NETGEAR is aware of a growing number of phone and online scams. To learn how to stay safe click here.
Forum Discussion
GS716Tv3 - VLAN-Routing nur in eine Richtung
Hallo,
wir haben eine SRX5308 und einen GS716T. In der Firewall sind zwei VLANs eingerichtet
VLAN1: 192.168.1.0/24 (Port 1)
VLAN10: 192.168.10.0/24 (Port 2)
und das Inter-VLAN-Routing aktiviert.
Im Switch gibt es diese VLANs ebenfalls. Welche ACL müssen definiert werden, damit der Zugriff von Geräten in VLAN1 auf Geräte in VLAN10 möglich ist, umgekehrt aber nicht?
Sind außer den ACL eventuell noch weitere Einstellungen nötig?
Besten Dank im Voraus
Anwendungsfall: beliebige Verbindungen auf beliebigen Ports von VLAN A nach VLAN B sollen möglich sein, umgekehrt jedoch nicht.
Lösung: funktioniert nicht mit einem GS716T, sondern nur mit einem L2+ oder L3 Switch (z.B. M4100) bei denen die TCP-Flags für SYN und ACK entsprechend gesetzt werden können.
5 Replies
Anwendungsfall: beliebige Verbindungen auf beliebigen Ports von VLAN A nach VLAN B sollen möglich sein, umgekehrt jedoch nicht.
Lösung: funktioniert nicht mit einem GS716T, sondern nur mit einem L2+ oder L3 Switch (z.B. M4100) bei denen die TCP-Flags für SYN und ACK entsprechend gesetzt werden können.
Hallo Retired_Member,
vielen Dank für Deine Rückmeldung.
Nach ein paar Testversuchen mit @gier mussten wir feststellen, das der aktuelle GS716T für die gewünschte ACL Konfiguration leider nicht ausreichend ist.
Grüße
Slas
NETGEAR Community Team
Hallo Retired_Member,
Du kannst die IP ACL auf dem aktuellen Switch realisieren, auch wenn TCP Flag Option nicht vorhanden ist.
Ich schicke Dir gleich eine PN.
Grüße
Slas
NETGEAR Community Team
Hallo Retired_Member,und willkommen in der NETGEAR Community.
Du kannst die Kommunikation zwischen VLANs mit IP ACL blockieren. Dafür kannst Du entweder die Permit ACL erstellen, um nur die gewünschte IP Adressen zu erlauben, oder eine Deny Regel, um zum Beispiel das ganze Subnetz zu sperren.
- Erstelle eine IP ACL ID (Securtity - ACL - IP ACL)
- Konfiguriere und füge die Regeln für die ACL hinzu (Security - ACL - IP ACL - IP Extended Rules)
- Binde die "Inbound ACL" an die passenden Ports (Security - ACL - IP ACL - IP Binding Configuration)Ich würde Dir folgende Anleitung vorschlagen.
Beachte bitte, dass Wildcard Netzwerkmasken müssen für die IP ACL verwendet werden.
Der Switch setzt automatisch eine Standard Deny Regel als die letzte Regel einer beliebigen ACL.
Hier findest Du weitere IP ACL Beispiele.
Grüße
Slas
NETGEAR Community TeamHallo Slas,
vielen Dank für die Antwort.
Vielleicht habe ich mich nicht klar genug ausgedrückt. Wir möchten einen "one-way access" zwischen zwei VLAN einrichten, wie z.B. in diesem Beispiel beschrieben: How do I use the web interface on my managed switch to configure one-way access using a TCP flag in an Access Control List (ACL)?
Beim GS716T gibt es aber anscheinend keine Möglichkeit, die entsprechenden TCP Flags in der ACL zu setzen. Lässt sich das mit diesem Switch trotzdem irgendwie realisieren?
NETGEAR Academy
Steigern Sie Ihre Fähigkeiten mit der Netgear Academy - Lassen Sie sich schulen, zertifizieren und bleiben Sie mit der neuesten Netgear-Technologie auf dem neuesten Stand!
Machen Sie mit!
ProSupport for Business
Umfassende Supportpläne für maximale Netzwerkverfügbarkeit und geschäftliche Sicherheit