Firewall, Switch + Wifi für Umbau

[Hypoferalcus]

Hallo zusammen!

Wir bauen gerade ein gekauftes Haus komplett um und da wird auch sehr großzügig Cat7A im ganzen Haus eingezogen

Jetzt möchte ich hier das entsprechende Netz planen und habe dazu ein paar Fragen, die vermutlich "lächerlich einfach" sind, aber auf die ich einfach keine ganz klare Antwort (für halb-Laien) finde

Grundsätzlich hatte ich bisher immer Zyxel-Geräte (aktuell eine USG50 und eine USG 110) und war eig. immer zufrieden, weil sie gutes P/L-Verhältnis haben und relativ einfach zu konfigurieren sind.

Im neuen Haus soll es dann aber bzgl. Wifi professioneller abgehen mit managed APs

Ich habe mir erstmal die Kombination wie folgt gedacht:

Zywall VPN300 als Firewall+Management Gerät
dazu ein noch nicht näher spezifizierter POE-Switch
und mehrere NWA210AX APs

Jetzt stellt sich mir folgende Frage - um dann später auch klare VLans (zB Gäste-Wifi) realisieren zu können - müssen die Wifi-APs "direkt" in die Zywall gesteckt werden oder kann da dazwischen ein Switch liegen? Muss der dann "managed" sein, um die Daten des APs an die Firewall weiterzuleiten?

Wäre da für eine kurze Hilfe sehr dankbar!

Schöne Grüße

Hypo

 

[wahli]

Warum brauchst du eine so teuere Firewall-VPN-Lösung?
Evtl. reicht einfach eine Fritzbox (VPN ist da recht einfach umzusetzen) mit ein paar APs von AVM bzw. Ubiquiti.
Beim Switch kannst du ja einen Zyxel nehmen. Auch andere sind Ok, die nehmen sich alle nicht recht viel.
Wenn du viel Wert auf Statistiken legst, dann geht auch ein Switch und die APs von Ubiquiti. Dann brauchst du noch irgendwo Unifi (z. B. auf Raspi).

 

[Autokiller677]

Fritzbox (VPN ist da recht einfach umzusetzen)

Nur wenn man noch eine IPv4 Adresse bekommt. Fritzboxen können immer noch kein VPN über v6 afaik, und sobald man da hinter einem CGN sitzt, geht nix mehr.

 

[andy_m4]

Fritzboxen können immer noch kein VPN über v6 afaik

Das nötigt einem aber immer noch keine teure Lösung auf. Gerade in Zeiten von OpenVPN und Wireguard.

 

[Raijin]

Wenn du VLANs quer durch das Netzwerk pumpst, muss )* auch jeder Switch auf dem Weg )** mit VLANs umgehen können, also 802.3Q unterstützen. Das ist ab der Kategorie "Smart managed" der Fall, manchmal auch L2+ genannt, ist aber beides keine standardisierte Definition. Ein Blick ins Datenblatt ist also immer sinnvoll, um sicherzugehen.


)* Einige dumme, unmanaged Switches leiten zwar Frames mit VLAN-Tag stur und ungesehen durch, aber das ist nicht wirklich standardisiert. Andere Switches verwerfen solche Frames einfach, weil sie "kaputt" aussehen. Wenn man noch einen unmanaged Switch rumliegen hat, kann man es also einfach ausprobieren, ich würde aber grundsätzlich immer einen VLAN-fähigen Switch einsetzen

)** Auf dem Weg bedeutet in den Uplinks. Dort wo mehrere VLANs in ein und demselben Kabel laufen, werden die einzelnen Frames mit einem VLAN-Tag versehen, um sie auseinanderzuhalten. Also jeder Switch, der an einem als "tagged VLAN" definierten Port eines anderen Switches steckt, sollte eben auch mit VLANs umgehen können. Hängt der Switch dagegen an einem "untagged" Port, kommen dort nur Frames ohne VLAN-Tag raus und können von jedem beliebigen Switch weiterverarbeitet werden. Hier ein Beispiel:

Switch#1 ====taggedVLAN10+20+30==== Switch#2 ====VLANs10+20+30==== APmit2SSIDs
|
| untagged VLAN20
|
Switch#3


Switch#1 muss offensichtlich VLANs können. Switch#2 ebenso, weil dieser alle VLANs von Switch#2 bekommt und seinerseits an einen AP durchreicht (und ggfs noch weitere Endgeräte verbunden sind)
Switch#3 hingegen kann unmanaged sein, weil bei ihm gar keine VLANs ankommen. Das dargestellte untagged VLAN20 ist ausschließlich in Switch#1 und der filtert eben alles was er an dem Port zu Switch#3 rausgeht.

