Kay Martinen
2024-04-03 17:18:40 UTC
Hallo
Seit November kein Traffic hier? Ich hoffe es liest noch jemand mit.
Ich habe folgendes vor (Idee).
Hier habe ich einen Futro S200 Thin Client (Transmeta 700MHz, ca 256MB
RAM, Boot per interner CF) den ich zu ISDN & DSL-Zeiten schon als
Internet Router eingesetzt hatte.
Jetzt möchte ich den für folgendes Konfigurieren und hoffe das jemand
ähnliches schon machte und ggf. Tips geben kann.
1. LAN-LAN Router zwischen meinem Normalen LAN und 1-2 Abgetrennten
LAN-Segmenten, ggf. ohne Masquerading aber mit Firewall wg. OAC plus
dhcp für diese beiden Segmente.
2. In den PCI-Slot des S200 soll eine ISDN Karte die via Telmond anrufe
signalisieren und evtl. Faxe und AB annehmen/Senden soll. Ein
ISDN-Anschluß am vorgelagerten Router ist vorhanden.
3. Wg. obige Belegung VLAN Nötig. Mein LAN soll dabei untagged sein, die
anderen beiden (Retro PCs und ggf. getrennte Management-LAN) sollen
Tagged sein. Ob die via-rhine NIC des Futro das kann weiß ich noch
nicht. Ein Managed-Switch ist vorhanden.
4. Imond/telmond sollen sowohl zum Normalen LAN als auch zum Retro-LAN
hin erreichbar sein. Sollte per FW-Regel gehen oder?
5. Per OAC will ich ein generelles Deny All für die getaggten Internen
LAN-Segmente machen und in der WebUI des FLI dann nur manuell und bei
bedarf einen Host frei geben können.
6. Der FLI soll im Normalen LAN mit einer Festen IP stehen und ggf. auch
Gateway zu den beiden anderen LANs sein. Antwortpakete sollen natürlich
dann auch zurück kommen können in das Quellnetz. Kollidiert das mit OAC?
Als Beispiel mal skizziert:
LAN: 192.168.1.5/24
Defaultroute auf WAN-GW (Ein OPN das Masquerading zum WAN-Router macht)
WebUI, ssh, telmond u.a. (updates) erreichbar
Retro-VLAN:
192.168.5.x/24
dhcp vergabe an alte Windows, DOS, OS/2 Clients.
telmond/imonc ssh u.a. erreichbar auch von imonc.
kein masq, nur FW
OAC Deny all mit umschaltmöglichkeit via WebUI
routing von LAN->Retro und Netzroute von Retro->LAN (an OAC vorbei?)
Management-VLAN:
192.168.10.x/24
dhcp vergabe oder Static Leases an ILO o.a. Interfaces.
rest wie bei Retro.
Ich überlege auch ob ich die beiden VLANs nicht in einem zusammen führe
um es zu vereinfachen. So viele IP's sind es ja nicht.
Aktuell habe ich nur; wo ich dies hier aufschreibe; zweifel ob OAC mir
da nicht auch den Rückweg verbaut. Denn ich vermute das wird die Hosts
per FW-regel blocken und ob das nur in richtung LAN und Default-route
wirkt oder auch auf den Rückweg von Verbindungen von LAN zu Retro ist
mir nicht ganz klar.
Theoretisch könnte ich im LAN die Defaultroute ja auch ungültig machen
aber dann kommt überhaupt kein Host auf Kommando raus ins Internet und
OAC wäre komplett sinnlos.
Mal wieder so eine "Eierlegende Wollmilchsau" Idee oder? ;)
Bye/
/Kay
Seit November kein Traffic hier? Ich hoffe es liest noch jemand mit.
Ich habe folgendes vor (Idee).
Hier habe ich einen Futro S200 Thin Client (Transmeta 700MHz, ca 256MB
RAM, Boot per interner CF) den ich zu ISDN & DSL-Zeiten schon als
Internet Router eingesetzt hatte.
Jetzt möchte ich den für folgendes Konfigurieren und hoffe das jemand
ähnliches schon machte und ggf. Tips geben kann.
1. LAN-LAN Router zwischen meinem Normalen LAN und 1-2 Abgetrennten
LAN-Segmenten, ggf. ohne Masquerading aber mit Firewall wg. OAC plus
dhcp für diese beiden Segmente.
2. In den PCI-Slot des S200 soll eine ISDN Karte die via Telmond anrufe
signalisieren und evtl. Faxe und AB annehmen/Senden soll. Ein
ISDN-Anschluß am vorgelagerten Router ist vorhanden.
3. Wg. obige Belegung VLAN Nötig. Mein LAN soll dabei untagged sein, die
anderen beiden (Retro PCs und ggf. getrennte Management-LAN) sollen
Tagged sein. Ob die via-rhine NIC des Futro das kann weiß ich noch
nicht. Ein Managed-Switch ist vorhanden.
4. Imond/telmond sollen sowohl zum Normalen LAN als auch zum Retro-LAN
hin erreichbar sein. Sollte per FW-Regel gehen oder?
5. Per OAC will ich ein generelles Deny All für die getaggten Internen
LAN-Segmente machen und in der WebUI des FLI dann nur manuell und bei
bedarf einen Host frei geben können.
6. Der FLI soll im Normalen LAN mit einer Festen IP stehen und ggf. auch
Gateway zu den beiden anderen LANs sein. Antwortpakete sollen natürlich
dann auch zurück kommen können in das Quellnetz. Kollidiert das mit OAC?
Als Beispiel mal skizziert:
LAN: 192.168.1.5/24
Defaultroute auf WAN-GW (Ein OPN das Masquerading zum WAN-Router macht)
WebUI, ssh, telmond u.a. (updates) erreichbar
Retro-VLAN:
192.168.5.x/24
dhcp vergabe an alte Windows, DOS, OS/2 Clients.
telmond/imonc ssh u.a. erreichbar auch von imonc.
kein masq, nur FW
OAC Deny all mit umschaltmöglichkeit via WebUI
routing von LAN->Retro und Netzroute von Retro->LAN (an OAC vorbei?)
Management-VLAN:
192.168.10.x/24
dhcp vergabe oder Static Leases an ILO o.a. Interfaces.
rest wie bei Retro.
Ich überlege auch ob ich die beiden VLANs nicht in einem zusammen führe
um es zu vereinfachen. So viele IP's sind es ja nicht.
Aktuell habe ich nur; wo ich dies hier aufschreibe; zweifel ob OAC mir
da nicht auch den Rückweg verbaut. Denn ich vermute das wird die Hosts
per FW-regel blocken und ob das nur in richtung LAN und Default-route
wirkt oder auch auf den Rückweg von Verbindungen von LAN zu Retro ist
mir nicht ganz klar.
Theoretisch könnte ich im LAN die Defaultroute ja auch ungültig machen
aber dann kommt überhaupt kein Host auf Kommando raus ins Internet und
OAC wäre komplett sinnlos.
Mal wieder so eine "Eierlegende Wollmilchsau" Idee oder? ;)
Bye/
/Kay
--
nix
nix