fremde Gateways pingbar

AliManali

AliManali

cpt sunday flyer
Thread Starter
Mitglied seit
07.03.2012
Beiträge
4.748
Ort
Ostschweiz
Hi

Ich habe in meinem ESXi Server 2 Firewalls, von denen je 2 Zonen (2 LAN, 2 BLAU) auf 2 Switches verteilt sind. An beiden Switches sind also je 2 Zonen der FW's angebunden. Nun kam ich bei dem einen Switch nicht mehr ins Administrationsinterface über den Browser (direkt verkabelt über meinen Desktop). Also habe ich den zurückgesetzt und neu konfiguriert,...

Nun kann ich von einem beliebigen Client aus aber die Gateways der jeweiligen FW's pingen, obwohl die gar nicht an meinem Netz sind. Also, wenn ich an Blau 1 angehängt bin, kann ich das Gateway 1 LAN Grün anpingen. In der Firewall habe ich Interzoneregeln, die ich wohl richtig konfiguriert habe (die das verbieten sollten). An dieser Konfiguration habe ich auch nichts geändert.

  • Ist das normal? Soweit ich mich erinnern kann, war das vor der Switch Neuconfig noch nicht so.
  • Kann das auch noch mit dem AD zusammenhängen? Ich hab auf dem DC auch ein NS für alle vorhandenen Zonen.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Bitte genauer dein Netzwerk beschreiben.
Waren auf dem Switch VLANs konfiguriert? Sind diese wieder konfiguriert?


Aber eines vorweg. Am AD kann es nicht liegen.
 
es liegt glaube ich an der neuen Switch Konfig.

Den zweiten Switch habe ich vom Strom genommen

Auf beiden Switches hatte es 4 VLANs, auf dem einem Port based (Zyxel), auf dem Anderen (DELL, der jetzt Betreffende) ist der andere Mode aktiviert (802.1Q)

Einfach, um auf beiden Switches alle 4 Zonen verfügbar zu machen.
 
Zuletzt bearbeitet:
ist denn das normal, dass ich der Zone fremde gateways pingen kann?

DC und NS hab ich heruntergefahren, sieht aber immer noch so aus.

Funktionieren tut alles wieder, soweit ich das beurteilen kann. Nur die fremden Gateways, die ich pingen kann...

So siehts auf der firewall aus:

Firewall.PNG

Aber ich kann Blau zu Grün das Gateway pingen.
 
Zuletzt bearbeitet:
Welche gateways denn?

Netzwerkdiagramm malen mit Subnetzen und IP-Adressen und beschreiben, was du machst. Aus dem da oben wird kein Mensch schlau.
 
Also wenn die Firewall keine ICMP Pakete blockt und Intervlan Routing erlaubt ist, dann ist es normal, dass die anderen Router in ihren jeweiligen Subnetzen pingbar sind.
 
Hi

Ja danke. Hab mir sowas schon gedacht, hat mich aber trotzdem verunsichert. Werde das aber noch ohne den Switch durchtesten, des Verständnis willen.
 
Zuletzt bearbeitet:
Hi

Habe heute mal ohne den Switch gepingt, und bekam tatsächlich von allen Gateways Antwort.
 
Wenn ein IP-Paket auf einem Interface reindarf, aber für die IP-Adresse eines anderen Interfaces auf dem gleichen Host bestimmt ist, dann reicht das trotzdem schon völlig aus. Die Firewallregeln des anderen Interface interessieren dann nicht, weil das Paket schon "im" IP-Stack des Kernels ist.

Das ist glaub ich der Denkfehler, wenn ich das richtig verstanden habe.

Und was der Switch - ein Layer2-Gerät - damit zu tun haben soll, weiß ich auch nicht.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh