Ali Manali's Netzwerk Probleme

AliManali

AliManali

cpt sunday flyer
Thread Starter
Mitglied seit
07.03.2012
Beiträge
4.527
Ort
Ostschweiz
Hi

Bei meinem Zyxel Switch sowie den Firewalls aus der Signatur kann ich den Zugriff auf das Administrationsinterface per IP sperren. Es soll also nur noch von einer einzigen IP aus das Netzwerk verwaltet werden können.

Nun würde ich das gerne auf meinen DELL Switch sowie das Modem ausweiten. Es geht hier um einen DELL Powerconnect 2824. Nur finde ich nirgends die Einstellung dafür. Im Anhang sieht man die Einstellungsmöglichkeiten für Port Based Authentication.

  • Ist das das Pendant zu der Einstellung im Zyxel Switch?
  • Heisst das in dem Fall, dass am DELL nur ein Port am Switch zur Zugriffskontrolle verwendet werden kann, nicht aber die IP? Damit könnte ich notfalls noch leben...
  • Wenn ich da bei der Einstellung "Admin Port Control" den Port auf Unautorized stelle, habe ich gar keinen Zugriff mehr auf's Netz. Ich möchte aber nur den Zugriff auf's Admininterface beschränken,... Bin ich da auf dem falschen Dampfer?

PortBasedAutentication.jpg

PortBasedTable.jpg

In etwa so eine Einstellung suche ich:

Zyxel.jpg
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
völlig falscher Dampfer. Mit Port-Based Authentication (802.1x) kannst du steuern ob und wer den Port überhaupt benutzen darf und in welches VLAN er kommt. Mit Zugriff auf die Oberfläche hat das nix zu tun.
 
So eine Einstellung kennt der Dell Switch nicht.
Der regelt die Sicherheit entweder per Passwort oder einer Authentifikation über Radius.
Ein weiteres Sicvherheitsmerkmal ist, das man am Webinterface dem Switch, die IP wegnehmen kann.
Er hat dann keine IP mehr und man kann ihn dann weder übers Webinterface noch über Telnet konfigieren, sondern nur noch über den lokalen RS232-Port.
Die Anleitung zum Switch und dessen Web- und Telnetoberfläche gibts hier:
ftp://ftp.dell.com/Manuals/Common/powerconnect-2808_User's Guide_en-us.pdf
 
Hi

  • Hat denn der Switch den Radius Sever integriert, oder müsste ich den separat in eine VM packen?
  • Was brauch ich da für ein OS?
  • Und der Radius Server ändert wohl nichts an der Tatsache, dass das Admin Interface im ganzen LAN erreichbar ist?
 
Die Management-IP-Adresse vom Switch gehört in ein eigenes VLAN und nicht in ein "normales" VLAN mit Clients.
 
Das ist beim Dell Standard.
Die wird standardmäßig ins 1. eingerichtete VLAN getan.
Muß man natürlich auch einrichten.
 
Hätte ich jetzt auch vorgeschlagen.
Als "Arbeitsnetz" ein eigenes VLAN, für die Konfiguration eben VLAN1.
Macht auch sinn, wenn du mehrere Switches hast, so kannst Du vom "Management Vlan" i.d. Fall 1 alle Switches verwalten.
 
Ja danke!

Die beiden Switches haben 2x2 Zonen von 2 Firewalls (2x GREEN, 2x BLUE). also jeder Switch dieselben 4 Zonen. Die Firewalls sind auf dem ESXi virtualisiert. Der Zyxel ist port based konfiguriert, der DELL 802.1Q.

Nun kann ich am DELL das erste VLAN am Uplink konfigurieren. Das Problem ist aber, wenn ich das mache, habe ich am Desktop die GREEN Zone nicht mehr. Und die Zone wirklich extra zu verkabeln, dafür fehlen selbst mir die NICs. Also müsste am VLAN 1 VLAN 2 auch erreichbar sein. Wo konfiguriere ich das? In der firewall? Am ESXi? Das ganze sollte dann so konfiguriert werden, dass ich nichts neu verkabeln müsste. Dazu muss ich noch sagen, dass die ESXi Konsole seperat verkabelt ist, also nicht über die Switches geht.

Das Ziel wär, das ich den DELL Switch nur noch am Uplink (VLAN 1) konfigurieren könnte, welches aber Uplink für GREEN (VLAN 2) wär.
 
Zuletzt bearbeitet:
Hi

Ich habe den ESXi, auf dem 2 Endians mit zwei 4 Port NIC laufen. Da dran hängen die beiden Switches, die jeweils 2x Grün und 2x Blau als VLANs haben. Der ESXi vSphere ist direkt mit dem Desktop verbunden. vSphere läuft also nicht über die Switches. Nun möchte ich Endian's Webadministration auch an das vLAN hängen, das als erstes VLAN bei meinem DELL Powerconnect 2824 auch (und ausschliesslich) der Administration dienen soll. An meinem Zyxel MGS 3712 habe ich ein extra RJ45 Management Port, allerdings habe ich den Switch über den Port bislang nicht ansprechen können. Weder per Putty noch über Browser. Ich habe den Switch dazu in den Secure Mode gesetzt und dadurch abgeschossen... Musste den zurücksetzen :fresse2:

Der Hintergrund ist, das ich vom VLAN 1 am DELL Switch (jetzt mein Grün) Zugriff auf's Management Interface habe, welches ich unterbunden haben möchte. Am Zyxel kann ich genau angeben, welche IP Zugriff aus Webadmin haben darf. Beim DELL leider nicht, da muss ich ein extra VLAN1 machen (offensichtlich...) wo dann der Zugriff nur über den einen Port möglich ist.

  • Also möchte ich vSphere, DELL VLAN1, Zyxel Management und die beiden Endian's in einem VLAN haben. Wie mache ich das?
  • Und dann die Gretchenfrage: Wie bringe ich Endian bei, auf einem anderem Netzwerk als Grün administriert zu werden? Nicht unbedigngt notwendig, aber doch sinnvoll?!
  • Ideen?
 
Zuletzt bearbeitet:
Hi

Also momentan siehts so aus:

20140220_035904.jpg

Am Freitag, so hoffe ich, sollte meine Zywall 110 eintreffen.

Ich habe das Netzwerk folgendermassen geplant:

NetzwerkBeschriftet.png

Den Desktop kann ich dann flexibel an beiden Switches umstöpseln bei Bedarf.

Leider habe ich weder am Zyxel Switch noch an der Zywall freie Ports. Am Zyxel hats wie gesagt noch ein Management Port. Naja, ich werde dann sehen, wie ich's genau mache. Das mit dem Managment ist also noch unklar (siehe weiter oben). Vielleicht fahre ich das dann vom ESXi mit mehreren Adaptern an einem vSwitch im Promiscous Mode.

Oder hat gerade einer ne Idee, wie ich alle Netzwerkgeräte mit dem vmManagement Port sowie den Firewall's sicher auf dem ESXi in einer speziellen VM zulassen könnte, und sonst im Netzwerk nirgends?

Das vmNetwork möchte ich eigentlich nicht über die Switches fahren, so dass ich das den DELL abschalten kann und trotzdem weiter arbeiten kann.

Bislang war es so gedacht und eingerichtet, das ich beide Switches runterfahren konnte (ESXi direkt am Router/Modem). Den Zyxel könnte ich bei dem Szenario wie hier abgebildet aber nicht mehr herunter fahren. Habe ich noch nicht bedacht. Der macht nämlich einen höllen Krach. Und der Zywall sagt man das auch nach. Naja, dann werde ich wohl den WAN vom ESXi direkt an die Zywall hängen ;)

Ideen/Anregungen?

Ich habe vor, dass wenn die FW auf dem ESXi nicht läuft, im vSphere Client die einen vier Adapter abzuschalten, um Strom zu sparen. Bringt das was?

24/7 sind folgende Geräte: Modem, ESXi, Zywall

für Desktopbetrieb: Zyxel + optional der DELL

Bei Bedarf Enigmabox.

Edit:

Wär es vielleicht besser den ESXi zwischen Zywall und MGS-3712 zu hängen?

Jo, das wär besser. Der ESXi läuft ja immer. 4x rein 4x raus Mit einer einzigen Endian
 
Zuletzt bearbeitet:
selten ein so verkompliziertes und überdimensioniertes Setup, vor allem für den Heimbereich, gesehn.
 
Was soll das mit den doppelten Pfaden andauernd? Desktop in 2 Segmenten, VPN-Box in 2 Segmenten?

Mal die ESXi-Kiste außerdem nicht als Blackbox, wo einfach alles reingeht, sondern liste die VMs wie physische Hosts auf, damit man sieht, welche Segmente da wie beteiligt sind.
 
Zuletzt bearbeitet:
Hi

Die VNP Box liegt nicht in zwei Segmenten. Das Modem bringt 3 dynamische, öffentliche IP. Damit dort nicht gesnifft werden kann, fahre ich statt direkt auf die Enigma Box erst in die Firewall. Ich weiss, bei einem Cablemodem könnte man die ganze Node sniffen, aber das lassen wir jetzt einmal aussen vor.

Beim MGS 3712 kann ich dann auf 4 Netze von 4 verschiedenen öffentlichen IP (3x Modem, 1x Enigma Box) zugreifen, bzw. fahre ich dann mit 4 Segmenten weg vom MGS 3712. Etwas unkonventionell, ich weiss. Aber aus dem Grund habe ich mir eigentlich jetzt die Zywall bestellt. Bislang hatte ich das Modem im Routermodus betrieben, d.h., ich bezog nur 1 öffentliche IP.

Und am Desktop sowie am ESXi kann ich auch auf die verschiedenen Segmente der FW's, bzw auf die 4 WAN zugreifen, falls mal der ESXi oder der Switch gerade down sind. Oder, so wie's jetzt gezeichnet ist, mal umstöpseln für die virtuallisierten Firewalls. Bin mir noch nicht so recht sicher, wie ich den Desktop verkable, darum frage ich hier. Die Adapter am Desktop laufen also nie gleichzeitig, sie werden nur bei Bedarf zugeschaltet. So wie ich es bislang verkabelt hatte, klappt das recht gut, und hat sich so bewährt. Ich kann z.B. am Desktop dann mal eben auf ein anderes "WAN" (natürlich hinter einem Router) zugreifen. Oder mal ein LAN zuschalten, um mit Gäste PC's in ein Segment zu kommen.

ara1 schrieb:
selten ein so verkompliziertes und überdimensioniertes Setup, vor allem für den Heimbereich, gesehn.
Zum Vergrößern anklicken....

...ich noch gar nie! :wink:
 
Zuletzt bearbeitet:
tjo, dachte ich mir schon dass das Setup eher aus Unwissenheit, als aus einer Notwendigkeit entstanden ist...

Also zuerstmal: Nur weil du 3 öffentliche IPs hast brauchst du vom Modem nicht mit 3 Kabel weg, 1 reicht vollkommen.

So wie du's gezeichnet hast kommst du vom Desktop garnicht in's Internet wenn der ESXi down ist.

Irgendwo hattest du mal geschrieben dass du 2! Endian VMs hast. Was genau willst du mit denen machen?

Ich nehme mal an du willst quasi 2 Internetzugänge haben, 1x "normal" und 1x über die Enigmabox; und Traffic nach bestimmten Regeln über den einen oder den anderen schicken, richtig? Die Zywall kann ja Multi-Wan, könnte sie die Regeln die du dir vorstellst umsetzen?
 
