De afgelopen dagen ben ik met een oplossing voor een probleempje bezig maar ik blijf met een aantal vragen zitten.

Ik heb een tweetal server gehost bij een provider. Ondanks dat deze servers in dezelfde IP range zitten kunnen ze niet met elkaar communiceren. Dit is ongetwijfeld het gevolg van het feit dat de provider iedere poort op de switch in een aparte VLAN heeft geplaatst. Dit zette mij aan het denken hoe je een dergelijke situatie kan voorkomen en er voor kan zorgen dat de servers op de verschillende poorten (VLAN's) toch met elkaar kunnen communiceren met behoud van een optimale beveiliging.

Je kan natuurlijk een layer 3 switch of router gebruiken om het IP verkeer tussen de twee VLAN's te routeren. Maar mooier zou zijn als dit door de firewall wordt gedaan die ook het WAN verkeer filtert. Dan zijn ook alle firewall rules van toepassing op dat inter-VLAN verkeer. Echter, hoe dit in te richten ?

Na veel zoekwerk op internet en het lezen van handleidingen van diverse firewalls zit ik nu volgens mij dicht bij een oplossing maar daarbij is mij toch nog één ding niet duidelijk.

De oplossing omvat een layer 2 switch waarbij iedere poort in een aparte VLAN zit. Eén poort van de switch wordt geconfigureerd als trunk poort waaraan de firewall zit. Deze trunk poort zit in alle VLAN's en alle packets worden voorzien van VLAN tags. Iedere server op een poort (VLAN) kan dus communiceren met de firewall op de trunk poort maar onderlinge communicatie is niet mogelijk.

Een beetje firewall is in staat om verkeer te routeren van de ene VLAN naar de andere VLAN. Maar dan moet het verkeer wel eerst bij de firewall komen. Als server 1 op poort 1 namelijk wil communiceren met server 2 op poort 2 zal het gewoon een ARP request doen voor het MAC adres van server 2. Dit omdat de IP adressen van beide servers in hetzelfde network (subnetmask) zitten.

Mijn vraag is nu reageert de firewall dan op de ARP requests voor het MAC adres van server 2 ? En zo ja, hoe weet de firewall op welke ARP requests het moet reageren ? Analyseert het daarvoor de IP adressen in de firewall rules en reageert het alleen als de firewall rules het verkeer ook toestaan ?

Of werkt routering van de ene naar de andere VLAN alleen als het ook daadwerkelijk verschillende subnetten zijn met de firewall als gateway ?

Ik heb handleidingen van diverse firewalls erop nageslagen maar kan hierop geen antwoord vinden. Ik hoop dat iemand hier me verder kan helpen met deze gedachtenkronkel.

Is het uberhaupt common practice om het zo in te richten of zijn er andere oplossingen mogelijk ?

Hij kan toch gewoon 2 poorten op 2 vlans toewijzen
wat is hier zo moeilijk aan ?

Het gebruik van een Firewall om je verkeer te scheiden is onzin
zie er het nut niet van in hier gebruik je vlan voor.

En anders een crosslink kabel is de beste oplossing.

Als het twee servers van dezelfde klant zijn dan zou je beide servers in hetzelfde VLAN kunnen opnemen of inderdaad verbinden via een cross cable. Maar als het servers zijn van twee verschillende klanten dan wil je dat natuurlijk niet. Je wilt niet dat beide servers vrij met elkaar kunnen communiceren. Als server 1 (van klant 1) wil communiceren met server 2 (van klant 2) dan moeten daarvoor dezelfde firewall rules gelden als voor verkeer wat van het internet komt.

Die host moet niet moeilijk doen en niet meer dan 1 vlan per subnet configureren, tenzij de hosts niet met elkaar hoeven te communiceren. Die firewall zal ook niet weten waar het verkeer naar toe moet.

Je kan dit eenvoudig testen door een linux machine met 2 tagged vlans te configureren (1,2). Stop beide interfaces in hetzelfde subnet en de machines in vlan 1 of 2 zijn onbereikbaar. Hij zal rustig een broadcaast sturen over vlan 1 voor een host die zich in vlan 2 bevindt, er komt dus geen antwoord.

Vind het zowiezo erg knap om 1 subnet te verdelen over meerdere vlans.... tentweede kunnen ze elkaar niet zien en welk nut heeft het???

Gewoon oplossen door een static route aan te maken.

Als jij zegt dat de servers in hetzelfde VLAN zitten en niet met elkaar kunnen praten hebben ze waarschijnlijk de switchpoorten op protected staan.
Ik zou aan ze vragen of ze een andere oplossing willen kiezen.
Willen ze dat niet, dan maar een crosskabel.

De oplossing omvat een layer 2 switch waarbij iedere poort in een aparte VLAN zit. Eén poort van de switch wordt geconfigureerd als trunk poort waaraan de firewall zit. Deze trunk poort zit in alle VLAN's en alle packets worden voorzien van VLAN tags. Iedere server op een poort (VLAN) kan dus communiceren met de firewall op de trunk poort maar onderlinge communicatie is niet mogelijk.

Dit is lastig , ik denk niet de je hosting provider alles in aparte vlans heeft gestopt , ik denk eerder dat hij werkt met private vlans. of inderdaad protected ports

Met aparte vlans heb je het probleem dat bijv server1 een ip heeft van 192.168.0.1 255.255.255.0 en server2 192.168.0.2 255.255.255.0 als de provider nu een pakket moet sturen naar 192.168.0.3 , naar welk vlan stuurt hij het dan ?

Het is overigens wel mogelijk om het te doen alleen erg onlogisch (gezien het bovenstaande, soms zijn er andere redenen)

Ik zou even contact opnemen met je provider om te vragen waarom ze het zo oplossen en of er andere oplossingen mogelijk zijn, ik denk dat dit beter,sneller en goedkoper is dan een oplossing met firewalls etc .

Mochten ze niet meewerken dan kan je altijd nog naar een andere oplossing kijken.

Staat je subnetmasker wel goed ingesteld?
Zo klinkt het eerder...

Ik zou gewoon je colocatie provider vragen om jouw servers in dezelfde VLAN te stoppen.


Vind het zowiezo erg knap om 1 subnet te verdelen over meerdere vlans

Een Layer 1 of Layer 2 VLAN heeft niets met subnets te maken ;)

persoonlijk vind ik het zo ie zo erg onlogisch klinken.
Servers dienen altijd met elkaar te praten, bijv voor DNS resolving van de enne server naar een andere.
Het klinkt inderdaad eerder als een config fout of een maffe opzet van de provider :)

Hey IOS upgrade van de switch en een L3 capable ios erop gooien.
Vervolgens een router met advsec ios erop of een firewall die de wan verkeer filtert.