Discussion:
Warum kein Zugriff auf mein(e) VLAN(s)?
(zu alt für eine Antwort)
K. Dreier
2019-03-24 18:17:31 UTC
Permalink
Hallo,

ich habe ein normales LAN via NIC und darin/dazu noch VLANs
konfiguriert. Die GerÀte in den VLANs funktionieren und haben z.B.
Zugriff auf das Internet/WAN/DNS usw. Ports sind also korrekt getagt.
Mein aktuelles Problem hat nichts mit WLAN zu tun, die APs sind also
kein Thema bzw. nicht relevant.

Irgendwie schaffe ich es nicht, von meinem Haupt-LAN-GerÀten (z.B.
Laptop) mittels Ping oder SSH auf einen dieser VLAN clients zuzugreifen
und das, obwohl ich nicht nur diesem VLAN (IP_NET_8) den Zugriff auf den
fli4l erlaube
mittels (zunÀchst zum Testen vollumfÀnglich)
PF_INPUT[]='IP_NET_8 ACCEPT'
sondern auch - insbesondere - den Zugriff von meinem Haupt-LAN
(IP_NET_2) auf das VLAN und umgekehrt mittels (auch hier erstmal
vollumfÀnglich)
PF_FORWARD[]='IP_NET_8 ACCEPT BIDIRECTIONAL'

Das fÃŒhrt nicht zum Ziel. Kein ping, kein SSH.

Ich habe dann zusÀtzlich noch eine Route gesetzt mittels
IP_ROUTE_x='10.1.80.0/24 192.168.1.1'
(10... ist das VLAN, die andere IP ist der fli4l)

ZusÀtzlich habe ich dann noch
PF_POSTROUTING[]='IP_NET_2 IP_NET_8 ACCEPT BIDIRECTIONAL'
gesetzt. Wobei ich nicht weiß, ob ich das brauche...

Was ist falsch bzw. was fehlt, damit ich (wenigstens) von meinem NET_2
via ping, SSH etc auf NET_8 zugreifen kann?

Danke!

Gruß
Klaus
Kay Martinen
2019-03-24 19:13:57 UTC
Permalink
Post by K. Dreier
ich habe ein normales LAN via NIC und darin/dazu noch VLANs
konfiguriert. Die Geräte in den VLANs funktionieren und haben z.B.
Zugriff auf das Internet/WAN/DNS usw. Ports sind also korrekt getagt.
Irgendwie schaffe ich es nicht, von meinem Haupt-LAN-Geräten (z.B.
Laptop) mittels Ping oder SSH auf einen dieser VLAN clients zuzugreifen
und das, obwohl ich nicht nur diesem VLAN (IP_NET_8) den Zugriff auf den
fli4l erlaube
mittels (zunächst zum Testen vollumfänglich)
PF_INPUT[]='IP_NET_8 ACCEPT'
sondern auch - insbesondere - den Zugriff von meinem Haupt-LAN
(IP_NET_2) auf das VLAN und umgekehrt mittels (auch hier erstmal
vollumfänglich)
PF_FORWARD[]='IP_NET_8 ACCEPT BIDIRECTIONAL'
Das führt nicht zum Ziel. Kein ping, kein SSH.
Und eine Forward-regel für IP_NET_2?
Post by K. Dreier
Ich habe dann zusätzlich noch eine Route gesetzt mittels
IP_ROUTE_x='10.1.80.0/24 192.168.1.1'
(10... ist das VLAN, die andere IP ist der fli4l)
Zusätzlich habe ich dann noch
PF_POSTROUTING[]='IP_NET_2 IP_NET_8 ACCEPT BIDIRECTIONAL'
gesetzt. Wobei ich nicht weiß, ob ich das brauche...
Was ist falsch bzw. was fehlt, damit ich (wenigstens) von meinem NET_2
via ping, SSH etc auf NET_8 zugreifen kann?
Und wie finden deine Anfragenden Pakete den Rückweg?

Wenn dein Phyisches LAN ebenso wie die Virtuellen LANs alle auf dem
selben FLI zusammen laufen dann brauchst du:

- Eine Forward-regel die icmp-ping und ssh (22/TCP) erlaubt. Und das VOM
NET_2 ZU NET_8 und ebenso für die Antwort-pakete VON NET_8 zu NET_2

- in jedem LAN eine defaultroute die auf den FLI zeigt
- oder wenn keine gesetzt: Eine netzroute die den Geräten sagt über
welches Gateway (FLI) sie das jeweils andere Netz (NET_2/NET_8) erreichen.

