Ausbruch aus VLAN ?!

Es gibt 8 Antworten in diesem Thema, welches 1.946 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Hallo zusammen,


    ich verstehe einen Vorfall in meinem Netzwerk nicht...


    Vor einem Jahr habe ich mein Unifi-Netzwerk mit dem UDR aufgebaut. Zur Trennung der VLANs habe ich das damals aktuelle Tutorial von defcon hier im Forum befolgt.


    Neben dem LAN1 habe ich noch mehrere VLANs erstellt, die voneinander nach den obigen Regeln getrennt sein sollten. Eines der VLANs ist ein "Kinder"-VLAN, dem auch eine WiFi-"Kids"-SSID zugeordnet ist (IP 192.168.4.x). Mit diesem WiFi verbindet sich mein Sohn mit seinem iPhone und erhält eine IP aus dem Kinder-VLAN-Bereich.


    Jetzt zum Problem:

    LAN1 vom UDR ist mit einem USW-Lite-16-Switch verbunden. Der Port am UDR ist als Primary Network "LAN1" konfiguriert.

    Von diesem USW-Lite-16 läuft ein Cat7-Kabel von Port 8 (konfiguriert mit Primary network "none") ins obere Stockwerk auf einen USW-Flex-Mini auf dessen Port 1 (konfiguriert auf Primary Network "none"). Am Port 3 des USW-Flex-Mini (konfiguriert als Primary Network "WiFi Kids") hängt nun ein Arduino mit Ethernetschnittstelle, der per DHCP eine IP aus dem Kids-LAN 192.168.4.x erhalten sollte.


    Mein Sohn hat dem Arduino jedoch per Sketch eine statische IP 100.100.x.x zugewiesen. Mich verwirrt nun, dass er über sein VLAN-Kinder-Handy auf diese IP zugreifen und mit dem Arduino Kontakt aufnehmen kann. Wie kann das sein ?


    Da wäre konstruktive Hilfe klasse...



    Zitat von Blebbens

    IP 100.100.x.x zugewiesen. Mich verwirrt nun, dass er über sein VLAN-Kinder-Handy auf diese IP zugreifen und mit dem Arduino Kontakt aufnehmen kann. Wie kann das sein ?

    Glaube ich habe nicht alles genau verstanden (Techniker mögen Zeitungen kein eProsa), aber:


    Wenn Handy und Gerät im gleichen VLAN sind können sie sich unterhalten.

    Handy auch eine 100.100.x.x geben und fertig. Was für eine APP und was für eine Grundlage auf dem Arduino ?

    Evt gibt von vorne rein gleich „Idoten Sicheres IoT“ und die Reeden abseits von IP miteinander.

    Dar bedarf es nötigen falls nur ein paar Bordcast auf die MAC um sich zu beschnuppern.


    Wenn über Ip selber, dann gehen durchaus auch Krumme Dinge. Die IP müssen dabei nur im gleichen Netzwerk (basierend auf der Maske) sein.

    Dann 10.x und 100.x im gleichen „Netz“ befinden und miteinander reden..

    Da geht auch mit krummen dingen auch wenn dann ARP Brodcast und co das normal schwierig machen.


    Aber wie gesagt wenn im gleichen VLAN dann können die auch Reeden auch abseits von allen anderen IP für dieses VLAN.



    Einmal editiert, zuletzt von gierig ()

    Zitat von Blebbens

    LAN1 vom UDR ist mit einem USW-Lite-16-Switch verbunden. Der Port am UDR ist als Primary Network "LAN1" konfiguriert

    Was ich machen würde, am UDR Port (wo der Switch dran hängt) die Vlan Config raus schmeissen, und nur die Ports am USW Lite entsprechend zuweisen.

    Ich hatte das mal bei meiner UDR (und auch UDM SE), dass es mit den Ports am nachfolgenden Switch n Problem gab, wenn die dann in Unterschiedlichen Vlans hängen. (bei mir wars n Flex Mini)

    Wenn mich meine rudimentären Uralt-Netzwerkkenntnisse nicht täuschen (TCP/IP habe ich zuletzt intensiv in den 90ern betrieben...), dann gibt es eine relativ einfache Erklärung: da sowohl das iPhone Deines Filius als auch sein Arduino *physisch* am selben (Kinder-)Netzwerk hängen, das iPhone via WLAN und der Arduino an einem in dieses VLAN gepatchten Port, sind sie auch in der gleichen Broadcast Domain. Wenn jetzt das iPhone einen ARP Request "whois 100.100.x.y, tell 192.168.4.z" absetzt, halte ich es durchaus für möglich, daß der Arduino darauf mit seiner MAC Adresse antwortet und damit die IP (Layer 2) Verbindung hergestellt werden kann - in dem Falle wäre das also kein "Ausbruch" aus dem VLAN, da der Traffic physisch im selben VLAN verbleibt, sondern nur das Ausnutzen einer Eigenheit des TCP/IP Stack. Aber wie gesagt: zuletzt habe ich mich in den 90ern mit sowas beschäftigt; es kann sehr gut sein, daß ich hier blühenden Blödsinn erzähle! Deshalb bitte nur mit einem Körnchen Salz genießen!

    Wurde von den Vorrednern glaube schon korrekt aufgefasst:

    Man kann in einem VLAN durchaus mehrere IPs online nehmen. DHCP gibt es zwar (normalerweise) nur einen, aber statisch kann man bauen was man möchte, sogar extra Gateways.

    Davon weiß dann der Router bzw. die USW/UXG etc. halt nichts.


    Ausgebrochen wird hier gar nicht. Diese Art von Netzwerke bauen manche sogar mit Absicht, ist nur dämlich.

    Zitat von Networker

    Diese IP-Adresse gehört nicht zum privaten Adressraum (RFC 1918)

    Stimmt sie gehört zu dem Shared Address Space dokumentiert in RFC 6598

    Zitat von Networker

    Deine Firewall-Regeln zur Abschottung von VLANs beziehen sich aber logischerweise lediglich auf den privaten Adressraum.

    Völlig nebensächlich was hier hinterlegt ist ob und wie oder villeicht. A und B befinden sich in der gleichen Broadcast domain

    / VLAN und können damit Kommunizieren Will man das unterbinden muss ein MAC Filter das verhindern.

    (oder dinge wie Portisolation).

    Zitat von Networker

    Schon richtig, ich wollte Blebbens aber (zusätzlich) darauf hinweisen, dass Firewall-Regeln nur für Subnetze greifen, für die sie auch geschrieben sind.

    Die Firewall greift da so oder so nicht, da hierfür auf der Firewall/Router ein entsprechendes Interface mit passender IP konfiguriert sein müsste, was aber nicht vorhanden ist. Für das Gerät im 100.100.x.x Netzt ist kein Gateway vorhanden wenn der Sohnemann das nicht auch umkonfiguriert hat.