12
StatischeRouteSRX5308
Hallo zusammen,
Als erstes mal, dieses Forum hat mir schon ne Menge Fragen durch lesen beantwortet, danke dafür...
Jetzt bin ich aber an einem Punkt wo ich keine Antwort gefunden hab, auf ein Problem was eigentlich logisch einfach wäre!!!
Gerät:
Netgear VPN/Firewall SRX5308
ersmal ganz einfach konfiguriert auf einem WAN Port ein DSL.
2 VLans konfiguriert:
1. Gateway 192.168.24.1/24 an Lan 1
2. Gateway 192.168.25.1/24 mit DHCP 150-200 an Lan 2
Soweit funktioniert alles komme von beiden Netzen raus (is ja auch nich schwer...)
Jetzt will ich vom 2. VLAN im ersten ein Gerät erreichen (kein PC aber eins mit WebIF auf 80 und über extra Programm auf Port2000)
Ich dachte mir eine einfache Route setzen mit "statische Route":
-> Zielgerät mit Subnet 255.255.255.255 weil ich ja nur das Gerät ansprechen will, sagt mir der Router auch)
-> Gateway des Zielnetzes also 192.168.24.1
-> "Interface" Lan Port 1
-> Metric 2 (is ja glaub ich erstmal egal)
Ergebniss
- Im gleichen VLAN erreiche ich das Gerät
- Vom anderen VLan nicht
- ich kann beide Gateways von beiden VLans anpingen
- ich komme nicht von VLAN zu VLAN auf das Gerät..
Eigentlich ganz easy aber geht nix. Kann mr jemand die Binde von den Augen nehmen.... danke
Netgear VPN/Firewall SRX5308
ersmal ganz einfach konfiguriert auf einem WAN Port ein DSL.
2 VLans konfiguriert:
1. Gateway 192.168.24.1/24 an Lan 1
2. Gateway 192.168.25.1/24 mit DHCP 150-200 an Lan 2
Soweit funktioniert alles komme von beiden Netzen raus (is ja auch nich schwer...)
Jetzt will ich vom 2. VLAN im ersten ein Gerät erreichen (kein PC aber eins mit WebIF auf 80 und über extra Programm auf Port2000)
Ich dachte mir eine einfache Route setzen mit "statische Route":
-> Zielgerät mit Subnet 255.255.255.255 weil ich ja nur das Gerät ansprechen will, sagt mir der Router auch)
-> Gateway des Zielnetzes also 192.168.24.1
-> "Interface" Lan Port 1
-> Metric 2 (is ja glaub ich erstmal egal)
Ergebniss
- Im gleichen VLAN erreiche ich das Gerät
- Vom anderen VLan nicht
- ich kann beide Gateways von beiden VLans anpingen
- ich komme nicht von VLAN zu VLAN auf das Gerät..
Eigentlich ganz easy aber geht nix. Kann mr jemand die Binde von den Augen nehmen
.... danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 203424
Url: https://administrator.de/contentid/203424
Printed on: May 5, 2024 at 02:05 o'clock
12 Comments
Latest comment
Das ist Blödsinn das mit einer Route lösen zu wollen !! Wozu auch ??? An deiner NetGear Gurke sind doch beide IP Netzwerke DIREKT angeschlossen, der NG "kennt" damit alle diese IP Netze logischerweise.
Eine Route ist da dann barer Unsinn speziell eine Hostroute mit einer 32er Maske wie bei dir, weisst du vermutlich auch selber, oder auch nicht sonst würdest du so einen Frickelunsinn nicht machen !
Vergiss da also und entfernen diesen "Routenquatsch" wieder !
Du hast eine Firewall wie du selber schreibst und bei einer Firewalls gilt ganz strikt: "Es ist alles verboten was nicht ausdrücklich erlaubt ist !!!"
Änder also in den Firewall Regeln auf den einzelnen VLAN IP Interfaces im NG die Zugangsbeschränkungen bzw. Regeln, dann kannst du auch lokal zw. beiden VLANs kommunizieren !
Dieser Thread erklärt dir die Grundlagen dazu und gibt auch etwas Hilfestellung:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Einzig DAS (also die Firewallregeln) ist dein Problem und keine Routen...logo !
Ist zwar für eine andere Firewall die ToDos sind aber exakt dieselben !
