32
TP Link Layer2 Switch VLAN Problem
Hallo zusammen,
ich habe mir um meinen Horizont zu erweitern ein Layer 2 Switch von TP-Link gekauft.
Ich will dort VLANs einrichten. Nur wo kann ich den einzelnen VLAN´s die IP Adresse des DHCP Servers mitteilen?
DHCP Server ist ein Windows Server 2008 R2 mit aktuell 2 Scopes
Switch ist ein TP Link TL-SG3216
Hat jemand eine Idee?
ich habe mir um meinen Horizont zu erweitern ein Layer 2 Switch von TP-Link gekauft.
Ich will dort VLANs einrichten. Nur wo kann ich den einzelnen VLAN´s die IP Adresse des DHCP Servers mitteilen?
DHCP Server ist ein Windows Server 2008 R2 mit aktuell 2 Scopes
Switch ist ein TP Link TL-SG3216
Hat jemand eine Idee?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 216325
Url: https://administrator.de/contentid/216325
Printed on: April 24, 2024 at 20:04 o'clock
32 Comments
Latest comment
Hallo,
Aber wo ist denn nun das Problem? Man hat in der Regel zwei Möglichkeiten so wie ich das sehe:
- Zum Einen kann man die VLANs anlegen und dann vergibt der Switch die IP Adressen und verwaltet bzw. routet die VLANs selber,
aber dafür müsste der Switch ein Layer3 Switch sein was Deiner nicht ist!
- Zum Anderen kann man dann die VLANs an einem Router oder einer Firewall terminieren, die dann die VLANs routen und auch von dort
mit IP Adressen versorgen, das kann sicherlich auch von einem DHCP Server erledigt werden, aber wo genau das eingetragen wird steht
dann eigentlich immer Handbuch des Switches und das erweitert dann auch Deinen Horizont.
routen, aber das ist eben auch immer eine Sache die man mit sich selber abmacht!
Gruß
Dobby
ich habe mir um meinen Horizont zu erweitern ein Layer 2 Switch von TP-Link gekauft.
Also ich würde mal sagen damit erweiterst Du Dein Netzwerk sicherlich, netter Switch.Ich will dort VLANs einrichten. Nur wo kann ich den einzelnen VLAN´s die IP Adresse des DHCP Servers mitteilen?
??? Also die Frage verstehe ich irgend wie nicht richtig, aber das kann auch gut an meinen Kenntnissen liegen.Aber wo ist denn nun das Problem? Man hat in der Regel zwei Möglichkeiten so wie ich das sehe:
- Zum Einen kann man die VLANs anlegen und dann vergibt der Switch die IP Adressen und verwaltet bzw. routet die VLANs selber,
aber dafür müsste der Switch ein Layer3 Switch sein was Deiner nicht ist!
- Zum Anderen kann man dann die VLANs an einem Router oder einer Firewall terminieren, die dann die VLANs routen und auch von dort
mit IP Adressen versorgen, das kann sicherlich auch von einem DHCP Server erledigt werden, aber wo genau das eingetragen wird steht
dann eigentlich immer Handbuch des Switches und das erweitert dann auch Deinen Horizont.
Hat jemand eine Idee?
- Als alternative wäre da noch eine andere Möglichkeit, Du aktivierst direkt am Server das Routing und lässt diesen dann die VLANsrouten, aber das ist eben auch immer eine Sache die man mit sich selber abmacht!
Gruß
Dobby
1
DHCP (v4) funktioniert per Broadcast - der Client kennt keine IP von irgendeinem DHCP-Server.
Er brüllt einfach ins Netzwerk dass er eine IP haben will und nimmt sie von dem DHCP-Server der am schnellsten und sinnvollsten antwortet. Per Broadcast.
Stichwort im Zusammenhang mit VLANs ist hier: Broadcastdomäne - dann verstehst du vielleicht besser was ein Switch mit den VLANs anstellt
Sinnvollerweise sollte dein Server also nun entweder zwei Netzwerkkarten haben die dann jeweils in den VLANs stecken oder (was sinnvoller ist) du versuchst dem Server beizubringen dass er auf mehreren VLANs getagged arbeiten soll. Wie das unter Windows geht weiß ich allerdings nicht...
Dafür müsste dann auch der Switchport des Servers so konfiguriert sein, dass der Server in die entsprechenden VLANs getagged hineindarf.
Er brüllt einfach ins Netzwerk dass er eine IP haben will und nimmt sie von dem DHCP-Server der am schnellsten und sinnvollsten antwortet. Per Broadcast.
Stichwort im Zusammenhang mit VLANs ist hier: Broadcastdomäne - dann verstehst du vielleicht besser was ein Switch mit den VLANs anstellt
Sinnvollerweise sollte dein Server also nun entweder zwei Netzwerkkarten haben die dann jeweils in den VLANs stecken oder (was sinnvoller ist) du versuchst dem Server beizubringen dass er auf mehreren VLANs getagged arbeiten soll. Wie das unter Windows geht weiß ich allerdings nicht...
Dafür müsste dann auch der Switchport des Servers so konfiguriert sein, dass der Server in die entsprechenden VLANs getagged hineindarf.
1
Das leuchtet mir soweit alles ein.
Ich erstelle zwei Scopes. Einmal 192.168.3.1 - 50 mit VLAN1
Einmal 192.168.10.1 - 50 VLAN2
Wie bringe ich jetzt dem Scope bei das er VLAN 1 oder 2 ist und net VLAN X
Das leuchtet wir irgendwie nicht ein.
