Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

GELÖST

Pfsense VLAN HP Switch Problem

Mitglied: chewbacca

chewbacca (Level 1) - Jetzt verbinden

02.05.2011, aktualisiert 18.10.2012, 7530 Aufrufe, 6 Kommentare, 1 Danke

Hallo,

ich habe einen HP 2910al als Router zwischen 3 Vlan laufen. Wo bei im Servernetz ein Server als DHCP, PDC, DNS usw. steht.

Netze 192.168.0.0/24, 192.168.6.0/24, 192.168.1.0/24

Server
ip 192.168.6.2
dns 192.168.6.2
dns forward 192.168.6.1 (Pfsense)
gateway 192.168.6.12

Der Switch routet dann in die jeweiligen Vlans und mit ip-helper-address funktioniert auch DHCP.

Switch HP 2910al
Vlan 1 default name "System"
ip 192.168.0.12

Vlan 10 name "Server "
ip 192.168.6.12

Vlan 20 name "Clients "
ip 192.168.1.12

Das Ganze funktioniert auch alles soweit, ab jetzt wird es kompliziert. Ich habe ein Iface 1 eingericht wo die Firewall(Pfsense) dran ist. Vlan 10 und Vlan 20 haben iface 1 als tagged und Vlan 1 natürlich untagged.

Pfsense ist auch soweit eingerichtet, wenn ich den Clients oder den Server den jeweiligen Gateway von Pfsense gebe, dann komme ich auch ins Internet. Nur funktionieren dann natürlich die Switch internen Routen nicht mehr. Also habe ich beim Servernetz den Gateway auf den Switch gesetzt -> 192.168.6.12 und der Switch hat die Default Route zum Pfsense ->192.168.0.1 .

Auf den Pfsense habe ich dann Vlan 10 den Gateway 192.168.6.12 (192.168.0.12 habe ich auch probiert) gegeben und eine statische Route auf das Netz 192.168..6.0/24. Aber das funktioniert nicht, leider... Was mache ich verkehrt? Die Roules auf den Pfsense sind noch nicht gehärtet, also zum Testen erstmal Scheunentor Regel.

Danke
Mitglied: aqui
03.05.2011 um 10:16 Uhr
Bevor wir hier ins Eingemachte gehen stellt sich die generelle Frage: Was willst du erreichen ?? Soll...
a.) Die pfSense FW lediglich ein Gateway ins Internet sein, dann macht es mehr Sinn diese nicht tagged anzuschliessen sondern noch ein weiteres VLAN "Internet" einzurichten und sie dareinzuhängen. Oder...
b.) Willst du zwischen den einzelnen VLANs auf dem Switch mit entsprechenden Firewall Regeln arbeiten und den Zugang reglementieren ?
Dann wäre deine Konfig unsinnig denn so hast du ja 2 dann parallele Router (FW und Switch) zwischen den VLANs !
Je nachdem wie ein Client dann seine Gateway IP einstellt umgeht er problemlos deine Firewallregeln was deine Konfig dann unsinnig macht und man dann besser das Routing auf dem Switch unterbindet und außschlioesslich über die FW macht...
Was also genau hast du vor bzw. was ist dein Ziel ?
Bitte warten ..
Mitglied: chewbacca
03.05.2011 um 13:55 Uhr
Hallo Aqui,

danke erstmal für die Antwort. Ich verstehe was du meinst und sehe es genauso. Das Routing auf den Switch soll erhalten bleiben und Pfsense nur als Gateway dienen. Eine Ausnahme ist ein Gastzugang der soll DHCP und Internet direkt über Pfsense erhalten. Das Routing zwischen den Vlans auf den Switch habe ich über Accesslisten geregelt.

Also enstscheide ich mich für a... Also ich erkläre mal was ich erreichen will.

Netze
192.168.0.0/24 System Vlan
192.168.1.0/24 Verwaltung Lan
192.168.2.0/24 Schüler Lan
192.168.3.0/24 Media Lan
192.168.4.0/24 Verwaltung Wlan
192.168.5.0/24 Schüler Wlan
192.168.6.0/24 Server LAn
192.168.7.0/24 Gäste Wlan

Gäste Wlan soll direkt von Pfsense verwaltet werden über Captive portal und soll auch seine DHCP Lease von dort bekommen. Der Rest darf ins Server Lan wobei über ACL´s geregelt ist welcher Server. Ansonsten sind die Netze alle deny any. Das mache ich alles mit den Switch.

Wie würdest du denn in solch einen Fall jetzt vorgehen?

Danke
Bitte warten ..
Mitglied: aqui
03.05.2011, aktualisiert 18.10.2012
Die Lösung ist ganz einfach:
  • Du richtest zusätzlich ein "Internet" VLAN ein z.B. mit der ID 99. Das macht man deshalb damit das Internet nicht durch eins der obigen Produktiv VLANs geschleift wird und der Switch das dann direkt auf die Monowall Richtung Internet Routen kann.
  • Der HP Switch bekommt eine statische default Route auf die Monowall IP im VLAN 99 (Internet) ala ip route 0.0.0.0 0.0.0.0 192.168.99.254.
  • Wenn du das Gäste VLAN einrichtest darf dies KEIN IP Interface auf dem HP Switch haben, denn damit ist dann ein "Backdoor" Routing auf dem Switch komplett unmöglich. Das Gäste VLAN auf dem Switch ist hier nur Transportvehikel und IP setig komplett isoliert. IP, DHCP usw. kommt von der Firewall wo du das entsprechend einrichtest.
  • Als nächstes richtest du einen tagged Link auf dem HP Switch ein auf dem NUR VLAN 99 (Internet) und das Gäste VLAN (Beispiel hier VLAN 7 passend zum 3ten Byte in der IP ) tagged übertragen werden. (Hier Port 1 im Beispiel)
Die Switch Konfig dann entsprechend:
interface 1
name "Tagged Link zur pfSense"
exit
vlan 7
name "Gaeste"
untagged x-y
tagged 1
exit
vlan 20
name "Internet"
ip address 192.168.99.254 255.255.255.0
tagged 1
exit