 

[Autokiller677]

Das nötigt einem aber immer noch keine teure Lösung auf. Gerade in Zeiten von OpenVPN und Wireguard.

Nicht unbedingt, wenn man bereit ist, selber etwas zu basteln.

Sollte man halt nur im Kopf haben. Nicht, dass man die Fritte besorgt, denkt, damit sei VPN erledigt, und dann gehts nicht, weil mein keine v4 Adresse mehr hat.

Bisschen OT:
Gibt es mittlerweile ein ordentliches Tool, um OpenVPN oder Wireguard so easy auf einem Pi oder so aufzusetzen, wie man z.B. in der FB einen VPN konfigurieren kann? Ich hab das jetzt mehrmals schon in Angriff genommen, immer einen halben Tag in irgendwelchen Config-Files rumgebastelt und dann doch entnervt aufgegeben, weil es doch irgendwie total kompliziert wurde.

 

[Raijin]

Gibt es mittlerweile ein ordentliches Tool, um OpenVPN oder Wireguard so easy auf einem Pi oder so aufzusetzen, wie man z.B. in der FB einen VPN konfigurieren kann?

PIVPN

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[Hypoferalcus]

Danke für eure Beiträge!

Warum brauchst du eine so teuere Firewall-VPN-Lösung?

Weil ich zum einen "was ordentliches" will und zum anderen auch eine stabile Verbindung mit zwei anderen Standorten brauche, die auch alle mit Zyxel-Firwalls bestückt sind - das sollte dann am besten gehen.
Außerdem hab ich mit "zusammengestückelten" WLANs keine so guten Erfahrungen - ich würde gerne mal etwas aus einem Guss haben, wo die Firewall (die sinnvoller Weise von Zyxel kommen wird) auch die APs managed um hier einen stabilen Handover etc. zu gewährleisten.
Liege ich da falsch?

Auf dem Weg bedeutet in den Uplinks. Dort wo mehrere VLANs in ein und demselben Kabel laufen, werden die einzelnen Frames mit einem VLAN-Tag versehen, um sie auseinanderzuhalten.

Danke für deinen ausführlichen Beitrag.
Da in meinem Fall wohl bei ein und demselben Kabel, nämlich dem zum AP, jedenfalls 2 VLANs (intern + Gäste) laufen, wäre also dafür ein guter smart switch sinnvoll?

Es würde ganz konkret so ausschauen, dass ich zB ein 48port Patch Panel habe
"Dahinter" würde ich wohl einen 24 oder gleich 48 Port Switch hängen (zB https://geizhals.de/zyxel-gs1920-ra...-48hpv2-eu0101f-a1901011.html?hloc=at&hloc=de )
und an dem hängt dann wiederum die Firewall und manche "besonders kritische" Geräte werden dann direkt an einem der 8 Ports der Firewall hängen.

Dann wäre das aber mit meiner Konfiguration so machbar? Oder gibt es etwas sinnvolleres (und damit meine ich nicht unbedingt billigeres - sondern eine bessere Kombination oder Variante)?

 

[Raijin]

Es würde ganz konkret so ausschauen, dass ich zB ein 48port Patch Panel habe
"Dahinter" würde ich wohl einen 24 oder gleich 48 Port Switch hängen (zB https://geizhals.de/zyxel-gs1920-ra...-48hpv2-eu0101f-a1901011.html?hloc=at&hloc=de )
und an dem hängt dann wiederum die Firewall und manche "besonders kritische" Geräte werden dann direkt an einem der 8 Ports der Firewall hängen.

Was sind für dich "besonders kritische" Geräte, warum sind sie das und was erhoffst du dir von einer direkten Verbindung?

Die übliche Vorgehensweise sieht so aus:


www --- Router --- Switch --- Patchfeld --- Dosen

Am Router selbst ist in der Regel also lediglich der Switch angeschlossen, der dann für sämtlichen netzwerkinternen Traffic zuständig ist. Der Router bzw. dessen Uplink zum Switch wird ausschließlich für die Internetverbindung oder Dienste auf dem Router selbst genutzt, zB DHCP, DNS und dergleichen. Wenn du deine "besonders kritischen" Geräte direkt am Router anschließt, hast du zumindest keinerlei Sicherheitsgewinn. Wenn das zB ein NAS wäre, würde der Uplink zum Switch plötzlich stark ausgelastet werden, weil Internet- und NAS-Traffic gleichermaßen bedient werden müssen.

