Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Private Isolated VLANS mit PFSense

Frage Netzwerke Router & Routing

Mitglied: Marco-83

Marco-83 (Level 1) - Jetzt verbinden

28.08.2014 um 16:15 Uhr, 2193 Aufrufe, 5 Kommentare

Guten Tag zusammen,

vielleicht kann mir jemand die Frage schnell beantworten:

Wir haben eine vSphere Umgebung in welcher auf einem distributed Switch einige VM's hängen, dessen Traffic ich gerne auf Layer2 untereinander abschirmen möchte. Dazu habe ich den distributed Switch mit VLAN1000 im Promiscuous Mode konfiguriert und VLAN 1001 als Isolated/Private angelegt.

Soweit so gut. Nun sind ja von der VMWare seite die Maschinen gegeneinander Isoliert.

Klar ist mir ebenfalls, dass ich um ein isoliertes VLAN zu betreiben einen Switch bzw eine Hardware brauche, welche dieses unterstützt. Zwischen dem virtuellem Switch und dem Internet hängt bislang eine PFSense Firewall. Nach div. Versuchen und gedankelichen Ansätzen habe ich allerdings einen Knoten im Kopf und bekomme den Isolierten Traffic auf der PFSense nicht wieder aufgelöst. Kann PFSense überhaupt damit um? Oder komme ich um einen weiteren Switch nicht rum?

Danke für eure Antworten

Mitglied: aqui
28.08.2014, aktualisiert um 17:01 Uhr
Das ist keine Frage der pfSende sondern deines Switches. Ein isolated VLAN blockt alle Broad- und Multicasts zu den Teilnehnemerports und damit auch ARP Requests was dann eine Kommunikation der Teilnehmer untereinander unmöglich macht. Der tiefere Sinn von Private VLANs um Teilnehmer Kommunikation untereinander sicher zu unterbinden.
Soweit so gut... In einem P-VLAN definiert man aber immer einen oder mehrere Uplink Ports wo eben Broadcast normal gesendet werden und über die das P-VLAN kommuniziert. Muss ja auch so sein wenn man aus diesem P-VLAN kommunizieren will und muss.
An diesen definierten Uplink Ports hängt dann ein Router oder Uplink Switch...bei dir dann die pfSense.
So einfach ist das...
Bitte warten ..
Mitglied: Marco-83
29.08.2014 um 13:41 Uhr
Hallo Aqui, danke zunächst für deine Antwort. Nur noch um es genau zu vestehen, zeichne ich es kurz auf ;)


ESXi Server mit VMs an einem distributed Switch (Pvlan /1000/1001) ------------------>Switch------------------->PFSense

Also hat der ESXi ganz einfach gesagt von seinem distributed Switch einen Uplink auf einen Switch auf dem auch die anderen Hosts hängen.Von dort aus geht es auf die PFSense.

Also muss ich ja auf dem Switch entsprechend auch die VLANS konfigurieren. Ohne diesen Switch Ginge es ja nicht oder? ESXi Uplink(physikalisch) auf PFSense meine ich.
Bitte warten ..
Mitglied: aqui
29.08.2014 um 17:19 Uhr
Klingt etwas verwirrend was du schreibst. Ich versuchs nochmal..

Die definierst erstmal auf deinem Switch das PVLAN und weisst dem PVLAN die Userports zu.
Dan definierst du in dem PVLAN die Uplink Ports. Das sind die Ports in denen das PVLAN KEIN Broad- und Multicast Blocking macht, sprich also die Ports über die die User (die nicht untereinander kommunizieren können) mit gewollten Endgeräten kommunizieren wie z.B. bei dir der Server und die pfSense.

Liegt zwischen dem PVLAN Switch und dem Endgerät (hier der pfSense) noch einweiterer Switch musst du natürlich aufpassen das du hier nur die Uplinks durchreichst. Das kann dann ein VLAN sein mit der gleichen PVLAN ID aber eben als normales VLAN definiert.
Logischerweise musst du hier aufpassen das du dort keine Userports hast, denn sonst kontergarierst du dein PVLAN.
Idealerweise tagged man die Uplinks die man damit durchreicht um so eine gewisse Sicherheit zu haben gegen untagged Traffic.

ESXi Uplink physikalisch auf die pfSense geht auch, denn die pfSense versteht ja auch tagged_Traffic nur irgendwo hast du ja auch deine Enduserports dran, oder ? Das wird ja auch irgendwie ein physischer Switch sein.
Bitte warten ..
Mitglied: Marco-83
01.09.2014, aktualisiert um 15:34 Uhr
Jetzt wurde es verstanden... bedankt ;)

ESXi Uplink auf die PFSense war physikalisch, allerdings musste ich eh einen switch setzen wegen dem zweiten Host. Der muss ja auch irgendwie mit der Außenwelt kommunizieren ;)

Nach innen gibt es keine Ports, das ist ein System, wo einige VM's laufen, wo Kunden ihre Software und ihr Projekt testen können(Von außen). Aber es gibt ja immer wieder Bösewichte, die gerne mal alles ausprobieren und Schnüffeln, wer sich da sonst sonst noch so auf einem Kanal mit ihnen unterhält. Darum wollte ich die Kommunikation unter den VM's auf jeden Fall sicher unterbinden. Sind zwar keine brisanten Daten, aber muss trotzdem nicht sein.

Danke für die Hilfe
Bitte warten ..
Mitglied: aqui
03.09.2014 um 19:48 Uhr
Immer gerne wieder...
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Pfsense Bridge vom ISP zum Vlan
gelöst Frage von danielKDRouter & Routing5 Kommentare

Hallo, unterstehend mein Netzwerk. Vielen Dank an aqui und die anderen Beteiligten für die tollen Dokus in: Ich habe ...

LAN, WAN, Wireless
Vlan Isolation nötig in PFsense
gelöst Frage von trollmarLAN, WAN, Wireless7 Kommentare

Hi, besitze einen Pfsense Router dieser ist über ein NIC mit einem Smart Switch verbunden. Am Smart Switch hängt ...

LAN, WAN, Wireless
PFsense DHCP arbeitet nicht im VLAN
gelöst Frage von sleeplessnightLAN, WAN, Wireless5 Kommentare

Hallo ihr, ich habe ein vorher funktionierendes Netzwerk mit VLAN's mit der PFsense übernommen. Ich sag das extra, damit ...

Router & Routing
PfSense: Zugriff auf Server von anderem VLAN
Frage von mabue88Router & Routing3 Kommentare

Hi, habe mal wieder ein Problem an dem ich hänge pfSense mit mehreren VLANs. In einem VLAN (ID 1) ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 3 StundenVerschlüsselung & Zertifikate

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 14 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 16 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...