Auf der pfSense richtest du nun am LAN Port oder deinem Port der Wahl das Interface bzw. die entsprechenden Parent Interfaces ein wie hier im Tutorial beschrieben:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Fertig ist der Lack ! Wenn du alles richtig gemacht hast sieht das so aus:
415a4e2d421c6559dd7c7582a102b480 - Klicke auf das Bild, um es zu vergrößern
Damit wird jetzt nur der "normale" Internet Zugang für alle VLANs am Switch über das Internet VLAN 99 abgewickelt.
Das Gäste VLAN ist isoliert von der Switch IP Konfig und wird ausschliesslich über das VLAN Interface 7 an der pfSense mit DHCP, CP usw. bedient.
Ist eigentlich ganz einfach und im Handumdrehen aufgesetzt.
Die Details beschreibt dir ja Schritt für Schritt das o.a. Tutorial

Wenn du mehrere Interfaces in der pfSense hast kannst du den Gast VLAN Link auch getrennt rausführen. Das ist zwar nicht ganz so elegant wie die Möglichkeit mit dem tagged Link und erfordert mehr Kabelage aber für ängstliche Gemüter die Gast VLANs besser physisch getrennt haben möchten auf einem separaten Interface dann die Alternative.
Hier ziehst du dann keinen tagged Link an Port 1 (Beispiel) sondern 2 ganz normale untagged Ports, eins im VLAN 99, das du dann auf den pfSense LAN Port steckst und eins untagged im VLAN 7, das dann auf den separaten OPT Port kommt.
So ein Szenario sähe dann so aus:
21a2cf8693db79989a322850e332decb - Klicke auf das Bild, um es zu vergrößern

Beide Möglichkeiten führen problemlos erfolgreich zum Ziel je nachdem was für ein Umfeld bzw. Anforderungen du hast !
So ein bischen zusätzliche Hilfe (aber nicht viel, denn hier oben ist ja alles geklärt !) bietet auch dieser_Thread
Bitte warten ..
Mitglied: chewbacca
03.05.2011 um 16:38 Uhr
Ich danke dir erstmal, lasse aber den Thread bis zur Erfolgsmeldung offen... So ähnlich hatte ich mir das auch gedacht, nur hatte ich ebend den Denkfehler das ich ein zweites Routing baue anstatt einen Internetgateway. Das Gäste Vlan hat auch keine IP am Switch sowie ein weiteres, in der Hinsicht hatte ich schon aufgepasst. Ich hatte einfach zu kompliziert gedacht wahrscheinlich.

Eine Frage habe ich noch, welchen Programm nutzt du für diese schönen Pläne?

Danke ich mache mich jetzt an die Umsetzung
Bitte warten ..
Mitglied: aqui
04.05.2011 um 11:02 Uhr
Vergiss die statischen Routen für die VLANs in der pfSense nicht die ins Internet dürfen wie in der PM bereits bemerkt !
Damit sollte das dann sauber klappen !
Bitte warten ..
Mitglied: chewbacca
04.05.2011 um 12:43 Uhr
Genau das war es... großen Dank an aqui für die Hilfe.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VLAN auf HP Switch hat kein Internetzugriff
gelöst Frage von Ch3p4cKRouter & Routing4 Kommentare

Hallo zusammen. Ich hoffe mir kann jemand helfen. Ich bin gerade dabei ein HP Switch zu konfigurieren (HP ProCurve ...

Netzwerkmanagement
Wie stelle ich das VLAN im HP-Switch ein?
gelöst Frage von hellobello25Netzwerkmanagement2 Kommentare

Ich hab ein HP 1810-24G und ein Netgear Gs108Ev2 Es geht um folgendes: Beim Netgear kann ich zb port ...

LAN, WAN, Wireless
LANCOM VLAN mit HP Switch?
Frage von TBTuR0kLAN, WAN, Wireless1 Kommentar

Guten Abend liebe Admins, ich habe ein kleines Problem mit meinem aktuellen Projekt und weiß nach 3 Tagen rumprobieren ...

Netzwerke
VLAN Problem zwischen Switch und Router
gelöst Frage von Diddi93Netzwerke3 Kommentare

Hallo liebe Community, Ich bin im Moment dabei ein Netzwerk einzurichten und verschiedene Geräte via VLAN's von einander zu ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 6 StundenRouter & Routing2 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 12 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 17 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...

Sonstige Systeme
7-zip: Programm frägt nach Passwort erst bei einzelnen Dateien
Frage von freeskierchrisSonstige Systeme7 Kommentare

Guten Morgen, ich habe ein Problem beim Arbeiten mit 7-zip: Wenn ich die einzelnen Dateien zu einem Archiv verpacke ...