Das geht sogar so weit, dass (semi-)professionelle Router mit mehreren LAN-Ports teilweise gar keinen Switch-Chip verbaut haben. Die vielen Ports sind nämlich vorwiegend für physische Netzwerke vorgesehen, also in dem Fall nicht VLANs, sondern physische LANs mit separater Infrastruktur. Bei der Zywall weiß ich das jetzt nicht, ohne ins Datenblatt zu schauen, aber professionelle Router sind eben nicht dasselbe wie Consumer-Router nur mit nem dicken Markennamen drauf.

 

[andy_m4]

Gibt es mittlerweile ein ordentliches Tool, um OpenVPN oder Wireguard so easy auf einem Pi oder so aufzusetzen

Gute Frage (ein Webmin-Modul vielleicht).
Ich finde es aber auch nicht soo schwierig. Hab selber auch noch eine legacy OpenVPN-Instanz auf einem Raspberry Pi 1 am laufen.
Die Vorkonfiguration kann man fast übernehmen und muss sie nur an einer handvoll Stellen anpassen. Bei Wireguard ists etwas mehr (weils weniger macht als OpenVPN und eigentlich nur die Verschlüsselung und für den Rest auf vorhandene Systemfunktionen zurückgreift). Ist aber auch nicht weiter dramatisch.

VPN ist da vor allem Routing-Howto. Man muss eben an den entsprechenden Stellen Routen definieren. Und was man auch nicht vergessen darf: Bei Linux und Co überhaupt Routing anzuschalten. Per default ist das in der Regel aus (Forward-Packages werden nicht weitergeleitet) und dann funktioniert auch das beste Setup nicht.

Weil ich zum einen "was ordentliches" will

OpenVPN, Wireguard und co sind ordentlich.
So mal unter uns: In den ganzen teuren Appliances verwenden die letztlich auch nix anderes (da ist sogar eher die Gefahr das Du da ne alte Gammelversion hast). Die packen nur noch eine hübsche WebGUI dazu. Und das wars.

Die sogenannten ordentlichen Lösungen von Cisco und Co glänzen gerne mal durch irgendwelche haarsträubenden Sicherheitslecks.
Zyxel war erst wieder neulich von einer Backdoor ... ähm meinte undokumentierten Useraccount betroffen:
https://eye.security/en/blog/undocumented-user-account-in-zyxel-products-cve-2020-29583

 

[Autokiller677]

@andy_m4
Und genau das meinte ich mit Basteln
Für die Fritte gibt's einen schönen Assistenten, man gibt die IP-Range für VPN-Clients im Zielnetz ein und fertig ist die Laube.
Im Client selbst kann man dann noch FullTunnel / SplitTunnel auswählen.

Ich werd mir PiVPN mal anschauen, das sieht ja erstmal ganz gut aus.

 

[Hypoferalcus]

Was sind für dich "besonders kritische" Geräte, warum sind sie das und was erhoffst du dir von einer direkten Verbindung?

Das wären zum einen Dinge, die "nach außen" funken, also z.B. eine personal Cloud, die Alarmanlage, Haussteuerung - also alles, was nicht durch einen eventuell falsch konfigurierten Link zwischen Switch dann ein Backdoor werden sollte - also alles, wo auch bei einem halb-Laien möglichst wenig "Bruchstellen" auftreten

Wenn das zB ein NAS wäre, würde der Uplink zum Switch plötzlich stark ausgelastet werden, weil Internet- und NAS-Traffic gleichermaßen bedient werden müssen.

danke für den Hinweis - dann wird der Storage Server (TrueNAS) direkt an den Switch gehängt

OpenVPN, Wireguard und co sind ordentlich.
So mal unter uns: In den ganzen teuren Appliances verwenden die letztlich auch nix anderes (da ist sogar eher die Gefahr das Du da ne alte Gammelversion hast). Die packen nur noch eine hübsche WebGUI dazu. Und das wars.

