Mehrere LAN-Interface

nonick

@Bob-Dig
Das ist vermutlich ein Anwendungsfall, den man so schnell nicht wieder finden wird, aber das kannst du so machen.
Auf dem einen Interface aktivierst du IPv6, bei dem anderen nicht. Dann vergibst du jedem Interface eine IPv4 Adresse aus unterschiedlichen Netzen. Damit die 2 Netze sich per IPv4 gegenseitig Unterhalten können, muss noch eine any Firewall Regel vom Interface1 zu 2 und noch eine vom Interface2 zu 1 erstellt werden. Das Routen übernimmt der Router
Beispiel
Interface1 -> 192.168.1.254/24
Firewall Regel Interface1
Schnittstelle: Interface1
Adressfamilie: IPv4
Protokoll: any
Quelle: Interface1 net
Ziel: Interface2 net

Interface2 -> 192.168.2.254/24
Firewall Regel Interface2
Schnittstelle: Interface2
Adressfamilie: IPv4
Protokoll: any
Quelle: Interface2 net
Ziel: Interface1 net

Bob.Dig

@nonick Cool, dann werde ich das mal versuchen. Wobei ich gerade merke, dass ich die Rechner so einfach nicht separieren werde können, da muss ich erst noch was virtualisieren. Ziemlich viel Aufwand für den Zweck, aber wird mal Zeit wieder was dazuzulernen.

Bob.Dig

@Bob-Dig Wobei, habe ich dann auch mehrere DHCP Server oder wie werden die IPs dort (im zweiten Segment?) vergeben?

nonick

@Bob-Dig Du kannst unter DHCP Server für jedes Interface einen aktivieren. Damit hast für jedes Netzwerk einen DHCP Server.

Bob.Dig

@nonick Danke, ich sehe schon, ich muss mich einfach trauen. Theorie ist ja jetzt soweit klar.
Wenn ich jetzt ein Interface nur für die Server mache, hätte das auch den Vorteil, dass auch nur darauf Suricata laufen müsste usw. Wird bestimmt spannend.

nonick

@Bob-Dig said in Mehrere LAN-Interface

Wenn ich jetzt ein Interface nur für die Server mache, hätte das auch den Vorteil, dass auch nur darauf Suricata laufen müsste usw.

Und schon bist du damit nicht mehr weit weg von einer DMZ.

Bob.Dig

@nonick Hmm. Ich will aber auch aus meinem LAN auf die Server zugreifen können. Mit NAT-Reflection wäre das vielleicht dann noch möglich, ist aber wohl nicht empfohlen?!

nonick

@Bob-Dig said in Mehrere LAN-Interface:

NAT-Reflection

Das macht man nicht, dafür gibt es in der Sense die DNS Überschreibung. Damit wird die öffentliche IP-Adresse vom Domainnamen innerhalb des eigenen Netzes in die private IP-Adresse des Server aufgelöst.

LAN auf die Server zugreifen können

Das ist doch schon mit der oben aufgeführten Firewall Regel möglich. Natürlich wäre da statt einer any Regel eine angepasste besser.

Bob.Dig

So heute war ich dann mal so frei und dachte mir, kopiertse die Einstellungen von LAN für das neue Interface (opt1) und jetzt kann ich dort nicht Track Interface einstellen, weil angeblich die IPv6 Prefix ID 0 schon für LAN vergeben sei, gleichzeitig ist als Eingabe aber auch nur 0 zulässig. Und schon steht ich auf dem Schlauch.

Komme absolut nicht weiter, was die iPv6 Vergabe auf mehreren Interfacen betrifft.

Bob.Dig

Konnte inzwischen im Hauptbereich klären, dass wohl Essig ist und mein toller ISP Pyur mal wieder pyuren Bullshit macht bzw. nur einen 64 Prefix vergibt. D.h. es bleibe bei mir wirklich nur ein Interface mit IPv6.
Hab es dann jetzt so final umgesetzt, Server sind am dual stack Interface, der Rest am IPv4 Interface.