2
VLAN - Frage zu VLAN Routing über Firewall
Hallo,
ich habe folgende Anforderung und in einem Testbetrieb auch schon mal mit der Umsetzung begonnen:
Einrichtung mehrerer VLANs auf HP-Switchen (HP E2910al....ja bitte keine Meinungen über die Switche, ich habe hier leider keine anderen derzeit).
VLAN 100 (Netz Firma A)
VLAN 110 (Netz Firma B)
VLAN 120 (Gemeinsame Server)
VLAN 200 (Transfer-Netz zur Firewall)
Die VLANs sollen teilweise übergreifend kommunizieren können, d.h. man muss sowohl von VLAN 100 auf VLAN 120 als auch von VLAN 110 auf VLAN 120 zugreifen können, z.B. via RDP oder anderen Ports.
Das Routing habe ich vor nicht über die L3-Switche zu steuern ,daher habe ich den VLANs in den Switchen KEINE IP-Adresse zugewiesen sondern lediglich einen Default-Gateway hinterlegt. Das Gateway ist die IP meines Transfer-VLANs (VLAN 200).
Ich möchte das Routing gerne über die Firewall/Router lösen, da ich über die Firewall einfacher steuern kann welche Geräte/Netze auf welche anderen Geräte/Netze zugreifen dürfen. Über ACL-Lists und L3-Routing im Switch ist das ja nicht besonders komfortabel.
Ich habe alle 4 VLANs auf meiner Firewall, einer R&S GPU200 (ehemals Gateprotect) eingerichtet.
Nun habe ich in der Firewall eine Verbindung zwischen dem Netz des VLAN 100 und dem Nezt des VLAN 120 angelegt und testweise mal alle Ports zugelassen.
Ein Ping aus VLAN 100 in VLAN 120 funktioniert auch, allerdings kann ich nicht auf einen Zielserver über andere Ports, z.B. RDP, SSH etc. zugreifen. Der Zugriff wird abgelehnt. Ich vermute dass es noch ein Problem mit Layer3 gibt, da ja PING auf Layer 2 arbeitet. Ich weiß aber leider nicht wo ich da noch genau ansetzen kann.
Hat jemand eine Idee oder hilfreiche Tipps?
Vielen Dank im Voraus.
ich habe folgende Anforderung und in einem Testbetrieb auch schon mal mit der Umsetzung begonnen:
Einrichtung mehrerer VLANs auf HP-Switchen (HP E2910al....ja bitte keine Meinungen über die Switche, ich habe hier leider keine anderen derzeit).
VLAN 100 (Netz Firma A)
VLAN 110 (Netz Firma B)
VLAN 120 (Gemeinsame Server)
VLAN 200 (Transfer-Netz zur Firewall)
Die VLANs sollen teilweise übergreifend kommunizieren können, d.h. man muss sowohl von VLAN 100 auf VLAN 120 als auch von VLAN 110 auf VLAN 120 zugreifen können, z.B. via RDP oder anderen Ports.
Das Routing habe ich vor nicht über die L3-Switche zu steuern ,daher habe ich den VLANs in den Switchen KEINE IP-Adresse zugewiesen sondern lediglich einen Default-Gateway hinterlegt. Das Gateway ist die IP meines Transfer-VLANs (VLAN 200).
Ich möchte das Routing gerne über die Firewall/Router lösen, da ich über die Firewall einfacher steuern kann welche Geräte/Netze auf welche anderen Geräte/Netze zugreifen dürfen. Über ACL-Lists und L3-Routing im Switch ist das ja nicht besonders komfortabel.
Ich habe alle 4 VLANs auf meiner Firewall, einer R&S GPU200 (ehemals Gateprotect) eingerichtet.
Nun habe ich in der Firewall eine Verbindung zwischen dem Netz des VLAN 100 und dem Nezt des VLAN 120 angelegt und testweise mal alle Ports zugelassen.
Ein Ping aus VLAN 100 in VLAN 120 funktioniert auch, allerdings kann ich nicht auf einen Zielserver über andere Ports, z.B. RDP, SSH etc. zugreifen. Der Zugriff wird abgelehnt. Ich vermute dass es noch ein Problem mit Layer3 gibt, da ja PING auf Layer 2 arbeitet. Ich weiß aber leider nicht wo ich da noch genau ansetzen kann.
Hat jemand eine Idee oder hilfreiche Tipps?
Vielen Dank im Voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 463395
Url: https://administrator.de/contentid/463395
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
2 Kommentare
Neuester Kommentar
Hi,
stand mal vor Ähnlichen Problemen.
Da du wie ich glaube gelesen habe den Switch nicht Routen Lassen willst, muss das ja jemand anderes tun. Die Firewall z.B.
Du musst alle 4 VLANs auf der Firewall anlegen, und mit IPs versorgen die dann deine GW sind. Allerdings geht dann der gesamte Traffic über die Firewall!
Auf der Firewall musst du folgendes Anlegen :
VLAN 100 (Netz Firma A) IP Adressen 192.168.100.0/24 GW 192.168.100.1/24
VLAN 110 (Netz Firma B) IP Adressen 192.168.110.0/24 GW 192.168.110.1/24
VLAN 120 (Gemeinsame Server) IP Adressen 192.168.120.0/24 GW 192.168.120.1/24
Auf dem Switch musst du folgendes Anlegen:
VLAN 100
VLAN 110
VLAN 120
einen Trunk mit allen 3 VLANs zur Firewall,
VLAN 200 brauchst du dann nicht weil alle VLANs übner die FW geroutet werden.
Besser ist das den Switch der ja Layer 3 kann das Routing zu übernehmen.
Du musst folgendes auf dem Switch Anlegen
VLAN 100 (Netz Firma A) IP Adressen 192.168.100.0/24 GW 192.168.100.1/24
VLAN 110 (Netz Firma B) IP Adressen 192.168.110.0/24 GW 192.168.110.1/24
VLAN 120 (Gemeinsame Server) IP Adressen 192.168.120.0/24 GW 192.168.120.1/24
default route auf 192.168.200.1/24
Auf der Firewall
VLAN 200 (Transfer-Netz zur Firewall) IP Adressen 192.168.200.0/24 GW 192.168.200.1/24
Dann die Firewall rules für die Verschiedenen Netze. sowie
die Rückrouten für die Verschiedenen Netzte auf den Switchen:
Zielnetz: 192.168.100.0 Maske: 255.255.255.0 Gateway: 192.168.100.1
Zielnetz: 192.168.110.0 Maske: 255.255.255.0 Gateway: 192.168.110.1
usw.
Grüße
Gansa28
stand mal vor Ähnlichen Problemen.
Da du wie ich glaube gelesen habe den Switch nicht Routen Lassen willst, muss das ja jemand anderes tun. Die Firewall z.B.
Du musst alle 4 VLANs auf der Firewall anlegen, und mit IPs versorgen die dann deine GW sind. Allerdings geht dann der gesamte Traffic über die Firewall!
Auf der Firewall musst du folgendes Anlegen :
VLAN 100 (Netz Firma A) IP Adressen 192.168.100.0/24 GW 192.168.100.1/24
VLAN 110 (Netz Firma B) IP Adressen 192.168.110.0/24 GW 192.168.110.1/24
VLAN 120 (Gemeinsame Server) IP Adressen 192.168.120.0/24 GW 192.168.120.1/24
Auf dem Switch musst du folgendes Anlegen:
VLAN 100
VLAN 110
VLAN 120
einen Trunk mit allen 3 VLANs zur Firewall,
VLAN 200 brauchst du dann nicht weil alle VLANs übner die FW geroutet werden.
Besser ist das den Switch der ja Layer 3 kann das Routing zu übernehmen.
Du musst folgendes auf dem Switch Anlegen
VLAN 100 (Netz Firma A) IP Adressen 192.168.100.0/24 GW 192.168.100.1/24
VLAN 110 (Netz Firma B) IP Adressen 192.168.110.0/24 GW 192.168.110.1/24
VLAN 120 (Gemeinsame Server) IP Adressen 192.168.120.0/24 GW 192.168.120.1/24
default route auf 192.168.200.1/24
Auf der Firewall
VLAN 200 (Transfer-Netz zur Firewall) IP Adressen 192.168.200.0/24 GW 192.168.200.1/24
Dann die Firewall rules für die Verschiedenen Netze. sowie
die Rückrouten für die Verschiedenen Netzte auf den Switchen:
Zielnetz: 192.168.100.0 Maske: 255.255.255.0 Gateway: 192.168.100.1
Zielnetz: 192.168.110.0 Maske: 255.255.255.0 Gateway: 192.168.110.1
usw.
Grüße
Gansa28
Eigentlich werden doch wirklich alle Fragen dazu im hiesigen VLAN Tutorial umfassend beantwortet !!
Guckst du:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ping basiert auf dem ICMP Protokoll (ICMP Typ 8) und das ist ja nun sowas von Layer 3...!!
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Logisch, denn da sind IP Adressen im Spiel und IP bedeutet (meistens) gleich immer Layer 3 !
Dazu wie immer die 2 Grundregeln:
Hilfreich für eine zielführende Antwort wäre hier gewesen dein Regelwerk mal zu posten damit wir checken können wo du den Fehler gemacht hast !
Guckst du:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
da ja PING auf Layer 2 arbeitet.
Ist natürlich Quatsch und solchen Unsinn solltest du besser in einem Administrator Forum NICHT auch noch verbreiten !Ping basiert auf dem ICMP Protokoll (ICMP Typ 8) und das ist ja nun sowas von Layer 3...!!
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Logisch, denn da sind IP Adressen im Spiel und IP bedeutet (meistens) gleich immer Layer 3 !
Ich vermute dass es noch ein Problem mit Layer3 gibt
Nein ! Wie immer gibt es ein Problem bei dir mit falschen oder fehlenden Firewall Regeln !!Dazu wie immer die 2 Grundregeln:
- FW Regeln immer nur inbound also vom Kabel in den Firewall Port
- "First Match wins !" beim ersten Match eines Regelwerkes werden die restlichen regeln NICHT mehr abgearbeitet !
Hilfreich für eine zielführende Antwort wäre hier gewesen dein Regelwerk mal zu posten damit wir checken können wo du den Fehler gemacht hast !
