13
Static IP im falschen VLAN
Hallo liebe Mitstreiter,
ich stehe gerade etwas auf dem Schlauch.
Das Szenario stelle ich etwas abgespeckt und fiktiv dar:
Firma XY
5 VLans
Kein DHCP
VLAN3 192.168.20.0/24 Gateway 192.168.20.1
VLAN4 192.168.30.0/24 Gateway 192.168.30.1
Port Gi1/0/XX zugewiesen auf VLAN4
Anwender hängt sich in diesen Port und vergibt sich manuell die IP aus der Range von VLAN3 (z.B. 192.168.20.100)
Höchstwahrscheinlich vergibt er sich logischerweise auch den GW von VLAN3 (192.168.20.1)
Kann das funktionieren?
Ich würde eigentlich nein sagen. Gibt es eine Möglichkeit, dass dies doch funktionieren kann?
Danke für eure Hilfe und eine schöne Woche.
KK87
ich stehe gerade etwas auf dem Schlauch.
Das Szenario stelle ich etwas abgespeckt und fiktiv dar:
Firma XY
5 VLans
Kein DHCP
VLAN3 192.168.20.0/24 Gateway 192.168.20.1
VLAN4 192.168.30.0/24 Gateway 192.168.30.1
Port Gi1/0/XX zugewiesen auf VLAN4
Anwender hängt sich in diesen Port und vergibt sich manuell die IP aus der Range von VLAN3 (z.B. 192.168.20.100)
Höchstwahrscheinlich vergibt er sich logischerweise auch den GW von VLAN3 (192.168.20.1)
Kann das funktionieren?
Ich würde eigentlich nein sagen. Gibt es eine Möglichkeit, dass dies doch funktionieren kann?
Danke für eure Hilfe und eine schöne Woche.
KK87
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 649525
Url: https://administrator.de/contentid/649525
Ausgedruckt am: 23.11.2024 um 00:11 Uhr
13 Kommentare
Neuester Kommentar
Das funktioniert nicht, weil er ja aufgrund der VLAN-Trennung dieses Netz nicht erreichen kann.
Ein VLAN ist ja letztlich nichts weiter als ein virtueller Switch, der erstmal keine Verbindung mit anderen Switches hat.
Das Ergebnis wäre also das selbe, wie sich an Switch 3 mit einer IP aus Switch 4 zu verbinden.
Wenn allerdings der Router auf ARP-Anfragen für IP-Adressen in VLAN 3 auch auf dem Interface in VLAN 4 reagiert und dort arbeitet, dann würde IP-Kommunikation möglich sein.
Auf Layer 2 (sprich: VLAN) ist und bleibt das getrennt. Sollte aber das Gateway falsch konfiguriert sein, könnte unter Umständen Kommunikation möglich sein. Das beschriebene Router-Verhalten ist allerdings nicht Standard, sollte aber geprüft werden, ob das eintritt.
Ein VLAN ist ja letztlich nichts weiter als ein virtueller Switch, der erstmal keine Verbindung mit anderen Switches hat.
Das Ergebnis wäre also das selbe, wie sich an Switch 3 mit einer IP aus Switch 4 zu verbinden.
Wenn allerdings der Router auf ARP-Anfragen für IP-Adressen in VLAN 3 auch auf dem Interface in VLAN 4 reagiert und dort arbeitet, dann würde IP-Kommunikation möglich sein.
Auf Layer 2 (sprich: VLAN) ist und bleibt das getrennt. Sollte aber das Gateway falsch konfiguriert sein, könnte unter Umständen Kommunikation möglich sein. Das beschriebene Router-Verhalten ist allerdings nicht Standard, sollte aber geprüft werden, ob das eintritt.
Hallo LordGurke,
vielen Dank für deine Antwort.
Wir arbeiten mit L3 Switchen.
Das Thema mit dem ARP kann ich noch nicht so ganz nachvollziehen
Kannst du mir das etwas detailierter erklären bitte.
Grüße
KK87
vielen Dank für deine Antwort.
Wir arbeiten mit L3 Switchen.
Das Thema mit dem ARP kann ich noch nicht so ganz nachvollziehen
Kannst du mir das etwas detailierter erklären bitte.
Grüße
KK87
Moin,
es gibt ein Szenario, in dem es funktioniert:
IP: 192.168.20.100
Subnetmask: 255.255.0.0
Gateway: 192.168.30.1
Damit erreicht der Client die Gateway-IP in VLAN4 und ist aktiv im Netzgeschehen dabei. Aber ob Anwender so fit sind? Geschweige denn, dass man die überhaupt so tief ins System lässt?
VG
es gibt ein Szenario, in dem es funktioniert:
IP: 192.168.20.100
Subnetmask: 255.255.0.0
Gateway: 192.168.30.1
Damit erreicht der Client die Gateway-IP in VLAN4 und ist aktiv im Netzgeschehen dabei. Aber ob Anwender so fit sind? Geschweige denn, dass man die überhaupt so tief ins System lässt?
Höchstwahrscheinlich vergibt er sich logischerweise auch den GW von VLAN3 (192.168.20.1)
Bei ner 24er Maske würde Windows ihn auch kein anderes Gateway vergeben lassen.VG
Moin,
Wobei das wiederum auf die Firewall Config ankommt. wird in dieser am Interface explizit nur der IP-Bereich 192.168.30.0/24 zugelassen, dann verwirft diese die Pakete vom 192.168.20.100. Somit ist der Client dann nicht in der Lage, eine Kommunikation aufzubauen.
Gruß
Wobei das wiederum auf die Firewall Config ankommt. wird in dieser am Interface explizit nur der IP-Bereich 192.168.30.0/24 zugelassen, dann verwirft diese die Pakete vom 192.168.20.100. Somit ist der Client dann nicht in der Lage, eine Kommunikation aufzubauen.
Gruß
Zitat von @90948:
Wobei das wiederum auf die Firewall Config ankommt. wird in dieser am Interface explizit nur der IP-Bereich 192.168.30.0/24 zugelassen, dann verwirft diese die Pakete vom 192.168.20.100.
Wobei das wiederum auf die Firewall Config ankommt. wird in dieser am Interface explizit nur der IP-Bereich 192.168.30.0/24 zugelassen, dann verwirft diese die Pakete vom 192.168.20.100.
Korrekt. Wenn ich allerdings L3-Switch lese gehe ich von 99% "feuer frei" aus
es gibt ein Szenario, in dem es funktioniert:
Das Gateway darf sich doch am Client niemals in einem anderen IP Netz befinden ! Wie sollte der Client dieses Gateway denn erreichen können ? Wäre technisch unmöglich. Netx Hop Gateway IPs müssen sich logischerweise immer in einem lokalen IP Netz des Clients befinden.
Fakt ist ja das der Client für sein VLAN die völlig falsche IP Adressierung hat und nichtmal direkt im VLAN eine Verbindung aufbauen kann.
Die einzige Option ist wie Kollege @LordGurke schon gesagt hat wenn der Router oder Layer 3 Switch Proxy ARPs supportet.
Moin,
Auch unter Berücksichtigung der Netzmaske 255.255.0.0?
-teddy
Zitat von @aqui:
Nein, das ist IP technischer Unsinn ! Weisst du auch selber wenn du einmal etwas nachdenkst !
Nein, das ist IP technischer Unsinn ! Weisst du auch selber wenn du einmal etwas nachdenkst !
Auch unter Berücksichtigung der Netzmaske 255.255.0.0?
-teddy
Ohh wie peinlich !! Glatt übersehen, sorry. Nehme alles zurück und behaupte das Gegenteil !!! Zuwenig Kaffee heute morgen. Danke für den Wink mit dem Zaunpfahl. 😉
Zitat von @magicteddy:
Moin,
Auch unter Berücksichtigung der Netzmaske 255.255.0.0?
Moin,
Zitat von @aqui:
Nein, das ist IP technischer Unsinn ! Weisst du auch selber wenn du einmal etwas nachdenkst !
Nein, das ist IP technischer Unsinn ! Weisst du auch selber wenn du einmal etwas nachdenkst !
Auch unter Berücksichtigung der Netzmaske 255.255.0.0?
Aber nur, wenn die anderen Kisten auch falsch konfiguriert sind.
lks
Moin,
Sind die Ports tagged oder untagged? Falls tagged, könnte der User einfach sich das "richtige" VLAN konfigurieren.
lks
Sind die Ports tagged oder untagged? Falls tagged, könnte der User einfach sich das "richtige" VLAN konfigurieren.
lks
Zitat von @chgorges:
Moin,
es gibt ein Szenario, in dem es funktioniert:
IP: 192.168.20.100
Subnetmask: 255.255.0.0
Gateway: 192.168.30.1
Damit erreicht der Client die Gateway-IP in VLAN4 und ist aktiv im Netzgeschehen dabei. Aber ob Anwender so fit sind? Geschweige denn, dass man die überhaupt so tief ins System lässt?
VG
Moin,
es gibt ein Szenario, in dem es funktioniert:
IP: 192.168.20.100
Subnetmask: 255.255.0.0
Gateway: 192.168.30.1
Damit erreicht der Client die Gateway-IP in VLAN4 und ist aktiv im Netzgeschehen dabei. Aber ob Anwender so fit sind? Geschweige denn, dass man die überhaupt so tief ins System lässt?
Höchstwahrscheinlich vergibt er sich logischerweise auch den GW von VLAN3 (192.168.20.1)
Bei ner 24er Maske würde Windows ihn auch kein anderes Gateway vergeben lassen.VG
Hi,
danke für deine Antwort.
Dafür müsste der User aber erst mal wissen, dass er sich im falschen VLAN befindet.
Ich verstehe schon was du sagst aber er müsste ja den Gateway kennen in dessen VLAN er sich befindet.
Das ist hier definitiv nicht der Fall.
Lt. dem User nutzt er die Mask und den Gateway aus VLAN3.
Hi,
Er kann ja gar nicht wissen in welchem VLAN sein Rechner hängt, da er die Konfiguration des Switches nicht kennt. Zudem hat ein Standard Benutzer keine Berechtigung die IP-Adresse zu ändern. Somit, sofern er keine Admin Zugriff am lokalen PC hat, kann er die IP-Adresse nicht ändern. MIt Wireshark an den Netzwerkport gehängt kann er schon raus lesen, wo ein Router evtl. hockt. Oder er scannt das Netzwerk nach Teilnehmern. Einfache mittel um die Geräte zu erkennen und daraus zu schlussfolgern, welches das Gateway ist.
Er kann ja gar nicht wissen in welchem VLAN sein Rechner hängt, da er die Konfiguration des Switches nicht kennt. Zudem hat ein Standard Benutzer keine Berechtigung die IP-Adresse zu ändern. Somit, sofern er keine Admin Zugriff am lokalen PC hat, kann er die IP-Adresse nicht ändern. MIt Wireshark an den Netzwerkport gehängt kann er schon raus lesen, wo ein Router evtl. hockt. Oder er scannt das Netzwerk nach Teilnehmern. Einfache mittel um die Geräte zu erkennen und daraus zu schlussfolgern, welches das Gateway ist.
1Zitat von @KingKong87:
danke für deine Antwort.
Dafür müsste der User aber erst mal wissen, dass er sich im falschen VLAN befindet.
Ich verstehe schon was du sagst aber er müsste ja den Gateway kennen in dessen VLAN er sich befindet.
Das ist hier definitiv nicht der Fall.
danke für deine Antwort.
Dafür müsste der User aber erst mal wissen, dass er sich im falschen VLAN befindet.
Ich verstehe schon was du sagst aber er müsste ja den Gateway kennen in dessen VLAN er sich befindet.
Das ist hier definitiv nicht der Fall.
Hm, hast du deine Frage vergessen, die du gestellt hast? Du wolltest wissen, ob es eine Möglichkeit gibt und ich habe dir die Möglichkeit gezeigt.
Wenn du jetzt sagst im Nachhinein sagst, dass die User die Gateways nicht kennen, war der Thread überflüssig.