Mir geht es vor allem auch um die "interkompatibilität" - also dass ich irgendwo eine möglichst einfache zentrale Stelle zum Konfigurieren des ganzen Netzwerks habe - da gefällt mir natürlich die kombinierte Lösung von Zyxel besser als eine DIY-Methode mit Raspberrys, etc (so sehr ich das herumbasteln an sowas mag - aktuell fehlt mir absolut die Zeit dazu)
Findest du das System jetzt wirklich nicht gut, oder denkst du einfach nur, dass man nicht so viel Geld ausgeben sollte (was ich aber bereit bin zu tun)

 

[andy_m4]

also dass ich irgendwo eine möglichst einfache zentrale Stelle zum Konfigurieren des ganzen Netzwerks habe - da gefällt mir natürlich die kombinierte Lösung von Zyxel besser als eine DIY-Methode

Ich verstehe das. Ist auch ein völlig legitimer Grund.

Findest du das System jetzt wirklich nicht gut,

Ich hab so meine Probleme mit diesen fertigen Appliances. Sie sind ganz nett und bieten auch gewissen Komfort und auch Funktionalitäten, die Du sonst nicht hättest.
Auf der anderen Seite sind die beim näheren Hinsehen dann doch nicht so solide, wie man gemein hin immer glaubt. Manchmal fehlen einem auch bestimmte Dinge wo man sich sagt: Ist doch letztlich eh nur ein normales Linux und dort würde ich jetzt Problem ABC einfach lösen indem ich XYZ mache und das geht dann nicht, weil es die GUI nicht hergibt oder weil irgendwelche Funktionalitäten ohne Not kastriert wurden.

Das ist halt tendenziell immer so ein bisschen "Vorne Hochglanz. Unten drunter Schrotthaufen."
Ist jetzt plakativ formuliert, aber ich hoffe Du weißt, worauf ich hinaus will.

Nicht falsch verstehen. Es geht mir nicht ums niedermachen oder so. Und man kann sicherlich auch nicht alle über einen Kamm scheren und man muss das sicher auch differenziert betrachten.
Nicht missverstehen als: Die sind alle Müll und man sollte die auf gar kein Fall verwenden
Vieles hängt auch vom konkreten Einsatzzweck ab.

oder denkst du einfach nur, dass man nicht so viel Geld ausgeben sollte

Das muss jeder für sich selbst entscheiden. Wie gesagt. Hängt ja auch immer davon ab, was man machen will und wie so das drum herum ist. Da gibts keine Patentlösung.
Man kann so mehrere Sachen diskutieren und gucken, was für die eigene Situation dann am besten passt.

 

[Raijin]

Das wären zum einen Dinge, die "nach außen" funken, also z.B. eine personal Cloud, die Alarmanlage, Haussteuerung - also alles, was nicht durch einen eventuell falsch konfigurierten Link zwischen Switch dann ein Backdoor werden sollte - also alles, wo auch bei einem halb-Laien möglichst wenig "Bruchstellen" auftreten

Ähm, what? Was hat denn jetzt eine "Backdoor" damit zu tun? Und was sollte am Link zum Switch falsch konfiguriert sein? Ich kann dir gerade nicht so recht folgen.

 

[Autokiller677]

PIVPN

Kurzer Follow-Up:
Setup für Wireguard tatsächlich super easy, und an einem Anschluss mit öffentlicher IPv4 hatte ich in 5min einen laufenden VPN - super.

An dem Anschluss mit CGN... ich kann mich verbinden, und auch über den VPN per SSH auf den VPN-Server einloggen - also in Putty 192.168.178.35 eingeben, das ist die lokale IP des Servers im entfernten Netz, Login geht.

Alles andere geht nicht - die Firtzbox unter 192.168.178.1 ist nicht erreichbar, und auch keine Website. Laut "pivpn clients" verbindet sich der Client eben über IPv6, wie zu erwarten war, bekommt aber eine v4 IP. DNS Server sind auch nur für v4 konfiguriert.

Ich werde mich nochmal ein bisschen mit Google rumschlagen ob ich es gelöst bekomme, aber letztlich erstmal das gleiche Problem wie mit einer Fritzbox: v4 ist plug'n'play, v6 erstmal Bastelsession.

 

[Hypoferalcus]

Ähm, what? Was hat denn jetzt eine "Backdoor" damit zu tun? Und was sollte am Link zum Switch falsch konfiguriert sein? Ich kann dir gerade nicht so recht folgen.

