Toon posts:

firewall in 2 vlans

Pagina: 1
Acties:

woensdag 30 april 2008 10:52

Acties:

Verwijderd

Topicstarter
Hoi hoi
Ik ben bezig om via remote vnc 2 computers op ons netwerk over te nemen zonder dat deze iets van het netwerk kunnen zien. Heel het netwerk zit in vlan 1, maar nu heb ik een 2de vlan aangemaakt voor die 2 pc's


we hebben een nortel baystack 450 switch, hierop heb ik net de firewall aangesloten die nog in vlan1 zit met x aantal computers, en de 2 computers die ik via vnc wil bereiken in vlan2.

Het is mogelijk om de firewall in beide vlans toe te voegen maar ik weet niet welk effect dat gaat geven. Omdat ik op een live systeem aan het testen ben kan ik geen fouten permiteren.
Want bij de creatie van vlan 2 met 2 pc's kregen zij pvid 1 mee, maar die heb ik moeten wijzigen naar pvid 2 zodat die 2 onderling konden communiceren en niet met het netwerk.

Hoe moet ik dan nu de poort van de firewall configureren zodat vlan 1 blijft zoals het was en dat vlan 2 toegang krijgt naar buiten toe.

deze poort is momenteel in vlan1 met pvid1 en er is geen enkele port getagged.

woensdag 30 april 2008 11:01

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

Je zal een trunk poort moeten maken van de switchpoort waar de firewall nu op zit. Vervolgens moet je dat ook nog aan je firewall vertellen dat hij ook tagged frames kan babbelen.

woensdag 30 april 2008 11:37

Acties:

Verwijderd

Topicstarter
trunk poort zal wel lukken denk ik

maar wat moet ik dan op de firewall instellen?

woensdag 30 april 2008 11:39

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

dat je een 802.1q trunk wil maken van de interface naar die switch toe. Als die firewaal dat niet kan of fysiek geen 3 poortjes heeft dan houdt het op natuurlijk. Vroeger noemden ze deze constructie een router on a stick.

woensdag 30 april 2008 11:50

Acties:

Verwijderd

Topicstarter
het is een watchguard firebox, nu alles werk omdat hij aangesloten is op de switch op een poort in vlan1, maar ik ga die poort vandaag toevoegen aan vlan 2 en daar dan ook op die poort tagged trunk aanzetten.

Dan zal die zeker moeten werken?

hoop ik

woensdag 30 april 2008 12:43

Acties:

Verwijderd

Topicstarter
ok ik heb net de firewall poort in vlan 1 en 2 gezet, en daarna tagged trunk aangezet en heel het netwerk lag plat tot ik tagged trunk terug naar untagged access had gezet.

Hoe moet ik nu verder

woensdag 30 april 2008 13:07

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 08:54

jvanhambelgium

Beginnen met te stoppen te prutsen in productie !
Hoe kun je nu in godsnaam zo'n redelijk ingrijpende dingen "testen" in een productie LAN ?
Heb je de nodige research gedaan rond de Firebox en de Baystack 450 mbt tot wat je wilt doen ?

woensdag 30 april 2008 13:29

Acties:

Verwijderd

Topicstarter
We beschikken niet over andere apperatuur om dit te testen. En het testen kan alleen tijdens de werkuren gebeuren.

Over de 450 heb ik voldoende informatie, maar over de firebox (nog) niet. Maar ik weet gewoon niet hoe ik verder moet, in de 2de vlan kunnen de pc's onderling met elkaar communiceren, das ok, en ze kunnen niet op het netwerk, dat is ook ok. Maar ik wil dat ze van buiten het bedrijf overgenomen kunnen worden door vnc. Firewall is ingesteld dat die externe ip's toelaat die connecteren naar een bepaalde poort en deze dan doorstuurt naar een vast ip van een pc die ik nu in de vlan2 heb staan.

Wat moet ik dan aanpassen aan de switch of firewall zodat dit lukt.
En btw ik vind nergens degelijke uitleg van hoe zo iets ingesteld moet worden.
over heel het netwerk is een vlan1 (allemaal standaard) met geen trunking of tagging, alles staat op untagges access.
extern -- bedrijf firewall -- switch 450 -- vlan2

woensdag 30 april 2008 13:43

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 08:54

jvanhambelgium

Ok, nog enkele vraagjes ter verduidelijkig...

