Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

Switch benaderen via VPN (ACL?)

Pagina: 1
Acties:

  • chr1st14n
  • Registratie: December 2007
  • Laatst online: 26-11 13:04
Ik ben bezig om op mijn werk het netwerk beetje bij beetje te verbouwen, maar ik loop nu tegen een probleem waar ik niet uit kan komen.

Wij hebben een PFsense als firewall, tevens wil ik hier OpenVPN op gaan gebruiken voor de VPN. Verder hebben wij voor verschillende dingen verschillende VLAN's in gebruik. Nu wil ik op afstand bij in ieder geval 2 vlans kunnen, en dit lukt ook mbv OpenVPN.

Het probleem waar ik tegen aan loop is dat ik voor de VPN tunnel een 172.16.0.x/24 range gebruik en wij intern alle netwerken op 10.0.y.x/24 hebben (VlanID is y).

Nu heb ik in vlan 10 o.a. de management interfaces hangen van verschillende servers (Xen/ESXi) en de management interface van de switches.

De Xen/ESXi server zijn prima via de VPN te bereiken. Maar ik krijg mijn switch niet via de VPN te pakken. En dit komt omdat ik op de switch de management interface heb in netwerk 10.0.10.x. En de switch accepteert alleen verkeer van dit netwerk.

Nu kan ik wel verschillende ACL's in de switch maken, maar ik heb nu verschillende dingen geprobeerd, maar dit eindigt vaak in een switch die niet meer benaderbaar is (vanaf geen enkel netwerk meer dan..).

Het gaat hier om een 3COM 4200G (manageble 48p gigabit).

Ik hoop dat er hier iemand is die mij verder kan helpen.

[Core i7-8700K] [Scythe Mugen 5 Black RGB] [ASUS Z-370-GAMING] [4x8gb DDR4-3000] [INNO3D RTX5070 Ti] [250GB Samsung 960 EVO] [3x512TB Crucial MX500 (R0)] [Corsair 350D]


  • Yariva
  • Registratie: November 2012
  • Laatst online: 29-11 21:17

Yariva

Moderator Internet & Netwerken

Power to the people!

Doornatten van je 172 netwerk naar je 10.0.10.x netwerk?

Verder vind ik het wel apart dat de switch alleen verkeer accepteert vanuit dat subnet. Dan moet hij of geen gateway hebben, of er moet al een bestaande ACL op zitten lijkt me...

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply


  • chr1st14n
  • Registratie: December 2007
  • Laatst online: 26-11 13:04
compjunkie schreef op vrijdag 17 april 2015 @ 10:03:
Doornatten van je 172 netwerk naar je 10.0.10.x netwerk?

Verder vind ik het wel apart dat de switch alleen verkeer accepteert vanuit dat subnet. Dan moet hij of geen gateway hebben, of er moet al een bestaande ACL op zitten lijkt me...
Dat met dat doornatten zou ik eens moeten kijken.

Hoe dat met die switch precies is weet ik niet, maar als ik die switch ook in een ander vlan wil bereiken, dan moet ik een extra "VLAN-Interface" maken in dat vlan en daar een passend adres bij geven.

[Core i7-8700K] [Scythe Mugen 5 Black RGB] [ASUS Z-370-GAMING] [4x8gb DDR4-3000] [INNO3D RTX5070 Ti] [250GB Samsung 960 EVO] [3x512TB Crucial MX500 (R0)] [Corsair 350D]


  • Yariva
  • Registratie: November 2012
  • Laatst online: 29-11 21:17

Yariva

Moderator Internet & Netwerken

Power to the people!

Dan betwijfel is zeer of er wel een default gateway op staat. Zeker omdat je hem wel vanaf het vlan 10 netwerk kan bereiken, maar niet vanaf daarbuiten.

Kan je is proberen een static-route aan te maken naar de pfSense interface op het 10.0.10.x/24 lan?

ip route-static 0.0.0.0 0.0.0.0 x.x.x.x waarbij x staat voor het ip adres van de PfSense box.

Edit: Vergeet niet een backup van je config te maken in geval dat ;)

[ Voor 11% gewijzigd door Yariva op 17-04-2015 10:44 ]

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply


  • chr1st14n
  • Registratie: December 2007
  • Laatst online: 26-11 13:04
compjunkie schreef op vrijdag 17 april 2015 @ 10:41:
Dan betwijfel is zeer of er wel een default gateway op staat. Zeker omdat je hem wel vanaf het vlan 10 netwerk kan bereiken, maar niet vanaf daarbuiten.

Kan je is proberen een static-route aan te maken naar de pfSense interface op het 10.0.10.x/24 lan?

ip route-static 0.0.0.0 0.0.0.0 x.x.x.x waarbij x staat voor het ip adres van de PfSense box.

Edit: Vergeet niet een backup van je config te maken in geval dat ;)
_/-\o_

en nu voel ik mij wel heel erg blond...

Ik heb hier wel naar gekeken, maar dacht van "dat zal het wel niet zijn".

Nu kan ik in ieder geval vanaf andere vlans bij dat ene ip komen, ipv dat ik meerdere vlan-interfaces moet maken (vanaf vlan's welke daar recht op hebben).

Maar nu heb ik volgens mij mijn openvpn gesloopt xD (maakt wel verbinding, maar kan geen enkel netwerk meer benaderen xD

[Core i7-8700K] [Scythe Mugen 5 Black RGB] [ASUS Z-370-GAMING] [4x8gb DDR4-3000] [INNO3D RTX5070 Ti] [250GB Samsung 960 EVO] [3x512TB Crucial MX500 (R0)] [Corsair 350D]