Hi

Das Setup ist aus folgendem Grund entstanden: erst habe ich am ESXi eine Intel vier Port NIC mit einer Endian betrieben. Dann hatte ich am Zyxel zu wenige Downlink Port's. Deshalb habe ich den Powerconnect 2824 gekauft. Den bekam ich sehr günstig gebraucht. Und der nette Herr hat mir dann zusätzlich gleich die beiden HP 4 Port NIC gebraucht zu einem Spottpreis verkauft. Die wollte ich natürlich nicht unbenutzt rumliegen lassen.

An den beiden Endian läuft jetzt im Moment ein DC, NS, ein paar Entwicklungsserver, Filer, Game- und VoIP, System Center, naja, etc. Die geben mir einfach die Möglichkeit, gewisse Dienste (und physikalische Maschinen) voneinander zu trennen. Ausserdem's gibt's zentrale Virenscanner über Proxy und IDS. Dienste die ich weiter nutzen möchte, d.h., ich werde die privaten IP's der Zywall dann für mich wie öffentliche behandeln. Ich möchte die Zywall also nur dazu verwenden, alle (echten) WAN Adressen sicher voneinander zu trennen.

Ich bin nicht einmal sicher, ob das Modem im Bridged Mode wirklich 3 Adressen über ein Kabel zur Verfügung stellt. Ich habe das mit einem Kumpel, der ist Kabelfernseher Techniker bei meinem Provider, letzthin diskutiert. Er hat auch gemeint, da müsse man event. 3 Strippen ziehen. Ausserdem kann ich so prima das Multi WAN, Failover und Load Balancing testen. Also ich zieh da vorerst mal drei Strippen :p

Ich muss dazu vielleicht noch sagen, dass ich leicht schizophren bin und dann dazu noch schlechte Erfahrungen mit Gäste PC's gemacht habe.

Ausserdem werden bei uns in der Stadt Glasfaser Leitungen (FTTH) verlegt, in jede Wohnung 4 Fasern. Davon drei mit frei wählbaren Provider. Da habe ich dann vor, wieder gewisse Dienst selbst zu hosten. Da kann ich die vorhandene Hardware dann wunderbar einsetzen, wenn ich mich etwas besser mit den Geräten auskenne.

Betrachte es als Forschungseinrichtung.
 
Zuletzt bearbeitet:
Hi

Hab so ein Zwischending aus den oberen beiden Lösungen gewählt und bin nun sehr zufrieden damit!

Ich kann am Desktop (ohne umzustecken) auf vier Endian LAN Segmente (laufen alle an einer IP), den Uplink der Endian DMZ (läuft auf einer anderen IP, für den Notfall, falls der ESXi mal down ist), sowie auf den vmKernel zugreifen. Wenn ich den Desktop umstöpsle, komme ich auch noch in die verbleibenden Netzwerke.

Der ESXi hat jetzt drei Uplinks: einen für LAN und sowas, einen für DMZ und das Enigma Net.

Die Enigmabox, an der noch ein kleiner Switch hängt, ist auf dem Bild grad nicht zu sehen.

Verkompliziert? > Geschmackssache,...

Überdimensioniert? > Kleiner ging's grad nicht! Naja, ein Multi GPU Gespann würd wohl mehr Saft aus der Dose ziehen. Hab leider kein Energy Meter zur Hand, aber ich schätze den Verbrauch der Netzwerkkomponenten auf 120W. Kann sein, dass ich daneben liege.

Komfortabel? > Ja!

Nachteil > Die Zywall und der Zyxel Switch müssen immer an sein. Wenn ich am Desktop sitze, der DELL auch noch. Das war vorher günstiger. Da konnte ich beide Switches aus haben, wenn mir danach war.

20140223_KLEIN - Kopie.jpg

Ich habe auf jeden Fall recht viel Spass mit dem neuen Netzwerk! :coolblue:
 
Zuletzt bearbeitet:
lux-network2.PNG

so, hab's dir jetzt mal aufgezeichnet wie ich's machen würde. Wesentlich übersichtlicher, oder?

Du brauchst nurnoch 1 Switch. Auf diesem sind 3 VLANs einzurichten:
VLAN 1: LAN
VLAN 2: WAN
VLAN 3: Gastnetz/DMZ

Portkonfiguration:
Port 1: Untagged VLAN 2 - zum Modem
Port 2: Untagged VLAN 2 - zur Enigmabox WAN Eingang
Port 3: Untagged VLAN 2 - zur Zywall WAN Eingang1
Port 4: Untagged VLAN 1 - zur Zywall LAN Ausgang
Port 5: Untagged VLAN 1 - zum ESX Host (Management)
Port 6: Tagged VLAN 1,2,3 - zum ESX Host (für VMs)
Port 7: Untagged VLAN 1 - zum Desktop PC

Das mal als Grundgerüst. Natürlich kannst du dann auf dem Switch weitere Ports konfigurieren, z.B. einen mit untagged VLAN 3 um einen AP für Gastnetz dranzuhängen. Oder Untagged VLAN 1 um einen weiteren PC in's LAN zu hängen.
Die Enigmabox stellt dann die 2. WAN Verbindung an der Zywall dar. Auf der Zywall müsstest du dann entsprechende Regeln anlegen sodass der gewünschte Traffic (zb. http/s) über diese Verbindung geht.
 
Zuletzt bearbeitet:
Hi

Hey, danke für die Mühe! Werd ich mir mal durch den Kopf gehen lassen!
 
AliManali schrieb:
Ich kann am Desktop (ohne umzustecken) auf vier Endian LAN Segmente (laufen alle an einer IP), den Uplink der Endian DMZ (läuft auf einer anderen IP, für den Notfall, falls der ESXi mal down ist), sowie auf den vmKernel zugreifen. Wenn ich den Desktop umstöpsle, komme ich auch noch in die verbleibenden Netzwerke.
Zum Vergrößern anklicken....

Dir ist aber schon klar, was der Sinn einer Trennung mittels VLANs ist? Wozu trennst du die Netze, wenn eine Kiste eh direkt in allen drinhängt? Das kommt mir so ein bisschen vor wie wenn du zwar tolles Spielzeug hast, aber da kreuz und quer irgendwelche VLANs erstellst und an Punkten wieder zusammenführst, wo es völlig unpassend ist.

Male doch mal bitte ein richtiges Netzwerkdiagramm mit allen logischen Netzen und VLANs. Welche Strippe wo reingeht, ist erstmal unwichtig. Die logische Struktur würde ich gerne mal sehen.
 
Wie gesagt, die Adapter laufen nicht gleichzeitig. Die werden bei Bedarf eingeschaltet. Das habe ich auch bis anhin so gemacht.

So kann ich bei Bedarf auf die jeweiligen Netze zugreifen, ohne das ich unter den Tisch kriechen muss.

ara1 schrieb:
WTF!?
Wie geht das? Was bringt das? Was soll das?
Zum Vergrößern anklicken....

1. gewünschten Adapter einfach einschalten
2. So kann ich friedlich mal in ein anderes Segment umschalten.
3. siehe 2.
 
Zuletzt bearbeitet:
Bei Bedarf auf die Netze zugreifen geht normalerweise mit einem Router. Du rennst ja auch nicht mit ner Kabelrolle in das Google-RZ, wenn du auf google.de zugreifen willst. Wozu trennst du die Netze dann überhaupt? Ich habe immer noch die starke Vermutung, dass hier ein riesiger Irrtum rumgeistert, was VLANs angeht. Mit einem richtigen Diagramm, was alle Hosts (egal ob phys. oder virtuell) und alle Netze auflistet, wäre man an der Stelle vielleicht schon weiter...
 
Anmelden, um zu antworten.

Ähnliche Themen

M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
847
BobbyD
BobbyD
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh