ayhangunay
Goto Top

ACL Routing Problem am L3 Switch

Hallo Zusammen,

habe ein kleines Problem.
Seit neuestem bin ich ein stolzer Besitzer eines L3 Switches.
Soweit so gut und alles eingerichtet.

Router Draytek 3910 - aktiv 3 VDSL Leitungen
L3 Switch HP Aruba 2930F POE+

Habe folgende Vlan's und Subnetze eingerichtet auf dem Router welche auch gleichzeitig als DHCP Server dient

  • 1 Default - 192.168.1.0/24 - Gateway L3 Switch 192.168.1.254
  • 20 IoT - 10.10.11.0/24 - Gateway L3 Switch 10.10.11.254
  • 40 Kids - 192.168.4.0/24 - Gateway L3 Switch 192.168.4.254
  • 50 Richtfunk zu Gebäude 2 ca. 600m entfernet - 192.168.5.0/24 - Gateway L3 Switch 192.168.5.254
  • 60 Gast - 192.168.6.0/24 - Gateway L3 Switch 192.168.6.254
  • 80 Sicherheitskameras - 10.10.10.0/24 - Gateway L3 Switch 10.10.10.254
  • 100 Internet - 192.168.100.1 - Gateway Router Selbst 192.168.100.1 ( kein DHCP )

Alle oben aufgeführten Vlan's sind auch auf dem Switch eingerichtet.
Die Einzelnen Vlan's am Switch haben jeweils eine statische IP mit der Endung x.x.x.254

Meine Clienten etc. bekommen nun sauber DHCP vom Router - Gateway ist der Switch - ich kann auch zwischen den Vlan's routen und komme sauber ins Internet.

Nun möchte ich etwas mehr in Richtung Sicherheit gehen.
DHCP-Snooping ist überall aktiviert auf dem Switch mit Trustet ports etc.
DHCP-relay und auch IP-Helper sehe ich nicht notwendig, da der Router für jedes Subnet einen DHCP Pool hat und diese sauber verteilt.
Verbindung zwischen Router und Switch Trunk Port - quasi Router on a Stick

Folgendes Problem habe ich:
ACL
in und out Verbindungen soweit verstanden aber angenommen ich möchte das Vlan 40 auf 50 zugreifen kann aber umgekehrt nicht.
Meine ACL sieht wie folgt aus

deny ip 192.168.5.0 0.0.0.255 192.168.4.0 0.0.0.255
permit ip 192.18.5.0 0.0.0.255 any any

Wenn ich die Regel als eingehend einfüge bei Vlan 50 - blockiert wird der gesamte lokale Traffic zwischen den beiden betroffenen Vlan's.
Als ausgehend passiert gar nichts.

Wenn ich aber die Regel wie folgt aufstelle:

permit ip 192.168.5.0 0.0.0.255 192.168.4.10 255.255.255.0
deny ip 192.168.5.0 0.0.0.255 192.168.4.0 0.0.0.255
permit 192.168.5.0 0.0.0.255 any any

kann der Client mit der IP 192.168.4.10 auf Vlan 50 ( Subnet 192.168.5/24 ) zugreifen und alles andere im internen traffic wird blockiert.

Etwas viel getextet aber meine 4 Fragen sind wie folgt

  • Muss ich den die Clients explizit freigeben, welche auf ein Vlan zugreifen können ?
  • Dachte wenn ich zwei Subnetze in eine Richtung mit ACL sperre, müsste die andere Richtung ja funktionieren oder habe ich hier ein gedanken Fehler ?
  • Als DNS server dient ein Pi-Hole der ist im Produktiv Default Lan - würdet ihr es dort lassen oder in das Vlan 100 Internet packen wo nur Internetverkehr existiert ?
  • Was würdet Ihr noch ım Netzaufbau verbessern insbesondere L3 Funktionen ? wie z.B.: RIP aktivieren usw.

Danke schonmal für die Antworten, die ich hoffentlich erhalten werden

Content-Key: 665928

Url: https://administrator.de/contentid/665928

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: aqui
Lösung aqui 20.04.2021 aktualisiert um 15:38:45 Uhr
Goto Top
blockiert wird der gesamte lokale Traffic zwischen den beiden betroffenen Vlan's.
Ist ja auch logisch, denn der Rückrouten Traffic wird ja dann blockiert. Switch ACLs sind nicht stateful wie z.B. auf einer Firewall. Du musst an jedem Interface das einzelnd regeln oder die Rückroute mit einem "established" stateful machen wie es bei Cisco Switches z.B. problemlos klappt.
Ob deine Aruba Gurke das auch kann sagt dir das Handbuch.
Zu deinen Fragen:
1.)
Das kommt drauf an. Wenn du Client, also Hostadressen, spezifisch filtern willst dann ja. Wenn du Netzwerk oder Range spezifisch filtern willst dann nein
2.)
Nicht denken sondern nachdenken. face-wink Switch ACLs sind, wie oben bereits gesagt, NICHT stateful, das ist dein Gedanken Fehler. Du musst Regeln explizit mit dem "established" Parameter setzen um Rückrouten stateful durchzulassen (ACK Bit gesetzt im Antwort Paket) oder eben beidseitig an beiden Interfaces entsprechend setzen.
3.)
Das ist eine kosmetische Frage die nur DU selber beantworten kannst, da es immer von der individuellen Security Policy eines Netzadmins abhängt. Wie soll ein Externer diese kennen ?!
Rein technisch gesehen ist es völlig egal wie du es machst.
Tip: PiHole ersetzen mit AdGuard Home: https://github.com/AdguardTeam/AdGuardHome Ist ein noch besser und noch sicherer Filter als PiHole. https://www.heise.de/select/ct/2021/7/2101113595336903136
4.)
Alles richtig gemacht. Da gibst nix zu meckern. Dynamische Routing Protokolle sind in so einem Banalsetup immer überflüssig. Alle Netze sind ja direkt am L3 Switch wozu also RIP ?!
Alles was in einem solchen Layer 3 Switching Konzept relevant ist erklärt dir, wie immer, dieses_Layer_3_Foren_Tutorial.
Mitglied: AyhanGunay
AyhanGunay 20.04.2021 um 14:48:44 Uhr
Goto Top
Danke für die schnelle und ausführliche Info sowie Antwort.
Dann hat sich meine Frage aktuell gelöst..

Vielen Dank nochmal