Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Doppelte Gateway IP verhindern

Mitglied: FiRE93

FiRE93 (Level 1) - Jetzt verbinden

14.05.2018, aktualisiert 18.05.2018, 695 Aufrufe, 42 Kommentare, 1 Danke

Hallo Administratoren

Ich habe diesbzgl. eine Frage wo mir irgendwie keiner weiterhelfen kann bzw ich nichts dazu finde.
Folgende Hardware wird verwendet:
- Core-Switch: Aruba 2930F 48G 4SFP+ Switch
- Access Switch: MikroTik Cloud Smart Switch

Ich veranstalte mit meinen Kollegen zwei LANs im Jahr.
aktuell haben wir für jeden Sitzblock (20 Teilnehmer) ein seperates VLAN, sodass wenn jemand auf die Idee kommen sollte, sich die IP vom Gateway zu geben, das nur den jeweilige Block lahmgelegt wird.
Jetzt möchten wir aber ein komplettes VLAN für die User machen und möchten verhindert, das jemand sich die IP vom Gateway statisch zuweisen kann und das Netz damit lahmgelegt.
Geht das irgendwie auf dem Core-Switch? Wie gehe ich/wir da am besten vor? ACL?
Also irgendwie Switchseitig blockieren, das diese IP Adresse verwendet werden kann?
Oder das sich jemand nur IPs mit dem DHCP (bei uns aktuell Kea) ziehen kann?

Hoffe man versteht worauf ich hinausmöchte und mir/uns kann jemand weiterhelfen.

Gruß FiRE
42 Antworten
Mitglied: decathlon
14.05.2018, aktualisiert um 15:03 Uhr
Ja das ist kein Problem, dazu stellst du am Mikrotik auf dem VLAN Interface ARP auf reply only und im DHCP für das VLAN stellst du ein das für Leases ein ARP Eintrag im Mikrotik gesetzt wird, so sind nur DHCP vergebene IPs möglich und keine durch Clients statisch vergebenen. Das verhindert auch gleichzeitig einfache MitM Attacken via ARP Spoofing.
Bitte warten ..
Mitglied: user217
14.05.2018 um 14:58 Uhr
um das ganz total manipulationssicher zu gestalten, müsstest du doch eigentlich mit MAC Adressfiltern arbeiten und selbst die könnte man manipulieren. Mir fällt grad nix anderes ein aber ich finde das Thema recht interessant und bin auf die Antworten gespannt.
Bitte warten ..
Mitglied: user217
14.05.2018 um 14:59 Uhr
TOP das merke ich mir!
Bitte warten ..
Mitglied: FiRE93
14.05.2018, aktualisiert um 15:02 Uhr
ja sicherer geht immer aber bei 200 Teilnehmern etwas aufwenig :D

@ReadyPlayerOne, vielen Dank, das hört sich nach einem gehbaren weg an mit wenig konfigurationsaufwand .
Werde ich morgen gleich mal testen. Danke!
Bitte warten ..
Mitglied: decathlon
14.05.2018, aktualisiert um 15:12 Uhr
Das mache ich schon lange so an meinem Wifi-Hotspot, dort sollte das und Client-Isolation Standard sein, eben aus diesen Gründen um den "Beginner-Skriptkiddies" erst mal einen Arschtritt zu verpassen.
Bitte warten ..
Mitglied: user217
14.05.2018 um 15:13 Uhr
weist du ob das die UTM 9 auch kann?
Bitte warten ..
Mitglied: decathlon
14.05.2018 um 15:19 Uhr
Zitat von user217:

weist du ob das die UTM 9 auch kann?
k.A. hab ich grad nicht im Zugriff.
Bitte warten ..
Mitglied: aqui
14.05.2018, aktualisiert um 15:21 Uhr
Ich veranstalte mit meinen Kollegen zwei LANs im Jahr.
Ich habe hier täglich mehrere "LANs" ! Du meinst vermutlich LAN Partys, oder ?
Mit statischen ARP Einträgen kannst du das wasserdicht nicht verhindern oder musst eben einen erheblich Aufwand treiben.

Das Sinnigste diese Policy durchzusetzen sind Private VLANs oder Isolated VLANs. Die unterbinden generell eine any zu any Kommunikation und lassen nur eine Kommunikation mit dem Upstram zu. Ein ARP Request landet also gar nicht erst bei einem Client.
Allerdings konterkariert das Design ja eine LAN Party wo any zu any ja erlaubt sein muss. So richtig helfen tut dir das also nicht und außerdem supporten die HP Billigswitches dieses Feature vermutlich auch gar nicht.

Helfen würde dir eine Inbound Layer 3 ACL am Accessport die eine Absender IP mit der Gateway Adresse generell blockiert.
Das liesse sich auch noch recht einfach konfigurieren.
Fragt sich nur ob die HP Billiggurken Layer 3 ACLs im Layer 2 Mode supporten wie es bessere Switches ja tun. Aber eine Antwort darauf findet sich sicher im Handbuch.
Bitte warten ..
Mitglied: FiRE93
14.05.2018, aktualisiert um 15:46 Uhr
@aqui
für mich ist der Aruba 2930F 48G 4SFP+ kein billiger Switch ^^.
aber wie mir auffällt, können die Mikrotiks keinen ARP reply only da es sich nur um das swOS handelt.

Also meinst du jetzt eine ACL auf dem Aruba (HP) CoreSwitch?

Und wie würde solch eine ACL dann aussehen?

So? deny 10.10.10.1 255.255.255.0

EDIT: Die User hängen an den Mikrotiks und die Mikrotiks hängen an dem Aruba.
Bitte warten ..
Mitglied: aqui
14.05.2018, aktualisiert um 15:39 Uhr
für mich ist der Aruba 2930F 48G 4SFP+ kein billiger Switch
Für das Gros der Netzwerker aber schon. Ist ein billiges Access und SoHo Produkt mit mickriger CPU Performance.
Also meinst du jetzt eine ACL auf dem Aruba
Auf den HP Switches natürlich, denn dort sind ja direkt die User angeschlossen und genau da will man ja schon diese IP abfangen bzw. blockieren.
Dort muss eine Port ACL definiert sein die sämtlichen Traffic mit einer Absender IP die der Gateway IP entspricht blockiert.
Damit ist dann ausgeschlossen das ein Port mit der Gateway IP als Abenderadresse ins Netz kommt bzw. Traffic von dieser.
Der Knackpunkt ist nur das im Layer 2 Mode in dem die HP Gurken ja arbeiten eine L3 ACL am Port arbeiten muss.
Wie gesagt für das Gros der etwas besseren Switches ist das kein Thema aber ob HP das kann musst du checken.
Vielle der billigen Access Switches supporten keine L3 ACLs an L2 Ports.
Sollte aber im Handbuch oder Datenblatt stehen ob die das können.
wie würde solch eine ACL dann aussehen?
Nein !
Im Prinzip richtig aber du hast es syntaktisch falsch angegeben, da du oben eine Netzwerk Adresse ! angegeben hast und keine Hostadresse !! Richtig wäre:
DENY 10.10.10.1 255.255.255.255 any oder Cisco like DENY IP host 10.10.10.1 any
Bitte warten ..
Mitglied: FiRE93
14.05.2018, aktualisiert um 16:10 Uhr
Die User hängen an den Mikrotiks und die Mikrotiks hängen an dem Aruba.
An den Ports wo die Mikrotiks angeschlossen sind könnte ich das ja dann machen und dann würde nur der Block lahmgelegt.

https://community.arubanetworks.com/aruba/attachments/aruba/CampusSwitch ...

Auf seite 439, soetwas?
Bitte warten ..
Mitglied: brammer
14.05.2018 um 16:11 Uhr
Hallo,

ein VLAN pro User....

Damit hast du sicher gestellt das nichts schief geht....
Wenn sich einer die Gateway Adresse nimmt, blockt er sich nur selber aus.....

Auf der Console ist das in 5 minuten Konfiguriert... im Web interface ist das Scheiße.

brammer
Bitte warten ..
Mitglied: FiRE93
14.05.2018 um 16:28 Uhr
also sollte gehen:

http://www.arubanetworks.com/techdocs/ArubaOS_61/ArubaOS_61_CLI/ip.htm

ip access-list extended 1
deny any host 10.10.10.1 any

oder mit

ip access-list standard 1

deny host 10.10.10.1
Bitte warten ..
Mitglied: SlainteMhath
14.05.2018 um 16:46 Uhr
Moin,

also ich denke das der einzige Weg das zu verhindern der von @brammer vorgeschlagene ist.

Das ganze Layer 3-ACL-Gedöns greift doch erst, wenn ARP schon durch ist. D.h. der falsche Host dem Anfragenden schon per ARP Reply mitgeteilt hat, dass er die fragliche IP hat - und wenn beide am selben am gleichen Switch hänge kommt die auch noch vor der Reply des Routers an.(Gleiches gilt für den Vorschlag schon @ReadyPlayerOne)

lg,
Slainte
Bitte warten ..
Mitglied: FiRE93
14.05.2018 um 19:45 Uhr
@brammer und @SlainteMhath
mein Ziel war es, alle User in 1 VLAN zu mache, das sie sich auch problemlos im LAN finden in den Spielen. Und euer Vorschlag ist genau das Gegenteil, also ist das nicht die Lösung.

Denke hier ist der Ansatz mit den ACL richtig, da die User an den Access-Switchen angeschlossen sind.
Also wenn die ACL funktioniert, hängt hierbei doch max. der eine Userblock wo die IP des Gateways benutzt wird.
Bitte warten ..
Mitglied: brammer
14.05.2018 um 21:20 Uhr
Hallo,


Dein Bestreben das sich keiner die Gateway Adresse nimmt kann man mit ACL umsetzen... aufwe dir und gegen einen Eindringling der sein Handwerk versteht n8cht ganz trivial.

Mit dem Ansatz ein VLAN pro User anzulegen schliesst du ja nicht aus das die sich sehen können... Das nennt man dann Routing... und dein Core Switch ist in L3 ... also eine Routing Device....
Das Segmentieren ist in einem Netzwerk ein Standard....

Wo ist also dein Problem??

Brammer
Bitte warten ..
Mitglied: FiRE93
15.05.2018, aktualisiert um 08:22 Uhr
Ja, ich weiß das es mit L3 Switche geht, nur machen die Spiele das nicht. Außer man hängt de Bridge oder des gleichen dazwischen für den Multi- und UDP Broadcast (geht aber meistens nur mit wenigen VLANs und nicht mit 200). Und das ist mehr Konfigurationsaufwand als nur ne ACL . Wenn ein Block down geht ist das nicht so schlimm wie das alle 200 Teilnehmer nichts mehr machen können.

Werde mir aufjedenfall mal das mit der ACL anschauen, aufjedenfall ist das mit den VLAN pro Userdefinitiv keine Option. Es ist schon sehr umständlich, wenn jeder Block in einem VLAN ist ^^.

Wäre denn die ACL wo ich oben gepostet habe richtig?
Bitte warten ..
Mitglied: aqui
15.05.2018, aktualisiert um 09:18 Uhr
VLAN pro User ist ja auch Blödsinn. Für sowas gibt es das Private VLAN oder Isolated VLAN Feature auf Switches was oben ja schon mehrfach genannt wurde.
Das fällt aber eben weg weil du eine Layer 2 Kommunikation brauchst die auch noch Latenz arm ist. All das ist mit deinen einfachen Store and Forward Billigswitches eh nicht realisierbar.
Es bleibt also in der Tat bei der ACL Lösung sofern die HP Gurken L3 ACLs im L2 Mode supporten.
Auch wenn ARP durchgeht unterbindet das dann aber doch wirkungsvoll den IP Traffic mit dieser IP und Endgeräte discovern dann nach einem ARP Timeout eh neu.
Bitte warten ..
Mitglied: FiRE93
15.05.2018, aktualisiert um 09:38 Uhr
Ich werde morgen mal schauen,
also laut dem hier:
http://www.arubanetworks.com/techdocs/ArubaOS%206_3_1_Web_Help/Web_Help ...

