VLAN tagged und untagged

Moin Moin,

meines Wisens nach kann man ein Interface entweder als Ethernet Standard einfach oder als VLAN tagged mehrfach nutzen.

Eine Mischung ist somit nicht möglich.

Lösung deines Problems wäre dann ein managebarer Switch dort kannst du den Verkehr der kein VLAN hat mit einem Tag versehen und in die ASG weiterleiten.



Gruß

hallo [:)]

danke für die Info.

Tut mir leid, wenn ich den Thread ausgraben muss.. aber ich hätte ansonsten sowieso einen neuen Anfangen müssen. [;)]

Kann mir jemand sagen wie es sich verhält, wenn ich Kundenverkehr, der von aussen auf der FW ankommt, in ein VLAN nach innen leiten möchte?
Mein momentaner Plan sieht so aus, dass ein Switch angeschafft wird, in dem ich den konfigurierten (tagged) VLANs eine eigene IP zuweisen kann. Dann wird der ankommende Traffic eines Kunden direkt an die passende IP und damit an das VLAN weitergeleitet. Wäre das so möglich, oder mache ich irgendwo einen Denkfehler?

In der Firewall selbst kann ich nur ein komplettes Interface vom Typ "Ethernet VLAN" erstellen, und muss dafür eine unbenutzte NIC auswählen. Ich kann dann ein TAG angeben, allerdings erschliesst sich mir der Nutzen hier nicht so richtig. Damit kann ich dann ein (1) VLAN mit Tag über den Port tunneln sozusagen? Warum dann nicht gleich portbasiertes VLAN? Oder gibt es mit der Firewall auch eine Möglichkeit, den auf einer spezifischen IP ankommenden Traffic mit einem Tag zu versehen?

Danke&Gruß
Tobias

Moin Moin,
du möchtest einen von außen kommende LLeitung durch die FW schleusen? Praktisch ein WAN 2 ? Nur als VLAN? Hm wenn du das nur für eine IP zulassen willst..

Mach doch einfach ein normales VLAN auf dem entsprechenden Interface und im Paketfilter lässt du entsprechende Aktionen nur für diese eine IP zu.

In der Firewall selbst kann ich nur ein komplettes Interface vom Typ "Ethernet VLAN" erstellen, und muss dafür eine unbenutzte NIC auswählen. Ich kann dann ein TAG angeben, allerdings erschliesst sich mir der Nutzen hier nicht so richtig.

Du kannst einer NIC natürlich mehrere VLAN's hinzufügen.. Dann ist auch der entsprechende Nutzen wieder da.
Grüße

Ich möchte die Server eines Kunden in einem VLAN haben, und wenn dieser sich von aussen mit seinen Terminal-Server/Remote Desktop (mit VPN) in diesem VLAN verbindet, soll er keine anderen Server sehen ausser die eigenen.

Ich habe in der Art noch keine vollständige Umgebung konfiguriert in meiner Laufbahn, von daher hab ich eventuell noch ein paar Wissenslücken. Ich habe oben vielleicht komplizierter gedacht als nötig.

Die Umgebung ist auch nicht weiter Komplex: Am "Eingang" steht die Firewall (ASG V7) und geht dann an den Switch (managed, portbasierte und tagged VLANs möglich) an dem die Server hängen. Es stehen einige öffentliche IPs zur Vergabe zur Verfügung, so dass der Kunde an der Firewall eine eigene externe IP bekommen kann. Portbasiertes VLAN macht an der Firewall aber keinen Sinn soweit ich das verstehe, da ich dafür dann ja praktisch für jeden Kunden eine NIC bräuchte. Am Switch dann allerdings schon, da jeder Server sowieso einen Port braucht.

Wie würdest du das denn Umsetzen? Für Ratschläge wäre ich sehr dankbar...

Danke für deine Antwort und schon mal ein schönes Wochenende!
Tobias

Also ich verstehe das nun so:

X Server hinter der ASG die an nem Managebarem Switch hinter der ASG hängen.

VPN einwahl erfolgt über die ASG ?

Dann wäre es doch simpel.

Du unterteilst deine verschiedenen Kunden in VLAN's.
Diese Mappst du dann entsprechend am Switch je nachdem wieviel Ports du halt für die jeweilige Kundengruppe brauchst. 

In der ASG nimmst du nun das Interface welche die Verbindung zum Switch herstellt, und machst daraus soviele  VLAN's wie du Kundengruppen hast. Im Paketfilter dann noch die entsprechenden Rules gesetzt das ein Kunde auch nur seine Server sieht und fertig ists.

Ebenso ein schönes Wochenende.

Gruß

Marco

Also ich verstehe das nun so:

X Server hinter der ASG die an nem Managebarem Switch hinter der ASG hängen.

VPN einwahl erfolgt über die ASG ?

Dann wäre es doch simpel.

Du unterteilst deine verschiedenen Kunden in VLAN's.
Diese Mappst du dann entsprechend am Switch je nachdem wieviel Ports du halt für die jeweilige Kundengruppe brauchst. 

In der ASG nimmst du nun das Interface welche die Verbindung zum Switch herstellt, und machst daraus soviele  VLAN's wie du Kundengruppen hast. Im Paketfilter dann noch die entsprechenden Rules gesetzt das ein Kunde auch nur seine Server sieht und fertig ists.

Ebenso ein schönes Wochenende.

Gruß

Marco

Leider kenne ich mich mit der Astaro (noch) nicht so gut aus, daher sind die Konfigurationsaufgaben dort die Schwierigkeit. Den Switch zu konfigurieren ist kein Problem. 
Wie mache ich das Interface zu VLANs? Über dieses Interface läuft zudem bereits Traffic. Wie verhälts es sich, wenn ich das umkonfiguriere? Die Paketfilter muss ich mir dann noch genauer anschauen, bisher habe ich hauptsächlich neue Definitionen und NAT Rules erstellt. Wird dann im Paketfilter etwas bzgl. VLAN konfiguriert?
Leider habe ich erst wieder Mittwoch oder Donnerstag Zugriff auf die FW.

Vielen Dank für Deine Hilfe!

I apologize that I can't get my German-speaking brain to function at the moment...

If this is via Remote Access, then Marco's idea seems best to me.

If this is via site-to-site VPN, there's a simple way to do this without VLANs or other complications.  For example, with IPsec, when defining the 'IPsec Connection', instead of including something like "Internal (Network)" in 'Local Networks', include only the Host definitions for the client's servers that you are hosting.

MfG - Bob

There will be site-to-site (from customer network to his VLAN in our environment) and site-to-end (if a customers employee works from home or during a business trip).
To be honest i haven't thought about how to implement VPN yet.
I'm not that familiar with the Astaro FW yet, so i will need to think about your suggestion.

Thanks for your Help!

Moin Moin,
also du gehst auf das entsprechende Interface und machst da ein VLAN drauß und vergibst eine VLAN ID.
Wenn da schon Traffic drauf ist wird dieser natürlich für die Zeit der Umkonfiguirung unterbrochen. Nach dem Speichern kannst du dann erstmal im Switch das VLAN einrichten das du eben eingestellt hast. Somit funktioniert der"Traffic-flow" auch wieder.  Danach legst du dir weitere VLAN's auf dieser NIC an. Also neue Schnittstelle, VLAN, ID zuweisen, IP-Bereich einstellen usw. Speichern fertig.
Das machst du so oft wie du halt unterteilte Netze brauchst.



Dann entsprechend im Switch einstellen.

Im Paketfilter machst du dann halt deine gewünschten Regeln Beispielsweise VPNUSER 1 ->any -> Kundennetz1

Ersetze ggf. any durch die gewünschten Dienste. 

Denke daran, dass du auch zulässt das die Server evt. nach "draußen" kommunizieren dürfen für Updates or what ever.

Also Beispielsweise Kundennetz1 ->  http -> Internet.


Da du ja anscheinend mehrere Möglichkeiten anbietest sich per VPN zu verbinden, brauchst du dann auch entsprechend doppelte Einträge im Paketfilter.

Oder aber du nutzt die von BAlfson vorgeschlagene Methode für IPSEC-Verbindungen und brauchst dann nur einen Eintrag für die jeweiligen VPN einzel User bzw Usergroup. Damit habe ich mich aber selbst auch noch nie beschäftigt.

Hoffe das hilft dir weiter!

Beste Grüße
Marco

Danach legst du dir weitere VLAN's auf dieser NIC an. Also neue Schnittstelle, VLAN, ID zuweisen, IP-Bereich einstellen usw. Speichern fertig.
Das machst du so oft wie du halt unterteilte Netze brauchst.

Ich habe bisher nur gesehen, dass ich ein Interface zu VLAN machen kann (mit einer einzelnen ID). Danach kann ich also irgendwo externe IPs auf VLANs verweisen bzw.  VLANs zuordnen? Diese Konfiguration habe ich noch nicht gefunden... allerdings kann ich auch nicht testweise die NIC umkonfigurieren, da wie gesagt Traffic drüber läuft.

Gut also, ich habe derzeit Urlaub und dachte, ich muss vielleicht nochmal ins Büro. Aber bisher hat sich niemand gemeldet. Da werde ich wohl noch eine Weile warten müssen bis ich testen kann.

Danke&Gruß
Tobias

Mahlzeit..

Ich habe bisher nur gesehen, dass ich ein Interface zu VLAN machen kann (mit einer einzelnen ID). Danach kann ich also irgendwo externe IPs auf VLANs verweisen bzw. VLANs zuordnen? Diese Konfiguration habe ich noch nicht gefunden...

Das kannst du so auch nicht finden, weil es das so nicht gibt.
Du kannst natürlich jeder Schnittstelle nur eine VLAN ID zuteilen.

Für jedes neue VLAN was du anlegen willst gehst du wieder auf Schnittstellen -> Neue Schnittstelle -> und wählst die NIC aus, die du im ersten Schritt vom normalen LAN ins VLAN geändert hast. 

Somit kannst du einer NIC dann auch mehrere VLAN's zuweisen. 

Gruß & schönen Urlaub [:)]

Mahlzeit..

Das kannst du so auch nicht finden, weil es das so nicht gibt.
Du kannst natürlich jeder Schnittstelle nur eine VLAN ID zuteilen.

Für jedes neue VLAN was du anlegen willst gehst du wieder auf Schnittstellen -> Neue Schnittstelle -> und wählst die NIC aus, die du im ersten Schritt vom normalen LAN ins VLAN geändert hast. 

Somit kannst du einer NIC dann auch mehrere VLAN's zuweisen. 

Gruß & schönen Urlaub [[:)]]

Danke! [[:)]]

Also kann ich eine als VLAN konfigurierte NIC mehrmals, öhm... vergeben? Bei den "Ethernet Standard" NICs geht das nicht, die sind dann "belegt".
Trotzdem verstehe ich noch nicht, wie die Firewall den Traffic den VLANs zuordnet. Läuft das dann nur über Packet Filter und Network Definitions (nichts mit VLAN gefunden...)?

Sorry wenn ich dir das alles so aus der Nase ziehe, ich würde das einfach an der Firewall testen wenn ich eine freie NIC hätte... [:(]
Ich muss vorher sicher gehen, dass ich alles richtig mache.


Gerade ist mir noch in den Kopf gekommen, dass ich Backups auf einen zentralen (nicht im Kunden-VLAN befindlichen) Server machen muss... argh.

Nabend,

Also kann ich eine als VLAN konfigurierte NIC mehrmals, öhm... vergeben? Bei den "Ethernet Standard" NICs geht das nicht, die sind dann "belegt".

Genau das macht man damit quasi. Mehrmals "vergeben".
Mit "Ethernet Standard " funktioniert das natürlich nur einmal.

Trotzdem verstehe ich noch nicht, wie die Firewall den Traffic den VLANs zuordnet. Läuft das dann nur über Packet Filter und Network Definitions (nichts mit VLAN gefunden...)?

Genau wie das mit den "Ethernet Standard" auch funktioniert. Wenn keine Regel existiert darf der Traffic auch nichts. Den Rest machst du mit dem Paketfilter und mit Network Definitions meinst du wohl die erstellten neuen VLAN's.

Diese kannst du im Paketfilter usw. ganz normal einbinden wie auch ein "Ethernet Standard" oder WAN oder Rechnerobjekt...

Gerade ist mir noch in den Kopf gekommen, dass ich Backups auf einen zentralen (nicht im Kunden-VLAN befindlichen) Server machen muss... argh.

Sollte mit einem extra VLAN und gezielten Paketfilterregeln ebenso kein Problem darstellen. ( Hoffe habe um die Uhrzeit grade keinen Denkfehler.. ganzen Tag Cebit schlaucht.. )

Zum Testen kannst du dir doch den VM-Ware Player auf den Rechner ziehen und das fertige ASG Image reinpacken. Dann kannst du nach belieben Experimentieren und dir das ansehen. 


Beste Grüße

Marco

Nabend,

Also kann ich eine als VLAN konfigurierte NIC mehrmals, öhm... vergeben? Bei den "Ethernet Standard" NICs geht das nicht, die sind dann "belegt".

Genau das macht man damit quasi. Mehrmals "vergeben".
Mit "Ethernet Standard " funktioniert das natürlich nur einmal.

Trotzdem verstehe ich noch nicht, wie die Firewall den Traffic den VLANs zuordnet. Läuft das dann nur über Packet Filter und Network Definitions (nichts mit VLAN gefunden...)?

Genau wie das mit den "Ethernet Standard" auch funktioniert. Wenn keine Regel existiert darf der Traffic auch nichts. Den Rest machst du mit dem Paketfilter und mit Network Definitions meinst du wohl die erstellten neuen VLAN's.

Diese kannst du im Paketfilter usw. ganz normal einbinden wie auch ein "Ethernet Standard" oder WAN oder Rechnerobjekt...

Gerade ist mir noch in den Kopf gekommen, dass ich Backups auf einen zentralen (nicht im Kunden-VLAN befindlichen) Server machen muss... argh.

Sollte mit einem extra VLAN und gezielten Paketfilterregeln ebenso kein Problem darstellen. ( Hoffe habe um die Uhrzeit grade keinen Denkfehler.. ganzen Tag Cebit schlaucht.. )

Zum Testen kannst du dir doch den VM-Ware Player auf den Rechner ziehen und das fertige ASG Image reinpacken. Dann kannst du nach belieben Experimentieren und dir das ansehen. 


Beste Grüße

Marco