Andersrum wie kann ich dem TPLink Switch sagen welche die IP Adresse meines DHCP Servers ist?
Ich erstelle zwei Scopes. Einmal 192.168.3.1 - 50 mit VLAN1
Einmal 192.168.10.1 - 50 VLAN2
Wie bringe ich jetzt dem Scope bei das er VLAN 1 oder 2 ist und net VLAN X
Das leuchtet wir irgendwie nicht ein.
Andersrum wie kann ich dem TPLink Switch sagen welche die IP Adresse meines DHCP Servers ist?
Dein TP-Link Switch ist ein reiner Layer 2 VLAN Switch:
http://www.tp-link.com/ch/products/details/?model=TL-SG3216#fea
Alles was der kann ist also eine reine Segmentierung in VLANs aber keine Kommunikation unter den VLANs an sich. Letzteres wäre aber zwingend erforderlich für das was du anstrebst, nämlich Forwarding von DHCP Broadcasts der VLAN Clients zu einem zentralen DHCP Server.
Dieses Feature nennt man "ip-helper Adressen" oder "DHCP Relay". Generell ist das rein eine Funktion von Layer 3 VLAN Switches, also Switches die zwischen den VLANs auch routen können, denn du musst diese DHCP Broadcasts ja in den einzelnen VLANs IP seitig erkennen, und an den zentralen DHCP forwarden.
Das kann aber ein reiner Layer 2 VLAN Switch wie dein TP-Link oben nicht, denn eine Kommunikation der VLANs ist damit ja nicht vorgesehen, da rein L2 !
Es gibt 2 Lösungen für dich:
1.) In jedes VLAN Segment einen einzelnen DHCP Server plazieren.
Der Vorschlag von "Lord Gurke" wäre auch unsinnig mit n NICs im Server, vergiss das, denn wenn dein Server ein VLAN tagging an seiner NIC supportet im Treiber reicht auch eine einzelne NIC. Dieses Tutorial sagt dir wie es geht:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
2.) Mit einem kleinen externen Router (oder deinem Internet Router wenn er VLANs supportet) die Layer 3 Funktion nachrüsten und die DHCP Request Broadcasts dann entsprechend auf deinen zentralen DHCP Server forwarden.
Dieses Forums Tutorial erklärt dir alle Details zur Lösung 2 die du dazu wissen musst um das schnell umzusetzen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Such dir die schönste Lösung aus !
http://www.tp-link.com/ch/products/details/?model=TL-SG3216#fea
Alles was der kann ist also eine reine Segmentierung in VLANs aber keine Kommunikation unter den VLANs an sich. Letzteres wäre aber zwingend erforderlich für das was du anstrebst, nämlich Forwarding von DHCP Broadcasts der VLAN Clients zu einem zentralen DHCP Server.
Dieses Feature nennt man "ip-helper Adressen" oder "DHCP Relay". Generell ist das rein eine Funktion von Layer 3 VLAN Switches, also Switches die zwischen den VLANs auch routen können, denn du musst diese DHCP Broadcasts ja in den einzelnen VLANs IP seitig erkennen, und an den zentralen DHCP forwarden.
Das kann aber ein reiner Layer 2 VLAN Switch wie dein TP-Link oben nicht, denn eine Kommunikation der VLANs ist damit ja nicht vorgesehen, da rein L2 !
Es gibt 2 Lösungen für dich:
1.) In jedes VLAN Segment einen einzelnen DHCP Server plazieren.
Der Vorschlag von "Lord Gurke" wäre auch unsinnig mit n NICs im Server, vergiss das, denn wenn dein Server ein VLAN tagging an seiner NIC supportet im Treiber reicht auch eine einzelne NIC. Dieses Tutorial sagt dir wie es geht:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
2.) Mit einem kleinen externen Router (oder deinem Internet Router wenn er VLANs supportet) die Layer 3 Funktion nachrüsten und die DHCP Request Broadcasts dann entsprechend auf deinen zentralen DHCP Server forwarden.
Dieses Forums Tutorial erklärt dir alle Details zur Lösung 2 die du dazu wissen musst um das schnell umzusetzen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Such dir die schönste Lösung aus !
1
Das was ich mir auch noch gekauft habe, womit ich mich aber noch nicht befasst habe ist eine monowall Firewall. Diese sollte doch das routing übernehmen können? Mein Router ist eine doofe FritzBox die kein layer3 kann
Zitat von @TheOnlyOne:
Ich erstelle zwei Scopes. Einmal 192.168.3.1 - 50 mit VLAN1
Einmal 192.168.10.1 - 50 VLAN2
Ich erstelle zwei Scopes. Einmal 192.168.3.1 - 50 mit VLAN1
Einmal 192.168.10.1 - 50 VLAN2
Netzmasken?
Wird zwischen den VLANs geroutet? Wenn nein, brauchst Du zwei DHCP-Server, die jeweils in das jeweilige VLAN gesteckt werden und alles wird gut.
Wenn geroutet wird, hat der Router in den jeweiligen VLANs je ein "Beinchen" (gg füber die Tags). Ist der Router auch gleichzeitig DHCP-Server, weiß der Router automtaisch über das hereinkommende Beinchen, was er antworten muß. Ansonsten müssen entweder zwei DHCP-Server eingerichtet werden (für das jeweilige VLAN) oder der Router muß zusätzlich DHCP-Proxy spielen. Dann kann der DHCP-Server automtisch den Scope richtig zuordnen.
