Re: GS716Tv3 - VLAN-Routing nur in eine Richtung

Retired_Member · ‎2017-06-15

Hallo,

wir haben eine SRX5308 und einen GS716T. In der Firewall sind zwei VLANs eingerichtet

VLAN1: 192.168.1.0/24 (Port 1)

VLAN10: 192.168.10.0/24 (Port 2)

und das Inter-VLAN-Routing aktiviert.

Im Switch gibt es diese VLANs ebenfalls. Welche ACL müssen definiert werden, damit der Zugriff von Geräten in VLAN1 auf Geräte in VLAN10 möglich ist, umgekehrt aber nicht?

Sind außer den ACL eventuell noch weitere Einstellungen nötig?

Besten Dank im Voraus

Retired_Member · ‎2017-06-23

Anwendungsfall: beliebige Verbindungen auf beliebigen Ports von VLAN A nach VLAN B sollen möglich sein, umgekehrt jedoch nicht.

Lösung: funktioniert nicht mit einem GS716T, sondern nur mit einem L2+ oder L3 Switch (z.B. M4100) bei denen die TCP-Flags für SYN und ACK entsprechend gesetzt werden können.

Lösung in ursprünglichem Beitrag anzeigen

Slas · ‎2017-06-16

Hallo @Retired_Member,

und willkommen in der NETGEAR Community.

Du kannst die Kommunikation zwischen VLANs mit IP ACL blockieren. Dafür kannst Du entweder die Permit ACL erstellen, um nur die gewünschte IP Adressen zu erlauben, oder eine Deny Regel, um zum Beispiel das ganze Subnetz zu sperren.

- Erstelle eine IP ACL ID (Securtity - ACL - IP ACL)

- Konfiguriere und füge die Regeln für die ACL hinzu (Security - ACL - IP ACL - IP Extended Rules)
- Binde die "Inbound ACL" an die passenden Ports (Security - ACL - IP ACL - IP Binding Configuration)

Ich würde Dir folgende Anleitung vorschlagen.

Beachte bitte, dass Wildcard Netzwerkmasken müssen für die IP ACL verwendet werden.

Der Switch setzt automatisch eine Standard Deny Regel als die letzte Regel einer beliebigen ACL.

Hier findest Du weitere IP ACL Beispiele.

Grüße
Slas
NETGEAR Community Team

Retired_Member · ‎2017-06-16

Hallo Slas,

vielen Dank für die Antwort.

Vielleicht habe ich mich nicht klar genug ausgedrückt. Wir möchten einen "one-way access" zwischen zwei VLAN einrichten, wie z.B. in diesem Beispiel beschrieben: How do I use the web interface on my managed switch to configure one-way access using a TCP flag in ...

Beim GS716T gibt es aber anscheinend keine Möglichkeit, die entsprechenden TCP Flags in der ACL zu setzen. Lässt sich das mit diesem Switch trotzdem irgendwie realisieren?

Slas · ‎2017-06-16

Hallo @Retired_Member,

Du kannst die IP ACL auf dem aktuellen Switch realisieren, auch wenn TCP Flag Option nicht vorhanden ist.

Ich schicke Dir gleich eine PN.

Grüße
Slas
NETGEAR Community Team

Retired_Member · ‎2017-06-23

Anwendungsfall: beliebige Verbindungen auf beliebigen Ports von VLAN A nach VLAN B sollen möglich sein, umgekehrt jedoch nicht.

Lösung: funktioniert nicht mit einem GS716T, sondern nur mit einem L2+ oder L3 Switch (z.B. M4100) bei denen die TCP-Flags für SYN und ACK entsprechend gesetzt werden können.

Slas · ‎2017-06-23

Hallo @Retired_Member,

vielen Dank für Deine Rückmeldung.

Nach ein paar Testversuchen mit @gier mussten wir feststellen, das der aktuelle GS716T für die gewünschte ACL Konfiguration leider nicht ausreichend ist.

Grüße
Slas
NETGEAR Community Team