Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Private Isolated VLANS mit PFSense

Frage Netzwerke Router & Routing

Mitglied: Marco-83

Marco-83 (Level 1) - Jetzt verbinden

28.08.2014 um 16:15 Uhr, 1802 Aufrufe, 5 Kommentare

Guten Tag zusammen,

vielleicht kann mir jemand die Frage schnell beantworten:

Wir haben eine vSphere Umgebung in welcher auf einem distributed Switch einige VM's hängen, dessen Traffic ich gerne auf Layer2 untereinander abschirmen möchte. Dazu habe ich den distributed Switch mit VLAN1000 im Promiscuous Mode konfiguriert und VLAN 1001 als Isolated/Private angelegt.

Soweit so gut. Nun sind ja von der VMWare seite die Maschinen gegeneinander Isoliert.

Klar ist mir ebenfalls, dass ich um ein isoliertes VLAN zu betreiben einen Switch bzw eine Hardware brauche, welche dieses unterstützt. Zwischen dem virtuellem Switch und dem Internet hängt bislang eine PFSense Firewall. Nach div. Versuchen und gedankelichen Ansätzen habe ich allerdings einen Knoten im Kopf und bekomme den Isolierten Traffic auf der PFSense nicht wieder aufgelöst. Kann PFSense überhaupt damit um? Oder komme ich um einen weiteren Switch nicht rum?

Danke für eure Antworten

Mitglied: aqui
28.08.2014, aktualisiert um 17:01 Uhr
Das ist keine Frage der pfSende sondern deines Switches. Ein isolated VLAN blockt alle Broad- und Multicasts zu den Teilnehnemerports und damit auch ARP Requests was dann eine Kommunikation der Teilnehmer untereinander unmöglich macht. Der tiefere Sinn von Private VLANs um Teilnehmer Kommunikation untereinander sicher zu unterbinden.
Soweit so gut... In einem P-VLAN definiert man aber immer einen oder mehrere Uplink Ports wo eben Broadcast normal gesendet werden und über die das P-VLAN kommuniziert. Muss ja auch so sein wenn man aus diesem P-VLAN kommunizieren will und muss.
An diesen definierten Uplink Ports hängt dann ein Router oder Uplink Switch...bei dir dann die pfSense.
So einfach ist das...
Bitte warten ..
Mitglied: Marco-83
29.08.2014 um 13:41 Uhr
Hallo Aqui, danke zunächst für deine Antwort. Nur noch um es genau zu vestehen, zeichne ich es kurz auf ;)


ESXi Server mit VMs an einem distributed Switch (Pvlan /1000/1001) ------------------>Switch------------------->PFSense

Also hat der ESXi ganz einfach gesagt von seinem distributed Switch einen Uplink auf einen Switch auf dem auch die anderen Hosts hängen.Von dort aus geht es auf die PFSense.

Also muss ich ja auf dem Switch entsprechend auch die VLANS konfigurieren. Ohne diesen Switch Ginge es ja nicht oder? ESXi Uplink(physikalisch) auf PFSense meine ich.
Bitte warten ..
Mitglied: aqui
29.08.2014 um 17:19 Uhr
Klingt etwas verwirrend was du schreibst. Ich versuchs nochmal..

Die definierst erstmal auf deinem Switch das PVLAN und weisst dem PVLAN die Userports zu.
Dan definierst du in dem PVLAN die Uplink Ports. Das sind die Ports in denen das PVLAN KEIN Broad- und Multicast Blocking macht, sprich also die Ports über die die User (die nicht untereinander kommunizieren können) mit gewollten Endgeräten kommunizieren wie z.B. bei dir der Server und die pfSense.

Liegt zwischen dem PVLAN Switch und dem Endgerät (hier der pfSense) noch einweiterer Switch musst du natürlich aufpassen das du hier nur die Uplinks durchreichst. Das kann dann ein VLAN sein mit der gleichen PVLAN ID aber eben als normales VLAN definiert.
Logischerweise musst du hier aufpassen das du dort keine Userports hast, denn sonst kontergarierst du dein PVLAN.
Idealerweise tagged man die Uplinks die man damit durchreicht um so eine gewisse Sicherheit zu haben gegen untagged Traffic.

ESXi Uplink physikalisch auf die pfSense geht auch, denn die pfSense versteht ja auch tagged_Traffic nur irgendwo hast du ja auch deine Enduserports dran, oder ? Das wird ja auch irgendwie ein physischer Switch sein.
Bitte warten ..
Mitglied: Marco-83
01.09.2014, aktualisiert um 15:34 Uhr
Jetzt wurde es verstanden... bedankt ;)

ESXi Uplink auf die PFSense war physikalisch, allerdings musste ich eh einen switch setzen wegen dem zweiten Host. Der muss ja auch irgendwie mit der Außenwelt kommunizieren ;)

Nach innen gibt es keine Ports, das ist ein System, wo einige VM's laufen, wo Kunden ihre Software und ihr Projekt testen können(Von außen). Aber es gibt ja immer wieder Bösewichte, die gerne mal alles ausprobieren und Schnüffeln, wer sich da sonst sonst noch so auf einem Kanal mit ihnen unterhält. Darum wollte ich die Kommunikation unter den VM's auf jeden Fall sicher unterbinden. Sind zwar keine brisanten Daten, aber muss trotzdem nicht sein.

Danke für die Hilfe
Bitte warten ..
Mitglied: aqui
03.09.2014 um 19:48 Uhr
Immer gerne wieder...
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Router & Routing
gelöst Sind virtuelle Interface mit VLANs bei einer PFSense möglich? (4)

Frage von StefanKittel zum Thema Router & Routing ...

Firewall
gelöst PfSense - DMZ und LAN auf selbem Port mit VLANs? (3)

Frage von PPR-Dev zum Thema Firewall ...

LAN, WAN, Wireless
VLAN mit pfSense Routing: Server als Mitglied in mehreren VLANs (1)

Frage von Ruuder zum Thema LAN, WAN, Wireless ...

Netzwerke
gelöst Zugriff auf Server von verschiedenen VLANs aus (7)

Frage von Kroeger02 zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...