(W)LAN absichern/separieren

Begonnen von darkness, 27 März 2019, 10:28:37

Vorheriges Thema - Nächstes Thema

darkness

GI10 auf Switchmode L3 und IP zugewiesen

Pi --> Switch

PING 172.16.2.254 (172.16.2.254) 56(84) bytes of data.
64 bytes from 172.16.2.254: icmp_seq=1 ttl=64 time=1.22 ms
64 bytes from 172.16.2.254: icmp_seq=2 ttl=64 time=1.20 ms
64 bytes from 172.16.2.254: icmp_seq=3 ttl=64 time=1.18 ms
64 bytes from 172.16.2.254: icmp_seq=4 ttl=64 time=1.23 ms


Pi --> Fritte

PING 192.168.178.1 (192.168.178.1) 56(84) bytes of data.
From 172.16.2.1 icmp_seq=1 Destination Host Unreachable
From 172.16.2.1 icmp_seq=2 Destination Host Unreachable
From 172.16.2.1 icmp_seq=3 Destination Host Unreachable
From 172.16.2.1 icmp_seq=4 Destination Host Unreachable


traceroute to 192.168.178.1 (192.168.178.1), 30 hops max, 60 byte packets
1  fhem-server (172.16.2.1)  2308.895 ms !H  2308.859 ms !H  2308.845 ms !H


Switch --> Pi

Pinging 172.16.2.1 with 18 bytes of data:

18 bytes from 172.16.2.1: icmp_seq=1. time=0 ms
18 bytes from 172.16.2.1: icmp_seq=2. time=0 ms
18 bytes from 172.16.2.1: icmp_seq=3. time=0 ms
18 bytes from 172.16.2.1: icmp_seq=4. time=10 ms


Switch --> Fritte

Ping 192.168.178.1 with 18 bytes of data:

18 bytes from 192.168.178.1: icmp_seq=1. time=0 ms
18 bytes from 192.168.178.1: icmp_seq=2. time=0 ms
18 bytes from 192.168.178.1: icmp_seq=3. time=0 ms
18 bytes from 192.168.178.1: icmp_seq=4. time=0 ms


Fritte --> Pi
Fritte --> Switch
klappen nicht. Sobald ich den Port auf SwitchMode L3 stelle und die IP 192.168.178.2 zuweise, komme ich nicht mehr auf die Box.


Routen auf dem Switch:

Maximum Parallel Paths: 1 (1 after reset)
IP Forwarding: enabled
Codes: > - best, C - connected, S - static


C   172.16.0.0/16 is directly connected, vlan 1                           
C   192.168.178.0/24 is directly connected, gi10       


Wobei die 192.168.178.0 von mir manuell angelegt ist.

Wuppi68

mach mal bitte auf der Console vom Switch:

show running-config interface gi10

und

sh run int gi1
das ist die Kurzform

sh ip route von der Console

das Teil routed noch nicht ...

Liebe Grüße

Ralf

PS: Wenn Du möchtest, kannst Du mir Deine Switch Config (sh run) per Forum Mail zukommen lassen .... Inhalte werden vertraulich behandelt

PPS: Bei mir sieht so ein sh int ungefähr so aus (im reinen L2 Mode)

sh ip route
Maximum Parallel Paths: 1 (1 after reset)
IP Forwarding: disabled
Codes: > - best, C - connected, S - static


D   0.0.0.0/0 [1/2] via 192.168.99.254, 578:02:03, vlan 1                 
C   192.168.99.0/24 is directly connected, vlan 1

sh run int gi1
interface gigabitethernet1
speed 100
description "GE1 WAN/DSL Cisco892"
spanning-tree link-type point-to-point
macro description switch
switchport trunk native vlan 7
!next command is internal.
macro auto smartport dynamic_type unknown
!



Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

Zitatshow running-config interface gi10

interface GigabitEthernet10
ip address 192.168.178.2 255.255.255.0
!


Zitatsh run int gi1

Empty configuration


Zitatsh ip route von der Console
Maximum Parallel Paths: 1 (1 after reset)
IP Forwarding: enabled
Codes: > - best, C - connected, S - static


C   172.16.0.0/16 is directly connected, vlan 1                 



Wuppi68

Zitat von: darkness am 04 April 2019, 09:51:23
interface GigabitEthernet10
ip address 192.168.178.2 255.255.255.0
!


Empty configuration

Maximum Parallel Paths: 1 (1 after reset)
IP Forwarding: enabled
Codes: > - best, C - connected, S - static


C   172.16.0.0/16 is directly connected, vlan 1                 


Oki, es fehlen noch 2 Routen ;-)

Default (0.0.0.0) soll die 192.168. er IP von der Fritte zeigen

normalerweise sollte automatisch die Adresse von dem Interface GE10 erhalten .... (2 Möglichkeiten)
a) explizit ins VLAN 1 mit aufnehmen
b) der Link muss UP sein - also Kabel aktiv und gesteckt

Sollte das beides nicht zum Erfolg führen.

sh run in eine Textdatei sichern (oder über die WebGui sichern)
Switch einmal komplett Werksreset ;-)
Config neu einspielen (entweder Console und Text Datei pasten oder über die WebGui und danach noch einmal neu starten)

Ein Rücksetzen ist normalweise nicht notwendig - normalerweise laufen die und laufen die werden umkonifguriert und laufen weiter ...

Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

Wenn ich port 10 auf Layer3 umstelle, ist die Route:

C   172.16.0.0/16 is directly connected, vlan 1                           
C   192.168.178.0/24 is directly connected, gi10


vorhanden.

Aber die Default ist nicht vorhanden und lässt sich von mir auch nicht setzen.

Wuppi68

Zitat von: darkness am 04 April 2019, 14:32:22
Wenn ich port 10 auf Layer3 umstelle, ist die Route:

C   172.16.0.0/16 is directly connected, vlan 1                           
C   192.168.178.0/24 is directly connected, gi10


vorhanden.

Aber die Default ist nicht vorhanden und lässt sich von mir auch nicht setzen.

hmmm,

den https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/csbms/350_/cli_guide/CLI_Tesla_Sx350_2_2_5.pdf kennst Du?

geb mal auf der Console folgendes ein:

ip routing
ip route 0.0.0.0 0.0.0.0 <IP der Fritzbox>
sh ip route


und zeige mal die Ausgabe der Befehle
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

ok,

wenn ich den Switch entsprechend einstelle sieht es so aus:

Maximum Parallel Paths: 1 (1 after reset)
IP Forwarding: enabled
Codes: > - best, C - connected, S - static


S   0.0.0.0/0 [1/4] via 192.168.178.1, 00:00:27, gi10                     
C   172.16.0.0/16 is directly connected, vlan 1                           
C   192.168.178.0/24 is directly connected, gi10


so weit, so gut.

Muss ich dann auch die Ports 1 und 2 auf Layer 3 umstellen? Oder "läuft" es da über das VLAN?

Am Pi lösche ich die IP 192.168.178.2.
Meine Route sieht aber so aus:

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         192.168.178.1   0.0.0.0         UG    0      0        0 eth0


Muss ich da jetzt den switch als Router angeben?





darkness

Ok, die Frage konnte ich selber beantworten.

JEtzt läuft es, Juhu.

Also, Port 10 steht jetzt auf Layer 3.
Default-Route habe ich hinzugefügt.
IP des Switch als Router für den PI und angeschlossene Geräte.


Wuppi68

perfekt !!!!

jetzt solltest Du erst einmal deinen routenden Switch kennen lernen. Geh am besten mal ein paar Bits mit ihm trinken ;-)

Noch mal ein paar Gedanken machen, wie es in deiner Situation mit den VLANs am besten zu regeln ist ...
DHCP am besten auch auf den Switch umziehen (dann brauchst Du nur noch deine Clients in das richtige VLAN zu packen und nicht mehr im piHole alles von Hand machen) - der Cisco kann in jedem VLAN eigene Pools haben ...
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

#69
Guten Morgen,

es klappt nicht  :-[  ;D

Mal eine Verständnisfrage:

Alles was im LAN ist und über Port1 und 2 kommt, kann ich eine IP aus dem Bereich 172.16.X.X zuweisen
Alles was über WLAN kommt, kann nur eine IP aus dem Bereich 192.168.178.X bekommen. 172.16.X.X klappt nicht.

Ich verstehe das jetzt so. Port 10 ist der Routingport um von VLAN1 zum 192.168.178.1 Netz zu kommen. Aus dem 192.168.178er Netz komme ich nicht ins VLAN1 da ich ja sonst die Trennung der Netze aufhebe, oder?

Solange ich also kein getrenntes WLAN für Gäste/VLAN habe, können die Geräte im jetzigen WLAN keine IP aus dem 172.16.er Bereich bekommen?

