alex29
Goto Top

VLAN routing - mit oder ohne NAT?

Hallo in die Runde,

ich habe eine Frage an die Netzwerkprofis.
Ich habe hier ein kleines Netzwerk mit vier VLAN's. Grundsätzlich funktioniert alles wie gewünscht. Um das routing zwischen den vier VLAN's kümmert sich ein Mikrotik Router (RB1100AHx2). Dazu habe ich dem Router vier IP's (in jedem VLAN eine) gegeben und die Firewallregeln definiert.

Sollte man zusätzlich für jedes VLAN noch eine NAT-Regel im Router konfigurieren - hat das Vor- oder Nachteile? Wie ist es aus Netzwerksicht korrekt??

Vielen Dank im Voraus und
viele Grüße

Content-Key: 334664

Url: https://administrator.de/contentid/334664

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: maretz
Lösung maretz 09.04.2017 um 16:40:17 Uhr
Goto Top
warum willst du da nen nat machen? Wenn das deine internen IPs sind gibt es dafür gar keinen Grund
Mitglied: Alex29
Alex29 09.04.2017 um 18:06:46 Uhr
Goto Top
Ich bin folgendermaßen drauf gekommen:
Ich will später mal VRRP testen. Dazu habe ich einen zweiten Router zwischen die vier VLAN's gehangen. Hier wollte ich nun die Firewallregeln definieren. Parallel habe ich einem Client manuell als Gateway (nur) den zweiten Router mitgeteilt. Damit wollte ich testen, ob die Regeln richtig sind, habe aber nie eine Antwort von irgend etwas bekommen. Nach einigem Rätseln ist mir eingefallen, dass es nicht funktionieren kann, da alle anderen Teilnehmer ihre Antwort an das erste Gateway schicken. Mit NAT funktionierte es!! Nun habe ich mich gefragt, ob man intern auch NAT machen sollte.
Mitglied: aqui
Lösung aqui 09.04.2017 aktualisiert um 18:34:17 Uhr
Goto Top
Kollege Maretz hat Recht. Welchen tieferen Sinn sollte NAT in einem lokalen LAN machen. Das ist Blödsinn wenn man es nicht unbedingt machen muss durch z.B. falsche (doppelte) Adressvergabe usw.
Vergiss das also schnell wieder.
Ich will später mal VRRP testen.
Sehr löblich...Router Redundanz.
Dazu habe ich einen zweiten Router zwischen die vier VLAN's gehangen
So macht man das auch.
Hier wollte ich nun die Firewallregeln definieren
Kannst du ja einfach vom ersten Router Cut and Pasten. Die Regeln sollten ja vollkommen identisch sein !
Parallel habe ich einem Client manuell als Gateway (nur) den zweiten Router mitgeteilt
Pfiffige und auch richtige Idee das zu testen !
habe aber nie eine Antwort von irgend etwas bekommen.
Ist auch kein Wunder, denn du musst dem Ziel mit dem du testen willst im anderen VLAN logischerweise AUCH diesen 2ten Router als Gateway mitgeben. Ansonsten hast du asymetrisches Routing und das mögen nicht so viele Endgeräte.
Also Hin Paket geht über Router 2 und das Rückpaket kommt über Router 1. Generell geht das ist aber nicht so sauber.
Wenn also deine Regeln stimmen würden hätte es auch mit asymetrischem Routuíng klappen müssen.
Stell dir doch ganz einfach immer den IP Paket Fluss mit Sender und Zieladresse vor in deinem Netz dann ist das doch alles klar und durchschaubar.
da alle anderen Teilnehmer ihre Antwort an das erste Gateway schicken.
Bingo ! Siehe oben...! Asymetrie, sollte aber wie gesagt trotzdem klappen.
Mit NAT funktionierte es!!
Ist aber völliger Schwachsinn. (Sorry !) NAT bedeutet ja gleichzeitig auch das du dir eine Routing Einbahnstrasse gebaut hast. Rückwärts, also mit dem NAT Router als inbound Gateway kannst du ja logischerweise niemals mehr transparent zwischen 2 Netzen routen. Da die Pakete an der NAT Firewall geblockt werden. Dann hast du eine routingtechnische Einbahnstrasse.
NAT ist also völliger Blödsinn in einem lokalen gerouteten Netz. Das es damit geht zeigt eigentlich eher das bei dir ganz grundsätzlich was falsch läuft.

Fazit: Deine Firewall Regeln sind vermutlich völlig falsch auf dem 2ten Router !

Mach es doch ganz einfach:
Klone doch einfach den 2ten Router vom ersten inklusive der Regeln, denn die müssen absolut identisch sein auf den beiden Systemen bei VRRP.
Dann tauschst du mal die Router oder schaltest Router 1 einfach mal aus. Jetzt muss Router 2 vollkommen identisch funktionieren. Dann hast du Gewissheit das deine Regeln stimmen und alles OK ist.
Dann änderst du auf dem 2ten System ganz einfach nur die Interface IPs und gut iss. Dann wird bzw. muss auch dein Routing über Router 2 sauber funktionieren wenn du die Gateway IPs zum Testen änderst bei den zwei Endgeräten.
Immer strategisch vorgehen face-wink

Zur Sicherheit immer das VLAN Tutorial nochmal genau lesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: Alex29
Alex29 09.04.2017 um 19:14:34 Uhr
Goto Top
Vielen Dank für Deine Zeit und die umfassende Antwort!

da alle anderen Teilnehmer ihre Antwort an das erste Gateway schicken.
Bingo ! Siehe oben...! Asymetrie, sollte aber wie gesagt trotzdem klappen.

Da ich auf dem ersten Router nur einzelne IP's in das VLAN mit dem Testclient freigegeben habe, funktionierte der Rückweg nicht. Aber bis gestern war mir auch noch nicht klar, dass der Rückweg über das erste Gateway laufen könnte.

Mit NAT funktionierte es!!
Ist aber völliger Schwachsinn. (Sorry !) NAT bedeutet ja gleichzeitig auch das du dir eine Routing Einbahnstrasse gebaut hast. Rückwärts, also mit dem NAT Router als inbound Gateway kannst du ja logischerweise niemals mehr transparent zwischen 2 Netzen routen. Da die Pakete an der NAT Firewall geblockt werden. Dann hast du eine routingtechnische Einbahnstrasse.

Das NAT hatte ich auch nur auf dem zweiten Router definiert. Ich dachte, dass durch das NAT die Sender-IP am zweiten Router durch die Adresse des zweiten Routers ersetzt wird, so dass der Rückweg funktioniert. Es funktioniert ja auch. Nun war ich unschlüssig (ich habe ihn selbst konfiguriert), ob es am ersten Router korrekt ist das VLAN routing ohne NAT zu machen - Deiner Antwort entnehme ich - ohne NAT ist richtig!!

Vielen Dank
Mitglied: aqui
Lösung aqui 09.04.2017 um 21:32:41 Uhr
Goto Top
VLAN mit dem Testclient freigegeben habe, funktionierte der Rückweg nicht.
Wie vermutet: Inkonsistente Access Listen. Da war es dann klar und erwartbar das nix klappt. Immer VORHER überlegen was du machst.... face-wink
Ich dachte, dass durch das NAT die Sender-IP am zweiten Router durch die Adresse des zweiten Routers ersetzt wird, so dass der Rückweg funktioniert.
Ja, das passiert auch ! Deshalb funktioniert es weil der Testclient es wieder an die Router IP zurücksendet und "denkt" es ist in seinem eigenen Netz.
Aber wenn du nun von diesem Client die Session aufbaust bleibt es an der NAT Firewall des Routers kleben, denn du kommst logischerweise nicht mehr über NAT beim Sessionaufbau.
Vergiss also diesen NAT Unsinn, das ist Blödsinn in deinem Umfeld.
Deiner Antwort entnehme ich - ohne NAT ist richtig!!
Genau so ist es !!!
Mache die ACLs identisch dann klappt das auch sofort.
Mitglied: Alex29
Alex29 09.04.2017 um 21:38:03 Uhr
Goto Top
Vielen Dank - alles verstanden - schönes Restwochenende!!