VLAN dediziert freigeben, sonst abblocken

Es gibt 6 Antworten in diesem Thema, welches 1.459 mal aufgerufen wurde. Der letzte Beitrag () ist von Shadowblues.

    Hallo zusammen,


    ich habe gestern wieder stundenlang Beiträge gewälzt und es auf zig Arten probiert, aber irgendwie komme ich nicht weiter. Könnt ihr mir bitte helfen und sagen was ich wo und wieso einstellen muss?


    Ich brauche ein neues VLAN, die dort enthaltenen VMs sollen ins Internet reden können aber sonst mit keinem internen Netz - weder Coorporate noch Guest Kontakt haben.
    Aber: Ich benötige natürlich RDP Zugriff von einer dedizierten Maschine aus einem Coorporate Netz auf diese VM. Das soll aber der einzige Kontakt intern sein.


    Ich habe das gestern als Guest aufgebaut, habe aber dann die dedizierte Verbindung aus dem Coorporate Netz nicht hinbekommen.

    Ausserdem habe ich es als Coorporate aufgebaut, jedoch was auch immer ich abgeblockt hatte, es ging immer noch n Teil der ungewollt war - oder gar nichts.


    Könnt ihr mir bitte nen Tipp geben wie ich das aufbaue?


    Gruß
    Roger

    Normalerweise müsste es doch gehen:


    Separates Corporate VLAN aufsetzen. Sämtlichen Verkehr (ausgehend / eingehend) in andere Corporate Netzwerke untersagen = Regeln erstellen.

    Nach dem das passiert ist : Neue Regel (die dann weiter oben steht = höhere Rechte genießt), die einem bestimmten Gerät aus dem Corporate Netz den Zugriff auf die VM erlaubt.


    Natürlich wäre es dienlich, wenn du bei beiden Geräten mit fixen IP Adressen arbeitest.

    Hallo N0head,


    Also Coorporate vlan, ok. Name: TESTNETZ

    Dann eine LAN IN Regel: DENY ALL FROM TESTNETZ TO ANY?

    Dann eine LAN OUT Regel DENY ALL FROM ANY TO TESTNETZ?

    Dann eine LAN OUT Regel ALLOW RDP FROM dedicated machine TO TESTNETZ? (vor der deny Regel, of course)

    Stimmen die so?

    Was ist mit dem Antwortverkehr auf den RDP Request?

    Was ist mit dem Internettraffic?


    Mein Grosser nutzt die VM grade in ner Vorlesung, ich lege grade neues Netz und neue VM an um das zu testen.


    Gruß
    Roger

    ANY?
    Ich würde eher den Traffic zu deinem Corporate blocken.


    Also

    1.

    LAN OUT :

    Quelle : Testnetz

    Typ: DENY
    Ziel: Corporate Network


    Dann

    2. LAN OUT:
    Quelle : Corporate

    TYP: DENY

    Ziel: Testnetz



    3.

    Regel:
    Quelle: IP des Corporate Rechners, der Zugriff auf die VM haben muss:

    TYP: Accept

    Ziel : VM


    (falls bidirektional notwendig) :


    4.

    Quelle: VM
    Typ: Accept
    Ziel: Corporate Rechner



    Nagelt mich nicht fest, bin da kein totaler Spezi, aber nach meiner Logik sollte es so gehen

    Internet Traffic geht dann natürlich immer noch...

    Hallo N0head,


    also mein erster Versuch mit any war - wie erwartet - ein Fehlschlag, Kiste kam nicht mehr ins Internet.


    Ich werde es versuchen so zu machen wie grade beschrieben von Dir. Nachteil an der Lösung ist halt, dass ich eine Liste aller Netze pflegen muss, die NICHT das Netz sind. Wenn ich davon mehrere Netze habe, dann muss ich bei jedem neuen VLAN immer mehrere Listen pflegen.

    Ziel wäre es schon, dass jedes Kind 1-mehrere vlans hat in denen es alleine agieren kann und niemand beeinflussen kann. Und das führt dann zu vielen Listen.


    Derzeit habe ich so ca. 20 Netze :smiling_face: Und ich muss deren Trennung endlich mal sauber auf die Reihe bekommen.


    Gruß
    Roger

    Ok bei so vielen Netzen sollte die Option die richtige sein:

    Destination auf "Port/IP Group" umstellen.

    Darunter auf "Create new Group" und dort dann alle deine Corporate Netze zusammenfassen.


    Wie gesagt, keine Gewähr, aber klingt logisch :face_with_tongue:

    Hmmmm ... genau betrachtet könntest Du Recht haben, Netzinterner Verkehr geht ja gar nicht über die Firewall. Von daher sollte hierfür ggf. 1 Gruppe ausreichen mit allen Coorporate Netzen.


    Bin das grade am basteln in der Testumgebung .. Windows Updates dauern *narf*