Toon posts:

Ubiquiti 2x eth en 2x VLAN op één apparaat conflict met FQDN

Pagina: 1
Acties:

dinsdag 15 oktober 2024 21:12

Acties:
  • 0 Henk 'm!
  • m-snel
  • Registratie: Februari 2002
  • Laatst online: 08-03 13:24

m-snel

Topicstarter
Situatie:

Alles via een Unifi cloud gateway ultra en Unifi switches.
2x VLAN (één thuisnetwerk en één isolated netwerk met een webserver)
De webserver draait op een Synology NAS met 2 ethernetpoorten, eth1 op VLAN1 en eth2 op VLAN2
FQDN die met portforwarding naar de VLAN2 poort van de Synology verwijst,

Via IP adressen gaat alles goed, maar als ik mijn FQDN intik (example.com) via een PC op VLAN1 -> time-out. Ontkoppel ik eth1/LAN1 op de NAS dan werkt het wel.

Ik vermoed dus dat de router bij de FQDN denkt eth1 en eth2 zijn hetzelfde apparaat dus ik ga via eth1 omdat die in dezelfde VLAN zit (ondanks dat de FQDN portforwarding verwijst naar eth2), wat dan dus niet werkt. Bij ontkoppeling van eth1 op de NAS is de enige route nog eth2 en dan werkt het.

Hoe zorg ik ervoor dat bij de FQDN de route wordt genomen waar de portforwarding naar verwijst en hij niet zelf een shortcut probeert te nemen op een andere poort van hetzelfde apparaat omdat die in hetzelfde VLAN zit. De andere poort is ook gewoon beschikbaar (omdat het met loskoppelen eth1 wel werkt).

dinsdag 15 oktober 2024 21:20

Acties:
  • 0 Henk 'm!
  • FredvZ
  • Registratie: Februari 2002
  • Laatst online: 20:48

FredvZ

Naar welk ip-adres verwijst die FQDN?
En waar zit dat ip-adres?

[ Voor 26% gewijzigd door FredvZ op 15-10-2024 21:21 ]

Spel en typfouten voorbehouden

dinsdag 15 oktober 2024 21:45

Acties:
  • 0 Henk 'm!
  • m-snel
  • Registratie: Februari 2002
  • Laatst online: 08-03 13:24

m-snel

Topicstarter
Nou de NAS heeft bijvoorbeeld
eth1: 192.168.1.10 (op VLAN1)
eth2: 192.168.1.11 (op VLAN2)

FQDN verwijst naar 192.168.1.11 (maar met beide gekoppeld zend de router het verzoek toch via 192.168.1.10 ondanks dat de portforwarding wat anders zegt.

dinsdag 15 oktober 2024 21:56

Acties:
  • 0 Henk 'm!
  • XiMMiX
  • Registratie: Mei 2012
  • Laatst online: 22:32

XiMMiX

m-snel schreef op dinsdag 15 oktober 2024 @ 21:45:
Nou de NAS heeft bijvoorbeeld
eth1: 192.168.1.10 (op VLAN1)
eth2: 192.168.1.11 (op VLAN2)

FQDN verwijst naar 192.168.1.11 (maar met beide gekoppeld zend de router het verzoek toch via 192.168.1.10 ondanks dat de portforwarding wat anders zegt.
Zelfde subnet in 2 VLANs is erg ongebruikelijk. Ik betwijfel of ubiquiti daar mee om kan gaan.

Daarnaast heb je het over portforwarding, maar je FQDN verwijst naar een intern adres en niet je externe adres? Lijkt me vreemd, want waarom portforwarding als je gewoon kunt routen?

dinsdag 15 oktober 2024 22:30

Acties:
  • 0 Henk 'm!
  • m-snel
  • Registratie: Februari 2002
  • Laatst online: 08-03 13:24

m-snel

Topicstarter
XiMMiX schreef op dinsdag 15 oktober 2024 @ 21:56:
[...]


Zelfde subnet in 2 VLANs is erg ongebruikelijk. Ik betwijfel of ubiquiti daar mee om kan gaan.

Daarnaast heb je het over portforwarding, maar je FQDN verwijst naar een intern adres en niet je externe adres? Lijkt me vreemd, want waarom portforwarding als je gewoon kunt routen?
Je hebt gelijk moet zijn 192.168.1.10 en 192.168.2.11

De FQDN verwijst naar mijn WAN ip (die dus aankomt in de gateway ultra) welke via portforwarding is geconfigureerd verkeer op 80/443 door te sturen naar 192.168.2.11

dinsdag 15 oktober 2024 22:39

Acties:
  • +1 Henk 'm!
  • FredvZ
  • Registratie: Februari 2002
  • Laatst online: 20:48

FredvZ

m-snel schreef op dinsdag 15 oktober 2024 @ 22:30:
Je hebt gelijk moet zijn 192.168.1.10 en 192.168.2.11

De FQDN verwijst naar mijn WAN ip (die dus aankomt in de gateway ultra) welke via portforwarding is geconfigureerd verkeer op 80/443 door te sturen naar 192.168.2.11
Ik denk dat de heenweg dan goed gaat, maar dat het verkeer terug de verkeerde afslag neemt op je NAS. (ofwel asynchrone routering)

Het verkeer komt namelijk binnen met een computer in subnet 192.168.1.0 en dan is de kans best groot dat pakketjes terug gaan via eth1 ipv eth2. en die retourpakketjes komen dan ineens van 192.168.1.10, terwijl die computer antwoord van 192.168.2.11 verwacht.

Heb je een specifieke reden om eth1 aangesloten te houden op VLAN1? Want hiermee haal je de voordelen van VLAN's gedeeltelijk weer onderuit.

[ Voor 7% gewijzigd door FredvZ op 15-10-2024 22:40 ]

Spel en typfouten voorbehouden

dinsdag 15 oktober 2024 22:46

Acties:
  • 0 Henk 'm!
  • m-snel
  • Registratie: Februari 2002
  • Laatst online: 08-03 13:24

m-snel

Topicstarter
[/quote]Heb je een specifieke reden om eth1 aangesloten te houden op VLAN1? Want hiermee haal je de voordelen van VLAN's gedeeltelijk weer onderuit. [quote]

Nou via eth1 gebruik ik de NAS thuis (SMB docker etc) en eth2 is dus enkel en alleen voor de webserver in het isolated VLAN. Nu zat ik daar ook al wel aan te denken hoor, mocht iemand binnenkomen in de NAS via eth2 dan is ie binnen en helpt VLAN scheiding niet mocht diegene verder komen. Maar een scan van het netwerk levert dan niks op (tenzij dat ook weer door eth1 gaat). Zou eigenlijk ook in willen stellen intern in de NAS dat eth2 enkel en alleen met de webserver docker mag praten en verder alles dropt. Helaas is de Syno firewall niet zo uitgebreid te configureren (deze kan niet eens filteren op uitgaand, enkel inkomen)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq