wari1957

Hallo @mreissma ,

dann setz die Sicherheitsrichtlinie der Schnittstelle auf Nicht vertrauenswürdig oder lösch die Route.

 

Ich werde es ausprobieren!

Allerdings habe ich noch eine Frage: in das 2. IP-Netz sollen 2 Accesspoints rein, die ich aber zum Management aus der br0 erreichen möchte, umgedreht vom 2. Netz aus soll nix an Geräten im Netz der br0 sichtbar/erreichbar sein.

Marcus

Das kann man mit der Firewall regeln.

Entweder über Verbotsregeln+vertrauenswürdige Netze oder (besser) nicht vertrauenswürdige Netze und entsprechend definierte Firewallerlaubnisregeln.

Vorschlag: Routing nicht verändern.

Netze auf nicht vertrauenswürdig.

Jetzt muss auch ausgehender Verkehr über die Routing-Schnittstelle explizit genehmigt werden.

Fiirewall Regel:

Netz A: abgehend gewünschte Dienste Erlauben Richtung WAN; abgehend gewünschte Dienste erlauben Richtung Netz B bzw. nur auf die AP's

Netz B: abgehend gewünschte Dienste erlauben Richtung WAN; Keine Regel in Richtung Netz A = Kein Zugriff auf Netz A

Die Dienste für Internet lassen sich gut als Dienstegruppe zusammenfassen (NTP; IMAP (IMAPs); SMTP (SMTPs); http; https) und natürlich was Du sonst noch brauchst (5222/5223/5228 Google Play und Whatsapp).

Alternativ Netz A auf vertrauenswürdig lassen, dann benötigst Du nur Regeln für Netz B. Sofern Netz B auch Zugriff auf die Box braucht ist das Ziel LANlocal (DHCP,DNS usw.).

Ggf. auch an Multicast denken, falls in Netz B z.B. ein Smartfernseher steckt.

Der Zugriff auf (Netz)Drucker im jeweils anderen Netz muss ggf. zusätzlich im Druckertreiber per IP eingestellt werden. Die mir bekannten Netzzwerkscanner im Druckertreiber arbeiten mit Broadcast und die werden nicht geroutet. In diesem Falle benötigt der Drucker eine statische IP, einzustellen im DHCP-Server (IP/MAC-Bindung). Die Bindung empfiehlt sich auch für die AP's.