10
HP ILO im separaten VLAN
Hallo zusammen,
ich suche nach meinem Denkfehler.
Bisher hatte das ILO Interface unseres Servers immer eine IP aus dem Standard-Netz. (192.168.1.0/24)
Ich habe diese IP nun verändert ins Netz 192.168.10.0/24. (Management Netz)
Über die Firewall habe ich beschränkt, wer auf dieses Netz zugreifen kann.
Der Switchport an dem das ILO hängt ist entsprechend konfiguriert. (VLAN 10 Untagged)
ILO ist erreichbar. (zumindest für die die dürfen)
Jetzt zum Problem. Das ILO sendet keine E-Mails mehr.
Also habe ich eine Firewall Regel gebaut, die es der ILO IP-Adresse erlaubt, auf Port 25&587 zu unserem Exchange zu senden.
Ebenso habe ich auf unserem Exchange die ILO IP im Empfangsconnector "Externes Relay" hinterlegt.
Zu guter letzt habe ich auch den Switch Port verändert. Dieser ist nun Trunk. (VLAN 10 Untagged, VLAN 1 Tagged für Exchange)
Über das Firewall Log sehe ich, das die Testmail über die erstellte Firewall Regel durchgeht.
Ankommen tut aber nichts...
Daher die Frage, habe ich was vergessen?
ich suche nach meinem Denkfehler.
Bisher hatte das ILO Interface unseres Servers immer eine IP aus dem Standard-Netz. (192.168.1.0/24)
Ich habe diese IP nun verändert ins Netz 192.168.10.0/24. (Management Netz)
Über die Firewall habe ich beschränkt, wer auf dieses Netz zugreifen kann.
Der Switchport an dem das ILO hängt ist entsprechend konfiguriert. (VLAN 10 Untagged)
ILO ist erreichbar. (zumindest für die die dürfen)
Jetzt zum Problem. Das ILO sendet keine E-Mails mehr.
Also habe ich eine Firewall Regel gebaut, die es der ILO IP-Adresse erlaubt, auf Port 25&587 zu unserem Exchange zu senden.
Ebenso habe ich auf unserem Exchange die ILO IP im Empfangsconnector "Externes Relay" hinterlegt.
Zu guter letzt habe ich auch den Switch Port verändert. Dieser ist nun Trunk. (VLAN 10 Untagged, VLAN 1 Tagged für Exchange)
Über das Firewall Log sehe ich, das die Testmail über die erstellte Firewall Regel durchgeht.
Ankommen tut aber nichts...
Daher die Frage, habe ich was vergessen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4960008713
Url: https://administrator.de/contentid/4960008713
Ausgedruckt am: 25.11.2024 um 07:11 Uhr
10 Kommentare
Neuester Kommentar
Was sagt der Exchange in seinen Logs?
Dieser ist nun Trunk. (VLAN 10 Untagged, VLAN 1 Tagged für Exchange)
Das Setup wäre unsinning, denn damit umgehst du das VLAN Routing. Zumindestens in der Theorie.Es ist aber so oder so auch völlig sinnlos, weil das ILO Board dann mit einer 2ten virtuellen Netzwerkkarte und 802.1q Tagging konfiguriert sein müsste was kein ILO Board bekanntlich kann. Dazu käme ja dann auch noch das du dem ILO Board dann eine 2te Absender IP in dem VLAN1 Netz konfigurieren müsstest, weil es da ja wohl schlecht mit einer .10.x IP rumsenden kann die kein Endgerät akzeptiert. (Grundlagen zu der Thematik findest du hier)
Vergiss das also schnell wieder mit dem falschen Tagging und lösche das! Der Port gehört immer untagged ins VLAN 10 und gut iss.
Entscheidend ist WO das Routing zwischen dem VLAN 1 und dem VLAN 10 gemacht wird, (L3 Switch oder zentrale FW?!) denn dort muss vermutlich ein Regelwerk existieren was entsprechende Ports blockt (oder auch nicht). Das muss dann customized werden das es den ILO Traffic passieren lässt.
Der 2te Knackpunkt ist, wie immer, die lokale Windows Firewall. Die muss natürlich Zugriffe mit Absender IPs aus dem .10.0er Netz auf ihre Services ebenso erlauben.
Dort (und auch im oben schon genannten Log) lohnt es sich also genau hinzusehen. Was du oben mit dem Tagging gemacht hast ist eher hilflose und auch völlig falsche Frickelei die dir mehr schadet als nützt.
Testweise kannst du ja auch mal einen stinknormalen Mailclient mit Thunderbird etc. mit den gleichen ILO Mail Credentials ins VLAN 10 hängen und Emails an den Exchange senden. Idealerweise indem du das ILO abziehst und dem PC testweise mal temporär die gleiche IP wie das ILO gibst.
Wenn der Mails an den Exchange loswird sollte es das ILO ja auch können!
Moin,
VLAN 1 und 10 auf dem Port bringt dich nicht weiter. Spannend ist, ob du aus dem VLAN 10 wirklich an den Exchange kommst. Ggf. Fehlt unterwegs auf einem Switch zB der entsprechende Tag oder das VLAN.
Kannst du, wenn du einen Laptop in den ilo Switchport einsteckst, alles Beschriebene erfolgreich tun?
VG
VLAN 1 und 10 auf dem Port bringt dich nicht weiter. Spannend ist, ob du aus dem VLAN 10 wirklich an den Exchange kommst. Ggf. Fehlt unterwegs auf einem Switch zB der entsprechende Tag oder das VLAN.
Kannst du, wenn du einen Laptop in den ilo Switchport einsteckst, alles Beschriebene erfolgreich tun?
VG
Moin newit1,
was benutzt du als Firewall?
Ist auf dem Ding eventuell ein transparenter SMTP-Proxy aktiv?
Beste Grüsse aus BaWü
Alex
Über das Firewall Log sehe ich, das die Testmail über die erstellte Firewall Regel durchgeht.
Ankommen tut aber nichts...
Ankommen tut aber nichts...
was benutzt du als Firewall?
Ist auf dem Ding eventuell ein transparenter SMTP-Proxy aktiv?
Beste Grüsse aus BaWü
Alex
1
Ist auch eher unüblich das eine FW passierenden Traffic mitloggt... 🤔
Hier bei uns Standard. Wird mittlerweile für 91 Tage gespeichert.
Moin aqui,
auch wir loggen auf den SGW's mittlerweile alles mit, damit man z.B. im Falle eines Incidents auch nachvollziehen kann, was +- an Daten eventuell abgeflossen ist. Oder im besten Fall auch zu beweisen, das nichts abgegriffen wurde.
Gruss Alex
Ist auch eher unüblich das eine FW passierenden Traffic mitloggt... 🤔
auch wir loggen auf den SGW's mittlerweile alles mit, damit man z.B. im Falle eines Incidents auch nachvollziehen kann, was +- an Daten eventuell abgeflossen ist. Oder im besten Fall auch zu beweisen, das nichts abgegriffen wurde.
Gruss Alex
@aqui @Tezzla @all
Danke für eure Hinweise. Ihr habt natürlich völlig Recht! Das mit dem Trunk Port ist in diesem Szenario Unsinn!
Habe mich wie von @Tezzla vorgeschlagen mal mit einem Laptop dran geklemmt und geschaut, ob ich mein Ziel erreiche. Test war NEGATIV.
Und im nächsten Moment hat es auch schon "Klick" gemacht. Unser Exchange hat kein Gateway auf der Netzwerkkarte die im Domänennetz hängt eingetragen, da er noch eine zweite Netzwerkkarte besitzt um über ein SMTP Relay zu senden.
Dadurch kam ich vom Management-Netz nicht rüber zum Exchange. Eine NAT-Regel war die Lösung.
Danke für eure Hinweise. Ihr habt natürlich völlig Recht! Das mit dem Trunk Port ist in diesem Szenario Unsinn!
Habe mich wie von @Tezzla vorgeschlagen mal mit einem Laptop dran geklemmt und geschaut, ob ich mein Ziel erreiche. Test war NEGATIV.
Und im nächsten Moment hat es auch schon "Klick" gemacht. Unser Exchange hat kein Gateway auf der Netzwerkkarte die im Domänennetz hängt eingetragen, da er noch eine zweite Netzwerkkarte besitzt um über ein SMTP Relay zu senden.
Dadurch kam ich vom Management-Netz nicht rüber zum Exchange. Eine NAT-Regel war die Lösung.
Zitat von @newit1:
Dadurch kam ich vom Management-Netz nicht rüber zum Exchange. Eine NAT-Regel war die Lösung.
Komisches Netzdesign. NAT ist das letzte was man sich auch noch im internen Netzwerk antun möchte.
Warum kommt der Exchange nicht über seine eigentliche Netzwerkkarte vom Relay?
Warum ist das StandardGW auf der externen Seite zum Relay? Warum nicht statische Routen?
Aber naja, je mehr Fragen, je mehr Antworten, je mehr fragen......
Komisches Netzdesign. NAT ist das letzte was man sich auch noch im internen Netzwerk antun möchte.
Genau der Gedanke kam wohl jedem hier im Thread. Scheinbar routet der TO gar nicht zw. den VLAN Segmenten. Aber egal...
