Verbindung in Firmennetz (VLAN)

Started by makingsense, December 11, 2019, 07:21:05 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 11, 2019, 07:21:05 PM
Guten Abend Zusammen  :),

ich bin in einem größeren Unternehmen tätig. Es wurde beschlossen, dass die zentrale Infrastruktur die wir derzeit nutzen ersetzt wird und wir künftig selbst unsere Netze verwalten sollen.
Unsere Clients und Server sind wie unten zu sehen in den Netzen 10.10.10.0/24 und 10.10.20.0/24. Derzeit noch über zentral verwalteten DHCP.

Wir haben nun einen Übergabeport bekommen (HSRP) auf dem die VLANs unserer Netze getagged sind. Dieser Port befindet sich im Übergabenetz im Bereich 10.10.50.10/29.

Ziel ist jetzt, von einem Client an der OPNSense in die entsprechenden Netze zu kommen sprich, den Server mit der 10.10.10.60 zu erreichen.

Ich habe leider keinen Einblick / Information wie es in der Infrastruktur dazwischen aussieht (???).

Code Select
      WAN (Company Networks)
            :    10.10.10.0/24 (VLAN 110)
            :    10.10.20.0/24 (VLAN 120)
            :     #Server 10.10.10.60
            :
         ( ??? )
            :
      .-----+-----.
      |  Gateway |  HSRP (Trunk Port mit 2 VLANs: 110, 120)
      '-----+-----'   
        10.10.50.11
            |
        WAN | 10.10.50.10/29  (igb1)
            |
        10.10.50.12
      .-----+-------.
      |  OPNsense |
      '-----+-------'
        10.10.10.20
            |
        LAN | 10.10.10.20/24  (igb0)
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------...
    #Client 10.10.10.250
     (GW-> 10.10.10.20)


Die Konfiguration wie oben zu sehen habe ich vorgenommen. Ich habe die VLANs bereits erstellt und dem LAN Interface (igb0) zugeordnet.
In den Logs der Firewall sehe ich den Traffic im 10.10.10.0/24er Netz (Netzwerkhardware die Anfragen schickt), welcher jedoch per default gedroppt wird.
Ich habe ICMP in den Firewall Regeln der VLANs erlaubt, bekomme jedoch keinen erfolgreichen Ping in beide Richtungen.

Weitere Hinweise:

  • Beim LAN Interface habe ich das IPv4 Upstream GW auf 'Auto-detect' stehen.
  • Bei den VLAN Interfaces (OPT1 + OPT2) habe ich keine IPv4 Konfiguration angegeben

Ich hoffe jemand hier erkennt die Fehler bzw. Notwendigkeiten mit denen ich die Konfiguration zum laufen bekomme.
Ich habe schon einiges probiert und diverse Male von Neuem angefangen. (Oben ist aktueller Stand)

Meine bisherige Erfahrung mit der Konfiguration von Firewalls liegt über 2 Jahre zurück und war vergleichsweise trivial.


Danke fürs lesen und einen schönen Abend!  ;)
December 11, 2019, 08:35:37 PM #1
Hallo,

verstehe ich es richtig, dass du einen Port hast der:

1. untagged das Netz 10.10.50.x
2. tagged VLAN 110
3. tagged VLAN 120

hat?

Zusätzlich möchtest du jetzt noch einen anderen Port an deiner Firewall nutzen und von dem Netz das du dann dort hast in die Netze kommst wie du es eben konfiguriert hast oder?

VG,

Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
December 11, 2019, 10:49:45 PM #2
Hallo banym,

Danke für deine Antwort  :)

Der WAN Port ist untagged mit 10.10.50.0
Der LAN Port beherbergt die beiden VLAN Interfaces.

Ich möchte erreichen, das ein Client am LAN Port eine IP aus einem der beiden getaggten VLAN Netze hat und durchs WAN mit Servern kommunizieren kann, die quasi auch in dem VLAN und derselben IP Range sind. Nur das diese Server nicht an der OPNSense hängen.
Ich möchte also die Netze 'durchschleifen'.
December 12, 2019, 07:44:11 AM #3
Sorry für meine vielen Nachfragen.

Also willst du an deinem WAN Port aus dem Netz 10.10.50.0 auch Server aus dem 10.10.20.0/24 haben?

Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
December 12, 2019, 09:49:34 AM #4
Guten Morgen,

das 50er Netz wird von anderen Admins betreut und was dahinter geschieht, das weiß ich leider nicht. Es müsste aber richtig geroutet werden.

Also
Derzeitige Firmennetze 10.10.10(/20).0/24 dann geht es durch die Firmeninfrastruktur.
10.10.50.x ist unsere Übergabestelle am WAN der OPNSense.
Netz dahinter also am LAN Port soll auch in der Range der Firmennetze (10/20) liegen.

Viele Nachfragen sind doch prima ; )
December 12, 2019, 10:02:45 AM #5
O.k aber ich steige nicht durch.

Du wirst bei jeder IP basierten Firewall nicht gleiche Netze extern und intern fahren können.

Wenn du doch die VLANs anliegen hast, brauchst du doch keinen Übergabepunkt?
Ich vermute der Übergabepunkt soll das neue Gateway in den Rest der Infrastrukur außer des 10er und 20er Netz darstellen. Das würde mehr Sinn ergeben.

Dann wäre dein WAN quasi das 50er und du hättest zwei VLANs auf LAN Seite die du als interne Netze betrachten kannst.

Es ist keine Problem hier dann über die Firewall alles so zu filtern oder zu erlauben wie du möchtest. Auf dem WAN Interface nur den Hacken raus, dass du private Netze blocken möchtest und es sollte funktionieren.
Deine restlichen Geräte im 10er und 20er Netz solltest du dann im VLAN sehen. Das wird ja auf VLAN (Layer-2) und nicht auf IP (Layer-3 ) abgehandelt.

VG,
Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
Print
Go Up Pages1
User actions