7
Firewall Dashboard Vlan- Router blockieren. Draytek Router Vigor 2860
Hallo Zusammen,
ich arbeite mich gerade durch die Firewall durch und habe soweit zwei VLANS erstellt, die unter einandern (intern) geroutert werden. Also jede IP aus dem Netzwerk Vlan1 kann mit dem Netzwerk VLan2 kommunizieren und ebenso aus der andere Richtung. Darauf hin habe ich VLAN per Firewall untereinander isoliert und habe dazu mit einer weiteren Regel ein Client Zugang von Vlan2 auf Vlan1 stattgegeben. Nun soweit sogut. Aber was mich hierbei stört ist folgendes:
ich würde gern wollen, dass alle VLAN2-Clienten der Zugriff auf das Dashboard des Routers (Default Gateway von Vlan2) verwehrt wird und weiß nicht wie ich das über die Firewall regeln soll?
Also die Clienten vom IP-Netzwerk 192.168.20.2- 254 soll der Zugriff auf 192.168.20.1 Port HTTP/S verwehrt werden. Ich glaube ich hab die Kostenlation LAN TO LAN , LAN to WAN durchgegangen und kam leider zu keinem befriedigendem Ergebnis.
1.Firewall-Setup
2.Vlan-Block Regel
vg
dece
ich arbeite mich gerade durch die Firewall durch und habe soweit zwei VLANS erstellt, die unter einandern (intern) geroutert werden. Also jede IP aus dem Netzwerk Vlan1 kann mit dem Netzwerk VLan2 kommunizieren und ebenso aus der andere Richtung. Darauf hin habe ich VLAN per Firewall untereinander isoliert und habe dazu mit einer weiteren Regel ein Client Zugang von Vlan2 auf Vlan1 stattgegeben. Nun soweit sogut. Aber was mich hierbei stört ist folgendes:
ich würde gern wollen, dass alle VLAN2-Clienten der Zugriff auf das Dashboard des Routers (Default Gateway von Vlan2) verwehrt wird und weiß nicht wie ich das über die Firewall regeln soll?
Also die Clienten vom IP-Netzwerk 192.168.20.2- 254 soll der Zugriff auf 192.168.20.1 Port HTTP/S verwehrt werden. Ich glaube ich hab die Kostenlation LAN TO LAN , LAN to WAN durchgegangen und kam leider zu keinem befriedigendem Ergebnis.
1.Firewall-Setup
2.Vlan-Block Regel
vg
dece
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 458431
Url: https://administrator.de/contentid/458431
Printed on: April 25, 2024 at 17:04 o'clock
7 Comments
Latest comment
Moin,
du kannst einfach den Zugriff auf port 80 und 443 sperren. Dann ist das dashboard nicht mehr erreichbar.
Das machst du für das jeweilige für alle Adressen untern denen der Draytek erreichbar ist. Ich glaube sowas wie "Firewall it self" gibt es dort nicht.
Gruß
Spirit
du kannst einfach den Zugriff auf port 80 und 443 sperren. Dann ist das dashboard nicht mehr erreichbar.
Das machst du für das jeweilige für alle Adressen untern denen der Draytek erreichbar ist. Ich glaube sowas wie "Firewall it self" gibt es dort nicht.
Gruß
Spirit
welche Beziehung muss es denn sein?
LAN to LAN? Lan to Wan?
Denn die Regel VLAN-Block müsste eigentlich per Definition den Gateway von allen Vlan blockieren, aber tut er nicht.
LAN to LAN? Lan to Wan?
Denn die Regel VLAN-Block müsste eigentlich per Definition den Gateway von allen Vlan blockieren, aber tut er nicht.
Moin,
lege mal je ein Objekt mit den IPs 192.168.1.1, 192.168.20.1 sowie der Range 192.168.20.2 - 192.168.168.20.254 (/24) an.
Dann richtest du eine FW-Regel an, mit LAN/ DMZ/ RT/ VPN -> LAN/ DMZ/ RT/ VPN an und blockierst die Ports 80 und 443, Ziel die ersten beiden Objekte, Quelle das letzte Objekt
Das sollte u.U. schon ausreichend sein.
Falls du den Vigor als Coucher-System o.Ä. nutzen solltest, wäre es natürlich blöd, den Port 80 bzw. 443 zu blockeiren. Dann würde ich eher den Port des Webservers des Vigors ändern, z.B. auf 4443 und 4080 oder so.
https://www.draytek.com/support/knowledge-base/5352 Die Anleitung passt zwar nicht ganz zu deinem Vorhaben, aber im Zweiten Screenshot kannst du sehen, wo du die IP des WebZugriffs auf den Vigor abändern kannst.
Gruß
em-pie
lege mal je ein Objekt mit den IPs 192.168.1.1, 192.168.20.1 sowie der Range 192.168.20.2 - 192.168.168.20.254 (/24) an.
Dann richtest du eine FW-Regel an, mit LAN/ DMZ/ RT/ VPN -> LAN/ DMZ/ RT/ VPN an und blockierst die Ports 80 und 443, Ziel die ersten beiden Objekte, Quelle das letzte Objekt
Das sollte u.U. schon ausreichend sein.
Falls du den Vigor als Coucher-System o.Ä. nutzen solltest, wäre es natürlich blöd, den Port 80 bzw. 443 zu blockeiren. Dann würde ich eher den Port des Webservers des Vigors ändern, z.B. auf 4443 und 4080 oder so.
https://www.draytek.com/support/knowledge-base/5352 Die Anleitung passt zwar nicht ganz zu deinem Vorhaben, aber im Zweiten Screenshot kannst du sehen, wo du die IP des WebZugriffs auf den Vigor abändern kannst.
Gruß
em-pie
@em-pie:
hab soeben gemacht und keine Änderung im sicht, kann wie vorher über das Netzwerk VLAN2 sein Gateway 192.168.20.1 ansprechen...
Hier im nachfolgendem die Bilder:
HTTP und HTTPS:
IP-Objekt (VLAN2 und Dashboard):
und zuletzt die Firewall-Regel:
Es muss doch sicherlich ein Weg geben, wie man das blocken kann.
hab soeben gemacht und keine Änderung im sicht, kann wie vorher über das Netzwerk VLAN2 sein Gateway 192.168.20.1 ansprechen...
Hier im nachfolgendem die Bilder:
HTTP und HTTPS:
IP-Objekt (VLAN2 und Dashboard):
und zuletzt die Firewall-Regel:
Es muss doch sicherlich ein Weg geben, wie man das blocken kann.
Papperlapapp ...
System Maintenance > Management > LAN Access Setup > "Apply to Subnet"
In 5 Sekunden gefunden :-P
System Maintenance > Management > LAN Access Setup > "Apply to Subnet"
In 5 Sekunden gefunden :-P
echt super von dir. Hast entweder ein gutes Auge, oder selber Erfahrung mit Draytek gesammelt.
Zitat von @decehakan:
echt super von dir. Hast entweder ein gutes Auge, oder selber Erfahrung mit Draytek gesammelt.
Draytek, das war mal vor langer langer Zeit, darüber bin ich inzwischen Gott sei Dank hinüber 😁echt super von dir. Hast entweder ein gutes Auge, oder selber Erfahrung mit Draytek gesammelt.
