123788
01.12.2015, aktualisiert um 15:05:36 Uhr
1253
1
0
PfSense - merkwürdiger Traffic auf "falschem" Interface
Hallo zusammen,
vorweg: Eine identische Konfiguration von pfSense habe ich schonmal gehabt und dort trat dieses Problem NICHT auf.
Betreibe ein pfSense-System mit folgender Konfiguration:
NIC1: Internet-Verbindung (statische IPv4)
NIC2: nativ (also untagged): 10.0.0.1
NIC2.100: 10.1.0.1 tagged
NIC2.101: 10.2.0.1 tagged
Nun verwundert mich folgendes: Zwar läuft der gesamte LAN-Verkehr ja physikalisch über die NIC2, also unabhängig vom VLAN, aber über die IP 10.0.0.1 dürfte fast garkein Traffic laufen, das ist ein reines Management-LAN, in dem nur Switches etc. hängen.
Trotzdem zeigt mir der Traffic-Graph dieses Interfaces, dass dort Daten drüber laufen.
Auch wenn ich ein Packet-Capture laufen lasse, finde ich Traffic von IPs, die auf einem der VLAN-Interfaces ankommen, aber nicht auf diesem nativen Interface.
Der Switch nimmt die VLANs 100 und 101 getagged von pfSense an, das native Interface wird untagged dem zugehörigen VLAN zugeordnet.
Wie kommt das?
Edit: Gleichzeitig stimmt aber die Traffic-Statistik.
Über das Native Interface kommen nur wenige MB rein, während es auf den VLANs die zu erwartende Anzahl mehrerer GB sind...
Selbst Snort gibt mir Alerts für dieses Interface, bezieht sich aber auf IPs, die dort garnicht ankommen können.
Habe auch gerade mal getestet: Auch die Firewall auf diesem Interface ist so konfiguriert, dass keine Pakete aus diesen Netzen drüber laufen KÖNNEN.
vorweg: Eine identische Konfiguration von pfSense habe ich schonmal gehabt und dort trat dieses Problem NICHT auf.
Betreibe ein pfSense-System mit folgender Konfiguration:
NIC1: Internet-Verbindung (statische IPv4)
NIC2: nativ (also untagged): 10.0.0.1
NIC2.100: 10.1.0.1 tagged
NIC2.101: 10.2.0.1 tagged
Nun verwundert mich folgendes: Zwar läuft der gesamte LAN-Verkehr ja physikalisch über die NIC2, also unabhängig vom VLAN, aber über die IP 10.0.0.1 dürfte fast garkein Traffic laufen, das ist ein reines Management-LAN, in dem nur Switches etc. hängen.
Trotzdem zeigt mir der Traffic-Graph dieses Interfaces, dass dort Daten drüber laufen.
Auch wenn ich ein Packet-Capture laufen lasse, finde ich Traffic von IPs, die auf einem der VLAN-Interfaces ankommen, aber nicht auf diesem nativen Interface.
Der Switch nimmt die VLANs 100 und 101 getagged von pfSense an, das native Interface wird untagged dem zugehörigen VLAN zugeordnet.
Wie kommt das?
Edit: Gleichzeitig stimmt aber die Traffic-Statistik.
Über das Native Interface kommen nur wenige MB rein, während es auf den VLANs die zu erwartende Anzahl mehrerer GB sind...
Selbst Snort gibt mir Alerts für dieses Interface, bezieht sich aber auf IPs, die dort garnicht ankommen können.
Habe auch gerade mal getestet: Auch die Firewall auf diesem Interface ist so konfiguriert, dass keine Pakete aus diesen Netzen drüber laufen KÖNNEN.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 289785
Url: https://administrator.de/contentid/289785
Ausgedruckt am: 29.03.2024 um 08:03 Uhr
1 Kommentar