Ok, vllt. habe ich mich falsch ausgedrückt.
Konkretes Beispiel: Ich habe bei einer meiner aktuellen Firewalls versucht, Zugriffe innerhalb (!) eines VLans zu beschränken - also dass bspw. auf Computer "A" nur von "Computer B" aber nicht von "Computer C" zugegriffen werden kann, die alle im gleichen subnet liegen.
Das hat wunderbar mit Firewall-Regeln funktioniert, solange "Computer A" direkt an der Firewall angehängt war - Sobald aber A, B und C an einem Switch vor der Firewall waren, wurde die Regel munter ignoriert (Weil das Paket ja nie zur Firewall kam)

Wenn ich nun bspw. eine LAN-Dose im Garten oder der Garage (z.B. für Kamera) habe, habe ich jetzt irgendwie die Befürchtung, dass wenn die Dose "nur" am Switch hängt, sich jemand recht schnell dort anstöpseln kann und Zugriff auf mein gesamtes LAN am Switch hat - hängt die Dose aber direkt an der Firewall kann ich den Zugriff effektiv durch Regeln unterbinden.

Das meinte ich mit "Backdoor", also eine Hintertür in mein sonst abgeschirmtes Netz.

Ich werde mich nochmal ein bisschen mit Google rumschlagen ob ich es gelöst bekomme, aber letztlich erstmal das gleiche Problem wie mit einer Fritzbox: v4 ist plug'n'play, v6 erstmal Bastelsession.

Dürfte ich dich höflich bitten, dafür einen eigenen Thread zu eröffnen? Hat ja mit meiner Frage eigentlich nichts zu tun ;-)

 

[Raijin]

also dass bspw. auf Computer "A" nur von "Computer B" aber nicht von "Computer C" zugegriffen werden kann, die alle im gleichen subnet liegen.

Firewall des Betriebssystems von Computer A so konfigurieren, dass Computer C nicht zugreifen darf. Kann man aber natürlich munter umgehen, wenn man die IP von Computer C ändert.

Das hat wunderbar mit Firewall-Regeln funktioniert, solange "Computer A" direkt an der Firewall angehängt war - Sobald aber A, B und C an einem Switch vor der Firewall waren, wurde die Regel munter ignoriert (Weil das Paket ja nie zur Firewall kam)

Das war dann aber zu 100% ein komplett anderes Szenario. Auch bei einem Profi-Router ist ein Switch immer noch ein Switch und die interne Firewall hat darauf keinen Zugriff. Firewalls trennen zwischen verschiedenen Netzwerken bzw. Subnetzen, nicht aber zwischen Switch-Ports. Das kann höchstens durch ACLs in einem L3-Switch passieren.

Eine Firewall bearbeitet Frames, die an die MAC der Firewall selbst adressiert sind. Sie öffnet den Frame, schaut sich den bzw. die Header an - zB die Ziel-IP im Header des gekapselten IP-Pakets - prüft die konfigurierten Routen, NAT- und Firewall-Regeln und entscheidet anschließend was damit passieren soll. Wenn aber 2 Geräte direkt am internen Switch der Firewall hängen, ist die Ziel-MAC-Adresse des Frames nicht die der Firewall, sondern die vom ZIel innerhalb desselben Subnetzes (zuvor beispielsweise über einen ARP-Request ermittelt). Das heißt die Firewall als solche bekommt diesen Frame nie zu Gesicht, weil der Frame vom Switch direkt von Port 1 zu Port 2 geswitcht wird, ohne Firewall.
Wenn die besagten Ports als separate Interfaces genutzt werden, sind es wiederum eigenständige Netzwerke mit dann eben nur einem einzelnen Teilnehmer abgesehen von der Firewall selbst. Dann kann die Firewall wieder eingreifen.

Ein Subnetz ist ein Subnetz und es ist nicht wirklich vorgesehen, dass man darin verschiedene Berechtigungsebenen einführt. Das liegt u.a. darin begründet, dass weder die IP-Adresse noch die MAC-Adresse eines Geräts eine eindeutige Identifizierung zulässt - auch der verbundene Port nicht. MACs und IPs lassen sich ändern, Ports kann man umstecken. Es ist also rein technisch in dieser Form nicht möglich und eben auch nicht sinnvoll, innerhalb desselben Netzwerks irgendwas firewall zu wollen - wenn, dann auf der jeweiligen Firewall des Geräts selbst (zB Windows-Firewall).

