- Registriert
- Dez. 2013
- Beiträge
- 10
Raijin schrieb:Ein Subnetz ist ein Subnetz und es ist nicht wirklich vorgesehen, dass man darin verschiedene Berechtigungsebenen einführt.
Ok - da hatte ich dann tatsächlich eine falsche Vorstellung.
Da es in der Zyxel-Oberfläche die Möglichkeit gibt, ganz konkrete Adress-Ranges (unabhängig von VLAN/subnets) mit Regeln zu begrenzen wollte ich diese Möglichkeit auch nutzen (z.B. um eben die "WLAN-Waage" davon abzuhalten, auf meinen Server zuzugreifen)
Dass dies besser über VLANs zu regeln wäre, klingt natürlich logisch - ich habe mich davor aber immer etwas gescheut
Raijin schrieb:Verschiedene Stufen der Zugriffsmöglichkeiten realisiert man daher eben gerade mit verschiedenen VLANs, wobei aber jedes VLAN eine eigene Berechtigungsstufe darstellt, mit weitestgehend allen Teilnehmern in diesem VLAN. So baut man beispielsweise ein VLAN für ein Büro, ein Gästezimmer, eine Werkstatt und so weiter und definiert innerhalb der Firewall Regeln welches Netz wie und wo auf welches Netz zugreifen darf, aber nicht innerhalb des jeweiligen VLANs.
Ich hatte bisher immer Schwierigkeiten, Subnets und VLANs untereinander erreichbar zu machen - aber vermutlich ist es keine Hexerei mehr, wenn man einmal weiß wie es geht.
Raijin schrieb:VLAN für die Werkstatt anlegen, über den Trunk-Port zum Switch schicken (optional über einen zweiten Uplink), am Switch einem Port dieses VLAN als untagged zuweisen, Kabel in die Werkstatt einstöpseln, Firewall konfigurieren und Zugriffe von Werkstatt-VLAN ins Haupt-VLAN und umgekehrt reglementieren.
Meinst du in diesem Fall wirklich "über den Trunk-Port zum Switch schicken"? Oder müsste das Firewall heißen? Wenn ich es richtig verstehe, dann konfiguriere ich am Switch die verschiedenen VLANs auf Ebene der einzelnen Anschlüsse - richtig?
Also der Anschluss für die Werkstatt bekommt VLAN "A", die drei Anschlüsse für Außenkameras VLAN "B" jeweils als "untagged" - und das "Gäste-WLAN" würde dann als "tagged" VLAN über die Ports der APs in den Switch kommen - stimmt das soweit?
Und dann müsste doch der Switch jede Anfrage, die von einem VLAN in ein anderes geht grundsätzlich zur Firewall schicken, die dann über ihre Regeln entscheidet, welche Zugriffe erlaubt sind.
Habe ich das richtig verstanden?
Raijin schrieb:Ich weiß nicht wie deine Kenntnisse sind, aber das musst du dir auf jeden Fall gut überlegen. Tutorials enthalten oftmals auch Fehler bzw. sind unvollständig oder für das falsche Szenario.
Meine Kenntnisse sind hauptsächlich selbst angelernt - ich beschäftige mich zwar schon seit sicher 20 Jahren mit Netzwerken und IT im allgemeinen - aber natürlich immer als "Halb-Laie" - mir fehlt oft das "große Bild", also die Zusammenhänge zwischen den verschiedenen Themen.
Hast du da irgend einen Tipp für eine gute Übersicht über das Thema, die möglichst nicht falsch oder lückenhaft ist?
Raijin schrieb:Ist das vielleicht der Grund warum es eine Firewall für 1000€ werden soll? Weil die mehr Ports hat, die du so konfigurieren kannst?
Es ist nicht der Grund, warum ich eine Zyxel VPN will (wie erwähnt habe ich da schon ein paar und möchte nicht noch ein System). Aber es ist schon ein wenig der Grund, warum ich nicht nur die zB VPN 100 nehme, ja
0-8-15 User schrieb:Warum müssen die drei Computer dann im gleichen Subnetz liegen?
Weil ich mich bisher davor gescheut habe, verschiedene Subnetze anzulegen, da ich dann immer Schwierigkeiten hatte, den Zugriff zu Gewährleisten.
Laienhaft ausgedrückt: Solange alle Geräte im Bereich 192.168.100.X waren und in der Firewall in der gleichen Gruppe waren, war der Zugriff ok. Sobald ich zB den Fileserver dann ins "Ethernet 2" umgesteckt habe und zB auf 192.168.101.X war hatte ich keine Chance mehr, drauf zuzugreifen. Da fehlte mir bisher offenbar das Wissen dazu
Sorry, wenn das für euch vermutlich alles klingt, wie ein Affe, der Motorradfahren lernen will - aber es fasziniert mich extrem und ich glaube ich bin schon sehr weit gekommen und bin gerne bereit, mir weiteres Wissen anzueignen.