Routing/Firewall/WLAN

[sweetie-pie]

Hallo,

habe mal eine Frage, habe so direkt nichts gefunden im Forum.
Folgender Aufbau:

                WAN
                 |
        +-----------------+
        | Fritz!Box 5050  |
        | openVPN         |
        | LAN A     LAN B |
        +-----------------+
         |               | 
192.168.2.*              192.168.1.*
 +--------+            +-------------+
 | switch |            | WLAN (WAP54)|
 +--------+            +-------------+
lokales Netz

Folgende Regeln:
192.168.2.*:
Darf ins WAN
Darf ins WLAN (192.168.1.*)
192.168.1.*:
Darf ins WAN
Darf nicht direkt ins lokale Netz (192.168.2.*)
Darf über openVPN ins lokale Netz (192.168.2.*)

Ist soetwas überhaupt möglich?
DHCP von der Fritzbox oder muss ich zwangsläufig static haben?
Kann ich LAN A & B der FB irgenwie in unterschiedliche Netze bringen?

:noidea:

sweetie-pie

 

[heini66]

müsste die 5050 dazu nicht intern nen switch haben der vlan kann???
soweit ich weiss, hat erst die 7170 nen vlan-fähigen switch.
in der avm weboberfläche gibt es da (noch?) nix was darauf hindeutet...

 

[danisahne]

müsste die 5050 dazu nicht intern nen switch haben der vlan kann???
soweit ich weiss, hat erst die 7170 nen vlan-fähigen switch.
in der avm weboberfläche gibt es da (noch?) nix was darauf hindeutet...

VLAN?!? Kein Heimgerät kann VLAN! Das wär mir jetzt total neu und ist doch auch dafür nicht nötig. Das ganze funktioniert nur, wenn die Fritzbox 5050 keinen Switch sondern 2 Netzwerkinterfaces wie auch die 7050 integriert hat, wovon ich ausgehe. Schau doch mal, ob du die Option "Alle Geräte befinden sich im selben Netzwerk" findest, die mußt du deaktivieren, dann kannst du jedem LAN Port Adressen zuweisen.

EDIT: Hier noch schnell etwas Lektüre bei Wikipedia: http://de.wikipedia.org/wiki/VLAN
VLAN ist ein in den Ethernet Header eingebetteter Tag, das wurde hier im Forum schon öfter mal falsch benutzt.

Mfg,
danisahne

 

[heini66]

Die LAN-Ports werden vom ADM6996 von Infineon/ADMtek gebildet. Dieser alte Bekannte wurde auch im WRT54G bis zur Hardwarerevision 2.0 eingesetzt und ist VLAN-fähig. Diese Funktion wird IMHO bei der FBox nicht genutzt, war beim WTR54G essentiell, da dieser über den Switch sowohl internen als auch externen Verkehr abgewickelt hat.
gefunden:
http://www.cassy.de/ unter it/ computer 7170.

 

[DirkKn]

VLAN?!? Kein Heimgerät kann VLAN!

Also sowohl meine Lancom 1811, wie auch mein D-Link DES-3326S hier können VLAN nach IEEE 802.1q

 

[danisahne]

Also sowohl meine Lancom 1811, wie auch mein D-Link DES-3326S hier können VLAN nach IEEE 802.1q

Hast recht, aber für was braucht man im Heimbereich VLAN? Bei ner Fritzbox ist mir das aber noch nicht untergekommen, oder hab ich da schon wieder was übersehen?

Benutzt du das VLAN Feature? An sich macht es für mich nur Sinn, wenn mehrere VLAN fähige Geräte beteiligt sind. Aber für den normalen Heimanwender ist das doch nicht von Bedeutung.

EDIT: Der D-Link DES-3326S ist ja wohl kein normales Heimgerät mehr. Die 3Com SuperStack Switches die hier rumliegen können auch VLAN

Mfg,
danisahne

 

[DirkKn]

Hast recht, aber für was braucht man im Heimbereich VLAN? Bei ner Fritzbox ist mir das aber noch nicht untergekommen, oder hab ich da schon wieder was übersehen?

Benutzt du das VLAN Feature? An sich macht es für mich nur Sinn, wenn mehrere VLAN fähige Geräte beteiligt sind. Aber für den normalen Heimanwender ist das doch nicht von Bedeutung.

Ich habe am Anfang damit den Verkehr der beiden DSL-Anschlüsse getrennt. Habe mich dann aber kurze Zeit darauf entschlossen lieber das Loadbalancing zu nutzen , da die Firmennotebooks sowieso per VPN end-to-end arbeiten.
VPN's sind vielleicht nützlich, wenn man seinen DSL-Anschluss mit dem Nachbarn teilt.

 

[danisahne]

Also der Switch in der 7170 kann anscheinend VLAN, wird aber nicht genutzt: http://cassy.de/fbox7170/index.html

Ich halte das in einem Heimnetzwerk immer noch für unwichtig, weil kaum Einsatzscenarien, aber ich hab mich geirrt, scheint immer mehr auch in den Heimgeräten zu kommen. Kostenlose Features nehm ich natürlich gerne mit, aber eine Anwendung hätte ich dafür jetzt nicht.

Zurück zum Problem, dafür braucht man kein VLAN, da die Fritzbox 2 Netzwerkinterfaces hat.

@sweetie-pie:
Hast du die Option "Alle Rechner befinden sich im gleichen Netzwerk" gefunden?

Mfg,
danisahne

 

[sweetie-pie]

Hast du die Option "Alle Rechner befinden sich im gleichen Netzwerk" gefunden?

ja, habe ich... danke.
Jetzt stellt sich mir noch die Frage wie ich das Routing/Firewall implementiere?
Wie deaktiviere ich den Weg von Lan B zu A, aber erlaube Weg A zu B?
Muss ich openVPN dann an Lan A binden?
Ist openVPN dann noch über das WAN, Lan B erreichbar?

Im Endeffekt brauche ich eine ähnliche Lösung wie hier hier, gell?

sweetie-pie

 

[danisahne]

Bin mir nicht sicher, ob das mit der ar7.cfg geht, da müssen anderen antworten. Ich würde z.B. den danisahne mod nehmen, da is Iptables drin. Damit geht es auf jeden Fall.

Mfg,
danisahne