Verbinde dich mal per ssh mit dem FLI und versuche von dort aus einen
host in NET_8 zu erreichen. Funktionieren ping und ssh dann? Dann fehlt
evtl. nur die Forward-regel für den rückweg.
Wenn du nicht mit IPs sondern mit hostnamen verbindest müssen diese im
DNS des FLI auch bekannt sein - falls der für beide Netze einziger DNS ist!

Kay
--
Sent via SN (Eisfair-1)
K. Dreier
2019-03-25 12:27:15 UTC
Permalink
Hallo,

zunÀchst danke erstmal.
Und eine Forward-regel fÃŒr IP_NET_2?
Habe ich. Allerdings sollte ja das BIDIRECTIONAL das doch abdecken?
Wenn dein Phyisches LAN ebenso wie die Virtuellen LANs alle auf dem
selben FLI zusammen laufen
Ja.
- Eine Forward-regel die icmp-ping und ssh (22/TCP) erlaubt. Und das VOM
NET_2 ZU NET_8 und ebenso fÃŒr die Antwort-pakete VON NET_8 zu
NET_2
Siehe oben. Zudem ist die Regel ja "weit", sollte also alles
umfassen/erlauben?
- in jedem LAN eine defaultroute die auf den FLI zeigt
Sollte ich mit der Route-Regel fÃŒr das 8er-Netz doch haben, oder
nicht?
- oder wenn keine gesetzt: Eine netzroute die den GerÀten sagt
ÃŒber
welches Gateway (FLI) sie das jeweils andere Netz (NET_2/NET_8) erreichen.
Wie sÀhe das aus? Oder ist das mit den Forward-Regeln erreicht?

Gruß
Klaus
Kay Martinen
2019-03-25 13:11:21 UTC
Permalink
Post by K. Dreier
Hallo,
zunächst danke erstmal.
Post by Kay Martinen
Und eine Forward-regel für IP_NET_2?
Habe ich. Allerdings sollte ja das BIDIRECTIONAL das doch abdecken?
Ich denke schon aber ich WEISS es ehrlich gesagt nicht genau.
Post by K. Dreier
Post by Kay Martinen
Wenn dein Phyisches LAN ebenso wie die Virtuellen LANs alle auf dem
selben FLI zusammen laufen
Ja.
Post by Kay Martinen
- Eine Forward-regel die icmp-ping und ssh (22/TCP) erlaubt. Und das VOM
NET_2 ZU NET_8 und ebenso für die Antwort-pakete VON NET_8 zu NET_2
Siehe oben. Zudem ist die Regel ja "weit", sollte also alles
umfassen/erlauben?
Sollte wohl, aber ich weiß nicht wie das umgesetzt wird.
Post by K. Dreier
Post by Kay Martinen
- in jedem LAN eine defaultroute die auf den FLI zeigt
Sollte ich mit der Route-Regel für das 8er-Netz doch haben, oder
nicht?
Post by Kay Martinen
- oder wenn keine gesetzt: Eine netzroute die den Geräten sagt über
welches Gateway (FLI) sie das jeweils andere Netz (NET_2/NET_8) erreichen.
Wie sähe das aus? Oder ist das mit den Forward-Regeln erreicht?
Routing ist nicht das gleiche wie Firewalling (Forward/In/out-Regeln)

Wenn der FLI defaultroute für alles ist, und die (V)LANs direkt an ihm
anliegen dann hängt es an den Firewall regeln ob die den Verkehr
durchlassen. Eine Weitere route würde da IMHO nichts dran ändern.

Defaultroute wäre ja z.b. mit einem

route add default gw fli

(default=0.0.0.0, fli=IP seiner NIC in dem Netz)

Netzroute wäre

route add -net VLAN8/24 gw fli

(ist "-net" noch nötig?)

Was hier keinen unterschied macht da eh alles zum FLI geht.

Bisher hab ich den FLI nicht mit mehreren Netzen benutzt daher...

Ich hab hier z.b. einen internen router hinter dem andere netze hängen.
Da brauche ich dann; neben der defaultroute; so was wie
route add NET3/24 gw mein_int_gw
route add NET4/24 gw mein_int_gw
u.s.w.
und das auf allen Clients im Hauptnetz die diese Netze über den router
erreichen können sollen!

Kay
--
Sent via SN (Eisfair-1)
K. Dreier
2019-03-26 12:09:28 UTC
Permalink
Hallo,
Wenn der FLI defaultroute fÃŒr alles ist, und die (V)LANs direkt an
ihm
anliegen dann hÀngt es an den Firewall regeln ob die den Verkehr
durchlassen. Eine Weitere route wÌrde da IMHO nichts dran Àndern.
Bin da wirklich kein Profi aber ein VLAN ist ja - aus Sicht der
involvierten clients und eben auch meines Erachtens des Routers - ein
separates "physisches" Netz, da es seinen eigenen IP-Bereich hat. Damit
mÌsste doch eigentlich auch eine Route fÀllig sein? Muss aber
gestehen, dass ich da relativ blind bin... Aber ein schneller, kurzer
Auszug aus der Netgear-KB sagt:
"Typically, you do not need to add static routes unless you have
multiple routers or multiple IP subnets on your network."
Der letzte Teil ist eben das, was ich meine.
Ich hab hier z.b. einen internen router hinter dem andere netze
hÀngen.
Da brauche ich dann; neben der defaultroute; so was wie
route add NET3/24 gw mein_int_gw
route add NET4/24 gw mein_int_gw
Genau. Aber ich brauche ja sogar fÃŒr mein VPN eine separate Route,
damit die VPN-clients die clients im LAN sehen können (da beide Netze
separate IP-Bereich haben). Also werde ich das wohl auch fÃŒr meine
VLANs brauchen. Ist ja aber auch gesetzt und scheint zumindest geholfen
zu habem, da z.B. ein ping grundsÀtzlich mal geht - wenn auch eben
nicht immer. Ich habe einstweilen aufgegeben, das kostet zu viel Zeit
und ist auch nicht wirklich nötig, damit mein Netz lÀuft (denn es
lÀuft ja eigentlich alles gut). WÀre halt cool gewesen, das zum Laufen
zu bringen, um doch zu verstehen, was dafÌr (alles) nötig ist. Ich
schaue mir jetzt andere Router-Hardware an, die das vielleicht einfacher
gestaltet. Vielleicht... ;-)

Gruß
Klaus
Kay Martinen
2019-03-26 12:37:35 UTC
Permalink
Post by Kay Martinen
Wenn der FLI defaultroute für alles ist, und die (V)LANs direkt an ihm
anliegen dann hängt es an den Firewall regeln ob die den Verkehr
durchlassen. Eine Weitere route würde da IMHO nichts dran ändern.
müsste doch eigentlich auch eine Route fällig sein? Muss aber
gestehen, dass ich da relativ blind bin... Aber ein schneller, kurzer
Die route eingedeutscht auch "leitweg") sagt dem Gerät auf dem sie aktiv
ist über welchen host adressen erreicht werden können die NICHT im
eigenen Bereich sind. Eine netzroute erledigt dies für EIN netz, die
defaultroute für ALLES. Ein router an dem ALLE deine Netze direkt
anliegen legt sich schon routen dafür an, denn er kann sie direkt
erreichen.

Du mußt nur noch dafür sorgen das in JEDEM deiner Netze JEDER Host auch
weiß wohin er daten an adressen senden soll die er nicht direkt
erreichen kann, also dein Router. Wenn dem forwarding zwischen den
netzen erlaubt ist (im netzwerk-bereich) und es dennoch nicht klappt
dann kann es nur noch an einer firewall blockierung liegen. Also
input/output oder forwarding-regeln. M.E.
"Typically, you do not need to add static routes unless you have
multiple routers or multiple IP subnets on your network."
Der letzte Teil ist eben das, was ich meine.
Da steht sinngemäß: Du brauchst KEIN statischen routen hinzufügen wenn
du NICHT mehrere Router ODER mehrere IP-Netze hast. Das ist doppelte
Verneinung.

Du hast zwar nur einen Router aber mehrere Subnetze!
Genau. Aber ich brauche ja sogar für mein VPN eine separate Route,
damit die VPN-clients die clients im LAN sehen können (da beide Netze
separate IP-Bereich haben). Also werde ich das wohl auch für meine
VLANs brauchen. Ist ja aber auch gesetzt und scheint zumindest geholfen
Ob VPN oder VLAN ist egal. Getrennte Netze brauchen routen um zueinander
zu finden. Netz A braucht eine um den Weg in Netz B zu finden, und Netz
B braucht eine damit die Antworten auch wieder Netz A erreichen.
läuft ja eigentlich alles gut). Wäre halt cool gewesen, das zum Laufen
zu bringen, um doch zu verstehen, was dafür (alles) nötig ist. Ich
schaue mir jetzt andere Router-Hardware an, die das vielleicht einfacher
gestaltet. Vielleicht... ;-)
Wenn da auch ein Linuxoides System drauf laufen soll dann schau dir
lieber die SOFTware an und lerne sie zu verstehen. Denn die HARDware
macht ja nur was ihr die Software vorgibt. Routing in Hardware ist eine
Illusion. Oder kinderspielzeug (=Bauklötze in passende Löcher stopfen :-)

Wenn du etwas einfaches suchst kannst du auch ipfire probieren. Wenn da
aber die reihenfolge der regeln nicht stimmt dann grübelst du wieder.

Kay
--
Sent via SN (Eisfair-1)
Hans Bachner
2019-03-26 16:11:46 UTC
Permalink
[nochmal Kay:]
Post by Kay Martinen
Wenn der FLI defaultroute für alles ist, und die (V)LANs direkt an
ihm anliegen dann hängt es an den Firewall regeln ob die den Verkehr
durchlassen. Eine Weitere route würde da IMHO nichts dran ändern.
[...]
Damit wurde eigentlich bereits alles gesagt. Nochmal mit anderen Worten:

1. Wenn alle (V)LANs am fli4l hängen, weiß der auch, welches Subnetz er
über welches (V)LAN erreichen kann.

2. Wenn alle internen Rechner den fli4l als default gateway benutzen,
schicken sie alle Pakete (außer die ans eigene Subnetz) zum fli4l und
der weiß, über welches Kabel und ggf. mit welchen VLAN-Tags er die
gewünschten Subnetze erreicht (siehe 1.).

3. Alle Pakete, die nicht an interne Subnetze gerichtet sind, schickt
der fli4l an *sein* default gateway (das normalerweise über den WAN
Anschluss erreichbar ist) an den Provider weiter.

Wenn zwischen den internen Netzen kein Verkehr möglich ist, liegt das an
den (evt. fehlenden) Firewall-Regeln.

Der Vergleich mit dem VPN hinkt insofern, als bei einem gerouteten VPN
(mit verschiedenen Adressbereichen auf beiden Seiten) der fli4l als
Tunnelendpunkt eben keinen direkten Zugriff mehr auf das Netz am anderen
Ende des Tunnels hat, sondern wissen muss, dass er Pakete für dieses
Netz an den Tunnelendpunkt zu schicken hat. Und natürlich auch umgekehrt
der Rechner, der den Tunnel zum fli4l aufbaut, wissen muss, dass die
heimischen Netze über den Tunnelendpunkt am fli4l erreichbar sind und
nicht über seine default route (ins Internet).

Ich hoffe, dass das Routing Thema jetzt nicht noch schwerer zu verstehen
ist... :-)

Schöne Grüße,
Hans.
K. Dreier
2019-03-27 06:39:28 UTC
Permalink
Hallo zusammen,

besten Dank fÌr euer Input und eure ErklÀrung. Macht absolut Sinn fÌr
mich. Derjenige, der der Chef ist (flil4), sollte auch wissen was
lÀuft. War nur verwirrt, weil das normalerweise ja nicht so ist LOL!

Ich werde jetzt weiter an den Forward-Regeln basteln (Output ist und
bleibt erstmal auf "allow" fÃŒr alles). Es funktioniert ja
grundsÀtzlich, weswegen ich irgendwo noch ein Problem hab, wo die
Firewall mi bestimmte Dinge blockiert. Die Liste der Regeln ist halt
auch recht lang, da ich mittlerweile 9 Netze habe (inkl. der VLANs) und
meine Forward-Regel zwar einstweilen "default" sind, aber halt "Reject".
Mit einem eigenen DNS-Server und diversen notwendigen "Löchern" fÌr
einzelne GerÀte zwischen manchen Netzen braucht es etliche
entsprechende Regeln. Ich muß wohl wirklich mal einen Test-Version
bauen mit nur 2 oder 3 Netzen und das so zum Laufen bringen, wie ich es
will. Dann steht die Logik korrekt und ich kann das ausbauen. Da mein
fli4l aber eben live ist, ist das nicht so ganz einfach...

Gruß
Klaus

Loading...