Hallo,
Wir haben bei uns in der Firma einen physischen Server (wir haben sonst eigentlich alles in der Cloud) in unser Netzwerk aufgenommen um kleinere, selbstgeschriebene Webapps für interne Sachen zu hosten.
Unser Netzwerk ist in mehrere VLANs segementiert, bisher ist der Server nur von Geräten im VLAN "Q100" erreichbar, er soll aber auch für Geräte im "Q44" erreichbar sein.
Der Server selbst bekommt via DHCP eine IP aus dem Bereich des Q100 (192.20.100.230, leicht abgeändert). Die Schnittstelle am Switch ist wie folgt konfiguriert:
Unser Router ist ein 1793VA, Firewall-Regeln sind keine großartig konfiguriert wie ich das sehe. Ich schätze mal ich muss Regeln erstellen, welche den Traffic der Tags entsprechend weiterleiten? Oder brauche ich einfach nur eine zusätzliche Route für den Server ins Q44? Wäre toll wenn ihr mich ein bisschen in die richtige Richtung lenken könntet.
Inter VLAN Routing - 1 Server von 2 verschiedenen VLANs
Moderator: Lancom-Systems Moderatoren
Inter VLAN Routing - 1 Server von 2 verschiedenen VLANs
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Inter VLAN Routing - 1 Server von 2 verschiedenen VLANs
Moin,
hier wäre nun sinnvoll zu wissen, wie Du den 1793VA konfiguriert hast. Sind dort unter IPv4-Netzwerke beide Lans eingerichtet? Falls ja, welche Schnittstellen-Tags hast Du dort für die Netzwerke vergeben? Der Server hat als Gateway den Lancom im VLAN100 eingetragen? Die Software-Firewall im Server erlaubt den Zugriff aus Fremdnetzen?
Wenn Du am Lancom beide Netze eingerichtet hast und beide Netze das selbe Schnittstellen-Tag haben und auch vom Netzwerktyp "Intranet" sind, dann brauchst Du am Lancom nichts weiter machen. Ein Router kennt seine angeschlossenen Netze und braucht daher keine weiteren manuellen Routen.
Dir Firewall musst Du auch nur bearbeiten, wenn Du dort irgendwo ein "Denn all" implementiert hast. Sonst blockt die da auch nichts.
Grüße,
Torsten
hier wäre nun sinnvoll zu wissen, wie Du den 1793VA konfiguriert hast. Sind dort unter IPv4-Netzwerke beide Lans eingerichtet? Falls ja, welche Schnittstellen-Tags hast Du dort für die Netzwerke vergeben? Der Server hat als Gateway den Lancom im VLAN100 eingetragen? Die Software-Firewall im Server erlaubt den Zugriff aus Fremdnetzen?
Wenn Du am Lancom beide Netze eingerichtet hast und beide Netze das selbe Schnittstellen-Tag haben und auch vom Netzwerktyp "Intranet" sind, dann brauchst Du am Lancom nichts weiter machen. Ein Router kennt seine angeschlossenen Netze und braucht daher keine weiteren manuellen Routen.
Dir Firewall musst Du auch nur bearbeiten, wenn Du dort irgendwo ein "Denn all" implementiert hast. Sonst blockt die da auch nichts.
Grüße,
Torsten
Re: Inter VLAN Routing - 1 Server von 2 verschiedenen VLANs
Gateway vom Server ist die Adresse vom Router im Q100, Software firewall ist keine installiert iirc (ist nen standard ubuntu)Der Server hat als Gateway den Lancom im VLAN100 eingetragen? Die Software-Firewall im Server erlaubt den Zugriff aus Fremdnetzen?
Ich denke mal das hier ist mein Fehler, oder? Weil meine Tags nicht gleich sind. Gibts Probleme wenn ich den Tag ändere?Wenn Du am Lancom beide Netze eingerichtet hast und beide Netze das selbe Schnittstellen-Tag haben und auch vom Netzwerktyp "Intranet" sind, dann brauchst Du am Lancom nichts weiter machen.
Schonmal danke für deine Zeit^^
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Inter VLAN Routing - 1 Server von 2 verschiedenen VLANs
Moin,
genau, die Schnittstellen-Tags sind hier Dein "Problem". Am Ende ist ja die Frage, was Du erreichen möchtest. Sollen VLAN44 und VLAN100 generell nicht miteinander kommunizieren können und aus dem VLAN44 nur der Server im VLAN100 erreicht werden können? Oder sollen die beiden Netze generell auch miteinander reden dürfen?
Beim letzteren musst Du einfach beiden Netzen dasselbe Schnittstellen-Tag geben. Wenn Du das anpasst, dann könnte es zu Problemen führen, wenn Du das Tag auch wo anders, z.B. in der Routing-Tabelle referenzierst.
Sollte das der Fall sein oder oben Fall 1 zutreffen, musst Du mit Hilfe von Firewall-Regeln den Traffic zwischen den Netzen umtaggen. Da sagst Du mittels Regel z.B. wenn Quelle das Netz VLAN44 und Ziel das Netz VLAN100 oder nur die IP des Servers aus VLAN100 ist, dann setze für diesen Traffic das Routing-Tag auf 100.
Viele Grüße,
Torsten
genau, die Schnittstellen-Tags sind hier Dein "Problem". Am Ende ist ja die Frage, was Du erreichen möchtest. Sollen VLAN44 und VLAN100 generell nicht miteinander kommunizieren können und aus dem VLAN44 nur der Server im VLAN100 erreicht werden können? Oder sollen die beiden Netze generell auch miteinander reden dürfen?
Beim letzteren musst Du einfach beiden Netzen dasselbe Schnittstellen-Tag geben. Wenn Du das anpasst, dann könnte es zu Problemen führen, wenn Du das Tag auch wo anders, z.B. in der Routing-Tabelle referenzierst.
Sollte das der Fall sein oder oben Fall 1 zutreffen, musst Du mit Hilfe von Firewall-Regeln den Traffic zwischen den Netzen umtaggen. Da sagst Du mittels Regel z.B. wenn Quelle das Netz VLAN44 und Ziel das Netz VLAN100 oder nur die IP des Servers aus VLAN100 ist, dann setze für diesen Traffic das Routing-Tag auf 100.
Viele Grüße,
Torsten
-
Aushilfsinformatiker
- Beiträge: 46
- Registriert: 13 Apr 2020, 10:56
Re: Inter VLAN Routing - 1 Server von 2 verschiedenen VLANs
Hallo,
nun kann ich auch mal nach langer Zeit aus Aushilfsinformatiker eine kleine Hilfe geben. Das Problem hatte ich auch, segmentierte Netzwerke und einen Server.
Ich habe es folgendermaßen gelöst.
- VLAN-Modul aktiviert (muss man nicht unbedingt)
- Für den Server ein separates VLAN100 anlegen, meinetwegen SHARE benennen, Schnittstellentag beispielsweise 10
- Wartungsnetzwerk VLAN1, Schnittstellentag 0
- VLAN44, Schnittstellentag 2
- zusätzliches VLAN50, da in VLAN100 nur der Server stehen soll, Schnittstellentag 3
Die Schnittstellentags trennen die VLAN's
Ich habe die Firewall auf Deny all, dann einfach folgende Regel erstellen, um aus den anderen Netzwerken den Server zu erreichen:
Name: SHARE (beispielsweise)
Allgemein: Routing-Tag 10
Aktion: ACCEPT
Stationen: Verbindung von allen Stationen im lokalen Netzwerk oder nur einzelne Netzwerke an die IP des Servers erlauben
Dienste: eventuell auf die verwendeten Dienste beschränken, zum Ausprobieren würde ich erst einmal alle lassen
So funktioniert es bei mir, sollte etwas falsch sein..... keine Gewähr.
Viele Grüße und noch ein schönes Rest-Weihnachten
AH
nun kann ich auch mal nach langer Zeit aus Aushilfsinformatiker eine kleine Hilfe geben. Das Problem hatte ich auch, segmentierte Netzwerke und einen Server.
Ich habe es folgendermaßen gelöst.
- VLAN-Modul aktiviert (muss man nicht unbedingt)
- Für den Server ein separates VLAN100 anlegen, meinetwegen SHARE benennen, Schnittstellentag beispielsweise 10
- Wartungsnetzwerk VLAN1, Schnittstellentag 0
- VLAN44, Schnittstellentag 2
- zusätzliches VLAN50, da in VLAN100 nur der Server stehen soll, Schnittstellentag 3
Die Schnittstellentags trennen die VLAN's
Ich habe die Firewall auf Deny all, dann einfach folgende Regel erstellen, um aus den anderen Netzwerken den Server zu erreichen:
Name: SHARE (beispielsweise)
Allgemein: Routing-Tag 10
Aktion: ACCEPT
Stationen: Verbindung von allen Stationen im lokalen Netzwerk oder nur einzelne Netzwerke an die IP des Servers erlauben
Dienste: eventuell auf die verwendeten Dienste beschränken, zum Ausprobieren würde ich erst einmal alle lassen
So funktioniert es bei mir, sollte etwas falsch sein..... keine Gewähr.
Viele Grüße und noch ein schönes Rest-Weihnachten
AH