Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Benutzeravatar
KuehleisIT
Themen-Autor
Beiträge: 70
Registriert: Mi 21.03.2007, 22:47
Wohnort: Weißenburg i. Bay.
Kontaktdaten:

VLAN-Phänomen: Zugriff von VLANs untereinander klappt nicht

Fr 15.12.2017, 11:06

Hallo,

ein Kunde erweitert seine Produktion, der Elektro-Betrieb legt mit WAGO-Industrieswitchen einen Glasfaser-Ring durch die neue Halle und konfiguriert diese mit 17 VLANs für 17 separate Hersteller. So soll sich niemand beim Konfigurieren seiner Geräte in die Quere kommen. Die WAGO-Switche sind entsprechend konfiguriert, dass die UTM alle VLANs getaggt erhält. 
Die UTM übernimmt zudem für jeden Bereich den DHCP-Server.

Ich lege also auf eth3 diese 17 VLANs entsprechend an und erhalte eth3.1 bis eth3.17 mit entsprechend getrennten IP-Bereichen: 172.16.1.0/24 an eth3.1 bis 172.16.17.0/24 an eth3.17
Alles klappt soweit perfekt: UTM macht DHCP, Geräte bekommen an ihren Standorten in der Halle vom Elektro-Betrieb LAN-Buchsen an den WAGO-Switchen zugewiesen und erhalten von der UTM ihre IP-Adressen aus dem jeweiligen Bereich. Die Internet-Kommunikation sowie zu Netzen, die an den anderen Interfaces der UTM konfiguriert sind, funktionieren wie erwartet.

Nun zum beobachteten Problem:
Im VLAN2 (also eth3.2 mit 172.16.2.0/24) wird jetzt ein Gebäude-Leit-System aufgesetzt, das Daten von den Geräten aus den anderen VLANs abgreifen soll. Dazu sind Regeln entsprechend angelegt und werden laut LOG auch korrekt abgearbeitet. Allerdings kommt keine Kommunikation zwischen den Geräten zu Stande.

Der Securepoint-Support bestätigt mir, dass die UTM mit den VLANs, den Objekten und Regeln korrekt arbeitet. Die Pakete kommen anfragend über eth3.2 an und verlassen über eth3.10 die UTM. Die Antwort kommt über eth3.10 und verlässt wieder über eth3.2 - kommt aber am anfragenden GLT-System nicht an.
Das Problem wird am Switch vermutet, an dem die UTM angeschlossen ist. 

Jetzt ist der Switch-Support gefragt und damit hat dann der Elektro-Betrieb jetzt das Problem. Und ich übersetze dem Kunden, was überhaupt das Problem ist und wieso die Firewall nicht Schuld ist. 

Hat jemand von Euch anderen Partnern so eine Konstellation erfolgreich im Einsatz? Welche Switche habt Ihr dort eingesetzt?
Ein paar Tipps und Meinungen wären ganz hilfreich … Danke!
Mit freundlichen Grüßen aus altmühlfranken

Christian Kühleis | IT-Systemberatung
URL: http://www.kuehleis.de
 
Petasch
Beiträge: 427
Registriert: Di 22.05.2007, 13:17

Re: VLAN-Phänomen: Zugriff von VLANs untereinander klappt nicht

Sa 16.12.2017, 11:37

Also wir haben so etwas bei uns überall am laufen, um verschiedene Netze zu trennen. Kein Problem. Was heißt denn keine Kommunikation? 2 Rechner in den jeweiligen Netzen, können die sich denn anpingen?
Und wie sind die Objekte konfiguriert? Also die Interfaces und die Netze? Sind die auf eth3.10 (zb) konfiguriert, oder mit den echten IP Adressen (Also 172.16.10.0)?
 
Benutzeravatar
KuehleisIT
Themen-Autor
Beiträge: 70
Registriert: Mi 21.03.2007, 22:47
Wohnort: Weißenburg i. Bay.
Kontaktdaten:

Re: VLAN-Phänomen: Zugriff von VLANs untereinander klappt nicht

Sa 30.12.2017, 19:29

Sorry für die späte Rückmeldung … das Problem lag tatsächlich an den Switchen. 
Die Elektriker sind halt doch nur hinreichend (aber nicht ausreichend) fit auf Ihren Teilen.
Aber das hat jetzt der Support der Distribution für die WAGO-Switche übernommen und deren Konfig nun entsprechend korrigiert.

Die Objekte für das UTM-Regelwerk hatte ich als Interfaces angelegt - aber zwischenzeitlich zum Eingrenzen der Fehler auch schon auf IP-basierte Objekt umgestellt. Aber daran war es so oder so nicht gelegen.
Innerhalb der VLANs haben/hatten gab es immer Kommunikation; auch ins Internet und zurück. Aber eben nicht aus VLANx in VLANy. 

Trotzdem Danke und noch nen guten Rutsch!

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast