VLAN resultiert in Martian Source

[canut]

Hallo,

Ich versuche nun schon seit einigen Tagen, ein Gastnetzwerk mittels den 'vlan' Tools zu realisieren. eth0 als externer Adapter; eth1 als LAN-Adapter, der ein 100er-Tag verpasst bekommen soll. 8021q ist laut 'lsmod' geladen, also 'vconfig add eth1 100'. Das Ganze unter Debian 9.1 mit vlan 1.9-3.2.

Erster Versuch mit eth1 (192.168.2.1) und eth1.100 (192.168.22.1). Ergebnis: Kommunikation auf dem LAN (192.168.2.0/24) läuft wie erwartet; Pings vom Gastnetz-Client 192.168.22.100 nach 192.168.22.1 zeitigen "Destination Host Unreachable" mit 25% Paketverlust. '/var/log/messages' zeigt jede Menge Einträge "IPv4: martian source 192.168.22.1 from 192.168.22.100 on dev eth1".

<---

ifconfig eth1:

flags=4163 mtu 1500
inet 192.168.2.1 netmask 255.255.255.0 broadcast 192.168.2.255
ether a0:b3:cc:e4:c5:a9 txqueuelen 1000 (Ethernet)

ifconfig eth1.100:

flags=4163 mtu 1500
inet 192.168.22.1 netmask 255.255.255.0 broadcast 192.168.22.255
ether a0:b3:cc:e4:c5:a9 txqueuelen 1000 (Ethernet)

iptables:

-A INPUT -i eth1.100 -s 192.168.22.0/24 -p all -j ACCEPT
-A OUTPUT -o eth1.100 -d 192.168.22.0/24 -p all -j ACCEPT

-A FORWARD -i eth1.100 -o $EXTERNAL_INTERFACE \
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i $EXTERNAL_INTERFACE -o eth1.100 \
-m state --state ESTABLISHED,RELATED -j ACCEPT

--->

Zweiter Versuch mit 'ip addr flush dev eth1' und eth1.50 (192.168.2.1) und eth1.100 (192.168.22.1): Nun läuft gar nichts mehr, weder LAN noch Gastnetz. 100% Paketverlust und 'martian source' für beide Adapter (iptables für LAN angepasst auf eth1.50).

<---

ifconfig eth1:

flags=4163 mtu 1500
ether a0:b3:cc:e4:c5:a9 txqueuelen 1000 (Ethernet)

ifconfig eth1.50:

flags=4163 mtu 1500
inet 192.168.2.1 netmask 255.255.255.0 broadcast 192.168.2.255
ether a0:b3:cc:e4:c5:a9 txqueuelen 1000 (Ethernet)

ifconfig eth1.100:

flags=4163 mtu 1500
inet 192.168.22.1 netmask 255.255.255.0 broadcast 192.168.22.255
ether a0:b3:cc:e4:c5:a9 txqueuelen 1000 (Ethernet)

--->

Ich möchte mir zumindest einbilden, dass ich die Howtos richtig gelesen habe, deshalb was sehe/verstehe ich hier nicht?

TIA

Michael

[dufty2]

Willkommen in Forum!

Deine Clients hängen an einen VLAN-fähigen switch, an welchem die entsprechenden VLANs den Ports zugeordnet sind und auch dem trunk-port zum Debian-Router?

[canut]

Aua! Klar, da fehlte was. Mea culpa. Client-Port ist VLAN 100 zugeordnet auf der Switch (HP Procurve 2520G). Alle anderen Ports sind ungetagged im Default-VLAN 1. Ich habe das Tagging am 100-er Port gekillt, und schon gibts keine grünen Männchen mehr (soll heißen, keine 'martian source'-Einträge mehr im Syslog)!? Ansonsten wie gehabt: 'destination host unreachable' mit 25 - 100% Paketverlust.

Der Trunk-Teil Deiner Frage überfordert mich etwas. Was würde ich wo bündeln wollen? Auf der Switch beide VLANs auf den Port zum Gateway? Sorry, aber ich arbeite hier einen Layer tiefer als mir lieb ist, deswegen die Denkblockade

Michael

[dufty2]

"trunk" im Cisco-Palaver meint, dass ein Port mehrere (ge-tag-te) VLANs hat.

Hab jetzt selbst keinen HP switch, aber wenn ich [1], [2] so folge, könnte sowas rauskommen:

Code: Alles auswählen

# conf t
(config)# vlan 50 name HOME
(config)# vlan 50
(vlan-50)# untagged 1-10
(vlan-50)# tagged 24
(vlan-50)# exit
(config)# vlan 100 name GUEST
(config)# vlan 100
(vlan-100)# untagged 11-20
(vlan-100)# tagged 24
(vlan-100)# exit

Port 24 wäre dann der Port zum Debian-Router, der dann 2 VLANs (50 & 100) führt
(Alternativ: 1 & 100)

[1] http://jbcomp.com/vlan-trunk-cisco-hp-procurve-switch/
[2] http://www.skullbox.net/hp_procurve_vlan.php

[BenutzerGa4gooPh]

Man sollte noch an den Managementzugang fuer Switch und Debian-Router denken. Ueblicherweise wuerde man zusaetzlich VLAN1 (tagged oder untagged = native VLAN) ueber den Trunk fuehren und am Switch einen speziellen Port fuer eine Managementstation einrichten (VLAN1, untagged). Router und Switch und Managementstation wuerden eine IP aus dem Managementnetz (VLAN1) ≠ Produktivnetz ≠ Gastnetz benoetigen.

Management ueber das "Produktivnetz" = LAN in Heimnetzwerken ist moeglich. Aus Gastnetz jedoch nicht zulaessig. Entsprechendes Regelwerk!

Man kann auch bei Managementbedarf und Konfig. lt. oberem Absatz einen PC am (Schrebtisch-) Switch in das Management-VLAN1 "umstoepseln". Bietet mehr Sicherheit, wenn man im LAN/Produktivnetz auch WLAN-APs betreibt. Die also nicht ueber ein extra VLAN / extra Regelwerk vom Produktivnetz=LAN getrennt sind. Zumindest fuer den Router tut es auch eine Regel, die Zugriff nur aus (drahtgebundenem) LAN ermoeglicht.

[dufty2]

Ueblicherweise wuerde man zusaetzlich VLAN1 (tagged oder untagged = native VLAN) ueber den Trunk fuehren und am Switch einen speziellen Port fuer eine Managementstation einrichten (VLAN1, untagged).

Also Jana, man lernet doch schon im Cisco-Kindergarten, VLAN 1 _nicht_ zu benutzen
Das sog. "native VLAN" gehört nach VLAN 666.
Oder so ähnlich

[BenutzerGa4gooPh]

Also Jana, man lernet doch schon im Cisco-Kindergarten, VLAN 1 _nicht_ zu benutzen

Die diskutierten das mal vor Jahren: http://www.cisco-forum.net/component/op ... 3/#msg6953
Aber das "ueblicherweise" oben ist wohl falsch, zumindest bei Cisco. Bin zu lange raus, wir hatten das damals fuer Management genutzt. Auf Trunks allerdings tagged, damals propritaer (VTP) noch vor 802.1q - und damit ohne "native VLAN".

[canut]

Ich glaube, so langsam fällt der Groschen bei mir. Danke an Euch beide für die fixe Antwort! Also, beide VLANs auf derselben Switch gebündelt (trunk-ed) auf den Gateway-Port?

Falls ja, wie fummele ich dies auseinander mittels 'iptables'? Soll heissen, ist ein Setup à la 'eth1' und 'eth1.100' möglich, mit eth1 als Adapter für's ungetaggte Native VLAN 1 und eth1.100 für's, auf der Switch, getaggte(?) VLAN 100. Oder beide Netze getaggt mit entsprechenden virtuellen Adapter auf dem Debian-Server, also 'eth1.1' und 'eth1.100'?

[BenutzerGa4gooPh]

Wuerde erst mal letzteres tun, beide VLANs tagged, weil Konfig eindeutig/gleich und Trunk ohne native VLAN etwas sicherer (nicht ohne Weiteres von Hosts nutzbar).
Wohl neu:

vlan-raw-device

https://forum.ubuntuusers.de/topic/vlan ... nterfaces/

Falls ja, wie fummele ich dies auseinander mittels 'iptables'?

Um ins Internet zu kommen, musst du Routing einschalten und damit werden 3 Netze (2 VLANs + WAN) verbunden. Die richtige Trennung mit iptables ist dann die Kunst. Ich nutze dafuer lieber fertige Distris (z. B. PFSense, OPNSense, IPFire). Zumindest PFsense kann VLANs, die anderen bestimmt auch.

Hilfe fuer Debian als Router:
https://gridscale.io/community/tutorial ... 10minuten/
http://blog.noviantech.com/2010/12/22/d ... 5-minutes/
https://wiki.ubuntuusers.de/Router/

[canut]

Um dies hier abzuschließen: Erfolg! Was mir fehlte, war die Erkenntnis, dass ich auf beiden Seiten (Switch und Gateway) korrespondierende Tags brauche, plus den Trunk auf den LAN-Adapter. Ich bekam zwar eine vconfig-Warnung, das 'eth1.1' eine etwas unglückliche Wahl ist, aber LAN und Gastnetz scheinen jetzt zu laufen. Besten Dank nochmal! Jetzt muss ich nur noch warten, bis mir die ausgerupften Haare zurückwachsen

[BenutzerGa4gooPh]

Na dann viel Spaß beim Regelwerk für 4 Sicherheitszonen (WAN, LAN, Gast, Router/Self-Zone) und der Regulierung des Traffics aller möglichen richtungsgebundenen (!) Zonenpaare.
Kontrolliere mit nmap / zenmap, insbesondere mit PC an WAN-Anschluss auf Router-IP (bei Einsatz von NAT/PAT)! Ports 53 (UDP+TCP) und 123 (UDP) sollen nur für dich da sein, ICMP nicht möglich oder stark eingeschränkt.

Nur mal zum Prinzip, also nicht in Cisco-Details verlieren:
https://www.cisco.com/c/en/us/support/d ... tml#topic2
https://www.cisco.com/c/en/us/td/docs/i ... ol-fw.html
Frontend für iptables mit Zonenmodell: http://www.shorewall.net/
(Damit wird nur ein Regelwerk erstellt, das Frontend läuft nicht ständig.)
Weitere Frontends: https://wiki.debian.org/Firewalls

Ich bekam zwar eine vconfig-Warnung, das 'eth1.1' eine etwas unglückliche Wahl ist

Wenn es einmal läuft, kannst du leicht ändern, weißt ja wie es geht.