Eine Route ist da dann barer Unsinn speziell eine Hostroute mit einer 32er Maske wie bei dir, weisst du vermutlich auch selber, oder auch nicht sonst würdest du so einen Frickelunsinn nicht machen !
Vergiss da also und entfernen diesen "Routenquatsch" wieder !
Du hast eine Firewall wie du selber schreibst und bei einer Firewalls gilt ganz strikt: "Es ist alles verboten was nicht ausdrücklich erlaubt ist !!!"
Änder also in den Firewall Regeln auf den einzelnen VLAN IP Interfaces im NG die Zugangsbeschränkungen bzw. Regeln, dann kannst du auch lokal zw. beiden VLANs kommunizieren !
Dieser Thread erklärt dir die Grundlagen dazu und gibt auch etwas Hilfestellung:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Einzig DAS (also die Firewallregeln) ist dein Problem und keine Routen...logo !
Ist zwar für eine andere Firewall die ToDos sind aber exakt dieselben !
Ok, danke für den Denkanstoss, versuche mal alles durchzulesen.
Ich dachte mir das mit der Route schon, bin aber wahrscheinlich "verwirrt" weil ich im NG nur "Lan Wan", "DMZ Wan" und "Lan DMZ" Rules machen kann und nirgends Rules für Lan bzw VLans finde.
Ich dachte mir das mit der Route schon, bin aber wahrscheinlich "verwirrt" weil ich im NG nur "Lan Wan", "DMZ Wan" und "Lan DMZ" Rules machen kann und nirgends Rules für Lan bzw VLans finde.
nicht weiter verwunderlich bei NG Schrott. Siehe die zahllosen Leidensthreads hier 
Wenn du Pech hast supportet der NG das gar nicht und die VLAN Ports sind fest immer geblockt. Das wär übel aber bei NG wundert einen nichts mehr...
Mit der obigen Firewall gibt es solche Probleme wenigstens nicht !
Kann aber sein das NG solche Segmente eben "DMZ" oder anders vermurkst nennt. Deren Manauls sind an vielen Stellen unlogisch und da hilft dann oft nur "Trial and Error". Oft funktionierts dann aber.
NG ist leider nicht gerade bekannt für Firewalls eher berühmt berüchtigt....
Wenn du Pech hast supportet der NG das gar nicht und die VLAN Ports sind fest immer geblockt. Das wär übel aber bei NG wundert einen nichts mehr...
Mit der obigen Firewall gibt es solche Probleme wenigstens nicht !
Kann aber sein das NG solche Segmente eben "DMZ" oder anders vermurkst nennt. Deren Manauls sind an vielen Stellen unlogisch und da hilft dann oft nur "Trial and Error". Oft funktionierts dann aber.
NG ist leider nicht gerade bekannt für Firewalls eher berühmt berüchtigt....
neee DMZ is bei diesem NG ein dedizierter Lan Port, muss ich mal weiter testen und hoffen das es irgendwie geht.
Klar sind die Manuals "bescheiden" und es gibt wahrscheinlich viele NG-Leidende aber diese Ding kostet ja auch mal grad 400€ und sollte zumindest die Grundlagenfunktionen eines Routers etc. beherschen.
Wenn nicht gehts ab zurück. Was hast du den für einen Vorschlag für einen Routers mit 4 WAN-Ports, n bisschen Bandbreitenmanagement , Vlan etc in diesem Preissegment!
Klar sind die Manuals "bescheiden" und es gibt wahrscheinlich viele NG-Leidende aber diese Ding kostet ja auch mal grad 400€ und sollte zumindest die Grundlagenfunktionen eines Routers etc. beherschen.
Wenn nicht gehts ab zurück. Was hast du den für einen Vorschlag für einen Routers mit 4 WAN-Ports, n bisschen Bandbreitenmanagement , Vlan etc in diesem Preissegment!
Hallo PhilWagner,
Ich denke Du hast die beiden VLANs an LAN Port 1 & LAN Port 2?
Wenn Du eines der VLANs an dem DMZ Port hast musst das auch
zwingend unter "Multi Homing" eintragen! sonst funktioniert es auch nicht.
Wenn Dir das mit den Firewallregeln zu "hoch" ist, kann man sicherlich auch darüber nachdenken
das eine Gerät aus dem einen VLAN, also das gerät auf das zugegriffen werden soll, zu einem Mitglied
(Member) von beiden VLANs zu machen, aber die Sicherheitseinstellungen dann eben am Switch zu hinterlegen oder fest zu legen via "Port Security" oder ähnlichem was Deine Switche auch immer anbieten.
