Hallo,
ich wollte mich endlich mal der Thematik VLANs wenden. Ich habe dazu auch das Wiki soweit es übertragbar war befolgt, aber ich bekomme leider einfach keine Verbindung ins Internet aus dem Test Vlan heraus.
Meine Config ist gerade so:
Am Procurve habe ich testweise das VLAN 100 angelegt. Darin befindet sich Port 1(geht an UTM) und Port 13(ein Testclient direkt am switch).
Für den Port 13 habe ich den PVID 100 eingestellt um ihn untagged zu machen.
Port 1 ist in Standard Einstellung(Mode:ALL(hybrid) | PVID 1). Es gibt auch noch den Mode tagged only, das bringt aber auch keine Besserung.
An der UTM habe ich zwei Zonen erstellt
vlan100
firewall-vlan100
Die UTM ist version 1.8.8.4
Dann ein Netzwerkobjekt hinzugefügt als eth1.100 IP 192.168.11.1/24 und die oben genannten Zonen ausgewählt.
Zusätzlich einen DHCP von 192.168.11.2-11.200 . In den erweiterten Einstellungen noch DNS, Router etc. 192.168.11.1 gesetzt
In der Firewall gibt es zwei Objekte:
vlan100-network 192.168.11.0/24 | Zone vlan100
vlan100-interface 192.168.11.1/32 | Zone firewall-vlan100
Es gibt bisher zwei sehr grobe Regeln, weil ich einfach nur Internet im VLAN wollte:
vlan100-network -> internet - > any accept
vlan100-network -> vlan100-interface -> any accept
So...
Der aktuelle Stand ist der:
Testclient bekommt IP aus DHCP-Pool > check
Sobald ich aber eine Internetseite aufrufen möchte, wird alles rigoros von der Firewall geblockt. Ich habe extra das logging auf long.
DROP: (DEFAULT DROP)192.168.11.2:54442 eth1.100 eth0 172.217.22.228:443
DROP: (DEFAULT DROP)192.168.11.2:55313 eth1.100 192.168.11.1:53
Sind nur Beispiele.
Ich habe da alle erdenklichen Variationen durchprobiert um irgendwie die Verbindung ins Internet durchzubekommen, aber leider ohne Erfolg. Wird alles von der Firewall abgelehnt. Irgendwie bin ich da jetzt mit meinem Latein am Ende, da das der erste Versuch mit VLANs ist.
Jemand eine Idee?
VLAN mit ProCurve 1800-24G
Moderator: Securepoint
Hallo,
ich bin nicht so der HP-Switch-Spezialist, aber einen ins Auge springenden Fehler sehe ich so nicht. Vor allem bekommt dein Client ja eine IP vom DHCP und versucht ins Internet zu kommen, die Pakete kommen ja auch auf dem richtigen Interface an (eth1.100).
Aber etwas seltsam ist dein erster Drop [DROP: (DEFAULT DROP)192.168.11.2:54442 eth1.100 eth0 172.217.22.228:443], bei dem dein Client eine https-Verbindung zu einer IP aufbauen will, da muss er vorher ja eine DNS-Antwort bekommen haben, aber dein zweiter Drop zeigt eine DNS-Anfrage an die Firewall [DROP: (DEFAULT DROP)192.168.11.2:55313 eth1.100 192.168.11.1:53]...
paar Fragen so frei raus:
1. Die Zone firewall-vlan100 hat auch den Interface-Flag?
2. Wie sieht denn eth0 aus und die Route ins Internet?
3. Die Firewall kommt ins Internet (Netzwerk - Netzwerkwerkzeuge - PING)?
4. NAT ins Internet stimmt in deiner ersten Regel (external-interface)?
5. Nirgends ein Zahlendreher wie 192.186.11.1 oder ein /24 wo ein /32 hinkommen sollte bzw. umgekehrt?
Gruß
Rolf
ich bin nicht so der HP-Switch-Spezialist, aber einen ins Auge springenden Fehler sehe ich so nicht. Vor allem bekommt dein Client ja eine IP vom DHCP und versucht ins Internet zu kommen, die Pakete kommen ja auch auf dem richtigen Interface an (eth1.100).
Aber etwas seltsam ist dein erster Drop [DROP: (DEFAULT DROP)192.168.11.2:54442 eth1.100 eth0 172.217.22.228:443], bei dem dein Client eine https-Verbindung zu einer IP aufbauen will, da muss er vorher ja eine DNS-Antwort bekommen haben, aber dein zweiter Drop zeigt eine DNS-Anfrage an die Firewall [DROP: (DEFAULT DROP)192.168.11.2:55313 eth1.100 192.168.11.1:53]...
paar Fragen so frei raus:
1. Die Zone firewall-vlan100 hat auch den Interface-Flag?
2. Wie sieht denn eth0 aus und die Route ins Internet?
3. Die Firewall kommt ins Internet (Netzwerk - Netzwerkwerkzeuge - PING)?
4. NAT ins Internet stimmt in deiner ersten Regel (external-interface)?
5. Nirgends ein Zahlendreher wie 192.186.11.1 oder ein /24 wo ein /32 hinkommen sollte bzw. umgekehrt?
Gruß
Rolf
Hallo Merlin,
schon mal danke für deine Rückmeldung.
Die Frage mit den Zonen hat einen Fehler aufgedeckt. Durch das ganze hin und her hab ich wohl gestern auch das Netzwerk als interface geflaggt, nicht nur die firewall. Das habe ich jetzt berichtigt.
Der Rest ist aber soweit okay. Wie UTM läuft auch schon einige Zeit und Internet etc geht alles. Ich wollte nur endlich mal das Netzwerk in Vlans aufteilen.
Wenn ich später vor Ort bin, werde ich checken ob die Änderung an den Zonen schon was bewirkt hat.
Aber vielen lieben Dank schon mal
schon mal danke für deine Rückmeldung.
Die Frage mit den Zonen hat einen Fehler aufgedeckt. Durch das ganze hin und her hab ich wohl gestern auch das Netzwerk als interface geflaggt, nicht nur die firewall. Das habe ich jetzt berichtigt.
Der Rest ist aber soweit okay. Wie UTM läuft auch schon einige Zeit und Internet etc geht alles. Ich wollte nur endlich mal das Netzwerk in Vlans aufteilen.
Wenn ich später vor Ort bin, werde ich checken ob die Änderung an den Zonen schon was bewirkt hat.
Aber vielen lieben Dank schon mal
So, hier das Update:
Tatsächlich war diese eine falsche Einstellung die Ursache. Nachdem ich den interface flag für das vlan netzwerk entfernt hatte fiel alles an seinen Platz. Internet geht, sogar über transparent proxy für wlan clients und auch ansonsten.
Jetzt steht mir eine Menge Arbeit mit Aufdröselung aller ports für Programme und Sonstiges zwischen den vlans(clients > servers) bevor Aber erste Tests haben schon sehr gut funktioniert.
Vielen Dank nochmal für den Denkanstoß.
Tatsächlich war diese eine falsche Einstellung die Ursache. Nachdem ich den interface flag für das vlan netzwerk entfernt hatte fiel alles an seinen Platz. Internet geht, sogar über transparent proxy für wlan clients und auch ansonsten.
Jetzt steht mir eine Menge Arbeit mit Aufdröselung aller ports für Programme und Sonstiges zwischen den vlans(clients > servers) bevor
Aber erste Tests haben schon sehr gut funktioniert.Vielen Dank nochmal für den Denkanstoß.