ein, dass nicht mit dem default-Admin-VLAN1 des TP zusammenfällt.
Danach wird es noch mal spannend, wenn ich das Backup-NAS hinter den ER verlege, weil ich dann doppeltes Portforwarding einrichten muss... 🤪 Viel Raum für Fehler, insbesonder weil der zu sichernde PC weit weg von mir nur remote gewartet werden kann.
Aber was tut man nicht alles, wenn man sonst Langeweile hat 😉
- Copy Link
- Report Inappropriate Content
Mike63 wrote
Anfangs hatte ich vermutet, das die VIFs bzw die getaggten Ports schon eine default Route zwischen den beteiligten Netzen mitbringen.
Auf Routern: ja, weil da eine Netzroute auch benötigt wird, auf Switches: nein, weil sie von diesem nicht benötigt werden, um Pakete zu forwarden.
Ist wie beim Auto: wenn Du die Reifen wechselt, wird auch nicht gleichzeitig der Tank gefüllt. Außer in der Werkstatt (vielleicht) und beim Autoverleih (ganz sicher).
- Copy Link
- Report Inappropriate Content
- Copy Link
- Report Inappropriate Content
Information
Helpful: 0
Views: 7611
Replies: 30
Voters 0
No one has voted for it yet.