dooyou
Goto Top

NAS im VLAN ohne Zugriff auf Weboberfläche, trotz SSH u. Ping

Hallo zusammen,

ich bin seit Jahren ein stiller Mitleser und habe viel aus euren tollen Tutorials mitgenommen.
Danke schon einmal dafür!

Ich bin also immer irgendwie durchgekommen, aber jetzt bin ich etwas mit meinem Latein
am Ende. Ich habe euch ein Schaubild angehängt.

Knackpunkt ist, ich komme einfach nicht auf die Weboberfläche der NAS, wenn ich diese
in ein VLAN eingebunden habe. Die Synology 718+ hat zwei LAN-Schnittstellen, wofür
ich eine für das lokale Heimnetzwerk nutzen möchte und die zweite für eine VM, welche
Zugriff von außen (Webserver) erlaubt.

Jedoch PING & SSH funktioniert, im Router ist Inter-Lan-Routing für die Konfiguration
aktiviert und auch an der korrekten Schnittstelle (meiner Meinung nach) angebunden.

Der Router ist ein Draytek Vigor 2962.

Dazu gesellt sich noch ein Access Point (Vigor AP1060C) und ein Vigor G1080 Switch.

Folgende VLANs sind vorhanden:

  • VLAN_10 für den privat genutzten Mac und die NAS (Heimnetzwerk) / Mac hängt am Switch, NAS am Router
  • VLAN_20 Smarthome Geräte / Switch
  • VLAN_30 Firmenrechner / AP WLAN
  • VLAN_40 NAS/Webserver / Router

Binde ich die Synology NAS nicht in ein VLAN ein, funktioniert alles. Ich muss irgendetwas
gravierendes falsch machen.

  • P1 am Vigor Router ist für die Konfiguration
  • P2 nutze ich als WAN
  • P3 Access Point
  • P4 NAS (LAN 1 soll ins Heimnetzwerk)
  • P5 NAS (LAN 2 soll als Webserver dienen, virtualisiert mit vDSM)
  • P6 Switch

Danke euch im Voraus!
bildschirmfoto 2021-08-24 um 20.45.00
bildschirmfoto 2021-08-24 um 20.57.39
bildschirmfoto 2021-08-24 um 21.04.16

Content-Key: 1191301979

Url: https://administrator.de/contentid/1191301979

Printed on: June 16, 2024 at 15:06 o'clock

Member: Benandi
Benandi Aug 24, 2021 at 21:48:15 (UTC)
Goto Top
Hallo dooyou,

Binde ich die Synology NAS nicht in ein VLAN ein, funktioniert alles. Ich muss irgendetwas gravierendes falsch machen.
Welche Konfiguration und / oder Verkabelung ändert sich denn, wenn du das NAS "in ein VLAN einbindest"? Aus deiner Beschreibung würde ich schließen, dass es mit genau dieser (einen) Änderung zu tun hat.


Blick in die trübe Kristallkugel:
Gibt das NAS seinen Netzwerkpaketen die VLAN-Tags mit oder ist das Interface des Router auf "untagged" Pakete vobereitet? Dürfte aber wohl alles passend sein, wenn du per Ping und SSH auf die vorgesehene IP (oder Hostname oder FQDN?) kommst (vom Mac auf das NAS?). Gleiches gilt vermutlich auch für die Netzwerkkonfiguration des NAS. Im Zweifel stell uns doch jene bitte auch noch zur Verfügung.
Ist in den ACLs oder Firewallregeln der Zugriff auch interfaceübergreifend erlaubt?
VLAN_10 für den privat genutzten Mac und die NAS (Heimnetzwerk) / Mac hängt am Switch, NAS am Router
Die Interfaces auf dem Switch sind bis auf den "tagged" Uplink vermutlich alle "untagged" für VLAN10 oder VLAN20, richtig? Klappt der Zugriff auf das Webinterface, wenn du das NAS dort einsteckst?

Welchen Port rufst du auf, um an das Webinterface zu gelangen: tcp/80, tcp/443 oder etwas Abweichendes (8080, 8443, etc.)?
Je nach installierten Paketen (hier vermutlich Hypervisor) kann sich das mal verschieben oder eine Umkonfiguration erfordern. Eventuell wird durch die Aufsplittung das Interface auch nicht mehr an den Webserver gebunden.

Grüße,
Benandi
Member: dooyou
dooyou Aug 25, 2021 updated at 05:20:57 (UTC)
Goto Top
Guten Morgen Benandi,

danke schon einmal für deine Unterstützung.

Anbei schon einmal ein Auszug der Switch-Konfiguration.

Der private PC hängt untagged in Port 2 und bekommt VLAN_10 und die Smart-Home Geräte VLAN_20. Da stimmt auch
alles mit den IP-Adressen (soweit ich das erkenne). Ich komme von VLAN_10 auch auf die NAS, solange ich die NAS selbst noch in kein VLAN packe.

