Netzwerkzugriff VLAN 50 Werkstatt zu VLAN 1 Default (Prduktivnetzwerk) nicht möglich

Es gibt 10 Antworten in diesem Thema, welches 732 mal aufgerufen wurde. Der letzte Beitrag () ist von Nukite.

    Hallo in die Runde,


    ich stehe gerade vor einem Problem und sehen den Wald vor lauter Bäumen nicht mehr.


    Folgende IST-Situation ist gegeben:

    • LANCOM UF-260 Firewall mit PPPOE Einwahl (ist Gateway)
    • Windows Server 2016 Active Directory Rolle + DHCP Server für das produktive Netzwerk.
    • UDM-SE -Default Netzwerk ist eine IP aus dem Produktiven Netzwerk – DHCP Relay – zeigend auf den Windows Server.
    • Weiteres Netzwerk in der UMD-SE (Werkstatt) eingerichtet. VLAN ID 50 (DHCP ist UDM-SE für dieses VLAN)
    • WLAN Produktiv + Werkstatt in der UDM angelegt
    • Internetzugriff und Zugriff auf die lokalen Ressourcen wie Netzlaufwerke, Drucker etc. auf WLAN Produktiv im Default VLAN 1 (Produktives Netzwerk) möglich und läuft sauber
    • Internetzugriff für Geräte im WLAN und Netzwerk Werkstatt funktioniert


    Anforderung / Problem:


    Einzelne Geräte im WLAN / Netzwerk (VLAN 50) sollen auf Netzwerkfreigaben und Zugriff auf Drucker aus dem Produktiven Netzwerk sollen möglich sein.


    Wie Ihr es Euch schon denken könnt, das funktioniert nicht. Keine Verbindung weder Ping noch sonst was von VLAN 50 in VLAN 1 – Produktivnetzwerk möglich


    Meine Vermutung:


    Dadurch, dass in der UDM-SE Produktivnetzwerk ein DHCP Relay eingetragen ist, funktioniert das Routing in das VLAN 50 nicht. Oder die Firewall kennt das VLAN 50 nicht….


    Leider komme ich hier nicht weiter – hat jemand eine Idee wo ich ansetzen kann/muss?

    UDMPRO, 8Port PoE 150 Watt, AP-ACPro, Flex Mini 5Port Switch

    Wo steht denn der Server? Vor der UDM? im Produktivnetz?
    Vermute da kommt das Problem her ...

    das Einzige was am Ende zählt ist

    dass ihr lebt was ihr liebt und liebt wofür ihr lebt

    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96

    OMV NAS - NAS | Emby Server | LogitechMediaServer

    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer

    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security

    Loxone SmartHome

    Nukite

    Bitte mal eine Skizze machen wie das Netz aufgebaut ist und man erkennen kann, was da wo exestiert. Bitte auch die IP Infos wie Subnet, GW beifügen. Die Betonung dass das Unifi sogar eine Adresse aus dem Default Netz hat wundert mich etwas.


    DHCP-Relay hat mit Routing absolut nichts zu tun. Da wird einfach nur ein konfigurierter DHCP (der Windowsserver) befragt, wenn in einem VLAN mit DHCP-Relay jemand per DHCP eine IP möchte. Ich gehe mal davon aus, das DHCP Zuweisung wohl richtig funktioniert. Das könnte nur insofern stören, dass dort ein falsches GW konfiguriert wird ... unwahrscheinlich wenn Internet ok ist.


    Da funkt entweder eine Firewall dazwischen oder es fehlen Routen. Da der Aufbau unklar ist, möchte ich ohne weitere Infos nicht rumraten.

    Autsch, das ist aber Chaos. Da haste ja nahezu ein Loop gebastelt. 2 Router gleichzeitig in einem Netz sorgen immer für Ärger und Aufwand. Entscheide dich -> Lancom oder Unifi, beides wird nichts und bringt dir keinerlei Vorteile, nur mehr Aufwand.

    Sicher kann man das aufdröseln, aber ...nein bitte

    Bspw. der Server hat den Lancom als Gateway und der Lancom kennt die anderen Netze garnicht, die kennt nur der Unifi und dadurch kann der Server mit den Rest nicht Kommunizieren.


    Einzige "Alternative" wäre

    Lancom --> Unifi --> dann alle Netze von dort aus aber da gäbe es nahezu keinen Grund für den Lancom zu belassen.

    Der Unifi bekommt also die 115.254 und auf dem Lancom entfernt mand as 115er Netz vollständig.


