newit1
Goto Top

HP ILO im separaten VLAN

Hallo zusammen,

ich suche nach meinem Denkfehler.

Bisher hatte das ILO Interface unseres Servers immer eine IP aus dem Standard-Netz. (192.168.1.0/24)
Ich habe diese IP nun verändert ins Netz 192.168.10.0/24. (Management Netz)

Über die Firewall habe ich beschränkt, wer auf dieses Netz zugreifen kann.
Der Switchport an dem das ILO hängt ist entsprechend konfiguriert. (VLAN 10 Untagged)

ILO ist erreichbar. (zumindest für die die dürfen)

Jetzt zum Problem. Das ILO sendet keine E-Mails mehr.
Also habe ich eine Firewall Regel gebaut, die es der ILO IP-Adresse erlaubt, auf Port 25&587 zu unserem Exchange zu senden.
Ebenso habe ich auf unserem Exchange die ILO IP im Empfangsconnector "Externes Relay" hinterlegt.
Zu guter letzt habe ich auch den Switch Port verändert. Dieser ist nun Trunk. (VLAN 10 Untagged, VLAN 1 Tagged für Exchange)

Über das Firewall Log sehe ich, das die Testmail über die erstellte Firewall Regel durchgeht.
Ankommen tut aber nichts...

Daher die Frage, habe ich was vergessen?

Content-Key: 4960008713

Url: https://administrator.de/contentid/4960008713

Printed on: October 2, 2023 at 04:10 o'clock

Mitglied: 2423392070
2423392070 Dec 14, 2022 at 15:39:24 (UTC)
Goto Top
Was sagt der Exchange in seinen Logs?
Member: aqui
Solution aqui Dec 14, 2022 updated at 18:25:57 (UTC)
Goto Top
Dieser ist nun Trunk. (VLAN 10 Untagged, VLAN 1 Tagged für Exchange)
Das Setup wäre unsinning, denn damit umgehst du das VLAN Routing. Zumindestens in der Theorie.
Es ist aber so oder so auch völlig sinnlos, weil das ILO Board dann mit einer 2ten virtuellen Netzwerkkarte und 802.1q Tagging konfiguriert sein müsste was kein ILO Board bekanntlich kann. Dazu käme ja dann auch noch das du dem ILO Board dann eine 2te Absender IP in dem VLAN1 Netz konfigurieren müsstest, weil es da ja wohl schlecht mit einer .10.x IP rumsenden kann die kein Endgerät akzeptiert. (Grundlagen zu der Thematik findest du hier)
Vergiss das also schnell wieder mit dem falschen Tagging und lösche das! Der Port gehört immer untagged ins VLAN 10 und gut iss.

Entscheidend ist WO das Routing zwischen dem VLAN 1 und dem VLAN 10 gemacht wird, (L3 Switch oder zentrale FW?!) denn dort muss vermutlich ein Regelwerk existieren was entsprechende Ports blockt (oder auch nicht). Das muss dann customized werden das es den ILO Traffic passieren lässt.
Der 2te Knackpunkt ist, wie immer, die lokale Windows Firewall. Die muss natürlich Zugriffe mit Absender IPs aus dem .10.0er Netz auf ihre Services ebenso erlauben.
Dort (und auch im oben schon genannten Log) lohnt es sich also genau hinzusehen. Was du oben mit dem Tagging gemacht hast ist eher hilflose und auch völlig falsche Frickelei die dir mehr schadet als nützt.