Verschiedene Stufen der Zugriffsmöglichkeiten realisiert man daher eben gerade mit verschiedenen VLANs, wobei aber jedes VLAN eine eigene Berechtigungsstufe darstellt, mit weitestgehend allen Teilnehmern in diesem VLAN. So baut man beispielsweise ein VLAN für ein Büro, ein Gästezimmer, eine Werkstatt und so weiter und definiert innerhalb der Firewall Regeln welches Netz wie und wo auf welches Netz zugreifen darf, aber nicht innerhalb des jeweiligen VLANs.

Wenn ich nun bspw. eine LAN-Dose im Garten oder der Garage (z.B. für Kamera) habe, habe ich jetzt irgendwie die Befürchtung, dass wenn die Dose "nur" am Switch hängt, sich jemand recht schnell dort anstöpseln kann und Zugriff auf mein gesamtes LAN am Switch hat - hängt die Dose aber direkt an der Firewall kann ich den Zugriff effektiv durch Regeln unterbinden.

VLAN für die Werkstatt anlegen, über den Trunk-Port zum Switch schicken (optional über einen zweiten Uplink), am Switch einem Port dieses VLAN als untagged zuweisen, Kabel in die Werkstatt einstöpseln, Firewall konfigurieren und Zugriffe von Werkstatt-VLAN ins Haupt-VLAN und umgekehrt reglementieren. Nix mit irgendwelchen Backdoors.


Sicherheit steht und fällt mit der Konfiguration. Eine Profi-Firewall allein bringt keinerlei Sicherheit, wenn sie nicht fachgerecht konfiguriert ist. Das wiederum setzt ein gewisses KnowHow voraus, weil die vermeintlich sichere Profi-Firewall am Ende sonst gefährlicher ist als ein 08/15 Consumer-Router. Ich weiß nicht wie deine Kenntnisse sind, aber das musst du dir auf jeden Fall gut überlegen. Tutorials enthalten oftmals auch Fehler bzw. sind unvollständig oder für das falsche Szenario.

 

[t-6]

Auch bei einem Profi-Router ist ein Switch immer noch ein Switch und die interne Firewall hat darauf keinen Zugriff. Firewalls trennen zwischen verschiedenen Netzwerken bzw. Subnetzen, nicht aber zwischen Switch-Ports. Das kann höchstens durch ACLs in einem L3-Switch passieren.

Strenggenommen ja, aha-aber sag das mal bspw. einer Sophos UTM oder XG (oder Zyxel USG wie sich gerade rausstellt) ^^
Da kannst du zwar mehrere Ports auf dasselbe Interface brücken, so dass es wie ein L2-Switch aussieht - aber tatsächlich grätscht das Gerät auch hier in Traffic im selben Subnetz rein.
Und das hat noch nicht mal was mit DPI, IDP usw. zu tun - das läuft im Paketfilter.

Jap; die Lösung ist eine Kreuzregel LAN <-- ANY --> LAN
Für Broadcasts muss auch noch irgendwo ein Haken gesetzt werden. Tausend Stunden Spiel & Spaß bei Geräten mit integriertem WLAN-AP wenn das "native" WLAN auf das native LAN gebrückt werden soll. -.-

 

[Raijin]

Das ist ziemlich crazy, offen gestanden. Vor allem muss das recht performancelastig sein, wenn sich die Firewall jedes geswitchte Paket, mit dem sie eigentlich gar nichts zu tun hat, angucken muss.


@Hypoferalcus : Ist das vielleicht der Grund warum es eine Firewall für 1000€ werden soll? Weil die mehr Ports hat, die du so konfigurieren kannst? Das ginge ebenso mit einem EdgeRouter-X für 55€, aber eben nicht so komisch über Firewall-in-Switch, sondern eben wie üblich über ein separates Interface mit einem eigenen Subnetz. Oder eben mit der Zywall VPN50 für nicht mal die Hälfte des Preises der 300er. Wie gesagt, kommt alles auf die Konfiguration an. Mit VLANs kann man wie oben angedeutet auch über den Switch mehrere Interfaces mit beliebig vielen Ports ausstatten.

 

[0-8-15 User]

Konkretes Beispiel: Ich habe bei einer meiner aktuellen Firewalls versucht, Zugriffe innerhalb (!) eines VLans zu beschränken - also dass bspw. auf Computer "A" nur von "Computer B" aber nicht von "Computer C" zugegriffen werden kann, die alle im gleichen subnet liegen.

Warum müssen die drei Computer dann im gleichen Subnetz liegen?