Sperrung von Zone "Intern" --> Zone "Gateway" mit "Block-All-Access" und entsprechender Ausnahme von DHCP (68->67; UDP; Gateway, Broadcast und 255.255.255.255) und DNS (53; TCP/UDP; Gateway)

    Hallo zusammen,

    ich bin der neue hier in der Runde und habe mich bei der Wahl meines Routers mal nicht für das hierzulande typischerweise anzutreffende Modell der Konkurrenz entschieden.

    Bei der Konfiguration meines DreamRouters7 ist mir ein Problem aufgefallen, für welches ich mich über ein kurzes Feedback zu möglichen Problemursachen freuen würde.

    Bei einer Betrachtung meines Netzwerkes habe ich festgestellt, dass ein genereller Zugriff der Zone Intern auf die Zone Gateway eigentlich nicht notwendig ist und nur spezifische Dienste (DHCP, DNS für die jeweiligen VLAN’s in der Zone zum jeweiligen Gateway; SSH,HTTPS nur für Geräte mit spezifischen MAC-Adressen) freigegeben werden sollten.

    Eine Anregung zu dieser Konfiguration hatte ich dabei entnommen aus: Zugang zu den Gateways sperren

    In der Folge habe ich in der Firewall eine Regel (Block-All-Access von Zone Intern nach Zone Gateway) eingerichtet. Parallel habe ich eine Allow-DHCP-Regel für Client-Port 68 auf Server-Port 67 eingerichtet, welche die jeweiligen Ziel-Adressen je VLAN (Gateway, Broadcast und 255.255.255.255) umfasst.

    Die Regel Block-All-Access-Regel ist selbstverständlich unter der Allow-DHCP-Regel angeordnet.

    Leider habe ich das Problem, dass im Dream-Router ein neues Gerät erkannt wird und auch eine IP-Adresse zugewiesen wird, jedoch das Gerät die Zuweisung dieser IP-Adresse nicht mitbekommt und in der Folge auch keine Verbindung mit dem Netzwerk möglich ist. Durch die routerseitige Vergabe einer IP wird aber auch nur die Vergabe protokolliert und keine Bemerkung zu möglicherweise blockierten Paketen gemeldet.

    Schalte ich die Block-All-Regel kurzzeitig vor dem Verbinden des Gerätes aus und später wieder an, kann ich mit dem Gerät im Netzwerk ganz normal surfen, d.h. das Gerät erhält in diesem Fall ohne Probleme eine IP. Daher gehe ich davon aus, dass die parallel eingerichtete Regel Allow-DNS-Access für Port 53 funktioniert.

    Nach meinem Verständnis muss ich den Verkehr vom Gateway zum jeweiligen VLAN in der Zone intern nicht freigeben, da das Gateway werksseitig eine nicht veränderbare Allow-All-Traffic-Regel in alle Zonen (und VLAN’s) hat.

    Woran könnte das Problem liegen, dass die Geräte keine Zuweisung einer IP erkennen?

    Ich freue mich auf die eine oder andere Hinweise, welche ich ausprobieren oder für die Fehlersuche anwenden könnte.

    Die Block-All-Access-Regel hat folgende Konfiguration

    Die Allow-DHCP-Regel hat folgende Konfiguration:

    Vielen Dank im Voraus

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login