Bei der NAS-Konfiguration habe ich z. B. am LAN-Port 1 der NAS direkt VLAN_10 (auf der Weboberfläche vom NAS) vergeben. Solange ich sie nämlich nicht in ein VLAN packe, kann ich sie konfigurieren.

Bei der NAS ist ansonsten probehalbe die Firewall mittlerweile aus, ich hatte sie aber auch schon an und die entsprechenden
Ports freigegeben.

Im Router ist NAT bzw. Port-Forwarding bisher nicht konfiguriert (hatte ich aber auch schon einmal getestet, ohne Erfolg).

Ein Screenshot der NAS-Konfiguration stelle ich noch zur Verfügung.

Bei Inter-Lan-Routing habe ich schon alles Mögliche probiert, auch die Dinge, die völlig unlogisch sind. Entscheidend wäre da für mich LAN2 zu LAN1. Die Haken bei LAN 5 bitte ignorieren.
bildschirmfoto 2021-08-25 um 07.18.10
bildschirmfoto 2021-08-25 um 06.56.35
Member: em-pie
em-pie Aug 25, 2021 at 05:25:53 (UTC)
Goto Top
Moin,

Dein Problem könnte/ dürfte sein, dass du dem NAS eine VLAN Id mitgeben willst, am Vigor aber der Port auf untagged steht.
In dem Fall einfach nichts an NAS einrichten, außer eine IP.

Wobei SSH und Ping ja klappen…


Btw.
Ich würde das über nur einen LAN-Port abfackeln. Wenn du über den Port2 dir Mist einfängst, ist das beinahe ungefiltert auf dem NAS und somit ohnehin im ganzen LAN verfügbar…


Gruß
em-pie
Member: Looser27
Looser27 Aug 25, 2021 at 05:44:59 (UTC)
Goto Top
Das Webinterface läuft auf den Ports 5000-5001. Sind die in der Firewall freigegeben für den Zugriff ins VLAN?

Gruß Looser
Member: dooyou
dooyou Aug 25, 2021 updated at 12:33:48 (UTC)
Goto Top
Zitat von @em-pie:

Moin,

Dein Problem könnte/ dürfte sein, dass du dem NAS eine VLAN Id mitgeben willst, am Vigor aber der Port auf untagged steht.
In dem Fall einfach nichts an NAS einrichten, außer eine IP.

Wobei SSH und Ping ja klappen…


Btw.
Ich würde das über nur einen LAN-Port abfackeln. Wenn du über den Port2 dir Mist einfängst, ist das beinahe ungefiltert auf dem NAS und somit ohnehin im ganzen LAN verfügbar…


Gruß
em-pie

Mein Plan bei dem NAS ist ja folgender:

Diese hängt direkt am Router in Port 4 und 5. Port 4 (LAN1 der NAS) fürs lokale Netz und Port 5 (LAN2 der NAS) für vDSM in der ein Webserver läuft. Port 5 soll vom Rest isoliert sein.

Mein Heim-Mac hängt jedoch am G1080 Switch an Port 2 (untagged) und soll einen Datenaustausch zu Port 4 des Routers bzw. LAN1 der NAS ermöglichen.

Das wollte ich halt sauber mit einem VLAN trennen, ich könnte auch beide LAN-Schnittstellen der NAS in ein separates VLAN hängen. Aber klar, wenn mein Heim-Mac Zugriff auf die NAS hat, gibts da natürlich ein gewisses Einfalltor.

Mir wäre es vor allem wichtig, dass man aus dem Internet bei Zugriff auf den Webserver nicht ins Heimnetzwerk kommt. Das war eigentlich die Grundidee.

@looser

Ich habe zwischenzeitlich sogar die Firewall ausgeschaltet um hier keinen Fehler zu übersehen, da ändert sich irgendwie nichts. Hängt die NAS nicht eingebunden in ein VLAN, also direkt VLAN0 (Screenshot 2), geht alles.
Member: Benandi
Benandi Aug 25, 2021 at 14:18:12 (UTC)
Goto Top
Alles ziemlich verworren...
Wie sieht denn die Netzwerkkonfiguration des NAS vor "Einbinden in ein VLAN" und wie nach "Einbinden in ein VLAN" aus? Auch davon wären Screenshots toll face-smile

Um das weiter einzukreisen, gehen wir mal von folgender Ausgangslage aus:
NAS ist "nicht in ein VLAN eingebunden" und kann sowohl per Ping, SSH als auch Webinterface vom Mac aus VLAN_10 erreicht werden.
Nun beschreibe bitte peinlichst genau, was du wo an welchem System tust, um das NAS "in VLAN_10 einzubinden". Im Zweifel auch mit Screenshots, Videos, etc. darstellen. Ich habe den Eindruck, dass wir aus der Ferne anders nur schwerlich unterstützen können.