- Eine Firewall trennt ein Netz von einem oder mehreren anderen Netzen.
Das beide Geräte eine oder mehrere gleiche Funktionen anbieten, macht sie
noch lange nicht zu Geräten der selben Geräteklasse.
Natürlich ist mir auch klar das in den letzten Jahren die Geräte sich immer mehr angleichen und die
Grenzen immer mehr und mehr verschwinden, aber ob Du das nun mit einem MikroTik RB11AHx2 machst oder
einem Netgear Gerät ist völlig "wumpe" die Regeln wirst Du in beide Geräte "eintickern" müssen.
Es sei denn Du holst Dir einen Router der eben alles via Webinterface erlaubt und nur Sachen zum
anklicken hat das geht natürlich auch, gar keine Frage und ist sicherlich auch nichts ehrenrühriges,
wirklich wie gesagt, das ist nichts wofür man sich schämen muss oder sollte, aber dann ist eben eine
Firewall oder ein Router wo man sehr viel bis alles "zu Fuß" eingeben muss auch nicht das richtige Gerät!
Die SRX5308 bietet bei 4 WAN Ports einen Firewallfdurchsatz von ~850 MBit/s und ist sicherlich nicht schlecht,
aber wer mehr oder weniger braucht sollte evtl. einmal bei MikroTik, LANCOM oder Drsaytek nachschauen, klar
für 400 € wird es da bei vielen schon eng mit der Auswahl und erst recht mit 4 WAN Ports, aber wenn man sich
einmal die Ausstattung eines Draytek Vigor 3900 ~800 € anschaut ist das auch alle Male gerechtfertigt!
So nun noch ein schönes WE an alle mit Gruß von
Dobby
neee DMZ is bei diesem NG ein dedizierter Lan Port,....
Hast Du denn an dem DMZ Port ein VLAN dran hängen?Ich denke Du hast die beiden VLANs an LAN Port 1 & LAN Port 2?
Wenn Du eines der VLANs an dem DMZ Port hast musst das auch
zwingend unter "Multi Homing" eintragen! sonst funktioniert es auch nicht.
....muss ich mal weiter testen und hoffen das es irgendwie geht.
Na jetzt aber, der aqui hat Dir das doch alles vorgekaut und beschrieben.Wenn Dir das mit den Firewallregeln zu "hoch" ist, kann man sicherlich auch darüber nachdenken
das eine Gerät aus dem einen VLAN, also das gerät auf das zugegriffen werden soll, zu einem Mitglied
(Member) von beiden VLANs zu machen, aber die Sicherheitseinstellungen dann eben am Switch zu hinterlegen oder fest zu legen via "Port Security" oder ähnlichem was Deine Switche auch immer anbieten.
.....Grundlagenfunktionen eines Routers etc. beherschen.
- Ein Router routet Pakete von einem Netz in ein oder mehrere andere Netze.- Eine Firewall trennt ein Netz von einem oder mehreren anderen Netzen.
Das beide Geräte eine oder mehrere gleiche Funktionen anbieten, macht sie
noch lange nicht zu Geräten der selben Geräteklasse.
Natürlich ist mir auch klar das in den letzten Jahren die Geräte sich immer mehr angleichen und die
Grenzen immer mehr und mehr verschwinden, aber ob Du das nun mit einem MikroTik RB11AHx2 machst oder
einem Netgear Gerät ist völlig "wumpe" die Regeln wirst Du in beide Geräte "eintickern" müssen.
Es sei denn Du holst Dir einen Router der eben alles via Webinterface erlaubt und nur Sachen zum
anklicken hat das geht natürlich auch, gar keine Frage und ist sicherlich auch nichts ehrenrühriges,
wirklich wie gesagt, das ist nichts wofür man sich schämen muss oder sollte, aber dann ist eben eine
Firewall oder ein Router wo man sehr viel bis alles "zu Fuß" eingeben muss auch nicht das richtige Gerät!
