[gelöst] VLANs nicht erreichbar aus fremden Netzen

[Mistaluna]

Hallo,

ich habe an meinem Debian 11 Server am einzigen Netzwerkport ein natives LAN und mehrere VLANs konfiguriert. Befinde ich mich im selben VLAN, klappt die Kommunikation problemlos, jedoch nicht von einem fremden Netz aus, in dem der Server kein Interface hat. Das native LAN erreiche ich jedoch auch von fremden Netzen aus. Ich vermute also, ich habe etwas vergessen zu konfigurieren.

UFW ist installiert aber scheint nicht das Problem zu sein, da auch bei UFW "disabled" das Problem weiter besteht.

Bei der VLAN Einrichtung habe ich mich an folgende Anleitung gehalten: https://techviewleo.com/how-to-configur ... on-debian/

Hier ist meine interface config:

Code: Alles auswählen

  GNU nano 5.4                       /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eno1
iface eno1 inet dhcp

# The VLAN interfaces
auto eno1.64
iface eno1.64 inet dhcp

auto eno1.2032
iface eno1.2032 inet dhcp

Hier der Output von IP a

Code: Alles auswählen

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:23:24:8b:36:4f brd ff:ff:ff:ff:ff:ff
    altname enp0s25
    inet 10.64.44.8/22 brd 10.64.47.255 scope global dynamic eno1
       valid_lft 83109sec preferred_lft 83109sec
    inet6 fe80::223:24ff:fe8b:364f/64 scope link
       valid_lft forever preferred_lft forever
3: eno1.64@eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:23:24:8b:36:4f brd ff:ff:ff:ff:ff:ff
    inet 10.64.4.106/21 brd 10.64.7.255 scope global dynamic eno1.64
       valid_lft 11166sec preferred_lft 11166sec
    inet6 fe80::223:24ff:fe8b:364f/64 scope link
       valid_lft forever preferred_lft forever
4: eno1.2032@eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:23:24:8b:36:4f brd ff:ff:ff:ff:ff:ff
    inet 10.64.39.22/21 brd 10.64.39.255 scope global dynamic eno1.2032
       valid_lft 83168sec preferred_lft 83168sec
    inet6 fe80::223:24ff:fe8b:364f/64 scope link
       valid_lft forever preferred_lft forever

und hier von ip r

Code: Alles auswählen

ip r
default via 10.64.47.254 dev eno1
10.64.0.0/21 dev eno1.64 proto kernel scope link src 10.64.4.106
10.64.32.0/21 dev eno1.2032 proto kernel scope link src 10.64.39.22
10.64.44.0/22 dev eno1 proto kernel scope link src 10.64.44.8

Kann mir jemand helfen?

[EDIT]
LÖSUNG:

1. Ich kann in jedem Interface das gateway definieren, aber wie definiere ich das default GW?

Die "gateway x.x.x.x" Zeile darf es nur einmal geben, diese legt dein Default-Gateway fest.

2. Wenn es nur ein Default Gateway geben darf, ist es also normales Verhalten, dass der Server aus fremden Netzen nur über die IP erreichbar ist, in dem sich das default Gateway befindet?

Ja

[slu]

Kann mir jemand helfen?

Wo sitzt den dein Router mit dem Gateway in das jeweilige VLAN Subnetz?

[Mistaluna]

Es gibt einen Router der alle VLAN's verwaltet. Jedes VLAN/Subnetz hat sein eigenes Gateway. Es ist immer die letztes IP des Subnetzes.

Ich kann auch andere Geräte des VLAN's aus dem fremden Netz erreichen.

[bluestar]

Also grundsätzlich ist es nicht zu empfehlen, zwei Netzwerkschnittstellen parallel via DHCP zu konfigurieren und dazu direkt noch eine Frage -> Warum hängt dein Server in zwei VLANs?

[Mistaluna]

Ich hatte erst statische IP Einstellungen, aber dann wegen des Problems auf DHCP umgestellt, um zu schauen ob ich mich vielleicht bei den Einstellungen vertan habe.

Der Server hängt in verschiedenen VLAN, da er als Basis für iobroker dient, dass Geräte in verschiedenen VLAN's verwalten soll. Teilweise werden da auch WoL Pakete abgeschickt, Broadcast scans durchgeführt und so weiter.

[bluestar]

Der Server hängt in verschienen VLAN, da ich darauf ein iobroker installiert habe das Geräte in verschiedenen VLAN's verwalten soll.

Dafür brauchst du keine zwei Netzwerkschnittstellen, wenn doch der Router alle VLANs untereinander verbindet. Skizziere am besten mal deinen Netzplan.

[Mistaluna]

Der Server hängt in verschienen VLAN, da ich darauf ein iobroker installiert habe das Geräte in verschiedenen VLAN's verwalten soll.

Dafür brauchst du keine zwei Netzwerkschnittstellen, wenn doch der Router alle VLANs untereinander verbindet. Skizziere am besten mal deinen Netzplan.

Im Prinzip würde auch der jetzige Zustand schon ausreichen um eine direkte Kommunikation in jedem VLAN zu ermöglichen, ohne über den Gateway gehen zu müssen. Es geht mir eigentlich eher darum zu verstehen warum es nicht funktioniert.

Gibt es denn prinzipiell Gründe die gegen mehrere interfaces/vlans sprechen. Sicherheit, Stabilität usw?

[bluestar]

Im Prinzip würde auch der jetzige Zustand schon ausreichen um eine direkte Kommunikation in jedem VLAN zu ermöglichen, ohne über den Gateway gehen zu müssen. Es geht mir eigentlich eher darum zu verstehen warum es nicht funktioniert.

Es funktioniert nicht, weil deine Einstellungen nunmal nicht korrekt sind, mögliche Lösungsansätze wären die Vereinfachung ohne zwei Schnittstellen oder die Lösung mit zwei Schnittstellen, da du mit zwei Schnittstellen ja aktuell Probleme hast würde ich dir den Weg der Vereinfachung raten und nicht den komplizierten Weg.

Gibt es denn prinzipiell Gründe die gegen mehrere interfaces/vlans sprechen. Sicherheit, Stabilität usw?

Es macht die Sache unnötig kompliziert, untergräbt ggfs. die gesamte Netzwerksicherheit.

[Mistaluna]

OK, dann muß ich wohl meine Frage umformulieren: Wie konfiguriere ich mehrere Interfaces korrekt? Gibt es da einen guten Guide? So schwer kann das doch nicht sein, oder?

[bluestar]

OK, dann muß ich wohl meine Frage umformulieren: Wie konfiguriere ich mehrere Interfaces korrekt? Gibt es da einen guten Guide? So schwer kann das doch nicht sein, oder?

Konfiguriere die Interfaces statisch beachte dabei das es nur einen Default-Gateway geben darf.

[Mistaluna]

OK, dann muß ich wohl meine Frage umformulieren: Wie konfiguriere ich mehrere Interfaces korrekt? Gibt es da einen guten Guide? So schwer kann das doch nicht sein, oder?

Konfiguriere die Interfaces statisch beachte dabei das es nur einen Default-Gateway geben darf.

OK, das hatte ich schon und werde es auch wieder so einstellen. Zwei Fragen habe ich:
1. Ich kann in jedem Interface das gateway definieren, aber wie definiere ich das default GW?
2. Wenn es nur ein Default Gateway geben darf, ist es also normales Verhalten, dass der Server aus fremden Netzen nur über die IP erreichbar ist, in dem sich das default Gateway befindet?

[bluestar]

1. Ich kann in jedem Interface das gateway definieren, aber wie definiere ich das default GW?

Die "gateway x.x.x.x" Zeile darf es nur einmal geben, diese legt dein Default-Gateway fest.

2. Wenn es nur ein Default Gateway geben darf, ist es also normales Verhalten, dass der Server aus fremden Netzen nur über die IP erreichbar ist, in dem sich das default Gateway befindet?

Ja

[Mistaluna]

1. Ich kann in jedem Interface das gateway definieren, aber wie definiere ich das default GW?

Die "gateway x.x.x.x" Zeile darf es nur einmal geben, diese legt dein Default-Gateway fest.

2. Wenn es nur ein Default Gateway geben darf, ist es also normales Verhalten, dass der Server aus fremden Netzen nur über die IP erreichbar ist, in dem sich das default Gateway befindet?

Ja

OK, das sind sehr nützliche Informationen. Vielen Dank!

[Mistaluna]

Gibt es denn prinzipiell Gründe die gegen mehrere interfaces/vlans sprechen. Sicherheit, Stabilität usw?

Es macht die Sache unnötig kompliziert, untergräbt ggfs. die gesamte Netzwerksicherheit.

Um dem Sicherheitsaspekt rechnung zu tragen, habe ich jetzt folgende UFW-Einstellungen erstellt. Ich will nur das der Server selbst auf die VLAN Netze (eno1.XXX) zugriff hat, aber aus dem VLAN nichts auf den Server. Ansonsten halt nur administrativer Zugang über SSH und auf den Port 8081 (Webinterface des iobroker) über das native LAN (eno1).

Code: Alles auswählen

     To                         Action      From
     --                         ------      ----
[ 1] Anywhere on eno1.2032      DENY IN     Anywhere
[ 2] Anywhere on eno1.64        DENY IN     Anywhere
[ 3] Anywhere on eno1.255       DENY IN     Anywhere
[ 4] 22/tcp                     ALLOW IN    Anywhere
[ 5] 8081/tcp                   ALLOW IN    Anywhere
[ 6] Anywhere (v6) on eno1.2032 DENY IN     Anywhere (v6)
[ 7] Anywhere (v6) on eno1.64   DENY IN     Anywhere (v6)
[ 8] Anywhere (v6) on eno1.255  DENY IN     Anywhere (v6)
[ 9] 22/tcp (v6)                ALLOW IN    Anywhere (v6)
[10] 8081/tcp (v6)              ALLOW IN    Anywhere (v6)

Es funktioniert alles soweit, aber ich habe trotzdem einige Fragen:
1. Sind die Regeln so korrekt?
2. Gibt es Verbesserungsvorschläge?
3. Muss man am Ende eine Regel setzen die alles Übrige verbietet? So etwas wie:

Code: Alles auswählen

sudo ufw deny in on eno1

Meine interfaces config sieht jetzt so aus:

Code: Alles auswählen

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eno1
iface eno1 inet static
       address 10.64.47.11/22
       gateway 10.64.47.254
       dns-nameservers 8.8.8.8 9.9.9.9

# The VLAN interface
auto eno1.64
iface eno1.64 inet static
        address 10.64.6.11/21

auto eno1.2032
iface eno1.2032 inet static
        address 10.64.39.11/21

auto eno1.255
iface eno1.255 inet static
        address 172.16.255.11/16

Gibt es dort offensichtliche Fehler oder Verbesserungsvorschläge?