[fli4l] Warum kein Zugriff auf mein(e) VLAN(s)?

Kay Martinen kay at martinen.de
So Mär 24 20:13:57 CET 2019 

Am 24.03.2019 um 19:17 schrieb K. Dreier:
> 
> ich habe ein normales LAN via NIC und darin/dazu noch VLANs
> konfiguriert. Die Geräte in den VLANs funktionieren und haben z.B.
> Zugriff auf das Internet/WAN/DNS usw. Ports sind also korrekt getagt.
> 
> Irgendwie schaffe ich es nicht, von meinem Haupt-LAN-Geräten (z.B.
> Laptop) mittels Ping oder SSH auf einen dieser VLAN clients zuzugreifen
> und das, obwohl ich nicht nur diesem VLAN (IP_NET_8) den Zugriff auf den
> fli4l erlaube
> mittels (zunächst zum Testen vollumfänglich)
> PF_INPUT[]='IP_NET_8 ACCEPT'
> sondern auch - insbesondere - den Zugriff von meinem Haupt-LAN
> (IP_NET_2) auf das VLAN und umgekehrt mittels (auch hier erstmal
> vollumfänglich)
> PF_FORWARD[]='IP_NET_8 ACCEPT BIDIRECTIONAL'
> 
> Das führt nicht zum Ziel. Kein ping, kein SSH.

Und eine Forward-regel für IP_NET_2?

> Ich habe dann zusätzlich noch eine Route gesetzt mittels
> IP_ROUTE_x='10.1.80.0/24 192.168.1.1'
> (10... ist das VLAN, die andere IP ist der fli4l)
> 
> Zusätzlich habe ich dann noch
> PF_POSTROUTING[]='IP_NET_2 IP_NET_8 ACCEPT BIDIRECTIONAL'
> gesetzt. Wobei ich nicht weiß, ob ich das brauche...
> 
> Was ist falsch bzw. was fehlt, damit ich (wenigstens) von meinem NET_2
> via ping, SSH etc auf NET_8 zugreifen kann?

Und wie finden deine Anfragenden Pakete den Rückweg?

Wenn dein Phyisches LAN ebenso wie die Virtuellen LANs alle auf dem
selben FLI zusammen laufen dann brauchst du:

- Eine Forward-regel die icmp-ping und ssh (22/TCP) erlaubt. Und das VOM
NET_2 ZU NET_8 und ebenso für die Antwort-pakete VON NET_8 zu NET_2

- in jedem LAN eine defaultroute die auf den FLI zeigt
- oder wenn keine gesetzt: Eine netzroute die den Geräten sagt über
welches Gateway (FLI) sie das jeweils andere Netz (NET_2/NET_8) erreichen.

Verbinde dich mal per ssh mit dem FLI und versuche von dort aus einen
host in NET_8 zu erreichen. Funktionieren ping und ssh dann? Dann fehlt
evtl. nur die Forward-regel für den rückweg.
Wenn du nicht mit IPs sondern mit hostnamen verbindest müssen diese im
DNS des FLI auch bekannt sein - falls der für beide Netze einziger DNS ist!

Kay

-- 
Sent via SN (Eisfair-1)

Mehr Informationen über die Mailingliste Fli4L