Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Private Isolated VLANS mit PFSense

Mitglied: Marco-83

Marco-83 (Level 1) - Jetzt verbinden

28.08.2014 um 16:15 Uhr, 2267 Aufrufe, 5 Kommentare

Guten Tag zusammen,

vielleicht kann mir jemand die Frage schnell beantworten:

Wir haben eine vSphere Umgebung in welcher auf einem distributed Switch einige VM's hängen, dessen Traffic ich gerne auf Layer2 untereinander abschirmen möchte. Dazu habe ich den distributed Switch mit VLAN1000 im Promiscuous Mode konfiguriert und VLAN 1001 als Isolated/Private angelegt.

Soweit so gut. Nun sind ja von der VMWare seite die Maschinen gegeneinander Isoliert.

Klar ist mir ebenfalls, dass ich um ein isoliertes VLAN zu betreiben einen Switch bzw eine Hardware brauche, welche dieses unterstützt. Zwischen dem virtuellem Switch und dem Internet hängt bislang eine PFSense Firewall. Nach div. Versuchen und gedankelichen Ansätzen habe ich allerdings einen Knoten im Kopf und bekomme den Isolierten Traffic auf der PFSense nicht wieder aufgelöst. Kann PFSense überhaupt damit um? Oder komme ich um einen weiteren Switch nicht rum?

Danke für eure Antworten

Mitglied: aqui
28.08.2014, aktualisiert um 17:01 Uhr
Das ist keine Frage der pfSende sondern deines Switches. Ein isolated VLAN blockt alle Broad- und Multicasts zu den Teilnehnemerports und damit auch ARP Requests was dann eine Kommunikation der Teilnehmer untereinander unmöglich macht. Der tiefere Sinn von Private VLANs um Teilnehmer Kommunikation untereinander sicher zu unterbinden.
Soweit so gut... In einem P-VLAN definiert man aber immer einen oder mehrere Uplink Ports wo eben Broadcast normal gesendet werden und über die das P-VLAN kommuniziert. Muss ja auch so sein wenn man aus diesem P-VLAN kommunizieren will und muss.
An diesen definierten Uplink Ports hängt dann ein Router oder Uplink Switch...bei dir dann die pfSense.
So einfach ist das...
Bitte warten ..
Mitglied: Marco-83
29.08.2014 um 13:41 Uhr
Hallo Aqui, danke zunächst für deine Antwort. Nur noch um es genau zu vestehen, zeichne ich es kurz auf ;)


ESXi Server mit VMs an einem distributed Switch (Pvlan /1000/1001) ------------------>Switch------------------->PFSense

Also hat der ESXi ganz einfach gesagt von seinem distributed Switch einen Uplink auf einen Switch auf dem auch die anderen Hosts hängen.Von dort aus geht es auf die PFSense.

Also muss ich ja auf dem Switch entsprechend auch die VLANS konfigurieren. Ohne diesen Switch Ginge es ja nicht oder? ESXi Uplink(physikalisch) auf PFSense meine ich.
Bitte warten ..
Mitglied: aqui
29.08.2014 um 17:19 Uhr
Klingt etwas verwirrend was du schreibst. Ich versuchs nochmal..

Die definierst erstmal auf deinem Switch das PVLAN und weisst dem PVLAN die Userports zu.
Dan definierst du in dem PVLAN die Uplink Ports. Das sind die Ports in denen das PVLAN KEIN Broad- und Multicast Blocking macht, sprich also die Ports über die die User (die nicht untereinander kommunizieren können) mit gewollten Endgeräten kommunizieren wie z.B. bei dir der Server und die pfSense.

Liegt zwischen dem PVLAN Switch und dem Endgerät (hier der pfSense) noch einweiterer Switch musst du natürlich aufpassen das du hier nur die Uplinks durchreichst. Das kann dann ein VLAN sein mit der gleichen PVLAN ID aber eben als normales VLAN definiert.
Logischerweise musst du hier aufpassen das du dort keine Userports hast, denn sonst kontergarierst du dein PVLAN.
Idealerweise tagged man die Uplinks die man damit durchreicht um so eine gewisse Sicherheit zu haben gegen untagged Traffic.

ESXi Uplink physikalisch auf die pfSense geht auch, denn die pfSense versteht ja auch tagged_Traffic nur irgendwo hast du ja auch deine Enduserports dran, oder ? Das wird ja auch irgendwie ein physischer Switch sein.
Bitte warten ..
Mitglied: Marco-83
01.09.2014, aktualisiert um 15:34 Uhr
Jetzt wurde es verstanden... bedankt ;)

ESXi Uplink auf die PFSense war physikalisch, allerdings musste ich eh einen switch setzen wegen dem zweiten Host. Der muss ja auch irgendwie mit der Außenwelt kommunizieren ;)

Nach innen gibt es keine Ports, das ist ein System, wo einige VM's laufen, wo Kunden ihre Software und ihr Projekt testen können(Von außen). Aber es gibt ja immer wieder Bösewichte, die gerne mal alles ausprobieren und Schnüffeln, wer sich da sonst sonst noch so auf einem Kanal mit ihnen unterhält. Darum wollte ich die Kommunikation unter den VM's auf jeden Fall sicher unterbinden. Sind zwar keine brisanten Daten, aber muss trotzdem nicht sein.

Danke für die Hilfe
Bitte warten ..
Mitglied: aqui
03.09.2014 um 19:48 Uhr
Immer gerne wieder...
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Pfsense Bridge vom ISP zum Vlan
gelöst Frage von danielKDRouter & Routing5 Kommentare

Hallo, unterstehend mein Netzwerk. Vielen Dank an aqui und die anderen Beteiligten für die tollen Dokus in: Ich habe ...

Router & Routing

PfSense: Zugriff auf Server von anderem VLAN

Frage von mabue88Router & Routing3 Kommentare

Hi, habe mal wieder ein Problem an dem ich hänge pfSense mit mehreren VLANs. In einem VLAN (ID 1) ...

LAN, WAN, Wireless

Vlan Isolation nötig in PFsense

gelöst Frage von trollmarLAN, WAN, Wireless7 Kommentare

Hi, besitze einen Pfsense Router dieser ist über ein NIC mit einem Smart Switch verbunden. Am Smart Switch hängt ...

LAN, WAN, Wireless

PFsense DHCP arbeitet nicht im VLAN

gelöst Frage von sleeplessnightLAN, WAN, Wireless5 Kommentare

Hallo ihr, ich habe ein vorher funktionierendes Netzwerk mit VLAN's mit der PFsense übernommen. Ich sag das extra, damit ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 6 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 18 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 20 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 21 StundenMicrosoft12 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server34 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...