können die das.
also etwa so dann:
ip access-list extended 1
deny any host 10.10.10.1 any
Bitte warten ..
Mitglied: Ex0r2k16
15.05.2018 um 13:29 Uhr
Client Isolation? Jup, kann se. Habe ich so im Einsatz.
Bitte warten ..
Mitglied: aqui
15.05.2018, aktualisiert um 14:57 Uhr
Nützt nur nichts wie oben schon mehrfach gesagt der er auf eine Client any zu any Kommunikation angewiesen ist wie es bei Ballerspielen ja nun mal so üblich ist...
also etwa so dann:
Nein !
Es reicht auch vollkommen eine Standard IP ACL statt einer Extended. Extended ist für eine reine IP Adress Filterung NICHT nörig !
ip access-list extended 1
deny ip host 10.10.10.1 any
Bitte warten ..
Mitglied: Ex0r2k16
15.05.2018 um 14:57 Uhr
öh ne? Also ich kenne keinen neueren Egoshooter der Client zu Client macht. Die machen alle Client zu Server. Oder habe ich dich falsch verstanden aqui? Normal connecten die Clients ja auf einen Server und der spielt dann Vermittlungsstelle für die Kugeln
Bitte warten ..
Mitglied: aqui
15.05.2018 um 15:00 Uhr
Also ich zitiere mal den TO: "Außer man hängt de Bridge oder des gleichen dazwischen für den Multi- und UDP Broadcast..."
Was auch immer er da spielt was dann Multicasting und UDP Broadcasts verwendet ?!
Braucht er das nicht und ist das alles Server zentrisch, dann kommen wieder die Private VLANs ins Spiel.
Bitte warten ..
Mitglied: FiRE93
15.05.2018, aktualisiert um 15:16 Uhr
deny ip gibts laut doku nicht :D daher hatte ich das mit any drin.
Aber ich werd einfach mal direkt in der CLI schauen.
eine permit regel brauch ich ja in diesem fall dann nicht. was ich nicht regle, wird einfach durchgelassen.

@Ex0r2k16
geht allgemein um Spiele (neu und alt), einige machen Client2Server ander Client2Client.
Aber wenn ein Client einen Server aufmacht ist es halt trdm Cient2Client und das das funktioniert (also Ingame Serverbrowser), müssen sich die Clients im gleichen Netz und gleichen VLAN befinden, da die UDP Broadcastabfrage nur im selben Netz/VLAN funktioniert.
Ich will da keine Bridge bauen und jeden UDP Port von den Games pflegen bis das alles funktioniert.
Noch schwieriger wirds ja bei Blizzard-Spielen mit mDNS (Multicast) ... da brauchst dann einen mDNS Server mit gebridgten Interfaces...
Das ganze is ein rießiger konfigurationsaufwand wenn man seperate VLANs macht, ich versuch das schon seit ca. 2 Jahren und es werden leider nicht weniger Spiele. Daher wollen wir jetzt 1 VLAN für die User das sie sich ohne Problem untereinander finden können. Punkt.

aqui hat das schon richtig verstanden
Bitte warten ..
Mitglied: aqui
15.05.2018 um 15:25 Uhr
eine permit regel brauch ich ja in diesem fall dann nicht. was ich nicht regle, wird einfach durchgelassen.
Doch, sorry das ging oben unter.
Sowie du eine ACL etablierst ist die Default Regel dann deny any any.
Deine Regel muss dann also vollständig so lauten:
ip access-list extended 100
deny ip host 10.10.10.1 any
permit ip any any

Sorry....
Bitte warten ..
Mitglied: Ex0r2k16
15.05.2018, aktualisiert um 15:33 Uhr
ah sorry! An (dedicated) Servern auf Clients hatte ich jetzt nicht gedacht.
Bitte warten ..
Mitglied: FiRE93
15.05.2018, aktualisiert um 16:13 Uhr
Danke, habe bisher nicht mit ACLs gearbeitet. Nun bin ich schonmal etwas schlauer
Danke! Werde ich so aufjednfall mal testen!

