Clients im gleichen VLan sollen sich nicht sehen dürfen.

    Hallo


    Ich habe ein VLan "Server", in dem ich mehrere virtuelle Server reinhaue, die mir die entsprechenden Dienste bereitstellen. Diese sollen sich untereinander nicht sehen dürfen. (aber auf Pakete von einem Server aus einem anderen VLan reagieren dürfen)

    Lt. Unifi soll das mit MAC-ACL's funktionieren, aber ich hab es noch nicht hinbekommen, dass sie die Clients untereinander nicht anpingen können.

    Bei den ACL's habe ich erst mal alles in dem vlan blockiert, aber ich kann dennoch die Server untereinander anpingen. Klar von außerhalb des VLans komme ich dann nicht mehr drauf.

    Was muss ich denn wo einstellen, dass ich die Server untereinander nicht mehr pingen kann. Reicht das als Beweis überhaupt aus, dass sie sich nicht sehen?


    Danke schon mal für euere Hilfe


    Grüße

    Daimonion

    Nein ein Ping erfolgreich oder nicht, sagt gar nichts über andere Kommunikation aus. Hier siehst Du lediglich ob ein Teil des ICMP Protokolls funktioniert oder nicht. Sehr viele Router beantworten keine Pings aus dem Internet und sind denoch 1A Verbunden.

    Designfrage ... warum sind die Server in einem VLAN, wenn sie nicht miteinander kommunizieren dürfen? Bei virtuellen Servern ist mit MAC Adressen auch immer etwas Vorsicht geboten, da die ganzen virtuellen NICs halt auch nur virtuelle MAC Adressen haben.


    PS: Und ganz nebenbei wäre eine Übersicht der vorhandenen Hardware nicht die schlechteste Idee ... bisher ist in Sachen Unifi nur der Support erwähnt (und dessen Antwort wäre ebenso erwähnenswert)

    Quote from daimonion

    Was muss ich denn wo einstellen, dass ich die Server untereinander nicht mehr pingen kann.

    ACL müssen auch vom Switch unterstützt werden. Der "klein" kram von UI kann es nicht.

    Wenn die alle in der gleichen Broadcast Domain aka VLAN hängen aka gleiches IP Netz, kannst du nur alleine und einzig die Kommunikation untereinander verhindern wenn du es LOKAL also auf den Maschinen verhinderst. Also durch Lokale ACL/Firewall.

    Huhu. Danke für eure Antworten.

    DoPe du hast natürlich recht. Ping sagen grundsätzlich noch nichts über die Kommunikation aus. Auch habe ich nichts über mein Setup gesagt.

    Bei mir läuft eine UDM-PRO, und zwei USW-Pro-24 (1x PoE). D.h. die sollten das schaffen. Der Server, auf dem die virtuellen Clients laufen hängt an einem der beiden USW dran.

    Die Server sollen sich nicht sehen, da sie unterschiedliche Dienste anbieten und nichts voneinander brauchen. (Aktuell vaultwarden und docmost) Sie werden lediglich von einem ReverseProxy angesprochen, der in einem DMZ VLan sitzt. Die Verbindung von RP im DMZ zu den jeweiligen Servern im Server VLan funktioniert auch prächtig. Weiters funktioniert es aktuell auch schon, dass die Server nicht auf andere Netzwerke zugreifen können.

    Quote from gierig

    Wenn die alle in der gleichen Broadcast Domain aka VLAN hängen aka gleiches IP Netz, kannst du nur alleine und einzig die Kommunikation untereinander verhindern wenn du es LOKAL also auf den Maschinen verhinderst. Also durch Lokale ACL/Firewall.

    Ah, d.h. die Anleitungen von Ubiquity hinsichtlich ACL und Client Isolation beziehen sich immer nur auf Clients in unterschiedlichen VLans?! Hmm, okay. Das würde einiges erklären.

    Da habe ich wohl undeutlich ausgedrückt,

    ACL währe die korrekte Adresse um L2 als IN VLAN Traffic zu Filtern, Für alles was das VLAN verlässt also L3 ist ist dann die normale Firewall.
    Was ich bemerken wollte ist das ACLs nicht von allen Switchen in der UNFI Familie unterstützt werden

    Quote from UNIFI HELP

    Requirements

    ACLs are standard on all UniFi switches except for: Flex & FlexMini; US-8; USW Industrial; and USW Ultra, Ultra-60W & Ultra-210W.

    Note: ACLs are not available on the switch ports of UniFi Gateways or In-Wall Access Points.

    Quote from gierig

    Für alles was das VLAN verlässt also L3 ist ist dann die normale Firewall.

    Das habe ich schon mit der ZBF gut konfiguriert. Grundsätzlich kommt nichts aus dem Server VLan raus, es sei denn es ist return traffic.

    Quote from gierig

    ACL währe die korrekte Adresse um L2 als IN VLAN Traffic zu Filtern

    IN VLan bedeutet innerhalb des VLans? Was mir noch gekommen ist. Alle Server in dem VLan laufen ja auf der selben Proxmox Kiste. D.h. der Traffic zwischen den Servern sieht der Switch wahrscheinlich gar nicht. So gesehen würde ich mich mal mit den Proxmox Firewall regeln beschäftigen.

    Danke mal für deine/eure Antworten!

    Quote from daimonion

    Alle Server in dem VLan laufen ja auf der selben Proxmox Kiste. D.h. der Traffic zwischen den Servern sieht der Switch wahrscheinlich gar nicht. So gesehen würde ich mich mal mit den Proxmox Firewall regeln beschäftigen.

    DA würde ich auch ansetzen. Der Proxmox ist ja an dieser Stelle der erste Switch zwischen den VServer. Unifi würde von der Kommunikation gar nichts mitbekommen. Dort sollte man die Firewall zw. den Servern ziehen.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login