Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VLAN routing - mit oder ohne NAT?

Mitglied: Alex29

Alex29 (Level 1) - Jetzt verbinden

09.04.2017 um 14:39 Uhr, 1380 Aufrufe, 6 Kommentare

Hallo in die Runde,

ich habe eine Frage an die Netzwerkprofis.
Ich habe hier ein kleines Netzwerk mit vier VLAN's. Grundsätzlich funktioniert alles wie gewünscht. Um das routing zwischen den vier VLAN's kümmert sich ein Mikrotik Router (RB1100AHx2). Dazu habe ich dem Router vier IP's (in jedem VLAN eine) gegeben und die Firewallregeln definiert.

Sollte man zusätzlich für jedes VLAN noch eine NAT-Regel im Router konfigurieren - hat das Vor- oder Nachteile? Wie ist es aus Netzwerksicht korrekt??

Vielen Dank im Voraus und
viele Grüße
Mitglied: maretz
LÖSUNG 09.04.2017 um 16:40 Uhr
warum willst du da nen nat machen? Wenn das deine internen IPs sind gibt es dafür gar keinen Grund
Bitte warten ..
Mitglied: Alex29
09.04.2017 um 18:06 Uhr
Ich bin folgendermaßen drauf gekommen:
Ich will später mal VRRP testen. Dazu habe ich einen zweiten Router zwischen die vier VLAN's gehangen. Hier wollte ich nun die Firewallregeln definieren. Parallel habe ich einem Client manuell als Gateway (nur) den zweiten Router mitgeteilt. Damit wollte ich testen, ob die Regeln richtig sind, habe aber nie eine Antwort von irgend etwas bekommen. Nach einigem Rätseln ist mir eingefallen, dass es nicht funktionieren kann, da alle anderen Teilnehmer ihre Antwort an das erste Gateway schicken. Mit NAT funktionierte es!! Nun habe ich mich gefragt, ob man intern auch NAT machen sollte.
Bitte warten ..
Mitglied: aqui
LÖSUNG 09.04.2017, aktualisiert um 18:34 Uhr
Kollege Maretz hat Recht. Welchen tieferen Sinn sollte NAT in einem lokalen LAN machen. Das ist Blödsinn wenn man es nicht unbedingt machen muss durch z.B. falsche (doppelte) Adressvergabe usw.
Vergiss das also schnell wieder.
Ich will später mal VRRP testen.
Sehr löblich...Router Redundanz.
Dazu habe ich einen zweiten Router zwischen die vier VLAN's gehangen
So macht man das auch.
Hier wollte ich nun die Firewallregeln definieren
Kannst du ja einfach vom ersten Router Cut and Pasten. Die Regeln sollten ja vollkommen identisch sein !
Parallel habe ich einem Client manuell als Gateway (nur) den zweiten Router mitgeteilt
Pfiffige und auch richtige Idee das zu testen !
habe aber nie eine Antwort von irgend etwas bekommen.
Ist auch kein Wunder, denn du musst dem Ziel mit dem du testen willst im anderen VLAN logischerweise AUCH diesen 2ten Router als Gateway mitgeben. Ansonsten hast du asymetrisches Routing und das mögen nicht so viele Endgeräte.
Also Hin Paket geht über Router 2 und das Rückpaket kommt über Router 1. Generell geht das ist aber nicht so sauber.
Wenn also deine Regeln stimmen würden hätte es auch mit asymetrischem Routuíng klappen müssen.
Stell dir doch ganz einfach immer den IP Paket Fluss mit Sender und Zieladresse vor in deinem Netz dann ist das doch alles klar und durchschaubar.
da alle anderen Teilnehmer ihre Antwort an das erste Gateway schicken.
Bingo ! Siehe oben...! Asymetrie, sollte aber wie gesagt trotzdem klappen.
Mit NAT funktionierte es!!
Ist aber völliger Schwachsinn. (Sorry !) NAT bedeutet ja gleichzeitig auch das du dir eine Routing Einbahnstrasse gebaut hast. Rückwärts, also mit dem NAT Router als inbound Gateway kannst du ja logischerweise niemals mehr transparent zwischen 2 Netzen routen. Da die Pakete an der NAT Firewall geblockt werden. Dann hast du eine routingtechnische Einbahnstrasse.
NAT ist also völliger Blödsinn in einem lokalen gerouteten Netz. Das es damit geht zeigt eigentlich eher das bei dir ganz grundsätzlich was falsch läuft.

Fazit: Deine Firewall Regeln sind vermutlich völlig falsch auf dem 2ten Router !

Mach es doch ganz einfach:
Klone doch einfach den 2ten Router vom ersten inklusive der Regeln, denn die müssen absolut identisch sein auf den beiden Systemen bei VRRP.
Dann tauschst du mal die Router oder schaltest Router 1 einfach mal aus. Jetzt muss Router 2 vollkommen identisch funktionieren. Dann hast du Gewissheit das deine Regeln stimmen und alles OK ist.
Dann änderst du auf dem 2ten System ganz einfach nur die Interface IPs und gut iss. Dann wird bzw. muss auch dein Routing über Router 2 sauber funktionieren wenn du die Gateway IPs zum Testen änderst bei den zwei Endgeräten.
Immer strategisch vorgehen

Zur Sicherheit immer das VLAN Tutorial nochmal genau lesen:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Bitte warten ..
Mitglied: Alex29
09.04.2017 um 19:14 Uhr
Vielen Dank für Deine Zeit und die umfassende Antwort!

da alle anderen Teilnehmer ihre Antwort an das erste Gateway schicken.
Bingo ! Siehe oben...! Asymetrie, sollte aber wie gesagt trotzdem klappen.

Da ich auf dem ersten Router nur einzelne IP's in das VLAN mit dem Testclient freigegeben habe, funktionierte der Rückweg nicht. Aber bis gestern war mir auch noch nicht klar, dass der Rückweg über das erste Gateway laufen könnte.

Mit NAT funktionierte es!!
Ist aber völliger Schwachsinn. (Sorry !) NAT bedeutet ja gleichzeitig auch das du dir eine Routing Einbahnstrasse gebaut hast. Rückwärts, also mit dem NAT Router als inbound Gateway kannst du ja logischerweise niemals mehr transparent zwischen 2 Netzen routen. Da die Pakete an der NAT Firewall geblockt werden. Dann hast du eine routingtechnische Einbahnstrasse.

Das NAT hatte ich auch nur auf dem zweiten Router definiert. Ich dachte, dass durch das NAT die Sender-IP am zweiten Router durch die Adresse des zweiten Routers ersetzt wird, so dass der Rückweg funktioniert. Es funktioniert ja auch. Nun war ich unschlüssig (ich habe ihn selbst konfiguriert), ob es am ersten Router korrekt ist das VLAN routing ohne NAT zu machen - Deiner Antwort entnehme ich - ohne NAT ist richtig!!

Vielen Dank
Bitte warten ..
Mitglied: aqui
LÖSUNG 09.04.2017 um 21:32 Uhr
VLAN mit dem Testclient freigegeben habe, funktionierte der Rückweg nicht.
Wie vermutet: Inkonsistente Access Listen. Da war es dann klar und erwartbar das nix klappt. Immer VORHER überlegen was du machst....
Ich dachte, dass durch das NAT die Sender-IP am zweiten Router durch die Adresse des zweiten Routers ersetzt wird, so dass der Rückweg funktioniert.
Ja, das passiert auch ! Deshalb funktioniert es weil der Testclient es wieder an die Router IP zurücksendet und "denkt" es ist in seinem eigenen Netz.
Aber wenn du nun von diesem Client die Session aufbaust bleibt es an der NAT Firewall des Routers kleben, denn du kommst logischerweise nicht mehr über NAT beim Sessionaufbau.
Vergiss also diesen NAT Unsinn, das ist Blödsinn in deinem Umfeld.
Deiner Antwort entnehme ich - ohne NAT ist richtig!!
Genau so ist es !!!
Mache die ACLs identisch dann klappt das auch sofort.
Bitte warten ..
Mitglied: Alex29
09.04.2017 um 21:38 Uhr
Vielen Dank - alles verstanden - schönes Restwochenende!!
Bitte warten ..
Ähnliche Inhalte
MikroTik RouterOS
Routing ohne doppeltes NAT
gelöst Frage von fredfredMikroTik RouterOS47 Kommentare

Hallo, bin nun schon ne Weile am rumprobieren. (hab hier auch zahlreiche hervorragende Tutorials durchgespielt, bisher leider ohne Erfolg) ...

Router & Routing
VLAN Routing Design
Frage von tvprog1Router & Routing6 Kommentare

Hallo, wird zwischen VLANs in großen Netzwerk Setups üblicherweise über den Core Switch geroutet, oder über eine seperate Firewall ...

Router & Routing
VLAN Routing Pfsense
gelöst Frage von jescheroRouter & Routing16 Kommentare

Hallo alle zusammen, Erstmal meine Netzwerke sind: Vlan 60 = 172.26.131.0/24 Vlan 70 = 172.27.131.0/24 Vlan 80 = 172.28.131.0/24 ...

Router & Routing
HP VLAN routing
gelöst Frage von homermgRouter & Routing5 Kommentare

Hey Leute, ich versuche gerade ein TestVLAN einszurichten auf einem HP Switch. Mein Standard VLAN auf dem gleichen Switch ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 23 StundenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 1 TagSicherheit1 Kommentar

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 1 TagInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 2 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Glasfaserkabel verlegen und Anschlüsse setzen
Frage von LLL0rdLAN, WAN, Wireless21 Kommentare

Hallo Leute, ich muss demnächst ein Netzwerkkabel auf einer Länge von ca. 70 Metern verlegen. Das Netzwerkkabel soll dabei ...

Windows Server
Mac Rechner im Windows Netzwerk - was jetzt?
gelöst Frage von Kopfg3ldWindows Server18 Kommentare

Hallo zusammen, ich habe folgende Herausforderungen. Aber erst mal was kurz zum Netzwerk - Windows Server (ältester ist ein ...

Microsoft Office
Sharepoint 2016 mag keine Umlaute in .docx-Titeln
gelöst Frage von DerWoWussteMicrosoft Office14 Kommentare

Moin Kollegen. Nutzt hier jemand Sharepoint? Könnt Ihr, unabhängig von der Sharepointversion, bitte einen Test machen? Ladet ein .docx ...

Basic
VBS soll alle Ordner auswählen, die im Startmenu angezeigt werden
Frage von Senseless-CreatureBasic12 Kommentare

Guten Morgen - gibt es eine Möglichkeit, per VBS das Startmenu in Win10 zu modifizieren? Ich beherrsche VBS mittlerweile ...