@looser
Ich habe zwischenzeitlich sogar die Firewall ausgeschaltet um hier keinen Fehler zu übersehen, [...]
Welche Firewall? Die auf dem NAS oder die auf dem Draytek?

Offtopic:
Die VLAN-ID 0 hat mich doch neugierig gemacht. Auf die Schnelle habe ich nur das (aktuelle Fassung: 802.1Q-2018) gefunden. Da wird also der 802.1Q-Header eingebracht, aber eben mit der VLAN-ID 0. Laut Spezifikation gilt das Paket damit als "ohne Tag". Zusätzlich wird der PCP-Wert ("Priority Code Point", zielt auf 802.1p -> Quality of Service) gesetzt. Damit erzeugt man also scheinbar ein Paket ohne Tag, welches trotzdem Priorität genießen kann. Cisco hat dazu auch ein wenig was dokumentiert.
Member: dooyou
dooyou Aug 26, 2021 updated at 11:45:25 (UTC)
Goto Top
Ich bin jetzt bei der NAS (nach einem Reset) alles noch einmal der Reihe nach durchgegangen.

Setze ich die Netzwerkschnittstelle LAN1 (P4 beim Router) der NAS ins VLAN_10 ist alles noch wunderbar, ich habe die feste IP 192.168.10.15 vergeben und funktioniert. Firewall (auf der NAS) habe ich nur für spezielle Dienste wie SSH und die Weboberfläche geöffnet (für alle Schnittstellen). Klappt auch.

Sobald ich LAN 2 der NAS (P5 beim Router) ins VLAN_40 setze, bekomme ich keinen Zugriff mehr auf die Weboberfläche. SSH-Zugriff funktioniert jedoch auf beide LAN-Schnittstellen bzw. IPs der NAS.

Also ich kann erst nicht mehr auf die Weboberfläche zugreifen, wenn ich die zweite LAN-Schnittstelle der NAS umkonfiguriere bzw. sie in ein weiteres VLAN packe.

Klingt für mich eher nach einem NAS "Problem" als nach einem Router "Fehler".

Vielleicht mache ich mir unnötig das Leben schwer.

Soll ich der NAS nicht einfach für jede Netzwerkschnittstelle eine entsprechende IP geben, ohne in der NAS VLAN einzutragen? Der Router würde dann ja das Management übernehmen und sie anhand der IP in das passende Netz legen, oder?
bildschirmfoto 2021-08-26 um 12.51.52
bildschirmfoto 2021-08-26 um 12.56.20
Member: em-pie
em-pie Aug 26, 2021 at 13:49:44 (UTC)
Goto Top
Das ist das, was ich vermutet habe!

Du trägst im NAS eine VLAN-ID ein. Lass die einfach mal weg. und am Vigor kannst du für deinen Port 5 auch jegliche VLAN-Themen weg lassen. Du betreibst an dem Port ja keinerlei VLANs...
Weshalb du allerdings per SSH an das NAS kommst, bleibt mir dennoch rätselhaft.

Mit welcher IP versuchst du eigentlich, aufs NAS zuzugreifen?

Über die 192.168.10.15 oder 192.168.40.15?

Gruß
em-pie
Member: dooyou
dooyou Aug 26, 2021 at 14:07:12 (UTC)
Goto Top
Also ich hatte immer beide IPs probiert, mit beiden ging jeweils SSH. Nur die Weboberfläche nicht.

Ich habe jetzt die beiden Lan-Ports der NAS jeweils separat eine IP gegeben (LAN 1 bzw. Port4 Router den Netzwerkbereich des VLAN_10, LAN2 bzw. Port 5 Router Netzwerkbereich VLAN_40). Die VLAN-ID habe ich im NAS nicht mehr vergeben. Jetzt klappt alles, keine Probleme soweit. @em-pie das mit dem VLAN am Port 5 muss ich mir nochmal anschauen.

Wie kann ich jetzt am besten Port 5 am Router bzw. LAN2 der NAS vom Heimnetzwerk trennen? Klar, ich müsste da schon mal Daten hochladen, aber der umgekehrte Weg soll nicht möglich sein. Ich könnte auch punktuell Inter-Lan-Routing aktivieren.
Member: em-pie
em-pie Aug 26, 2021 at 14:32:07 (UTC)
Goto Top
Also wenn du das richtig umgesetzt hast, sollte der Vigor den Traffic zwischen den beiden Subnetzen generell blocken.

Passe also deine Firewallregeln im Router an. Du darfst zwar (SMB?) vom LAN uns NAS-LAN, aber kein SMB vom NAS-LAN in andere Netze erlauben...