Dieser Router könnte auch der Switch sein, sofern der ein L3-Switch ist.
Wie bringe ich jetzt dem Scope bei das er VLAN 1 oder 2 ist und net VLAN X
Gar nicht.
Das leuchtet wir irgendwie nicht ein.
Beschäftige Dich mit dem DHCP-Protokoll. Dann wird Dir ein Osram oder Philips aufgehen.
Andersrum wie kann ich dem TPLink Switch sagen welche die IP Adresse meines DHCP Servers ist?
Gar nicht. Ist auch nicht notwendig. (s.o.).
lks
edit: Aqui war schneller.
..."Das was ich mir auch noch gekauft habe, womit ich mich aber noch nicht befasst habe ist eine monowall Firewall."
Ja, wie oben bereits schon bemerkt ist das eine mögliche Lösung:
Siehe hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw. im Detail hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
oder wenn du den Server verwenden willst hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Jetzt musst du für dich entscheiden was für dich das sinnvollste ist !
Es gibt mehrere Wege nach Rom...!
Ja, wie oben bereits schon bemerkt ist das eine mögliche Lösung:
Siehe hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw. im Detail hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
oder wenn du den Server verwenden willst hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Jetzt musst du für dich entscheiden was für dich das sinnvollste ist !
Es gibt mehrere Wege nach Rom...!
1Fritzbox kann Layer 3. Denn sonst würde sie nicht routen können. Das Problem ist nur, daß der Umgang mit VLANs etwas "fummelig" ist.
lks
Sie kann aber m.E. kein VLAN Tagging am LAN Port und dort multiple IP Segmente routen. Jedenfalls nicht mit der original Firmware. Vermutlich aber mit Freetz:
http://freetz.org/
http://freetz.org/
Ganz sicher mit freetz. Allerdings abhängig vom Modell mehr oder weniger fummelig, wie ich schon sagte. Da ist die Alix Lösung deutlich nervenschonender.
lks
Ergänzend zu @LordGurke:
Zu so einem Netzwerk gehört eben auch noch ein Router. In vielerlei Ausführungen.
Auf dem Switch muss man dazu sogenannten DHCP-Helper Pakete aktivieren. Damit wird dem Broadcast die Information über das VLAN mit gegeben und der DHCP Server hinter dem Router kann anhand der Bereiche diese IPs korrekt zuordnen.
Im Handbuch koann ich mittesl Überfliegen noch nichts finden. Es hört sich nur nach der richtigen Fährte an: ip dhcp snooping information remote-id - von der Suppport-Seite: http://www.tp-link.com.de/products/details/?model=TL-SG3216#down
GRuß
Netman
Zu so einem Netzwerk gehört eben auch noch ein Router. In vielerlei Ausführungen.
Auf dem Switch muss man dazu sogenannten DHCP-Helper Pakete aktivieren. Damit wird dem Broadcast die Information über das VLAN mit gegeben und der DHCP Server hinter dem Router kann anhand der Bereiche diese IPs korrekt zuordnen.
Im Handbuch koann ich mittesl Überfliegen noch nichts finden. Es hört sich nur nach der richtigen Fährte an: ip dhcp snooping information remote-id - von der Suppport-Seite: http://www.tp-link.com.de/products/details/?model=TL-SG3216#down
GRuß
Netman
1
Hallo zusammen,
danke nochmal für eure Kommentare und Anregungen.
ich habe mir mit den neuen erkenntnissen und durch folgenden Artikel was meiner Umgebung entpspricht folgendes Ausgedacht.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Meine FritzBox stelle ich auf "expandes Host" was erstmal alle Ports auf dem Ding öffnet. Gleich nach der FritzBox kommt die Monowall die mir zwischen den VLANs routet und auch als DHCP Server dient. Soweit ich das sehe kann die das auch. Bzw kann ich ja meinen bestehenden DHCP Server (Windows Server 2008) in das entsprechende VLAN hängen. Wichtig ist nur das die monowall zwischen den VLAN´s routen kann.
Direkt hinter der monowall folgt mein TP Link layer 2 Switch. nachdem ich noch zwei dumme Switcht habe werde ich die gegen Baugleiche layer2 Switche austauschen.
VLAN1 Client 192.168.3.1 - 50 DHCP
VLAN2 Kameras 192.168.10.1 - 50 staatische IP´s
VLAN3 Server 192.168.20.1 - 50 staatische IP´s
Hierzu muss ich mir nochmal die Konfig von einem ESX Server anschauen da ich 3 davon im Einsatz habe und nur virtuelle Maschinen habe. Ledeglich habe ich noch einen DNS Server als einzelnes Blech laufen sollten mir die ESX Server aussteigen.
Was ist denn dann eigentlich meine Gateway?
Das ist glaub ein Mega Projekt was ich da vorhabe Aber nur so lernt man es lesen und üben ;)
Wo ich noch meine Befürchtungen habe ist das konfigurieren von der monowall noch n Problem, vorallem wenn der DNS Server im Client VLAN hängt und meine Server in einen anderen VLAN. Da wüsste ich jetzt auf anhieb nicht was ich freischalten müsste das man die DNS Server vom Client VLAN aus erreicht....
danke nochmal für eure Kommentare und Anregungen.
ich habe mir mit den neuen erkenntnissen und durch folgenden Artikel was meiner Umgebung entpspricht folgendes Ausgedacht.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Meine FritzBox stelle ich auf "expandes Host" was erstmal alle Ports auf dem Ding öffnet. Gleich nach der FritzBox kommt die Monowall die mir zwischen den VLANs routet und auch als DHCP Server dient. Soweit ich das sehe kann die das auch. Bzw kann ich ja meinen bestehenden DHCP Server (Windows Server 2008) in das entsprechende VLAN hängen. Wichtig ist nur das die monowall zwischen den VLAN´s routen kann.
Direkt hinter der monowall folgt mein TP Link layer 2 Switch. nachdem ich noch zwei dumme Switcht habe werde ich die gegen Baugleiche layer2 Switche austauschen.
VLAN1 Client 192.168.3.1 - 50 DHCP
VLAN2 Kameras 192.168.10.1 - 50 staatische IP´s
VLAN3 Server 192.168.20.1 - 50 staatische IP´s
Hierzu muss ich mir nochmal die Konfig von einem ESX Server anschauen da ich 3 davon im Einsatz habe und nur virtuelle Maschinen habe. Ledeglich habe ich noch einen DNS Server als einzelnes Blech laufen sollten mir die ESX Server aussteigen.
Was ist denn dann eigentlich meine Gateway?
Das ist glaub ein Mega Projekt was ich da vorhabe
Aber nur so lernt man es lesen und üben ;)Wo ich noch meine Befürchtungen habe ist das konfigurieren von der monowall noch n Problem, vorallem wenn der DNS Server im Client VLAN hängt und meine Server in einen anderen VLAN. Da wüsste ich jetzt auf anhieb nicht was ich freischalten müsste das man die DNS Server vom Client VLAN aus erreicht....
Wenn die Monowall / pfSense das zentrale Routing der VLANs macht über einen tagged Link, dann haben alle Geräte in den VLANs natürlich immer die Firewall IP Adresse des jeweilgen VLAN Segments als Default Gateway IP !
Ist ja auch klar und logisch, denn die Firewall erledigt ja dann zentral die ganze Routing Kommunikation.
Bedenke zudem das du die Firewall Regeln an den Parent und VLAN Interfaces entsprechend anpasst, denn per Default verbietet die Firewall erstmal alles.
Ggf. machst du mit "any zu any" dort erstmal alles auf um grundsätzlich die Kommunikation zu testen und dann nach Bedarf langsam wieder zu.
Für das DHCP Relay auf den zentralen DHCP Server benutzt du eben die DHCP Relay Konfiguration.
Alternativ kannst du natürlich auch die DHCP Server auf der Firewall nutzen.
Nur... eine Kombination beider Features solltest du möglichst vermeiden. Also wenn Relay dann nur mit zentralem externen DHCP Server. Siehe:
http://doc.pfsense.org/index.php/DHCP_Relay
Als Relay IP Adresse trägst du dann die deines zentralen DHCP Servers ein der alle Scopes für die VLANs hält.
Ist ja auch klar und logisch, denn die Firewall erledigt ja dann zentral die ganze Routing Kommunikation.
Bedenke zudem das du die Firewall Regeln an den Parent und VLAN Interfaces entsprechend anpasst, denn per Default verbietet die Firewall erstmal alles.
Ggf. machst du mit "any zu any" dort erstmal alles auf um grundsätzlich die Kommunikation zu testen und dann nach Bedarf langsam wieder zu.
Für das DHCP Relay auf den zentralen DHCP Server benutzt du eben die DHCP Relay Konfiguration.
Alternativ kannst du natürlich auch die DHCP Server auf der Firewall nutzen.
Nur... eine Kombination beider Features solltest du möglichst vermeiden. Also wenn Relay dann nur mit zentralem externen DHCP Server. Siehe:
http://doc.pfsense.org/index.php/DHCP_Relay
Als Relay IP Adresse trägst du dann die deines zentralen DHCP Servers ein der alle Scopes für die VLANs hält.
So jezt beschäftige ich mich gerade mit meiner monowall.
Ein sehr mächtiges Tool
Ich fange mit den Basics an. Die monowall hängt hinter der FritzBox. WAN Adresse 192.168.0.254
Im LAN habe ich den DHCP Server aktiviert und vergibt adressen 192.168.3.199 - 250 /24
Ich habe zum teten einen Laptop angeschlossen. Dieser bekommt wie gewollt eine IP Adresse aus dem Bereich.
Aktuell die erste Adresse spricht die 3.199
Nun möchte ich den kompletten eingehenden Verkehr aus dem "WAN" ins LAN sperren. Sprich der Laptop soll keinen Kontakt zur Außenwelt haben. Eine block aller Protokolle in beide Richtungen.
Dies versuche ich scho seit Stunden zu erreichen, ohne Erfolg
Folgende Rules habe ich erstellt:
Action: BLOCK
Interface: LAN
Protocoll: any
Source: LAN subnet
Destination: WAN Adress
-> Das sollte eigentlich jeglichen Verkehr aus dem LAN in das WAN sperren oder?
Action: BLOCK
Interface: WAN
Protocoll: any
Source: WAN adress
Destination: LAN subnet
Habe nach dem anlegen unter Diagnostic die State Table resetet auch das führt nicht zum Erfolg
Hat jemand eine Idee wo mein Denkfehler ist?
Ein sehr mächtiges Tool
Ich fange mit den Basics an. Die monowall hängt hinter der FritzBox. WAN Adresse 192.168.0.254
Im LAN habe ich den DHCP Server aktiviert und vergibt adressen 192.168.3.199 - 250 /24
Ich habe zum teten einen Laptop angeschlossen. Dieser bekommt wie gewollt eine IP Adresse aus dem Bereich.
Aktuell die erste Adresse spricht die 3.199
Nun möchte ich den kompletten eingehenden Verkehr aus dem "WAN" ins LAN sperren. Sprich der Laptop soll keinen Kontakt zur Außenwelt haben. Eine block aller Protokolle in beide Richtungen.
Dies versuche ich scho seit Stunden zu erreichen, ohne Erfolg
Folgende Rules habe ich erstellt:
Action: BLOCK
Interface: LAN
Protocoll: any
Source: LAN subnet
Destination: WAN Adress
-> Das sollte eigentlich jeglichen Verkehr aus dem LAN in das WAN sperren oder?
Action: BLOCK
Interface: WAN
Protocoll: any
Source: WAN adress
Destination: LAN subnet
Das sollt theoretisch jeglichen Vekehr aus dem WAN in das LAN sperren...
Habe nach dem anlegen unter Diagnostic die State Table resetet auch das führt nicht zum Erfolg
Hat jemand eine Idee wo mein Denkfehler ist?
..."Nun möchte ich den kompletten eingehenden Verkehr aus dem "WAN" ins LAN sperren..."
Das ist bei der Monowall oder pfSense Standard im Default !
Auf dem WAN Port (und auch allen anderen Ports) läuft per se eine SPI Firewall mit NAT die keinerlei inbound Verbindungen also vom WAN Netzwerk (und allennetzwerken die dahinter sind) ins lokale LAN zulässt !
Kannst du auch ganz einfach selber testen:
Deine stundenlangen Versuche sind also überflüssiger Unsinn, denn das ist das Default Setting am WAN Port
Was du übrigens in den Default Firewall Regeln am WAN Port auch selber sehen kannst !
Bedenke das Firewall Regeln immer nur inbound also eingehend ins Interface gelten. Wenn du deinen PC also das Internet filtern und verbieten willst das der nur auf lokalen Interfacen der Firewall arbeiten darf, dann erstellst du nicht am WAN sondern am LAN Port folgende Regel in folgender Reihenfolge:
Achtung: Der Teufel lauert hier im Detail: Wenn du IPs vergibst per DHCP kann es sein das dein PC mal eine andere IP bekommt und dann greift die Regel oben nicht mehr..logisch
Dafür gibt es aber mehrere Workarounds:
Generell ist aber immer der Zugriff vom WAN in sämtliche lokalen Interface per default geblockt !! Da musst du also gar nix frickeln !!
Das ist bei der Monowall oder pfSense Standard im Default !
Auf dem WAN Port (und auch allen anderen Ports) läuft per se eine SPI Firewall mit NAT die keinerlei inbound Verbindungen also vom WAN Netzwerk (und allennetzwerken die dahinter sind) ins lokale LAN zulässt !
Kannst du auch ganz einfach selber testen:
- Hänge einen PC ins WAN was ja bei dir die 192.168.0.0 /24 ist also das Transfernetz zw. Fritzbox und Firewall !
- Dann versuchst du von diesem PC im WAN Netzwerk mal auf den PC im lokalen LAN zuzugreifen....das scheitert ganz sicher, was du auch dann in der Monowall im Firewall Log sofort sehen kannst !! Immer also die Logs checken, die zeigen dir die bösen Angreifer am WAN Port !
Deine stundenlangen Versuche sind also überflüssiger Unsinn, denn das ist das Default Setting am WAN Port
Was du übrigens in den Default Firewall Regeln am WAN Port auch selber sehen kannst !
Bedenke das Firewall Regeln immer nur inbound also eingehend ins Interface gelten. Wenn du deinen PC also das Internet filtern und verbieten willst das der nur auf lokalen Interfacen der Firewall arbeiten darf, dann erstellst du nicht am WAN sondern am LAN Port folgende Regel in folgender Reihenfolge:
- 1.) Allow Source IP 192.168.3.199 Destination OPT1
- 2.) Allow Source IP 192.168.3.199 Destination OPTx (wenn du weitere FW Ports erlauben willst)
- 3.) Deny Source IP 192.168.3.199 Destination: any
- 4.) Allow Source IP LAN Netz Destination any
Achtung: Der Teufel lauert hier im Detail: Wenn du IPs vergibst per DHCP kann es sein das dein PC mal eine andere IP bekommt und dann greift die Regel oben nicht mehr..logisch
Dafür gibt es aber mehrere Workarounds:
- Deinem PC über seine MAC Adresse im DHCP immer einen feste DHCP IP zuweisen
- Den DHCP Bereich generell sperren und nur statische IPs durchlassen
- Über die Mac Adresse Geräte filtern
Generell ist aber immer der Zugriff vom WAN in sämtliche lokalen Interface per default geblockt !! Da musst du also gar nix frickeln !!
1
Warum zeigt mir dann der Rechner im LAN 192.168.3.199 an das ich Internetzugriff habe?
zudem bekomme ich meine SCSI Laufwerke von der QNAP die im WAN steht verbunden?
Ich habe nur die beiden Regeln definiert wie oben beschrieben.
Das heisst ja würde ich alle Regeln löschen wäre alles geblockt?
zudem bekomme ich meine SCSI Laufwerke von der QNAP die im WAN steht verbunden?
Ich habe nur die beiden Regeln definiert wie oben beschrieben.
Das heisst ja würde ich alle Regeln löschen wäre alles geblockt?
..."Warum zeigt mir dann der Rechner im LAN 192.168.3.199 an das ich Internetzugriff habe? "
MMmmhhh, sind dir überhaupt generell die Mechanismen von IP Adresstranslation (NAT) bewusst ?? Vermutlich nicht, also bitte unbedingt lesen bevor wir hier weitermachen:
http://de.wikipedia.org/wiki/Network_Address_Translation
speziell Source NAT:
http://de.wikipedia.org/wiki/Network_Address_Translation#Source_NAT
Wenn du generell nicht willst das IP Adressen im WAN Segment angesprochen werden können aus dem lokalen LAN Netz, dann machst du einen ganz einfache Firewall Regel am LAN Port:
WAN Port bleibt wie er ist im Default ! Einfach mal ein wenig logisch nachdenken WIE IP Pakete fliessen in dem Netzwerk !
MMmmhhh, sind dir überhaupt generell die Mechanismen von IP Adresstranslation (NAT) bewusst ?? Vermutlich nicht, also bitte unbedingt lesen bevor wir hier weitermachen:
http://de.wikipedia.org/wiki/Network_Address_Translation
speziell Source NAT:
http://de.wikipedia.org/wiki/Network_Address_Translation#Source_NAT
Wenn du generell nicht willst das IP Adressen im WAN Segment angesprochen werden können aus dem lokalen LAN Netz, dann machst du einen ganz einfache Firewall Regel am LAN Port:
- 1.) Deny Source IP LAN network Destination: WAN network
- 2.) Allow Source IP LAN network Destination any
- 1.) Deny Source IP 192.168.3.199 Destination: WAN network
- 2.) Allow Source IP LAN network Destination any
WAN Port bleibt wie er ist im Default ! Einfach mal ein wenig logisch nachdenken WIE IP Pakete fliessen in dem Netzwerk !
...zudem bekomme ich meine SCSI Laufwerke von der QNAP die im WAN steht verbunden?
Jo und greifen die Klienten denn darauf zu?Ist dort ein VPN Tunnel hin eingerichtet oder einfach so ungeschützt über das Internet?
Ich habe nur die beiden Regeln definiert wie oben beschrieben.
Jo das stimmt wohl, aber Du kommst mit den ganzen Informationen erst recht spät und auch nur Stück fürStück raus und das sollte dann doch wohl immer erst der Fall sein.
Informationen sind eine Bringschuld und keine Holschuld!
Gruß
Dobby
OK die NAT Geschichte habe mir angeschaut und soweit auch verstanden.
Ich fasse nochmal kurz zusammen.Sofern keine Regel hinterlegt ist blockt die Firewall erstmal jeglichen Verkehr.
Aktuell habe ich keine Regeln hinterlegt. Jetzt habe ich auf dem Test Laptop Outlook geöffnet, dort versucht mich via Port 110 POP3 mit dem Mail Server zu verbinden. Oh Wunder das ganze geht net
Nun habe ich mir den LOG der Firewall angeschaut mit dem Gedanken das mir der LOG doch anzeigen müsste das ich gerade versucht habe mit der IP 192.168.3.199 über LAN mit dem Port 110 auf eine Destination zuzugreifen. Der LOG ist nur voll mit Broadcast Meldungen z.b. if LAN Source 192.168.3.199 port 137 Destionation 192.168.3255 port 137 UDP
Auch wenn ich euch jetzt nerve aber mir ist der Unterschied noch nicht ganz bewusst zwischen Rules auf LAN und dem WAN Interface.?!
Ich fasse nochmal kurz zusammen.Sofern keine Regel hinterlegt ist blockt die Firewall erstmal jeglichen Verkehr.
Aktuell habe ich keine Regeln hinterlegt. Jetzt habe ich auf dem Test Laptop Outlook geöffnet, dort versucht mich via Port 110 POP3 mit dem Mail Server zu verbinden. Oh Wunder das ganze geht net
Nun habe ich mir den LOG der Firewall angeschaut mit dem Gedanken das mir der LOG doch anzeigen müsste das ich gerade versucht habe mit der IP 192.168.3.199 über LAN mit dem Port 110 auf eine Destination zuzugreifen. Der LOG ist nur voll mit Broadcast Meldungen z.b. if LAN Source 192.168.3.199 port 137 Destionation 192.168.3255 port 137 UDP
Auch wenn ich euch jetzt nerve aber mir ist der Unterschied noch nicht ganz bewusst zwischen Rules auf LAN und dem WAN Interface.?!
Wie kann ich denn bitte hier ein Foto hinzufügen, würde gerne einen Screenshot posten?
Zitat von @MrNetman:
Ergänzend zu @LordGurke:
Zu so einem Netzwerk gehört eben auch noch ein Router. In vielerlei Ausführungen.
Auf dem Switch muss man dazu sogenannten DHCP-Helper Pakete aktivieren. Damit wird dem Broadcast die Information über das
VLAN mit gegeben und der DHCP Server hinter dem Router kann anhand der Bereiche diese IPs korrekt zuordnen.
Ergänzend zu @LordGurke:
Zu so einem Netzwerk gehört eben auch noch ein Router. In vielerlei Ausführungen.
Auf dem Switch muss man dazu sogenannten DHCP-Helper Pakete aktivieren. Damit wird dem Broadcast die Information über das
VLAN mit gegeben und der DHCP Server hinter dem Router kann anhand der Bereiche diese IPs korrekt zuordnen.
Ich arbeite hier nur auf Linux-Systemen und weiß nicht was sich Microsoft für die Windows-Welt für diesen Fall ausgedacht hat.
Wenn ich möchte, dass ein Linux-System Kontakt zu mehreren VLANs bekommen soll, richte ich den Switchport so ein dass alle VLANs getagged rausfallen (bei Cisco heißt das VLAN-Trunking).
Unter Linux habe ich dann die Möglichkeit für jedes VLAN ein eigenes Device zu erstellen, welches dann entsprechend getaggete Pakete "annimmt" und mit entsprechendem Tag versehen auch wieder raussendet.
Statt einem Netzwerkinterface habe ich dann also im Zweifelsfalle fünf Interfaces, die jeweils in ein eigenes VLAN kommunizieren. Sobald ich das habe, kann ich dann z.B. dem DHCP-Server ganz einfach mitteilen, auf welchem Interface (=VLAN) er welches Subnetz aus welchem Pool verteilen soll.
Auf dem Switch muss dann nur der Switchport entsprechend konfiguriert sein, dass die passenden VLANs getagged herausfallen
Finde ich persönlich angenehmer, weil wir teilweise VLANs über mehrere Switches spannen und uns dann nicht auf jedem Switch mit dem DHCP-Helper oder DHCP-Snooping auseinandersetzen müssen.
Wie gesagt, ich kenne das so nur aus der Linux-Welt und habe mit solchen Trunking-Ports noch nie unter Windows ernsthaft zu tun gehabt. Wenn es geht, würde ich mich über ein Stichwort aber freuen - dann könnte ich auf meiner Workstation nämlich endlich mal virtuelle Maschinen zu testzwecken in ein anderes VLAN schmeißen und denen so Zugriff auf ein geroutetes öffentliches Netz geben
Gibts im Windows Bereich auch, entsprechende Netzwerkkarte vorrausgesetzt.
Für meine Intel Nic gibts dann ein schönes Tool zum konfigurieren, der rest ist dann Ident zu deiner beschriebenen vorgehensweise...
Für meine Intel Nic gibts dann ein schönes Tool zum konfigurieren, der rest ist dann Ident zu deiner beschriebenen vorgehensweise...
Moin,
Einfach mal Deinen Beitrag bearbeiten und dann Bilder hochladen. Diese Referenz auf diese Bilder kannst Du dann im beitrag oder in einem Kommentar einfügen..
Siehe auch udn speziell Formatting instructions in the posts
lks
Einfach mal Deinen Beitrag bearbeiten und dann Bilder hochladen. Diese Referenz auf diese Bilder kannst Du dann im beitrag oder in einem Kommentar einfügen..
Siehe auch udn speziell Formatting instructions in the posts
lks
Und wie man Windows oder Linux VLAN fähig macht auf der NIC erklärt dir dieses Forums Tutorial im Detail:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Hallo Eure Lordschaft (@LordGurke ),
hier noch eine Netzwerkkarte für "eure" Linux Maschine, so das man auch jeder VM einen eigenen LAN Port
spendieren kann, aber nicht gleich arm wird. Soekris LAN Board 1841
Gruß
Dobby
hier noch eine Netzwerkkarte für "eure" Linux Maschine, so das man auch jeder VM einen eigenen LAN Port
spendieren kann, aber nicht gleich arm wird. Soekris LAN Board 1841
Gruß
Dobby
Hat fast jeder NIC Karten Hersteller im Angebot:
http://compare.ebay.de/like/150947331327?var=lv<yp=AllFixedPriceI ...
Muss man aber wie gesagt nicht wenn man auch mit einen 802.1q Trunk leben knn:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
http://compare.ebay.de/like/150947331327?var=lv<yp=AllFixedPriceI ...
Muss man aber wie gesagt nicht wenn man auch mit einen 802.1q Trunk leben knn:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
So heut ist wieder Sonntag und finde wieder etwas Zeit um an der Sache weiter zu arbeiten.
Meine Monowall hat 3 Schnitstellen.
1x WAN
1x LAN
1x LAn2
Ich habe alles soweit hinbekommen. Ich habe im LAN und LAN2 Netz den DHCP aktiviert. Jetzt möchte ich vom LAN auf das LAN2 zugreifen können und andersrum.
Ich vermute schwer das es aufgrund von Routing Geschichten nicht geht
Ists es überhaupt möglich zwischen zwei pysischen Netzwerkanschlüssen und Netzbereichen zu routen.
LAN 192.168.3.0 /24
LAN2 192.168.20.0 /24
Meine Monowall hat 3 Schnitstellen.
1x WAN
1x LAN
1x LAn2
Ich habe alles soweit hinbekommen. Ich habe im LAN und LAN2 Netz den DHCP aktiviert. Jetzt möchte ich vom LAN auf das LAN2 zugreifen können und andersrum.
Ich vermute schwer das es aufgrund von Routing Geschichten nicht geht
Ists es überhaupt möglich zwischen zwei pysischen Netzwerkanschlüssen und Netzbereichen zu routen.
LAN 192.168.3.0 /24
LAN2 192.168.20.0 /24
Zitat von @TheOnlyOne:
Ich vermute schwer das es aufgrund von Routing Geschichten nicht geht
Ists es überhaupt möglich zwischen zwei pysischen Netzwerkanschlüssen und Netzbereichen zu routen.
Ich vermute schwer das es aufgrund von Routing Geschichten nicht geht
Ists es überhaupt möglich zwischen zwei pysischen Netzwerkanschlüssen und Netzbereichen zu routen.
Ja.
einfach eine Firewall-regel für die zwei netze definieren.
lks
..."Ich vermute schwer das es aufgrund von Routing Geschichten nicht geht" Nein !!....
Diese Vermutung ist grundfalsch und zeigt eigentlich das du dich mit dem Thema Firewall nicht richtig beschäftigt hast !
Was eine Kommunikation verhindert sind schlicht und einfach die Firewall Regeln !!
Am LAN Port hast du wie du selber sehen kannst eine any * zu any * Regel, das heist jeglicher Traffic ist zu jeglichem erlaubt.
Monowall / pfSense richtet diese Regel als Default ein !
Alle anderen Ports aber wie dein LAN2 und ggf. VLAN Parent Ports haben aber eine deny * zu deny * Regel, d.h. alles ist verboten wie bei einer Firewall üblich !!
Passe also die Firewall Regel am LAN2 Port an dann klappt das auch !
Entweder machst du da auch erstmal eine Scheunentor Regel ala any * zu any * wie an LAN1 oder du definierst das dediziert ala
source: LAN2 network, Port:any destination:LAN1 network, Port: any
Damit klappt es auf Anhieb !
Wenn nicht immer ins Firewall Log sehen ! Das sagt dir genau wo es kneift !!
Bitte lies dir nochmals das VLAN Tutorial und seinen Thread genau durch !! Das beschreibt alle diese Schritte und bewahrt dich vor Frust !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Diese Vermutung ist grundfalsch und zeigt eigentlich das du dich mit dem Thema Firewall nicht richtig beschäftigt hast
!Was eine Kommunikation verhindert sind schlicht und einfach die Firewall Regeln !!
Am LAN Port hast du wie du selber sehen kannst eine any * zu any * Regel, das heist jeglicher Traffic ist zu jeglichem erlaubt.
Monowall / pfSense richtet diese Regel als Default ein !
Alle anderen Ports aber wie dein LAN2 und ggf. VLAN Parent Ports haben aber eine deny * zu deny * Regel, d.h. alles ist verboten wie bei einer Firewall üblich !!
Passe also die Firewall Regel am LAN2 Port an dann klappt das auch !
Entweder machst du da auch erstmal eine Scheunentor Regel ala any * zu any * wie an LAN1 oder du definierst das dediziert ala
source: LAN2 network, Port:any destination:LAN1 network, Port: any
Damit klappt es auf Anhieb !
Wenn nicht immer ins Firewall Log sehen ! Das sagt dir genau wo es kneift !!
Bitte lies dir nochmals das VLAN Tutorial und seinen Thread genau durch !! Das beschreibt alle diese Schritte und bewahrt dich vor Frust !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
1
Nein ich hab es verstanden nur habe ich das icmp Protokoll nicht freigeschalten, klar das ich dann nicht das andere Netz nicht Pingen kann. In der WAN Schnittstelle Habe ich den Hacken raus genommen der das routing zwischen den Netzen blockt
..Hacken ???
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
oder
http://de.wikipedia.org/wiki/Ferse
oder meintest du:
http://www.duden.de/suchen/dudenonline/haken
Was du mit dem "Hacken" bezeichnest ist Blödsinn, denn das Routing wird auf einer Firewall niemals blockiert ! Wenn auf einer Firewall was blockt, dann sind das immer die Regeln !!
Siehe oben dein Fauxpas mit den fehlenden ICMP Regeln !!
Übrigens: Wenn du nur rein "IP" genommen hättest in den Regeln inkludiert das alle IP relevanten Protokolle wie UDP, TCP und ICMP. Da hättest du dir die spezielle ICMP Regel erspart !
Den "Hacken" den du meinst ist sicher der default Blocker für RFC 1918 IP Netze, also private IP Adressen (10., 172.16-32. 192.168) am WAN Port !!
Der hat aber mit Routing logischerweise nicht das geringste zu tun.
Hört sich nicht wirklich so an als ob du weisst was du da tust, sorry ?!
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
oder
http://de.wikipedia.org/wiki/Ferse
oder meintest du:
http://www.duden.de/suchen/dudenonline/haken
Was du mit dem "Ha
Siehe oben dein Fauxpas mit den fehlenden ICMP Regeln !!
Übrigens: Wenn du nur rein "IP" genommen hättest in den Regeln inkludiert das alle IP relevanten Protokolle wie UDP, TCP und ICMP. Da hättest du dir die spezielle ICMP Regel erspart !
Den "Ha
Der hat aber mit Routing logischerweise nicht das geringste zu tun.
Hört sich nicht wirklich so an als ob du weisst was du da tust, sorry ?!
ich weiss nicht zu 100% was ich tue das ist wohl wahr.
Wir können uns gerne mal über andere Themen unterhalten in denen ich Dir was erklären kann ;)
Was mich ja noch brennend intressieren würde.
Wie kann ich in einer Regel einen IP Bereich 192.168.3 - 5 einfügen?`Oder muss ich für 3 4 5 jeweils eine identische Regel erstellen mit ausnahme der IP Adresse versteht sich?
Wir können uns gerne mal über andere Themen unterhalten in denen ich Dir was erklären kann ;)
Was mich ja noch brennend intressieren würde.
Wie kann ich in einer Regel einen IP Bereich 192.168.3 - 5 einfügen?`Oder muss ich für 3 4 5 jeweils eine identische Regel erstellen mit ausnahme der IP Adresse versteht sich?
