Hallo
Ich habe ein Problem oder weiss noch nicht ganz warum das so ist.
Habe mehrere VLANS im meinem System eingerichtet.
Die da wären:
- MGMT LAN
- Heimnetzwerk
- IOT LAN
- Fritzbox LAN
- Gäste LAN
Alles schön und gut. Dazu sind Firewall Regeln eingerichtet.
Das sind in LAN in:
- erlaube etablierte und verbundene Sitzungen
- erlaube dem MGMT LAN den Zugriff auf alle VLANs
- blokiere die gesammte Kommunikation zwischen den VLANs
und unter LAN lokal:
- Gast für alle GW blockieren
- IOT für alle GW blockieren
- Fritz für alle GW blockieren
Eine LAN lokal Regel Heimnetzwerk für alle GW blockieren habe ich nicht eingerichtet, da dann garnix mehr geht.
Ich denke damit habe ich alles richtig gemacht, oder doch nicht?
Weil jetzt zu meiner Frage:
Wie kann das dann aber bitte sein, das sich mein Satreceiver, eine VU Plus, das ist ein Enigma2 Receiver der im Heimnetzwerk ist sich mit anderen VLANs verbindet oder trennt?
Jetzt sogar angeblich mit dem MGMT LAN verbunden sein soll, aber eine IP Adresse aus dem Heimnetzwerk hat?
Hier kann man sehen wie sich eine VU aus dem VLAN - Heimnetzwerk versucht in andere VLANs zu verbinden.
Meine Synology DS1819+ jeweils mit einem LAN Kabel, jeweils im einem VLAN present ist, sich mit einem anderen LAN Anschluss in ein anderes VLAN verbinden will.
Soll heißen, LAN 4 der DS 1819+ ist im Fritzbox Netzwerk unterwegs und darf nirgendswo anders hin, ist mit dem Gästenetzwerk verbunden, und dann auch wieder getrennt.
Hier kann man sehen wie sich der eine LAN Anschluss der DS versucht in andere VLANs zu verbinden, was die anderen drei LAN Anschlüsse der DS auch versuchen.
Das habe ich gefunden, unter Systemprotokoll und dort unter Client.
Unter Systemprotokolle, dort dann auf Trigger, habe ich folgendes gefunden.
Hier greift die Regel ja, das die gesamte Kommunikation unter den VLANs verboten ist.
Soweit so gut, aber wenn doch Blockregeln existieren, wieso versuchen dan die Geräte es dann trotzdem.
Wird das denn nicht theoretisch nicht schon vorher im Keim erstickt und unterbunden?
Nach meinen Verständniss dürften doch dann die Endgeräte garnicht erst Kenntnis vvon dem anderen VLAN haben bzw, es versuchen dort eine Verbindung zu erstellen. Denn die Firewall ist ja für solche Sachen eingerichtet.
Oder muss ich dann tatsächlich nochmal expliziet in LAN IN die Regeln auch nochmal erstellen, zum Blokieren der VLAN´s untereinander, was aber eigentlich doppelt wäre weil diese Regeln ja schon in LAN Lokal definiert wurden sind.
Weil ich denke mir das so, wenn ich Endgeräte in einem VLAN habe und Regeln sagen, er darf nur dort was tun und verbinden, woanders aber nicht, dann sollte doh auch nur das passieren was ich im erlaubt habe.
Das entlastet ja auch das Netzwerk, wenn die Engeräte da in den Netzwerken rumfurwerken wollen, oder sollen.
Denn das Endgerät soll nur seine Welt kennen, sein VLAN und vom dem Rest garnix wissen, das es da draussen noch eine Welt gibt, scherzhaft ausgedrückt.
Meine DS und meine VUs haben keine Vieren und oder Schadprogramme, die das erklären würden. Sind aber Netwerkfähig und haben Webgui´s und Netzwerkbrowser und können Aufgaben wie Plex, Emby, Mediaserver und solche Sachen ausführen.
Aber auch das bitte dann nur im eigenen VLAN.
Habt ihr da vlt, eine Lösung für mich.
Danke.
mfg
übernehmen aber ihre Anweisungen zum Regeln des Netzwerkverkehrs von einer zentralen Stelle.