@Ex0r2k16
Ja das is ja der Grund wies man auf ne LAN-Party geht
Bitte warten ..
Mitglied: aqui
15.05.2018 um 20:55 Uhr
wies ?? Wies'n ? O'zapft is !
Bitte warten ..
Mitglied: FiRE93
15.05.2018, aktualisiert um 22:40 Uhr
:D:D *wieso

muss die ACL aber aufm Aruba machen, kann es nicht direkt an den Switchen machen wo die User dranstecken^^
Bitte warten ..
Mitglied: aqui
16.05.2018, aktualisiert um 10:26 Uhr
kann es nicht direkt an den Switchen machen wo die User dranstecken
Warum nicht ??
Genau DORT müssen die ACLs aber hin ! Logisch, denn nur da machen sie Sinn. Ansonsten hast du das Paket mit der falschen Absender IP ja schon im Netz was dann ziemlich kontraproduktiv ist.
Bitte warten ..
Mitglied: FiRE93
16.05.2018, aktualisiert um 13:55 Uhr
Ich schau mal ob die das können.
https://wiki.mikrotik.com/wiki/SwOS/CSS326#ACL_Tab

Wir haben für die User folgenden Switch:
https://shop.omg.de/mikrotik/cloud-router-switches/mikrotik-cloud-smart- ...


Ich hab mal nachgefragt bei einer anderen LAN-Party, die haben auch die ACLs nicht auf den Switchen der User direkt, aus Kostengründen haben sie sich auch nur solche "dummen" Switche gekauft für die User. Dort funktioniert das also 1A.

Auf den Access-Switchen direkt wär natürlich wirklich am schönsten.
Bitte warten ..
Mitglied: FiRE93
17.05.2018 um 08:18 Uhr
Das mit den ACLs funktioniert so leider nicht.
Habe eine auf dem Aruba und eine auf den Mikrotik agelegt. User mal direkt an die Aruba gehangen. Switchübergreifend etz pp.
leider ohne erfolg.
Bitte warten ..
Mitglied: aqui
17.05.2018, aktualisiert um 11:35 Uhr
aus Kostengründen haben sie sich auch nur solche "dummen" Switche gekauft
Wie immer rächt sich sowas dann später ! Siehe auch hier ! Ein typischer Fehler von LAN Party Enthusiasten die nicht nach- und weiterdenken im Netzwerk Bereich
Es gilt wie immer der Satz: "You get what you pay for !"
Deshalb oben auch der Einwand ob deine L2 Switches mit Layer 3 Port Accesslisten umgehen können. Etwas bessere Switches können das logischerweise. Billigheimer wie HP usw. meist nicht.
Nur da ist die ACL aber sinnvoll, denn genau DORT soll ja der Zugriff dieser IP verhindert werden ! Wo auch sonst ?
Auf den Access-Switchen direkt wär natürlich wirklich am schönsten.
...und am sinnvollsten !
leider ohne erfolg.
Da hast du ja dann ganz klar etwas komplett falsch konfiguriert oder eben die Aruba Gurke supportet das nicht.
Solange du hier nicht postest WAS du WO konfiguriert hast können wir natürlich auch nur im freien Fall raten.
Zielführend für eine Hilfe ist das natürlich nicht.
Fazit: Etwas mehr Infos bitte !
Bitte warten ..
Mitglied: FiRE93
17.05.2018, aktualisiert um 13:25 Uhr
also am Mikrotik, wo die User dran hängen, habe ich folgendes konfiguriert:
https://wiki.mikrotik.com/wiki/SwOS/CSS326#ACL_Tab
In den Feldern (siehe Screenshot) habe ich die Gateway IP im Feld IP Src eingetragen, VLAN any und unten Drop angehackt mit, rest leer (womit er any macht). Testweise mal nur mit einem Port, komischerweise gehen die Hits hoch, allerdings auf dem 2. Switch angesteckte PCs können nichts mehr machen.