1) Welke IP-ranges gebruik je op het moment in VLAN2 ? Zijn deze "deel" van de ranges die gebruikt worden in VLAN1 (bedrijfsnetwerk) of totaal andere ?
2) Mijn veronderstelling dat de "bedrijfsfirewall" de Firebox is klopt ? Of is het nog een andere firewall ?
Indien het een andere firewall is, heeft die dan geen vrije interface waar je VLAN2 zou kunnen inprikken ?
3) Alle PC's & devices in VLAN1 zitten mee ingeprikt op de 450 en hebben hun "default gateway" netjes op de firewall staan ?

woensdag 30 april 2008 13:53

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 08:54

jvanhambelgium

extern/internet -<Bedrijfsfirewall>----VLAN1-[Baystack]
| |
andere PC's op VLAN1----| |----------VLAN2 met 2 PC's

Zo zou het er moeten uitzien als ik me niet vergis ?
Je moet dus verschillende stappen ondernemen :

1) Configureer 1 "trunk" poort op een ONGEBRUIKTE Baystack poort die dus zowel in VLAN1 als VLAN2 zit. Dit zou NIET tot gevolg mogen hebben dat alles eruitvliegt hoor !
2) Onderzoek of die Firebox tagged links kan interpreteren, en dat je dus oa firewall policies etc kunt baseren op VLAN TAG etc.
3) Loskoppelen INTERNE interface van de Firebox en op de gemaakte trunk-poort hangen.

-> Op deze moment kunnen alle device op VLAN1 onderling nog pefect communiceren alsook de devices op VLAN2 onderling, alle overige communicatie is niet mogelijk ;-)
-> Nu moet je toch de Watchguard config-boekjes boven halen hoor om die poort dus VLAN-aware te maken en ook een IP-adres erop te plakken indien je de firebox als routed entiteit gebruikt (en niet als firewall in bridging-mode, moest de firebox dit ondersteunen)
Vervolgens nog een "virtuele" interface maken (die op ARP's gaat reageren voor VLAN2 -> zodat die 2 PC's hun default gateway ook op die firebox kunnen zetten)

-> Vervolgens moet je aan de slag met de policies zou ik denken om ervoor te zorgen dat inter-VLAN communicatie mogelijk is EN ook de flow naar extern toe terug kunnen, alsook eventueel NAT en VPN en andere prutsen...

Het is en blijft toch een beetje spelen hoor dus verwacht je nog maar wat aan een beetje downtime ;-)

woensdag 30 april 2008 14:11

Acties:

Verwijderd

Topicstarter
internet -- firewall (watchguard firebox) -- switch 450 met 2 vlans

vlan 1 mag niet met vlan 2 communiceren. Vlan 2 dient alleen voor connectie via vnc.

nu de watchguard zelf heeft nog poorten vrij, maar we willen (nog) niet een aparte kabel leggen naar de switch voor die alleen op vlan 2 te zetten. Dat is misschien voor een latere fase.

Dus ik moet dan een niet gebruikte poort in vlan 1 en 2 zetten en deze tagged trunk zetten.

Maar ik snap niet wat je bedoeld met loskoppelen interne interface van firebox, is dat gewoon de verbinding naar de switch op de trunk poort steken?

want momenteel heb ik een poort waar de firewall op steekt in vlan 1 en 2 zitten, maar toen ik die naar tagged trunk zette kreeg niemand in vlan1 netwerkfuntionaliteit.


Maar dan moet ik zoeken als de firewall vlan aware kan zijn? want vlan 1 heeft geen tagging en zal daarom normaal functioneren omdat die geen tags vind.

intervlan is dus niet nodig omdat de vlans niet met elkaar mogen communiceren

woensdag 30 april 2008 14:25

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 08:54

jvanhambelgium

"Maar ik snap niet wat je bedoeld met loskoppelen interne interface van firebox, is dat gewoon de verbinding naar de switch op de trunk poort steken?"

Zoiets ja, maar als je nu reeds op die Baystack een ethernet-touwtje hebt dat in zowel VLAN1 als VLAN2 zit moet je hier mischien niets meer aan doen en voorlopig wat opzoekwerk beginnen doen naar die Firebox ?
Welk model en versies erop draaien en dan zien op 802.1Q tagging ondersteuning heeft op alle interfaces en niet alleen op intern/extern etc.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq