adminst
Goto Top

Cisco SG CBS Web Gui nicht erreichbar ausserhalb Subnetz

Hall zusammen
Ich habe diverse SG und CBS Switches im Einsatz welche nur in ihrem Subnet via Web erreichbar sind.
SSH ist auch ausserhalb von Subnet erreichbar.

Szenario
Switch IP 10.10.1.16 Maske /24

Innerhalb des 10.10.1.0/24er Netz ist ein Zugriff auf das WebGui möglich.
Exemplarisch via Client aus dem 10.10.15.0/24er Netz nicht. SSH ist problemlos erreichbar.

An welcher Einstellung könnte es liegen?

Danke und Gruss
adminst

Content-ID: 1892247293

Url: https://administrator.de/forum/cisco-sg-cbs-web-gui-nicht-erreichbar-ausserhalb-subnetz-1892247293.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

aqui
aqui 11.02.2022 aktualisiert um 19:54:06 Uhr
Goto Top
An welcher Einstellung könnte es liegen?
WO routest du denn diese IP Netze ??
Nur der Router bestimmt durch sein Routing ja die IP Kommunikation zwischen den VLAN IP Netzen. Leider machst du zum Routing keinerlei Aussage so das man nur wild raten kann. face-sad

Der typische (Anfänger) Fehler Klassiker ist das du auf diesem Switch schlicht und einfach vergessen hast ein Default Gateway für das Mgmt Netz einzutragen. Dann scheitert natürlich die Rückroute von Anfragen aus fremden IP Netzen und nix geht mehr. Traceroute ist dann dein bester Freund. face-wink
Checke das also. Wenn der Switch im L3 Mode arbeitet brauchst du eine Default Route 0.0.0.0/0 ans Gateway im Mgmt Netz !
Oder... das gateway des Clients zeigt auf einen Router der keine Route in das Management Netz hat. Gibt viele Fehleroptionen...
adminst
adminst 11.02.2022 aktualisiert um 19:59:51 Uhr
Goto Top
Hallo aqui
Die L3 läuft via Opnsense. Die Switchs im L2
routing

Default Route:
routing1

Die Rückroute ist auch korrekt, ansonsten würde der Zugriff via SSH nicht funktionieren.

Gruss
adminst
em-pie
em-pie 11.02.2022 um 20:21:06 Uhr
Goto Top
Moin,

Blockt die Firewall (OpenSense) vielleicht den Traffic für Port 80/ 443 zwischen den Netzen, während 22 (SSH) erlaubt wird?

Oder greift da ein Proxy dazwischen, der den WebTraffic filtert?

@aqui
Routing wird stimmen, da SSH ja klappt

Gruß
em-pie
aqui
aqui 12.02.2022 um 14:11:48 Uhr
Goto Top
Wie Kollege @em-pie dann richtig sagt, ist dort eine TCP 80/443 Filterregel aktiv die HTTP/S Web Traffic in das Zielnetz (Mgmt) blockiert. Wenn TCP 22 (SSH) sauber funktioniert ist es in der Tat nicht das Routing, denn dann würde das auch nicht klappen.
Erste Anlaufstelle wäre dann immer das Firewall Log das diese Blockings und das Warum ja anzeigt !!
adminst
adminst 13.02.2022 aktualisiert um 22:00:09 Uhr
Goto Top
Hallo zusammen
Firewall leider auch negativ, kein Block. Wurde schon konsultiert.
Auch bei einem Portscan ist der Port offen.
nmap

Gruss
adminst
aqui
aqui 14.02.2022 aktualisiert um 09:29:20 Uhr
Goto Top
Das "s" bei https://... angeben im URL beim Zugriff ?! face-wink
Das kann ja dann nur noch eine lokale Firewall oder ein Browserproblem sein. Mal ggf. einen anderen Rechner mit anderem Browser probiert ?