Hallo,

 

ich möchte vorweg nehmen das ich kein IT-Profi bin.

 

Ich komme von der Fritzbox und möchte mein Netzwerk etwas besser gestalten.

Da ich mich in das Thema erst noch etwas besser einarbeiten möchte, habe ich ein Testsystem aufgebaut um die ACL Regeln zu erkunden:

 

OMADA Controller auf Windows PC ( 5.15.6.4 )

ER 605 V2 (2.2.6)

SG-TL 3428 V2.30 (2.30.1)

 

Ich habe 4 VLAN am Laufen

 

VLAN1 Zur Verwaltung (10.10.10.0/24)

VLAN10 (192.168.10.0/24)

VLAN20 (192.168.20.0/24)

VLAN30 (192.168.30.0/24)

 

Ich möchte folgendes Umsetzen:

 

1. VLAN10 + 20 + 30 darf in das Internet

2. VLAN10 darf VLAN30

3. VLAN10 darf nicht VLAN20

4. VLAN20 darf nicht VLAN10 + 30

5. VLAN30 darf nicht VLAN20 + 30

 

Ich habe also als Switch ACL die ACLs angelegt (immer alle Protokolle angehakt)

 

VLAN10 permit  VLAN30

VLAN10   deny  VLAN20

VLAN10   deny  VLAN30

VLAN20   deny  VLAN10

VLAN20   deny  VLAN30

VLAN30   deny  VLAN10

VLAN30   deny  VLAN20

 

 

Das ganze Verbieten funktioniert, aber ich kann nicht von 10 auf 30 Pingen.

Sobald ich das Verbot von 30 nach 10 an habe geht in beide Richtungen nix mehr, obwohl es die Erlaubnis in dieser Richtung als Regel davor schon gibt.

 

Ich bin jetzt nach einigen Nachforschungen, woran das liegen könnte auf folgendes gestoßen:

 

In einem anderen Forum war genau dieses Problem angesprochen worden. Das war allerdings schon vor über 2 Jahren !!!

Dabei stellte sich heraus, dass es wohl daran liegt das es keine .... Stateful Packet Inspection .... gibt.

 

Meine Fragen sind nun:

 

selbst wenn ich eine Regel in nur einer Richtung erstelle gilt diese trotzdem in beide Richtungen

ist das richtig?

wenn es so ist:

ist diese Funktion "Stateful Packet Inspection" wenigstens in Planung?

wenn Ja, in welchem Zeitraum ungefähr könnte mit der Integration gerechnet werden?

 

LG

Markus

 

Edit:

Es ist wohl wirklich so, dass eine Regel in eine Richtung auch für die andere Richtungen gilt ... und selbst wenn eine Verbotsregel NACH einer Erlaubtregel kommt, zählt die Erlaubtregel nicht mehr? Was soll der quatsch? In allen Anleitungen steht das ACLs nach Reihenfolge abgearbeitet werden.

 

Damit dürfte TP Link für mich nicht benutzbar sein, leider und ich werde mich wohl dem etwas teureren Ubiqity zuwenden müssen, dort soll diese Art der Regelerstellung funktionieren.

 

Falls es doch irgendwie gehen sollte und ich etwas Essentielles übersehen haben sollte ... es ,uss doch möglich sein, von einer Richtung rein zu kommen und die gegen Richtung geht nicht, gerne her damit, ich würde eigentlich lieber mit den jetzigen Geräten weiter arbeiten wollen.