Alias Interface / Routing

Hallo,

Zwei Layer3 Netze (IP-Subnetze) auf einem Layer2 Interface sollte man ohne Not nicht einrichten.

Genau das ist es, was man mit einem Alias erreichen kann. Außerdem kann man mehrere IP-Adressen aus dem gleichen Subnetz vergeben.

Könnte zwar funktionieren und ist durchaus ein Migrationsszenario, besser ist aber gleich mit VLAN's zu arbeiten.

Mit einem Alias kann nur für eines der Subnetze ein DHCP-Server eingerichtet werden. Arbeitet man mit VLAN, kann jedes Subnetz einen DHCP-Server haben. 

Bei Verwendung eines ALIAS ....  sollte jedes Gerät erst mal sein Gateway  (die Sophos IP im eigenen Subnetz) erreichen / anpingen können.

Funktioniert dieser Teil?

Guten Morgen Dirk,

ja Not habe ich schon. VLAN Thematik funktioniert bei mir leider nicht. Meine Konstellation ist vielleicht etwas ungünstig gewählt. Ich habe die Sophos XG in einer VmWare Workstation Pro laufen. Anscheinend bekommt die Workstation den Umgang mit VLANs nicht hin. VLAN wäre natürlich absolut super aber ich bekomme das mit VmWare nicht hin. Ich kann es dir leider nicht genau sagen, lese das immer mal wieder.

Ok, wenn jetzt kein riesiger Aufschrei von dir kommt, würde ich gerne weiter versuchen meinen angesprochen Weg (Alias) versuchen umzusetzen.

Der Aufbau ist folgender. Die Physische Netzwerkkarte habe ich auf den managed Switch gesteckt. Meinen Client natürlich auch.

Von der Sache her, der Client bekommt eine DHCP Adresse entsprechend über die MAC-Zuweisung im DHCP (30er Netz) Server kann der Client die physische IP Adresse der Sophos anpingen, in dem Alias Subnetz kann der Client auch sein eigenes Gateway anpingen.

Dann habe ich den Versuch gestartet eine Route zu erstellen bzw. das habe ich getan, nur ob das alles so wirklich der richtige Weg ist bin ich mir total unsicher.

Als Versuch auch eine ANY ANY Regel angelegt.

Ich zeige mal die Route und die Schnittstellen.

Was ich nicht verstehe ist, das eine DHCP Adresse vergeben werden kann, aber die Sophos selber nicht über die Diagnose den Client anpingen kann. In der DHCP Liste sieht man auch das der Client genau mit der MAC Adresse eine IP bekommen hat

Kann das aber auch sein das mein Switch da nicht mitspielt ?

Ich würde mit der virtuellen MAschine einfach weitere virtuelle LAN-Ports anlegen, den Rest dann im Netzwerk bzw. auf dem Switch handhaben.

Hi,

ich hatte ja erwähnt das es anscheinend mit der VmWare Workstation nicht funktioniert. Da werden wohl die VLAN nicht durchgereicht wie z.B. bei der HyperV.

Hallo NOName

kommt auf dein Internetadapter an. Meiner ist ein Intel 82579LM und Vlan funktioniert nur in der Version 26.1

www.intel.com/.../intel-network-adapter-driver-for-windows-10.html

Hi,

ja das weis ich, danke für die Info. Auf dem Intel NUC 11 ist glaub genau der Adapter installiert, auch mit den aktuellsten Treiber, alles schon probiert. Aber es hat wohl den Anschein das die Workstation das nicht durch switchen kann.

Gut, würde gerne zum eigentlichen Thema zurück kommen.

Gruß

Eine Route musst du auf der Firewall nur anlegen, wenn diese andere Netze erst hinter weiteren "Routing-Hops" erreichen kann.

Alle direkt angeschlossenen Netze "kennt" die XG und hat dort natürlich auch Routen hin.

Die einzigen nötigen Routen sind auf den Clients ... und das ist im Allgemeinen durch die defaulte-route /das default gateway abgedeckt.

Die XG sollte alle Geräte in den direkt angeschlossenen Subnetzen direkt erreichen. Wenn ein Client heute nicht erreichbar ist, ist das meist die lokale Client-Firewall.

Hi,

na das ist ja genau mein Punkt. Die XG kann eben nicht einen Client in dem anderen Alias Netzwerk anpingen.

Aber seltsamerweise kann aber der Client der eine Adresse aus einem Alias DHCP Netz bekommen hat die Sophos anpingen, physische wie die das Gateway von seinem eigene DHCP Bereich.

Da ist ja genau der Punkt den ich schon erwähnt hatte und nicht verstehe warum genau das nicht funktioniert.

Was habe ich denn noch für Möglichkeiten bzw. was habt ihr noch für Ideen wie ich das weiter umsetzen kann.

Gruß

Hi,

na das ist ja genau mein Punkt. Die XG kann eben nicht einen Client in dem anderen Alias Netzwerk anpingen.

Aber seltsamerweise kann aber der Client der eine Adresse aus einem Alias DHCP Netz bekommen hat die Sophos anpingen, physische wie die das Gateway von seinem eigene DHCP Bereich.

Da ist ja genau der Punkt den ich schon erwähnt hatte und nicht verstehe warum genau das nicht funktioniert.

Was habe ich denn noch für Möglichkeiten bzw. was habt ihr noch für Ideen wie ich das weiter umsetzen kann.

Gruß

Nochmal die Frage nach der Client-Firewall..?

Welche Meldung bekommst du beim Ping der Firewall zum client zurück?

Mache mal den gleichen Test zu einer definitiv nicht existierenden IP in dem Clientnetz.

Sehen die Meldungen identisch aus?

Es gibt in den Meldungen evtl. einen feinen Unterschied zwischen "nicht erreichbar" und "antwortet nicht"

Hi,

sorry deine Frage ist mir untergegangen.

Oh Mensch, Schande auf mein Haupt. Die Windows Firewall hat geblockt. Ok, aber warum ist das so. Das ist mir jetzt so in der Form bei einem einfachen Ping noch nicht vorgekommen. Ich bin da jetzt was baff.

Was verhält sich denn jetzt anders ? Kannst du das bitte erklären ?

Gruß

Wenn ein neues Netzwerk zum Client (windows) bereitgestellt wird, gibt es die Option, zu sagen, es ist Public oder Private Network. Wenn du das Public Profile wählst, werden andere Windows Firewall / Einstellungen getroffen.

docs.microsoft.com/.../how-to-change-network-settings-from-public-to-priv.html

Hi,

vielen Dank. Von der Sache her kenne ich das Prinzip in Windows, war aber überrascht das es so jetzt das erstemal so blockierend verhält. Aber gut, genau das ist es nämlich gewesen. Das die Firewall wie schon dirkkotte erwähnt hatte das hier die Netze beschnitten werden.

Wie gesagt ich bin zwar überrascht aber man lernt nie aus und man muss mehr kontrollieren.

Vielen Dank für die Hinweise