RED 15w

Diese Seite bietet allgemeine Informationen darüber, wie die verschiedenen RED-Modi mit den WLAN-Modi zusammenwirken.

RED-Modi gegen WLAN-Modi

Im Allgemeinen werden alle WLAN-Modi (Getrennte Zone, In AP-LAN bridgen, In VLAN bridgen) von RED 15w unterstützt. Die wirkliche Bedeutung der Modi kann variieren in Abhängigkeit von dem Modus, der tatsächlich ausgewählt ist.

Standard/Vereint:

In diesem Modus wird der gesamte Verkehr vom RED an die UTM geschickt. Die folgenden Voraussetzungen müssen für WLAN erfüllt sein:

  • Die RED-Tunnelschnittstelle auf der UTM ist aktiv und besitzt eine IP-Adresse
  • Der DHCP-Server läuft auf der RED-Tunnelschnittstelle
  • DNS kann über diese RED-Schnittstelle aufgelöst werden
  • Die Firewall lässt Verkehr von der RED-Schnittstelle zur UTM für den AWEClosed-Client und VXLAN (RFC 7348) (nur bei Getrennte Zone) zu.
  • Die RED-Schnittstelle wird im Bereich Zugelassene Netzwerke unter Wireless Protection > Allgemeine Einstellungen hinzugefügt.

Getrennte Zone: Der gesamte Verkehr von einer separaten Zone wird mittels vxlan-Protokoll an die UTM gesendet. Die vxlan-Pakete sind nicht verschlüsselt, werden aber auf dem Weg zur UTM verschlüsselt während sie den RED-Tunnel passieren. Die Netzwerke der getrennten Zone sind auf der UTM-Seite wie gewohnt miteinander verbunden. Die Firewall muss diese Art von Verkehr zulassen.

In AP-LAN bridgen: Das RED sendet die SSID über eine Bridge in das LAN-Netzwerk hinter dem RED. Diese schließt die LAN-Ports 1–4 ein. Clients, die mit dieser SSID verbunden sind, können die RED-Tunnelendpunktschnittstelle auf der UTM-Seite erreichen, wenn die Firewall so konfiguriert ist, dass sie Verkehr vom RED-Netzwerk auf dieser Schnittstelle zulässt (standardmäßig aktiviert).

In VLAN bridgen: Das RED taggt allen Verkehr von Clients, die mit dieser SSID verbunden sind, mit dem konfigurierten VLAN-Tag. Clients sind in der Lage, alle Netzwerkgeräte zu erreichen, die das gleiche VLAN-Tag besitzen und mit dem LAN-Port 1–4 verbunden sind. Ebenso erreichen sie eine Tunnelendpunktschnittstelle auf der UTM-Seite, wenn diese zusätzlich VLAN-getaggt ist.

Standard/Getrennt:

In diesem Modus wird der gesamte Verkehr vom RED, der zu den getrennten Netzwerken gehört, an die UTM geschickt. Jeglicher anderer Verkehr wird an das Standardgateway gesendet, das vom entfernten DHCP-Server festgelegt ist. Üblicherweise ist dies der Internet-Router, an den das RED am entfernten Standort angeschlossen ist. Die folgenden Voraussetzungen müssen für WLAN erfüllt sein:

  • Die RED-Tunnelschnittstelle auf der UTM ist aktiv und besitzt eine IP-Adresse
  • Der DHCP-Server läuft auf der RED-Tunnelschnittstelle
  • DNS kann über diese RED-Schnittstelle aufgelöst werden
  • Die Firewall lässt Verkehr von der RED-Schnittstelle zur UTM für den AWE-Client und VXLAN (RFC 7348) (nur bei Getrennte Zone) zu.
  • Die RED-Schnittstelle wird im Bereich Zugelassene Netzwerke unter Wireless Protection > Allgemeine Einstellungen hinzugefügt.

Getrennte Zone: Der gesamte Verkehr von einer separaten Zone wird mittels vxlan-Protokoll an die UTM gesendet. Die vxlan-Pakete sind nicht verschlüsselt, werden aber auf dem Weg zur UTM verschlüsselt während sie den RED-Tunnel passieren. Die Netzwerke der getrennten Zone sind auf der UTM-Seite wie gewohnt miteinander verbunden. Die Firewall muss diese Art von Verkehr zulassen.

In AP-LAN bridgen: Das RED sendet die SSID über eine Bridge in das LAN-Netzwerk hinter dem RED. Diese schließt die LAN-Ports 1–4 ein. Clients, die mit dieser SSID verbunden sind, können die RED-Tunnelendpunktschnittstelle auf der UTM-Seite erreichen, wenn die Firewall so konfiguriert ist, dass sie Verkehr vom RED-Netzwerk auf dieser Schnittstelle zulässt (standardmäßig aktiviert). Die Clients können alle Hosts erreichen, die mit einem der Netzwerke verbunden sind, die in der Liste der getrennten Netzwerke aufgeführt sind. Firewallregeln können diesen Zugriff weiter beschränken.

In VLAN bridgen: Die Clients können alle Hosts hinter dem RED erreichen, die das gleiche VLAN-Tag besitzen. Auch der Tunnelendpunkt ist erreichbar, wenn eine VLAN-Schnittstelle zusätzlich auf der RED-Schnittstelle auf der UTM-Seite konfiguriert ist. Die getrennten Netzwerke sind nicht erreichbar, da diese nur für ungetaggte Pakete geroutet werden.

Transparent/Getrennt:

In diesem Modus sind nur Netzwerke über die UTM erreichbar, die in den getrennten Netzwerken aufgeführt sind. Alle anderen Netzwerke werden über den Router geleitet, der am entfernten Standort den Internetzugang herstellt. Das entfernte Netzwerk bietet auch DHCP und DNS. Das bedeutet, die RED-Tunnelendpunktschnittstelle auf der UTM-Seite muss eine IP-Adresse vom entfernten DHCP-Server erhalten. Die folgenden Voraussetzungen müssen für WLAN erfüllt sein:

  • Die RED-Tunnelschnittstelle auf der UTM ist aktiv und besitzt eine IP-Adresse
  • Der DHCP-Server läuft auf der RED-Tunnelschnittstelle
  • DNS kann über diese RED-Schnittstelle aufgelöst werden
  • Die Firewall lässt Verkehr von der RED-Schnittstelle zur UTM für den AWE-Client und VXLAN (RFC 7348) (nur bei Getrennte Zone) zu.
  • Die RED-Schnittstelle wird im Bereich Zugelassene Netzwerke unter Wireless Protection > Allgemeine Einstellungen hinzugefügt.
  • Der entfernte DHCP-Server muss die DHCP-Option 234 anbieten, welche die IP-Adresse der RED-Schnittstelle auf der UTM-Seite enthalten muss. Andernfalls wird die Fallback-IP 1.2.3.4 verwendet.

Getrennte Zone: Der gesamte Verkehr von einer separaten Zone wird mittels vxlan-Protokoll an die UTM gesendet. Die vxlan-Pakete sind nicht verschlüsselt, werden aber auf dem Weg zur UTM verschlüsselt während sie den RED-Tunnel passieren. Die Netzwerke der getrennten Zone sind auf der UTM-Seite wie gewohnt miteinander verbunden. Die Firewall muss diese Art von Verkehr zulassen.

In AP-LAN bridgen: Das RED sendet die SSID über eine Bridge in das LAN-Netzwerk hinter dem RED. Diese schließt die LAN-Ports 1–4 ein. Clients, die mit dieser SSID verbunden sind, können die RED-Tunnelendpunktschnittstelle auf der UTM-Seite erreichen, wenn die Firewall so konfiguriert ist, dass sie Verkehr vom RED-Netzwerk auf dieser Schnittstelle zulässt (standardmäßig aktiviert). Die Clients können alle Hosts erreichen, die mit einem der Netzwerke verbunden sind, die in der Liste der getrennten Netzwerke aufgeführt sind. Firewallregeln können diesen Zugriff weiter beschränken.

In VLAN bridgen: Die Clients können alle Hosts hinter dem RED erreichen, die das gleiche VLAN-Tag auf den LAN-Ports 1–4 sowie dem WAN-Port besitzen. Die getrennten Netzwerke sind nicht erreichbar, da diese nur für ungetaggte Pakete geroutet werden.