Die SRX5308 bietet bei 4 WAN Ports einen Firewallfdurchsatz von ~850 MBit/s und ist sicherlich nicht schlecht,
aber wer mehr oder weniger braucht sollte evtl. einmal bei MikroTik, LANCOM oder Drsaytek nachschauen, klar
für 400 € wird es da bei vielen schon eng mit der Auswahl und erst recht mit 4 WAN Ports, aber wenn man sich
einmal die Ausstattung eines Draytek Vigor 3900 ~800 € anschaut ist das auch alle Male gerechtfertigt!
So nun noch ein schönes WE an alle mit Gruß von
Dobby
.@ Phil...
...diese Ding kostet ja auch mal grad 400€
Oha... wie verrückt muss man sein um für sowas soviel Geld zu verschwenden.
Eine richtige_Firewall die den Namen auch verdient kann das und noch sehr viel mehr für nichtmal_150_Euro !
Sogar mit einer perfekten_Dokumentation die auch blutige Laien verstehen !
Da könntest du jetzt längst von VLAN 1 auf VLAN 2 pingen und müsstest nicht in Foren um Hilfe betteln...
...diese Ding kostet ja auch mal grad 400€
Oha... wie verrückt muss man sein um für sowas soviel Geld zu verschwenden.
Eine richtige_Firewall die den Namen auch verdient kann das und noch sehr viel mehr für nichtmal_150_Euro !
Sogar mit einer perfekten_Dokumentation die auch blutige Laien verstehen !
Da könntest du jetzt längst von VLAN 1 auf VLAN 2 pingen und müsstest nicht in Foren um Hilfe betteln...
@ aqui
Das "Ding" lag bei uns in der Firma rum und ich habe dort gerade die Anwendung dafür das ich sie einsetzen könnte, daher hab ich da glücklicherweise kein Geld verschwendet
Daher geh ich erstmal mit meinem (in diesem Technikzweig leider noch) beschränkten Wissen ran und versuche mit meiner Logik soweit zu kommen das meine Ansprüche erfüllt sind. Da bin ich mir auch nicht zu schade die (für euch wahrscheinlich) trivialsten Fragen zu stellen...
Vielen Dank nochmal für die Hilfe und ebenfalls schönes WE
Grüsse
PhilW
Das "Ding" lag bei uns in der Firma rum und ich habe dort gerade die Anwendung dafür das ich sie einsetzen könnte, daher hab ich da glücklicherweise kein Geld verschwendet
Ich denke Du hast die beiden VLANs an LAN Port 1 & LAN Port 2?
so ist es- Ein Router routet Pakete von einem Netz in ein oder mehrere andere Netze.
- Eine Firewall trennt ein Netz von einem oder mehreren anderen Netzen.
Das beide Geräte eine oder mehrere gleiche Funktionen anbieten, macht sie
noch lange nicht zu Geräten der selben Geräteklasse.
ist mir schon vollkommen klar, ich habe das auch nur auf die Bemerkung von aqui bezogen das NG nicht grade das gelbe vom Ei ist- Eine Firewall trennt ein Netz von einem oder mehreren anderen Netzen.
Das beide Geräte eine oder mehrere gleiche Funktionen anbieten, macht sie
noch lange nicht zu Geräten der selben Geräteklasse.
das ist nichts wofür man sich schämen muss oder sollte...
nö, tue ich auch überhaupt nicht, ich habe in meinem Beruf weiß Gott mit mind. genauso komplizierter nur anders gelagerter Technik zu tun, und da kommt ein Gerät was "rumsteht" und im ersten Moment die Ansprüche scheinbar erfüllt ganz recht.Daher geh ich erstmal mit meinem (in diesem Technikzweig leider noch) beschränkten Wissen ran und versuche mit meiner Logik soweit zu kommen das meine Ansprüche erfüllt sind. Da bin ich mir auch nicht zu schade die (für euch wahrscheinlich) trivialsten Fragen zu stellen...
Vielen Dank nochmal für die Hilfe und ebenfalls schönes WE
Grüsse
PhilW
Na für geschonken gekrochen ist das ja absolut OK 
Und....was bitte ist an so einer billigen Firewall denn "kompliziert".
Wenn Raketentriebwerke dein "Technikzweig" ist, dann ist eine Firewall ungefähr sowas wie ein simpler Gummischlauch im Triebwerk....
Obwohl...solche Firmen kaufen auch niemals Netzwerkschrott von NG... ?!
Und....was bitte ist an so einer billigen Firewall denn "kompliziert".