Testweise kannst du ja auch mal einen stinknormalen Mailclient mit Thunderbird etc. mit den gleichen ILO Mail Credentials ins VLAN 10 hängen und Emails an den Exchange senden. Idealerweise indem du das ILO abziehst und dem PC testweise mal temporär die gleiche IP wie das ILO gibst.
Wenn der Mails an den Exchange loswird sollte es das ILO ja auch können! face-wink
Member: Tezzla
Solution Tezzla Dec 14, 2022 at 18:21:22 (UTC)
Goto Top
Moin,

VLAN 1 und 10 auf dem Port bringt dich nicht weiter. Spannend ist, ob du aus dem VLAN 10 wirklich an den Exchange kommst. Ggf. Fehlt unterwegs auf einem Switch zB der entsprechende Tag oder das VLAN.
Kannst du, wenn du einen Laptop in den ilo Switchport einsteckst, alles Beschriebene erfolgreich tun?

VG
Member: MysticFoxDE
MysticFoxDE Dec 15, 2022 at 06:18:12 (UTC)
Goto Top
Moin newit1,

Über das Firewall Log sehe ich, das die Testmail über die erstellte Firewall Regel durchgeht.
Ankommen tut aber nichts...

was benutzt du als Firewall?
Ist auf dem Ding eventuell ein transparenter SMTP-Proxy aktiv?

Beste Grüsse aus BaWü
Alex
Member: aqui
aqui Dec 15, 2022 at 09:10:00 (UTC)
Goto Top
Ist auch eher unüblich das eine FW passierenden Traffic mitloggt... ­čĄö
Mitglied: 2423392070
2423392070 Dec 15, 2022 at 10:11:36 (UTC)
Goto Top
Zitat von @aqui:

Ist auch eher unüblich das eine FW passierenden Traffic mitloggt... ­čĄö

Hier bei uns Standard. Wird mittlerweile für 91 Tage gespeichert.
Member: MysticFoxDE
MysticFoxDE Dec 15, 2022 at 10:17:44 (UTC)
Goto Top
Moin aqui,

Ist auch eher unüblich das eine FW passierenden Traffic mitloggt... ­čĄö

auch wir loggen auf den SGW's mittlerweile alles mit, damit man z.B. im Falle eines Incidents auch nachvollziehen kann, was +- an Daten eventuell abgeflossen ist. Oder im besten Fall auch zu beweisen, das nichts abgegriffen wurde.

Gruss Alex
Member: newit1
newit1 Dec 15, 2022 updated at 12:20:17 (UTC)
Goto Top
@aqui @Tezzla @all

Danke für eure Hinweise. Ihr habt natürlich völlig Recht! Das mit dem Trunk Port ist in diesem Szenario Unsinn!
Habe mich wie von @Tezzla vorgeschlagen mal mit einem Laptop dran geklemmt und geschaut, ob ich mein Ziel erreiche. Test war NEGATIV.

Und im nächsten Moment hat es auch schon "Klick" gemacht. Unser Exchange hat kein Gateway auf der Netzwerkkarte die im Domänennetz hängt eingetragen, da er noch eine zweite Netzwerkkarte besitzt um über ein SMTP Relay zu senden.

Dadurch kam ich vom Management-Netz nicht rüber zum Exchange. Eine NAT-Regel war die Lösung.
Member: bitnarrator
bitnarrator Dec 16, 2022 at 11:54:54 (UTC)
Goto Top
Zitat von @newit1:

Dadurch kam ich vom Management-Netz nicht rüber zum Exchange. Eine NAT-Regel war die Lösung.

Komisches Netzdesign. NAT ist das letzte was man sich auch noch im internen Netzwerk antun möchte.

Warum kommt der Exchange nicht über seine eigentliche Netzwerkkarte vom Relay?

Warum ist das StandardGW auf der externen Seite zum Relay? Warum nicht statische Routen?

Aber naja, je mehr Fragen, je mehr Antworten, je mehr fragen......
Member: aqui
aqui Dec 16, 2022 updated at 11:57:52 (UTC)
Goto Top
Komisches Netzdesign. NAT ist das letzte was man sich auch noch im internen Netzwerk antun möchte.
Genau der Gedanke kam wohl jedem hier im Thread. Scheinbar routet der TO gar nicht zw. den VLAN Segmenten. Aber egal...