Routingproblem Portweiterleitung vlan zu vlan

Es gibt 10 Antworten in diesem Thema, welches 3.597 mal aufgerufen wurde. Der letzte Beitrag () ist von dalsste.

    Hallo zusammen,


    ich habe zuhause einen Webserver am am laufen die Konfiguration sieht so aus das in einer Docker-Umgebung ein nginx proxy läuft eine Gitlab-Instanz dahinter auch über Port 22022 direkt am Proxy vorbei nach außen kommuniziert.
    das ganze sitzt in einem eigenen VLAN.


    von Außen funktioniert dies wunderbar.


    nur wenn ich jetzt von einen lokalen VLAN darauf zugreifen will funktioniert das leider nicht.
    die portfreigaben sind eingerichtet.


    wie muss ich hier vorgehen um vom zweiten vlan aus zuzugreifen.


    Dankeschön für eure Hilfe bereits im voraus

    anbei noch eine skizze wie das aussieht!

    viele Grüße


    dalsste

    • Offizieller Beitrag

    Hallo dalsste ,


    schön, dass Du den Weg zu uns gefunden hast.


    Damit wir Dir aber helfen können müsstest Du uns bitte mitteilen, welchen "Verwendungszweck" (Corporate, Guest) alle beteiligten VLANs haben.

    Hast Du sonst noch Firewall-Regeln angelegt, welche z.B. die standardmäßige Kommunikation zwischen VLANs vom "Typ" Corporate verbieten?

    HI razor ,


    aktuell sind beide Netzwerke Corporate Netzwerke.


    Ich habe bereits 3 FW-Regeln angelegt:

    LAN OUT

    1. erlauben von port 80;443 von nginx_proxy to any

    2. erlauben von port 22 von gitlab to any

    3. verwerfen von allem anderen im wwwAccess Netz to any


    dazu noch die 2 Portfreigaben:

    port 80,443 zu nginx:80,443

    port 22022 zu gitlab:22


    das ist der Status Quo.

    Besteht eventuell die möglichkeit den zugrif über WAN zu erzwingen?

    viele Grüße


    dalsste

    • Offizieller Beitrag

    Da es sich um Corporate-VLANs handelt sind Einstellungen zwischen den beteiligten VLANs nicht nötig - schon gar nicht, wenn es nicht richtig läuft. Absichern geht später auch noch, aber funktionieren sollte es schon.


    Dass er ein Portforwarding von EXTERN (WAN) auf das entsprechende Ziel geben muss ist ja klar.


    Wie versuchst Du denn die Ziele zu erreichen: via IP oder DNS? Wer oder was ist für das Management (DNS, DHCP, Gateway) verantwortlich? Einzig die UDM?

    Ich versuche die Ziele via DNS zu erreichen, wie gesagt von außen klappt das wunderbar.

    nur intern leider nicht.

    DNS = pihole

    DHCP, Gateway = UDM direkt im WAN


    Im DNS habe ich einen DNS-Record auf den nginx eingetragen.

    und CNAME Records für den Rest. dann kann ich auf die apps zugreifen, jedoch finde ich den Port 22022 logischerweise nicht.


    Ich denke ich habe hier den falschen ansatz.


    Regeln löschen oder neumachen sind kein Problem, ich bin nur leider nicht so bewannt mit Netzwerktechnik.

    Diese hatte ich auch schon deaktiviert.

    viele Grüße


    dalsste

    • Offizieller Beitrag

    Wenn ich Deine Grafik richtig interpretiere, dann reden wir über die beiden VLANs 10 und 150, welche miteinander kommunizieren sollen, richtig?


    Du kommst von außen via Port 22022 auf das Gitlab:22, richtig?


    Du kommst von intern (VLAN 10) mit Port 22 nicht auf das Gitlab, richtig?

    Ja so in etwa war das gedacht.


    von 150 sollen nur die Ports 80,443,22 auswärts gehen und sonst nichts

    vlan 10 will ich dann intern auch zugriff haben da ich ja nicht immer draußen unterwegs bin. über den selben dns namen natürlich


    ich habe den port mal vorläufig auf 22 eingestellt!


    es könnte aber durchaus auch ein Problem mit der Adresse selbst sein. da ja der Webzugrifff über den nginx-proxy umgeleitet wird.

    dies ist auch so im dns eingetragen.


    Ich hatte auch schon versucht im dns die Adresse direkt einzugeben das hat aber gar nicht geklappt.

    192.168.150.2 anstelle von 192.168.150.3


    wenn du hier einen besseren Ansatz hast,

    bin ich offen



    Ach ja:

    via ip geht's

    viele Grüße


    dalsste

    2 Mal editiert, zuletzt von dalsste () aus folgendem Grund: Nachtrag

    • Offizieller Beitrag

    Was liefert Dir denn nslookup $publicDNSname als Antwort? WER liefert diese Antwort aus?


    Welchen DNS-Namen verwendest Du, um von intern (VLAN 10) auf das Gitlab zuzugreifen? Was kommt bei nslookup $dnsNameVorVorne zurück?

    • Offizieller Beitrag
    Zitat von dalsste

    im vlan 10 liefert pihole 192.168.150.2

    extern die externe adresse der udm

    Dann müsstest Du intern doch auch den öffentlichen Namen verwenden können, um Dein Ziel zu erreichen, oder nicht?


    Müsste der Zugriff auf die Services in der Dockerwelt (atlas, gitlabce und postgressql) nicht via frontproxy passieren?

    die port 80,443 zugänge funktionieren auch,


    jedoch wird der port 22 ja nicht zu 192.168.150.2 sondern zu 192.168.150.3 weitergeleitet.


    und dich glaube da liegt mein problem.


    Die frage ist kann ich nicht erzwingen das das VLAN 150 immer über die WAN Schnittstelle angesprochen wird?

    HI Nochmals,


    ich habe meinen Denkfehler gefunden!

    Das Problem was das die Applicationen auf 2 Virtuelle Rechner Verteilt waren.
    habe meine Konfiguration jetzt so angepasst dass der Proxy und Gitlab die Shell über definierte Ports am Host veröffentlicht die Schnittstelle ist wieder im VLAN 150 und damit entsprechend eingeschränkt.

    Aber damit sind alle nötigen Ports an einer Netzwerkadresse zugänglich.

    Somit können jetzt alle Teilnehmer via DNS-Name zugreifen lediglich der interne DNS Server überschreibt mit der Internen IP.


    Danke trotzdem nochmals an razor :thumbs_up:

    viele Grüße


    dalsste

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von dalsste mit diesem Beitrag zusammengefügt.

    Gefällt mir 1