    Egal wie - reduzieren dich auf einen Router der alle Netze kennt / verwaltet, dann klappt es.

    das Einzige was am Ende zählt ist

    dass ihr lebt was ihr liebt und liebt wofür ihr lebt

    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96

    OMV NAS - NAS | Emby Server | LogitechMediaServer

    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer

    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security

    Loxone SmartHome

    Einmal editiert, zuletzt von noobatpc ()

    Nukite

    Zwei Router in einem Netz sind überhaupt kein Problem. Was aber kein echten Sinn macht, ist wenn die Router so angeordnet werden wie hier.


    Hier haben wir aber den Klassischen Fall von "Die UDM als Controller nutzen" in Vollendung. Hier wäre das VLAN Management durch die vorhandene Firewall plus ein Unifi Controller für die Verwaltung der Accesspoints wohl einfacher gewesen.


    Wenn ich nicht völlig daneben liege, dann wird die Route zum 192.168.50.0/24 Netz fehlen.

    Also Route in den LANCom Eintragen für das Ziel 192.168.50.0/24 mit Gateway 192.168.10.1 (WAN IP der UDM)


    Dann solltest Du NAT auf der UDM deaktivieren und den Traffic in der Firewall der UDM auch zulassen. Der WAN Port ist böses Internet. Die Regel muss in INTERNET_IN


    Dann sollte das theoretisch klappen dass die Geräte sich überhaupt finden. Das Routing ist dann allerdings leicht asymetrisch. Die Pakete vom Produktivnetz zum VLAN 50 laufen dann über den LANCOM und die UDM, Die Rückrichtung nur über die UDM. Das macht das Firewalling kompliziert und fehleranfällig. Man könnte z.B. einfach im Produktivnetz das Gateway auf die .2 ändern und dann greifen auf einmal andere Regeln als mit dem GW .254

    Perfekt - hat geklappt.. vielen Dank für den Tipp und die Anleitung.


    Der Notebook im WLAN Werkstatt VLAN ID 50 kommt nun in das interne Produktiv-Netz.

    Anders rum geht`s nicht.

    Hier wäre die Frage, was noch zu tun ist um auch den umgekehrten Weg zu realisieren - Zugriff Produktivnetz auf Werkstatt Netz

    UDMPRO, 8Port PoE 150 Watt, AP-ACPro, Flex Mini 5Port Switch

    Nachtrag.. Ping geht (Der Notebook im WLAN Werkstatt VLAN ID 50 kommt nun in das interne Produktiv-Netz.)

    Jedoch eine Netzlaufwerksverbindung (Freigaben am Windows Server) oder ein Webaufruf der NAS im produktiven Netzwerk nicht...

    UDMPRO, 8Port PoE 150 Watt, AP-ACPro, Flex Mini 5Port Switch

    Einmal editiert, zuletzt von Nukite ()

    Nukite

    Um vom Produktivnetz in das Werkstattnetz zu kommen, muss das zum einen im LANCOM erlaubt sein.


    Auf Unifi Seite, hast Du vermutlich 2 Probleme. Das eine ist die Firewall. Diese ist quasi aktiv und Filtert schonmal alles was auf dem WAN Port rein kommt, da ist ja normalerweise das böse Internet.


    Trage bitte in der Unifi Firewall eine neue Regel ein bei INTERNET_IN

    Action: Accept

    Protocoll: All

    Source und Destination jeweils ANY/ANY also insgesamt 4mal ANY


    Abspeichern und die Regel sollte ganz oben stehen bei INTERNET_IN. Dann testen. Ich würde mir ein Profile erstellen, dass das produktive IP Subnet enthält und bei Quelle dann das Profil/ANY setzen. Die Konstellation erfordert in jedem Fall mehr Aufwand beim Firewalling mit den beiden Routern.


    An dieser Stelle sollte es eigentlich schon funktionieren. Das NAT auf dem WAN der UDM sollte bei der Konstellation keine Rolle spielen.


    Nur weil ein Ping geht muss, der Rest nicht gehen. Alles unterschiedliche Protokolle und Ports die man halt gesperrt haben kann. Any/Any ist aus Sicht der Sicherheit nie gut. Dann darfst Du auch nicht vergessen, dass ein Windowsserver oder auch ein NAS eine Firewall auf dem System selbst haben. Auch hier kann der Zugriff blockiert sein z.B. in der Form, dass man nur aus dem gleichen IP Bereich Zugriff hat, das ist bei Windows sehr gerne so und das oft schon beim Pingen.