auf dem Aruba (HP) habe ich folgende ACL angelegt und dem Trunk zugeordnet (mit ip access-list 100 in)
ip access-list extended 100
deny ip host 10.10.10.1 any
permit ip any any
2018-05-17 13_18_37-crs326-acl-table (1861×297) - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
17.05.2018 um 16:30 Uhr
also am Mikrotik, wo die User dran hängen
Du hast doch gerade noch gesagt die hängen an den HP Gurken ?! Was ist denn nun richtig ?
angehackt
Ne Hacke nutzt man nur im Garten oder hat sie hinten am Fuss. In der IT wäre das ziemlich brutal...
allerdings auf dem 2. Switch angesteckte PCs können nichts mehr machen.
Kein Wunder !
Oben wurde bereits mehrfach darauf hingewiesen das sowie einen ACL auf dem Port aktiv ist dann per Default DENY any any
NACH deiner DENY Regel musst du also logischerweise noch ein PERMIT ip any any konfigurieren damit es klappt.
Lesen hilft...!
Auf dem Aruba ist das OK.
Bitte warten ..
Mitglied: FiRE93
17.05.2018, aktualisiert 18.05.2018
Die User hängen am Mikrotik.
Und die Mikrotik Switche am Aruba.
Also Aufbau sieht so aus: pfSense -> Aruba Switch (Gateway) -> Mikrotik -> UsePC

Auf dem Mikrotik mit nur der genannten ACL funktioniert alles ohne Probleme bis sich jemand die IP des Gateway gibt.


die ACL auf dem Aruba stimmt ja, allerdings funktioniert das trdm nicht, da Switchübergreifend dann auch nichts mehr geht wenn sich jemand die Gateway IP gibt.
Bitte warten ..
Mitglied: FiRE93
18.05.2018, aktualisiert um 09:06 Uhr
PERMIT any any auf dem Mikrotik ändern nichts (auch schon getestet), da es ja nur mit der einen Regel (siehe oben) funktioniert, solang sich niemand die Gateway IP gibt.

Testweise habe ich dann mal ne ACL gebaut (auf den Mikrotik & dem Aruba) die als Source IP das Gateway blockt, das funktioniert.
Also funktionieren ACLs im allgemeinen mal, nur nicht so wie ich mir das vorstelle das er die source IP blockt.
Bitte warten ..
Mitglied: aqui
18.05.2018 um 10:11 Uhr
Die User hängen am Mikrotik. Und die Mikrotik Switche am Aruba.
OK, sorry das hatte ich missverstanden.
Dann hast du natürlich Recht, dann müssen die ACLs natürlich auf die MT Ports.
Aber auch hier stellt sich wieder die Frage ob die MTs im Layer 2 (Mac Adress) Modus eine Layer 3 IP ACL am Port abarbeiten können.
Wie gesagt...besser Switches machen sowas problemlos aber bei Billigheimern sollte man da immer in das datenblatt oder Handbuch sehen ob die das supporten.
Meistens können die auch nur L2 ACLs wenn sie selber nur im L2 Modus arbeiten.
DAS musst du sicher vorher klären sonst konfigurierst du dir einen Wolf....
Aruba Switch (Gateway)
Du schreibst "Gateway" ?! Was soll das genau heissen ?? Arbeitet der Aruba Switch hier im Layer 3 Mode, sprich also routet zwischen ggf. vorhandenen VLANs ?
Also die Gateway IP liegt dann auf dem Aruba/HP Switch und ist NICJHT direkt die Gateway IP der pfSense ?
Ist das richtig so ?

Fakt ist aber auf alle Fälle das die L3 ACL an den MT muss, denn genau dort muss dieser Traffic ja schon gefiltert sein. Wenn er dort durchkommt und die Gateway IP die des Aruba/HP Switches ist ist ja logischerweise das Kind schon in den Brunnen gefallen und dann auch vollkommen klar das "nix mehr geht" dann in dem Falle der Dopplung.
Bitte warten ..
Mitglied: FiRE93
18.05.2018, aktualisiert um 11:02 Uhr
Aber auch hier stellt sich wieder die Frage ob die MTs im Layer 2 (Mac Adress) Modus eine Layer 3 IP ACL am Port abarbeiten können.
Also laut der Website heißt es:
An access control list (ACL) rule table is very powerful tool allowing wire speed packet filtering, forwarding and VLAN tagging based on L2,L3 protocol header field conditions.
Sollte also gehen. wahrscheinlich nur falsch aufgebaut.

Aruba Switch (Gateway)
Du schreibst "Gateway" ?! Was soll das genau heissen ?? Arbeitet der Aruba Switch hier im Layer 3 Mode, sprich also routet zwischen ggf. vorhandenen VLANs ?
Also die Gateway IP liegt dann auf dem Aruba/HP Switch und ist NICJHT direkt die Gateway IP der pfSense ?
Ist das richtig so ?
richtig weshalb ich mir gedacht habe eine ACL am Aruba hilft dabei, das max. der UserBlock nicht geht in dem die Gateway IP verwendet wird.
Der Aruba kann L3 ACLs.

aktuell machen wir ja für jeden UserBlock (a 20 Gamer) ein VLAN, also heißt, wenn sich jemand im Block die Gateway IP gibt, hängt maximal der Block.
Da kann man schonmal besser das Problem lokalisieren. Aber da ist das Problem mit den dedicated Server untereinander halt wieder, weshalb wir 1 VLAN machen möchten.
Bitte warten ..
Mitglied: aqui
19.05.2018, aktualisiert um 21:36 Uhr
based on L2,L3 protocol header field conditions.... Sollte also gehen. wahrscheinlich nur falsch aufgebaut.
Yepp, das kläet die Sache !
Also L3 ist supportet, was gut ist ! OK, sollte man bei MT auch erwarten...
gedacht habe eine ACL am Aruba hilft dabei, das max. der UserBlock nicht geht in dem die Gateway IP verwendet wird.
Nee, das wäre ja sinnfrei. Da kommt dann eine Absender IP an die die gleiche IP hat wie das L3 Interface des Aruba.
Ersten IST diese IP ja dann schon in dem Netz und kann da sein Unwesen treiben und zweitens nützt es ja nix, denn was willst du da denn filtern ?? Da dann der Aruba und der User PC mit der falschen IP schon um die Wette nach der Mac Adresse ARPen ist das Kind ja schon in den Brunnen gefallen.
Der Switch forwardet so oder so nix dann mit der IP Adresse, kann er ja auch nicht da es auch seine eigenen ist.
Er reportet dann sofort eine Doubled IP Adress als Warning in seinem Syslog oder Logging.
Filtern dort bringt dann herzlich wenig logischerweise.
Vergebe doch die IPs per DHCP und mache DHCP Spoofing im Netz. Damit schliesst du dopplte IPs so gut wie komplett aus in den Segmenten und mit dem DHCP Spoofing auf den Switches gehst du auch auf Nummer sicher das dir keinen einen fremden DHCP dort unterjubelt im User Segment.
Wär ja auch ne Option. OK, verhindert natürlich nicht den Spaßvogel der euch ärgern will und einen RasPi mit der Gateway Adresse ins Netzwerk klemmt und sich einen feixt weil die anderen dann nix mehr machen können...
Bitte warten ..
Mitglied: FiRE93
19.05.2018 um 21:40 Uhr
ha dhcp spoofing hab ich auch mal überlegt. aber is irgendwie schwierig zu konfigurieren.
der DHCP Server, bei uns Kea, läuft zur Zeit im Docker auf einem Server. muss ich dann aif dem Aruba en Relay eintragen? Und die Mikrotik Switche können DHCP snooping,ist das sowas?
Bitte warten ..
Mitglied: aqui
19.05.2018 um 22:06 Uhr
aber is irgendwie schwierig zu konfigurieren.
Na kommm...nicht dein Ernst, oder ??
2 popelige Konfig Zeilen dann rennt der Kram. Das ist ja nun wirklich ne Lachnummer.
muss ich dann aif dem Aruba en Relay eintragen?
Ja ! Die Aruba Gurke muss die DHCP Requests ja weiterleiten. Router blocken prinzipienbedingt ja UDP Broadcasts wie der Netzwerker weiss
Und die Mikrotik Switche können DHCP snooping
Perfekt !
Bitte warten ..
Ähnliche Inhalte
Windows Server

Doppelten Dateizugriff auf Windows Server 2008 RC2 verhindern

Frage von MischmasterWindows Server4 Kommentare

Hi, ich haben hier einen WIndows Server 2008 RC2. Auf diesem liegen ziemlich viele PDFs, die von ca 30 ...

Windows Netzwerk

IP Adresskonflikt - doppelte Belegung möglich?

Frage von DeeJayBeeWindows Netzwerk6 Kommentare

Hallo zusammen, ich habe heute morgen schon die ganze Zeit mit einem Drucker gekämpft, der ständig immer mal wieder ...

Windows Netzwerk

IP PC als Default-Gateway-IP verwenden

gelöst Frage von NoobLevel10Windows Netzwerk10 Kommentare

Hallo Zusammen, wenn ich die IP meines PCs nicht über DHCP vergeben lasse, sondern selbst konfiguriere und dann die ...

E-Mail

Wie kann ich verhindern das unsere IP bei backscatterer.org gelistet wird?

gelöst Frage von jojo0411E-Mail8 Kommentare

Hallo Leute, Wir betreiben einen Exchange 2010 und sind anscheinend seit über einem Jahr bei backscatterer.org gelistet. Ohne das ...

Neue Wissensbeiträge
Windows Server

Scheduled Task zum Log - Löschen direkt aus der SCOM Console

Tipp von Juanito vor 1 StundeWindows Server

SCOM Agent Task - Create Log Deletion Job Einleitung: Viele Applikationen und Dienste die auf Servern laufen erstellen Log ...

Humor (lol)

Ratgeber: Die wichtigsten Fragen und Antworten zur neuen Datenschutz-Grundverordnung (DSGVO)

Information von BassFishFox vor 1 StundeHumor (lol)

Hier bleiben keine Fragen offen. ;-)

Humor (lol)
Wieder mal DSGVO
Information von brammer vor 13 StundenHumor (lol)2 Kommentare

Mal was zum Lachen: Der Countdown zur Datenschutz-Grundverordnung läuft. Ab 25. Mai sollte man folgende Regeln beachten: Visitenkarten nur ...

Router & Routing

Cisco Talos deckt riesiges Router- und NAS-Botnetz auf

Tipp von Bosnigel vor 13 StundenRouter & Routing

Anscheinend kommt da wieder was auf uns zu: Gruß Bosnigel

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Powerline über zwei Stockwerke optimieren
gelöst Frage von DultusLAN, WAN, Wireless45 Kommentare

Guten Morgen liebes Forum, ich hätte einmal eine Frage bezüglich Powerline Adapter: Mein Problem ist seit gestern präsent, da ...

HTML
Link nicht vollständig
Frage von jensgebkenHTML32 Kommentare

Hallo Gemeinschaft, ich erstelle mit Word einen Serienbrief, den ich per Mail versende. Nun mein Problem der Wordserienbrief holt ...

Datenschutz
E-Mail Verschlüsselung DSGVO 2018
Frage von SoccerdeluxDatenschutz27 Kommentare

Hallo zusammen, ich verzweifele langsam und wende mich an euch und hoffe vielleicht ein paar Antworten zu finden. Ich ...

Rechtliche Fragen
DISKUSSION: Was bringt der Disclaimer "Wenn Sie nicht der Empfänger sind."
Frage von N8DragonRechtliche Fragen23 Kommentare

So oder ähnlich, lese ich immer wieder Kleingedrucktes am Ende diverser Mails. Letzten Endes wollen sie mir alle sagen, ...