Wenn Raketentriebwerke dein "Technikzweig" ist, dann ist eine Firewall ungefähr sowas wie ein simpler Gummischlauch im Triebwerk....
Obwohl...solche Firmen kaufen auch niemals Netzwerkschrott von NG... ?!
geiler Vergleich... Raketentriebwerke sinds zwar nicht ganz, eher Entwicklung von professioneller Audio-/Videotechnik und da sind Netzwerke bzw. seine Bestandteile (im Moment noch) Mittel zum Zweck und sollten einfach so funktionieren.
Natürlich ist das für dich nicht kompliziert, wahrscheinlich genauso einfach wie es für mich total einfach ist eine Kommunkikationsanlage mit 300 Sprechstellen zu programmieren....
Ja, "dann hätten wir uns direkt was anständiges kaufen sollen", und nein hab ich nicht weils einfach rumstand und ich dachte, daß es das tut was ich will, und wenn ich mich noch ein bisschen damit beschäftige und du oder die anderen hier mir meine zugegeben Anfängerfragen beantworten, bekomme ich diesen "Schrott" denoch dazu meine Bedürfnisse zu befriedigen... da die zwei VLans ja nicht das Einzige sind was diese Büchse für mich leisten soll.
Wenn das dann trotz Bemühung alles nix bringt kann ich immer noch was anderes kaufen, und habe viel dazugelernt.
Raketentriebwerke sinds zwar nicht ganz, eher Entwicklung von professioneller Audio-/Videotechnik und da sind Netzwerke bzw. seine Bestandteile (im Moment noch) Mittel zum Zweck und sollten einfach so funktionieren.Natürlich ist das für dich nicht kompliziert, wahrscheinlich genauso einfach wie es für mich total einfach ist eine Kommunkikationsanlage mit 300 Sprechstellen zu programmieren....
Ja, "dann hätten wir uns direkt was anständiges kaufen sollen", und nein hab ich nicht weils einfach rumstand und ich dachte, daß es das tut was ich will, und wenn ich mich noch ein bisschen damit beschäftige und du oder die anderen hier mir meine zugegeben Anfängerfragen beantworten, bekomme ich diesen "Schrott" denoch dazu meine Bedürfnisse zu befriedigen... da die zwei VLans ja nicht das Einzige sind was diese Büchse für mich leisten soll.
Wenn das dann trotz Bemühung alles nix bringt kann ich immer noch was anderes kaufen, und habe viel dazugelernt.
Na ja, konzentrieren wir uns mal lieber wieder auf deine eigentliche technische Fragestellung was für dich ja sicherlich zielorientierter ist...
Du musst also im GUI mal nach den Regeln für die VLAN IP Interfaces auf der NG Firewall sehen.
Genau da ist dein Ansatzpunkt !! Nicht bei den Routen...., klar !
Wenn alle Stricke reissen sollten weisst du ja nun oben mit der pfSense was deine Alternative ist.
Du musst also im GUI mal nach den Regeln für die VLAN IP Interfaces auf der NG Firewall sehen.
Genau da ist dein Ansatzpunkt !! Nicht bei den Routen...., klar !
Wenn alle Stricke reissen sollten weisst du ja nun oben mit der pfSense was deine Alternative ist.
So, entschuldige meine geistigen Ausflüchte und Ablenkung von meiner Unwissenheit...
Natürlich hast du Recht und es ist total einfach.
Es gibt bei jedem VLAN Interface einen Haken "Inter-VLan-Routing". Wenn man den anhakt dann isses das. Wie du schon sagtest total einfach.
Danke nochmal für den Denkanstoss und Hilfe, hoffe das ich nochmal irgenwann nerven darf...
Gruss
PhilW
Natürlich hast du Recht und es ist total einfach.
Es gibt bei jedem VLAN Interface einen Haken "Inter-VLan-Routing". Wenn man den anhakt dann isses das. Wie du schon sagtest total einfach.
Danke nochmal für den Denkanstoss und Hilfe, hoffe das ich nochmal irgenwann nerven darf...
Gruss
PhilW
Klar !! Immer gerne wieder !
Wir nerven dich dann wenn wir die 300 Sprechstellen brauchen
Bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Wir nerven dich dann wenn wir die 300 Sprechstellen brauchen
Bitte dann auch
How can I mark a post as solved?
nicht vergessen !
