Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN - Frage zu VLAN Routing über Firewall

Mitglied: TK871982

TK871982 (Level 1) - Jetzt verbinden

18.06.2019 um 15:54 Uhr, 561 Aufrufe, 2 Kommentare

Hallo,

ich habe folgende Anforderung und in einem Testbetrieb auch schon mal mit der Umsetzung begonnen:

Einrichtung mehrerer VLANs auf HP-Switchen (HP E2910al....ja bitte keine Meinungen über die Switche, ich habe hier leider keine anderen derzeit).

VLAN 100 (Netz Firma A)
VLAN 110 (Netz Firma B)
VLAN 120 (Gemeinsame Server)
VLAN 200 (Transfer-Netz zur Firewall)

Die VLANs sollen teilweise übergreifend kommunizieren können, d.h. man muss sowohl von VLAN 100 auf VLAN 120 als auch von VLAN 110 auf VLAN 120 zugreifen können, z.B. via RDP oder anderen Ports.

Das Routing habe ich vor nicht über die L3-Switche zu steuern ,daher habe ich den VLANs in den Switchen KEINE IP-Adresse zugewiesen sondern lediglich einen Default-Gateway hinterlegt. Das Gateway ist die IP meines Transfer-VLANs (VLAN 200).

Ich möchte das Routing gerne über die Firewall/Router lösen, da ich über die Firewall einfacher steuern kann welche Geräte/Netze auf welche anderen Geräte/Netze zugreifen dürfen. Über ACL-Lists und L3-Routing im Switch ist das ja nicht besonders komfortabel.

Ich habe alle 4 VLANs auf meiner Firewall, einer R&S GPU200 (ehemals Gateprotect) eingerichtet.

Nun habe ich in der Firewall eine Verbindung zwischen dem Netz des VLAN 100 und dem Nezt des VLAN 120 angelegt und testweise mal alle Ports zugelassen.
Ein Ping aus VLAN 100 in VLAN 120 funktioniert auch, allerdings kann ich nicht auf einen Zielserver über andere Ports, z.B. RDP, SSH etc. zugreifen. Der Zugriff wird abgelehnt. Ich vermute dass es noch ein Problem mit Layer3 gibt, da ja PING auf Layer 2 arbeitet. Ich weiß aber leider nicht wo ich da noch genau ansetzen kann.
Hat jemand eine Idee oder hilfreiche Tipps?

Vielen Dank im Voraus.
Mitglied: gansa28
18.06.2019, aktualisiert um 16:57 Uhr
Hi,

stand mal vor Ähnlichen Problemen.

Da du wie ich glaube gelesen habe den Switch nicht Routen Lassen willst, muss das ja jemand anderes tun. Die Firewall z.B.

Du musst alle 4 VLANs auf der Firewall anlegen, und mit IPs versorgen die dann deine GW sind. Allerdings geht dann der gesamte Traffic über die Firewall!

Auf der Firewall musst du folgendes Anlegen :

VLAN 100 (Netz Firma A) IP Adressen 192.168.100.0/24 GW 192.168.100.1/24
VLAN 110 (Netz Firma B) IP Adressen 192.168.110.0/24 GW 192.168.110.1/24
VLAN 120 (Gemeinsame Server) IP Adressen 192.168.120.0/24 GW 192.168.120.1/24

Auf dem Switch musst du folgendes Anlegen:

VLAN 100
VLAN 110
VLAN 120

einen Trunk mit allen 3 VLANs zur Firewall,

VLAN 200 brauchst du dann nicht weil alle VLANs übner die FW geroutet werden.


Besser ist das den Switch der ja Layer 3 kann das Routing zu übernehmen.

Du musst folgendes auf dem Switch Anlegen

VLAN 100 (Netz Firma A) IP Adressen 192.168.100.0/24 GW 192.168.100.1/24
VLAN 110 (Netz Firma B) IP Adressen 192.168.110.0/24 GW 192.168.110.1/24
VLAN 120 (Gemeinsame Server) IP Adressen 192.168.120.0/24 GW 192.168.120.1/24
default route auf 192.168.200.1/24

Auf der Firewall
VLAN 200 (Transfer-Netz zur Firewall) IP Adressen 192.168.200.0/24 GW 192.168.200.1/24
Dann die Firewall rules für die Verschiedenen Netze. sowie
die Rückrouten für die Verschiedenen Netzte auf den Switchen:

Zielnetz: 192.168.100.0 Maske: 255.255.255.0 Gateway: 192.168.100.1
Zielnetz: 192.168.110.0 Maske: 255.255.255.0 Gateway: 192.168.110.1
usw.

Grüße

Gansa28
Bitte warten ..
Mitglied: aqui
18.06.2019, aktualisiert um 17:36 Uhr
Eigentlich werden doch wirklich alle Fragen dazu im hiesigen VLAN Tutorial umfassend beantwortet !!
Guckst du:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...

da ja PING auf Layer 2 arbeitet.
Ist natürlich Quatsch und solchen Unsinn solltest du besser in einem Administrator Forum NICHT auch noch verbreiten !
Ping basiert auf dem ICMP Protokoll (ICMP Typ 8) und das ist ja nun sowas von Layer 3...!!
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Logisch, denn da sind IP Adressen im Spiel und IP bedeutet (meistens) gleich immer Layer 3 !
Ich vermute dass es noch ein Problem mit Layer3 gibt
Nein ! Wie immer gibt es ein Problem bei dir mit falschen oder fehlenden Firewall Regeln !!
Dazu wie immer die 2 Grundregeln:
  • FW Regeln immer nur inbound also vom Kabel in den Firewall Port
  • "First Match wins !" beim ersten Match eines Regelwerkes werden die restlichen regeln NICHT mehr abgearbeitet !

Hilfreich für eine zielführende Antwort wäre hier gewesen dein Regelwerk mal zu posten damit wir checken können wo du den Fehler gemacht hast !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
VLAN Routing - L3 oder Firewall?
gelöst Frage von patayaLAN, WAN, Wireless17 Kommentare

Moin, nach ner Menge Lesestoff zum Thema bin ich nicht wirklich fündig zu meinem Vorhaben gekommen: Mein Netzwerk soll ...

Router & Routing
Routing VLAN mit Sophos UTM Firewall
gelöst Frage von oceRouter & Routing8 Kommentare

Hallo zusammen, ich habe eine Frage zum Thema VLAN und Routing. Wir werden unser Netz nun Segmentieren in 2 ...

Router & Routing
VLAN Routing Design
Frage von tvprog1Router & Routing6 Kommentare

Hallo, wird zwischen VLANs in großen Netzwerk Setups üblicherweise über den Core Switch geroutet, oder über eine seperate Firewall ...

Router & Routing
VLAN Routing Pfsense
gelöst Frage von jescheroRouter & Routing16 Kommentare

Hallo alle zusammen, Erstmal meine Netzwerke sind: Vlan 60 = 172.26.131.0/24 Vlan 70 = 172.27.131.0/24 Vlan 80 = 172.28.131.0/24 ...

Neue Wissensbeiträge
Internet

Aktuelle Netzauslastung in Deutschland durch die Covid-19-Pandemie

Information von Frank vor 14 StundenInternet6 Kommentare

Viele Bürger fragen sich, ob die Telekommunikationsnetze während der Covid-19-Pandemie der verstärkten Internetnutzung durch Home Office, eLearning, Videostreaming und ...

iOS

iOS-Bug unterbindet vollständiges VPN-Tunneling

Information von transocean vor 2 TageniOS

Moin, seit dem letzten Update hat iOS für iPhone und iPad ein Problem mit der Verschlüsselung. Lest selbst. Grüße ...

Sicherheit
Corona Malware über manipulierte Router
Information von sabines vor 2 TagenSicherheit

Heise berichtet über Malware, die in Zusammenhang zum Suchethema Corona steht und über DNS Einstellungen bei D-Link und Linksys ...

Windows 10
Windows 10 Update KB4535996 fehlerhaft
Information von Frank vor 3 TagenWindows 101 Kommentar

Laut Microsoft ist das Update KB4535996 die Ursache für aktuelle Verbindungsprobleme bei Virtual Private Networks (VPNs). Microsoft arbeitet bereits ...

Heiß diskutierte Inhalte
KVM
Best Practice für Fileserver auf Proxmox Cluster
gelöst Frage von maichelmannKVM17 Kommentare

Hallo, derzeit laufen in einer Firma, dessen Netzwerk ich betreue, zwei Windows Server Hyper-V Hosts, jeweils mit einem recht ...

Windows Server
DNS Problem Server 2019 unter Win10 Host
Frage von Ketme10Windows Server16 Kommentare

Guten Tag zusammen. Ich bräuchte mal Hilfe. Ich habe Win 10 und Hyper V laufen. Hier habe ich 4 ...

Firewall
PfSense und VLANs mit LAGG
Frage von unique24Firewall13 Kommentare

Hallo, ich habe ein Mikrotik Switch Netzwerk welches über 2 LWL an die pfSense angeschlossen ist pfSense: ixl2 = ...

TK-Netze & Geräte
Netphone APP nimmt kein Kontakt auf
Frage von Finchen961988TK-Netze & Geräte12 Kommentare

Hallo, ich kämfpe mit einem Problem im Bereich Netphone und der Mobil APP. Bei einem Kunden habe ich eine ...