Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 27 subscribers
  • Views 803 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN Zugriffe funktionieren nicht richtig (Zonen)

JSCP

Hallo zusammen,

erstmal zum Aufbau:

  • Sophos XG Firewall
  • Zone (IT) --> VLAN5 (Zugriff auf alles erlauben) [172.25.5.X]
  • Zone (Produktion) --> VLAN6 (Kein Zugriff auf das Internet, nur Zugriff im eigenen VLAN)  [172.25.6.X]
  • Schnittstellen mit VLANs
  • DHCP auf der Firewall für die VLANs
  • DNS auf den DomainController im LAN [172.24.X.X]

Ich habe eine Test VM in das VLAN5 gepackt.
Die VM läuft auf einem Hyper-V-Server. Dieser ist auf dem Switch getagged (VLAN5-10).
Der Server ist über NIC-Team aufgebaut. Es existiert eine NIC-Teamschnittstelle im VLAN5 welcher der VM zugewiesen ist. Die VM hat dann diese Schnittstelle zugewiesen bekommen, als auch die ID 5.

Hier funktioniert soweit alles ganz gut. Zugriffe aufs Internet und in andere VLANs funktionieren.

Nun habe ich einem Test Laptop dem VLAN6 zugewiesen.
Dazu habe ich auf dem Switch den Port als Untagged(VLAN6) gekennzeichnet und die PVID auf 6 gesetzt.
Ein Zugriff auf das Internet ist wie gewollt nicht möglich.
Dasselbe habe ich für einen anderen Laptop getan, nur im VLAN5.

Jetzt kommt das seltsame.
Der Test Laptop im VLAN6 kann NICHT auf den TestServer im VLAN5 zugreifen. (Das ist richtig so)
Der Test Laptop im VLAN6 KANN auf den Laptop im VLAN5 zugreifen. (Das ist nicht richtig)

Was ist hier falsch? Warum kann ich NICHT auf den Server zugreifen aber auf den Laptop?
Ich möchte NICHT auf den Laptop zugreifen.
Getestet habe ich dies, indem ich versucht habe vom VLAN6 auf das VLAN5 zuzugreifen, indem ich eine Verbindung zum Laufwerk herstellen wollte.
//Laptop(VLAN5)/c$  <-- Zugriff von Laptop (VLAN6) funktioniert              (Falsch)
//Server(VLAN5)/c$   <-- Zugriff von Laptop (VLAN6) funktioniert nicht    (Richtig)

Firewall Einstellungen/Regeln und Richtlinien:

VLAN5 [Annehmen]
Quellzone: IT; Quellnetzwerk: Alle
Zielzone: Alle; Zielnetzwerk: Alle; Dienste: Alle

VLAN6 [Verwerfen]
Quellzone: Produktion; Quellnetzwerk: Alle
Zielzone: WAN; Zielnetzwerk: Alle; Dienste: Alle

VLAN6 [Annehmen]
Quellzone: Produktion; Quellnetzwerk: Alle
Zielzone: Alle; Zielnetzwerk: Domaincontroller Server; Dienste: DNS,LDAP,Kerberos,SMB over IP

VLAN6 [Annehmen]
Quellzone: Produktion; Quellnetzwerk: Alle
Zielzone: LAN [172.24.x.x]; Zielnetzwerk: CADServer; Dienste: Alle



This thread was automatically locked due to age.
  • 0

    Es gibt verschiedene Varianten, warum das nicht klappt. Siehst du es als Block im Firewall Log?

    Womit testest du den Traffis? Ping?

    Ebenfalls sehr hilfreich hier ist Diagnose > Packet capture. Dort sieht man auch verworfene Pakete, die nicht im Firewall log auftauchen und häufig auch einen Grund dafür.

  • 0 in reply to LHerzog

    Ping auch, funktioniert auch
    Kann beides anpingen
    Habe aber auch das Pingen auf die Zone in der Firewall erlaubt

    Versuche aber auch auf das Netzlaufwerk der VM und dem Laptop zuzugreifen.
    Auf den Laptop komme ich drauf, auf die VM nicht.

    Das mit der VM ist auch richtig und gewollt so.
    Aber wieso komme ich auf den Laptop? Obwohl beide in verschiedenen VLANs liegen, dass soll ja nicht so sein.
    Wie kann ich das verhinden?

    Oder wie kann ich allgemein prüfen, ob meine VLANs funktionieren?

    Diagnose > Packet capture habe ich ausprobiert.
    Dort sehe ich aber nichts