Liege ich mit meiner wirren Vermutung halbwegs richtig?


Ok, Clients, welche die IP vom Switch bekommen, kann ich aus dem 192.168.178er Netz per WLAN erreichen. Nur das Zuweisen von 172.16er IPs im WLAN klappt nicht.

Wuppi68

2 Lösungsansätze ;-)

a) Gi10 explizit auch auf das VLAN1 setzen
b) die 192er IP auf das Interface VLAN 1 legen ;-)

in der Console:
conf t
int ge10
no ip addr 192.168.178.2
int vl1
ip addr 192.168.178.2 255.255.255.0


mach am besten vorher einen wr mem dann kannst Du auf jeden Fall durch Neustarten den Zustand von vorher herholen
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

Wuppi68

Zitat von: Wuppi68 am 05 April 2019, 22:15:32
2 Lösungsansätze ;-)

a) Gi10 explizit auch auf das VLAN1 setzen
b) die 192er IP auf das Interface VLAN 1 legen ;-)

in der Console:
conf t
int ge10
no ip addr 192.168.178.2
int vl1
ip addr 192.168.178.2 255.255.255.0


mach am besten vorher einen wr mem dann kannst Du auf jeden Fall durch Neustarten den Zustand von vorher herholen

Zusatz: Wenn das Interface VL1 2 IP Adressen hat, muss der Port GI10 nicht mehr routen und sollte im Layer 2 Modus sein ;-)

PS.: Jetzt habe ich schon die entsprechende Doku vom Switch punktuell gelesen, obwohl ich gar keinen habe ;-)
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

Wuppi68

Zitat von: darkness am 05 April 2019, 10:25:50
Ok, Clients, welche die IP vom Switch bekommen, kann ich aus dem 192.168.178er Netz per WLAN erreichen. Nur das Zuweisen von 172.16er IPs im WLAN klappt nicht.

die Unterscheidung kann ja auch "nur" aufgrund des VLAN's oder MAC Adressen erfolgen ...
via MAC Adressen hast Du ja schon auf dem piHole angelegt
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

#73
Hey. Danke für die Tipos/Erklärungen und den dezenten Wink zur Anleitung ;)

Grundsätzlich läuft es auch. Alle WLAN Geräte bleiben erst mal im 192er Netz. Ein zweites VLAN habe ich auch zum testen.

Ich wollte mir jetzt noch die ACLs mal näher ansehen. Das scheint ja auf den ersten Blick die "Firewall" zu sein, oder?

Kann ich auch ein Portforwarding einrichten? Auf dem PI läuft ein OpenVPN. Fritzbox leitet weiter bis zum Switch. Nur der Weg Switch zum Pi klappt noch nicht. Oder geht das auch mit ACLs?

Bisher ist die Variante das GE10 im VLAN1 ist. Die IP vom PI direkt in die Fritzbox geht nicht.

Wuppi68

Zitat von: darkness am 07 April 2019, 19:40:40
Hey. Danke für die Tipos/Erklärungen und den dezenten Wink zur Anleitung ;)

Grundsätzlich läuft es auch. Alle WLAN Geräte bleiben erst mal im 192er Netz. Ein zweites VLAN habe ich auch zum testen.

Ich wollte mir jetzt noch die ACLs mal näher ansehen. Das scheint ja auf den ersten Blick die "Firewall" zu sein, oder?

Kann ich auch ein Portforwarding einrichten? Auf dem PI läuft ein OpenVPN. Fritzbox leitet weiter bis zum Switch. Nur der Weg Switch zum Pi klappt noch nicht. Oder geht das auch mit ACLs?

Bisher ist die Variante das GE10 im VLAN1 ist. Die IP vom PI direkt in die Fritzbox geht nicht.
hier steht welche Ports Du für OpenVPN auf die IP vom PI weiterleiten musst: https://praxistipps.chip.de/openvpn-diese-ports-muessen-sie-freigeben_92701

Klappt der Ping von der Fritte auf den Pi? Wenn Nein, was sagt der Traceroute? Sonst müssten wir uns noch einmal das Routing von dem "Switch" anschauen ... dazu bräuchte ich dann noch einmal sh ip route und die IPs von Fritte, Switch und Pi

ansonsten kannst Du auch Methode Brutalo machen: Policy Based Routing auf dem Switch, ist aber total unfair und wird auch komplett mit der CPU gemacht

ACL = Access Control List --> Firewall ;-)

Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen