Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN - Frage zu VLAN Routing über Firewall

Mitglied: TK871982

TK871982 (Level 1) - Jetzt verbinden

18.06.2019 um 15:54 Uhr, 306 Aufrufe, 2 Kommentare

Hallo,

ich habe folgende Anforderung und in einem Testbetrieb auch schon mal mit der Umsetzung begonnen:

Einrichtung mehrerer VLANs auf HP-Switchen (HP E2910al....ja bitte keine Meinungen über die Switche, ich habe hier leider keine anderen derzeit).

VLAN 100 (Netz Firma A)
VLAN 110 (Netz Firma B)
VLAN 120 (Gemeinsame Server)
VLAN 200 (Transfer-Netz zur Firewall)

Die VLANs sollen teilweise übergreifend kommunizieren können, d.h. man muss sowohl von VLAN 100 auf VLAN 120 als auch von VLAN 110 auf VLAN 120 zugreifen können, z.B. via RDP oder anderen Ports.

Das Routing habe ich vor nicht über die L3-Switche zu steuern ,daher habe ich den VLANs in den Switchen KEINE IP-Adresse zugewiesen sondern lediglich einen Default-Gateway hinterlegt. Das Gateway ist die IP meines Transfer-VLANs (VLAN 200).

Ich möchte das Routing gerne über die Firewall/Router lösen, da ich über die Firewall einfacher steuern kann welche Geräte/Netze auf welche anderen Geräte/Netze zugreifen dürfen. Über ACL-Lists und L3-Routing im Switch ist das ja nicht besonders komfortabel.

Ich habe alle 4 VLANs auf meiner Firewall, einer R&S GPU200 (ehemals Gateprotect) eingerichtet.

Nun habe ich in der Firewall eine Verbindung zwischen dem Netz des VLAN 100 und dem Nezt des VLAN 120 angelegt und testweise mal alle Ports zugelassen.
Ein Ping aus VLAN 100 in VLAN 120 funktioniert auch, allerdings kann ich nicht auf einen Zielserver über andere Ports, z.B. RDP, SSH etc. zugreifen. Der Zugriff wird abgelehnt. Ich vermute dass es noch ein Problem mit Layer3 gibt, da ja PING auf Layer 2 arbeitet. Ich weiß aber leider nicht wo ich da noch genau ansetzen kann.
Hat jemand eine Idee oder hilfreiche Tipps?

Vielen Dank im Voraus.
Mitglied: gansa28
18.06.2019, aktualisiert um 16:57 Uhr
Hi,

stand mal vor Ähnlichen Problemen.

Da du wie ich glaube gelesen habe den Switch nicht Routen Lassen willst, muss das ja jemand anderes tun. Die Firewall z.B.

Du musst alle 4 VLANs auf der Firewall anlegen, und mit IPs versorgen die dann deine GW sind. Allerdings geht dann der gesamte Traffic über die Firewall!

Auf der Firewall musst du folgendes Anlegen :

VLAN 100 (Netz Firma A) IP Adressen 192.168.100.0/24 GW 192.168.100.1/24
VLAN 110 (Netz Firma B) IP Adressen 192.168.110.0/24 GW 192.168.110.1/24
VLAN 120 (Gemeinsame Server) IP Adressen 192.168.120.0/24 GW 192.168.120.1/24

Auf dem Switch musst du folgendes Anlegen:

VLAN 100
VLAN 110
VLAN 120

einen Trunk mit allen 3 VLANs zur Firewall,

VLAN 200 brauchst du dann nicht weil alle VLANs übner die FW geroutet werden.


Besser ist das den Switch der ja Layer 3 kann das Routing zu übernehmen.

Du musst folgendes auf dem Switch Anlegen

VLAN 100 (Netz Firma A) IP Adressen 192.168.100.0/24 GW 192.168.100.1/24
VLAN 110 (Netz Firma B) IP Adressen 192.168.110.0/24 GW 192.168.110.1/24
VLAN 120 (Gemeinsame Server) IP Adressen 192.168.120.0/24 GW 192.168.120.1/24
default route auf 192.168.200.1/24

Auf der Firewall
VLAN 200 (Transfer-Netz zur Firewall) IP Adressen 192.168.200.0/24 GW 192.168.200.1/24
Dann die Firewall rules für die Verschiedenen Netze. sowie
die Rückrouten für die Verschiedenen Netzte auf den Switchen:

Zielnetz: 192.168.100.0 Maske: 255.255.255.0 Gateway: 192.168.100.1
Zielnetz: 192.168.110.0 Maske: 255.255.255.0 Gateway: 192.168.110.1
usw.

Grüße

Gansa28
Bitte warten ..
Mitglied: aqui
18.06.2019, aktualisiert um 17:36 Uhr
Eigentlich werden doch wirklich alle Fragen dazu im hiesigen VLAN Tutorial umfassend beantwortet !!
Guckst du:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...

da ja PING auf Layer 2 arbeitet.
Ist natürlich Quatsch und solchen Unsinn solltest du besser in einem Administrator Forum NICHT auch noch verbreiten !
Ping basiert auf dem ICMP Protokoll (ICMP Typ 8) und das ist ja nun sowas von Layer 3...!!
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Logisch, denn da sind IP Adressen im Spiel und IP bedeutet (meistens) gleich immer Layer 3 !
Ich vermute dass es noch ein Problem mit Layer3 gibt
Nein ! Wie immer gibt es ein Problem bei dir mit falschen oder fehlenden Firewall Regeln !!
Dazu wie immer die 2 Grundregeln:
  • FW Regeln immer nur inbound also vom Kabel in den Firewall Port
  • "First Match wins !" beim ersten Match eines Regelwerkes werden die restlichen regeln NICHT mehr abgearbeitet !

Hilfreich für eine zielführende Antwort wäre hier gewesen dein Regelwerk mal zu posten damit wir checken können wo du den Fehler gemacht hast !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
VLAN Routing - L3 oder Firewall?
gelöst Frage von patayaLAN, WAN, Wireless17 Kommentare

Moin, nach ner Menge Lesestoff zum Thema bin ich nicht wirklich fündig zu meinem Vorhaben gekommen: Mein Netzwerk soll ...

Router & Routing
Routing VLAN mit Sophos UTM Firewall
gelöst Frage von oceRouter & Routing8 Kommentare

Hallo zusammen, ich habe eine Frage zum Thema VLAN und Routing. Wir werden unser Netz nun Segmentieren in 2 ...

Router & Routing
VLAN Routing Design
Frage von tvprog1Router & Routing6 Kommentare

Hallo, wird zwischen VLANs in großen Netzwerk Setups üblicherweise über den Core Switch geroutet, oder über eine seperate Firewall ...

Router & Routing
VLAN Routing Pfsense
gelöst Frage von jescheroRouter & Routing16 Kommentare

Hallo alle zusammen, Erstmal meine Netzwerke sind: Vlan 60 = 172.26.131.0/24 Vlan 70 = 172.27.131.0/24 Vlan 80 = 172.28.131.0/24 ...

Neue Wissensbeiträge
Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 18 StundenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Batch & Shell
PowerShell Konferenz - Videos online
Information von NetzwerkDude vor 1 TagBatch & Shell

Abend, die Tage werden Videos der Talks von der diesjährigen EU Powershell Konferenz hochgeladen, sind einige Interessante dabei: MFG ...

Windows Update

Windows 10 1903 Updates über Wsus erst nach Auswahl weiterer Produktkategorie

Information von Spirit-of-Eli vor 2 TagenWindows Update6 Kommentare

Moin, den Tipp habe ich hier noch nicht gesehen. Er adressiert all diejenigen, die Windows 10 1903 über einen ...

Heiß diskutierte Inhalte
Erkennung und -Abwehr
Unerklärlicher Gestank im EDV-Raum - "neues" Gebäude und keine offenkundige Ursache feststellbar!
Frage von VGem-eErkennung und -Abwehr28 Kommentare

Moin Kollegen, ich habe seit heute Morgen das Problem, dass in unserem EDV-Raum ein total unerklärbarer Gestank herrscht! Ich ...

LAN, WAN, Wireless
Warum ist die Datenübertragung per WLAN zu bestimmten Servern sehr langsam?
Frage von PluwimLAN, WAN, Wireless17 Kommentare

Hallo Netzwerker, beim Einrichten des Notebooks für einen Bekannten fiel mir auf, dass Downloads per WLAN teilweise extrem lahm ...

Router & Routing
Microsoft Server: Kopierlast auf bestimmte NIC legen für Backup
gelöst Frage von LollipopRouter & Routing15 Kommentare

Guten Tag Mit zwei Servern machen wir eine einfache Datenspiegelung als Teil unseres Backup-Systems. Dazu wünsche ich mir einen ...

Verschlüsselung & Zertifikate
Bitlocker oder Veracrypt unter Win10? Was ist hinsichtlich Performance, Sicherheit, Backup und Kompatibilität besser?
Frage von PluwimVerschlüsselung & Zertifikate15 Kommentare

Guten Morgen, bei mir wird demnächst eine neue Platte fällig, weil ich mein Win7-System auf Win10 umstellen will. D.h. ...