IP-Adressen in anderen Subnets sichtbar?
Guten Tag,
ich habe hier mehrere VLANs für unterschiedliche Zwecke. Mein Server, ein WLAN-Router sowie ein Raspberry Pi sind allerdings tagged am Switch angeschlossen und in allen diesen 3 VLANs.
Nur der Server hat in allen 3 eine entsprechende IP-Adresse, die anderen Geräte nur im 1. VLAN.
VLAN1: 10.0.1.0/26 (Management)
VLAN2: 10.0.2.0/27 (Gast)
VLAN3: 10.0.3.0/28 (Isolated, kein Internetzugriff)
Nun ist es mir letztens passiert, dass ich auf dem Handy das falsche WLAN-Netz gewählt habe und mir letzten Endes im VLAN2 eine IP-Adresse statisch zugewiesen habe (10.0.1.2), welche aber im VLAN1 ist. Natürlich hat der Internetzugriff nicht funktioniert, aber ein Scan via der App Fing (funktioniert auch mit nmap) listete mir dann den Server sowie den Raspberry Pi mit der entsprechenden IP-Adresse aus dem VLAN1 auf. Zugreifen konnte man auf diese zwar nicht, trotzdem fand ich es schon merkwürdig, dass selbst der Raspberry (ohne IP im eigentlichen Subnet) so IP-Adressen ausspuckt, welche er an anderen Interfaces verwendet.
Mein OpenWRT-WLAN-Router hat da nicht mitgespielt, somit scheint es hier auf Debian zurückzuführen, was auf dem Server und dem Pi läuft.
Derzeit stehe ich da ein wenig auf dem Schlauch und wüßte gerne wieso das so ist... Besonders weil ich jedlichen unkontrollierten Zugriff der VLANs untereinander gerne unterbinden würde. Geräte im VLAN3 sollten unmöglich in andere VLANs kommen bzw. durch solche IP-Tricks auch andere Geräte sehen können.
Code:
iface enp1s0 inet static
address 10.0.1.3
netmask 255.255.255.192
gateway 10.0.1.1
dns-nameserver 10.0.1.3 10.0.1.1
iface enp1s0.2 inet static
address 10.0.2.1
netmask 255.255.255.224
iface enp1s0.3 inet static
address 10.0.3.1
netmask 255.255.255.240
Vielleicht hat es ja auch was damit zu tun:
Ich habe einen Unterschied bei einem Traceroute festgestellt: Sofern ich bei meinem Router (einer FRITZ!Box 7430) meine externe IP verfolge bekomme ich erst einen Hop auf die interne Router-IP und dann erst auf die Zeil-Adresse. Sofern ich nun bei meinem Server aus z.B. VLAN1 die IP die er im VLAN3 hat verfolge hopt dieser direkt beim 1. Mal dorthin.
Liste der Anhänge anzeigen (Anzahl: 2)
Der Switch (D-Link DGS 1100-8) kann mit VLANs umgehen. Die FRITZ!Box ist nur im VLAN1 als DSL-Router. Die anderen VLANs werden jeweils erst über den Server ins VLAN1 geroutet, von dort aus dann halt über die FRITZ!Box. Der OpenWRT baut einfach mehrere WLAN-Netze auf, welche dann in die jeweiligen VLANs gehen, deswegen ist dieser auch in mehreren VLANs drin (in einigen halt ohne IP-Adresse).
Ich habe mal schnell eine einfache Zeichnung mit Paint gemacht, wo ich die wichtigen Komponenten eingezeichnet habe. Meine PCs, Laptop und Co habe ich da erstmal weggelassen um das nicht zu komplizieren, zudem haben die mit dem Problem wohl auch nichts zu tun, denn auch wenn die aus sind funktioniert das.
Bis auf die FRITZ!Box und der Server darf keiner Routen, das habe ich gerade noch einmal kontrolliert. Auf dem Server sind folgende iptables aktiv:
Code:
iptables -A INPUT -p tcp ! -i enp1s0.1 -m multiport --dport 80,443,8080 -j DROP #Webserver auf VLAN1 beschränken
iptables -A INPUT -p udp -i enp1s0.3 --dport 67 -j ACCEPT #DHCP an VLAN3 erlauben
iptables -A INPUT -i enp1s0.3 -j REJECT #Alles andere an VLAN3 droppen
iptables -A FORWARD -i enp1s0.3 -j REJECT #Kein Forwarding in VLAN3
Mein Netzwerk sieht (vereinfacht) so aus:
Anhang 21244
An sich glaube ich nicht, dass es an den Routen liegt, ohne Routing bzw. Angabe des jeweiligen Gateways im Netzwerk funktioniert dass auch (gerade getestet). Dazu entsprechend einfach mal meinen Desktop (in VLAN1) eine IP aus VLAN2 vergeben und entsprechend mal einen ARP-Request aufgelöst (Ping):
Anhang 21248
Der Switch-Port ist selbstverständlich so eingestellt, dass er nur VLAN1 untagged zulässt (eth1 OpenWrt, eth7 Desktop-Port, eth8 Server-Port): Anhang 21249
Liste der Anhänge anzeigen (Anzahl: 1)
Hier nochmal der Anhang: Anhang 21252
Ich habe das nun am WE noch einmal grundlegend durchgespielt: An sich funktioniert das unabhängig von meinem Netzwerk: Mein Server hat 2 Netzwerkkarten, davon verwende ich eigentlich nur eine für LAN (nennen wir sie mal LAN-A). Die andere (LAN-B) verwende ich nicht.
Nun habe ich mich mal an LAN-B angeschlossen (es gibt keine Interface-Config!) und dort bekomme ich auch ARP-Responses wenn ich z.B. 10.0.1.3 (IP, welche an LAN-A zugewiesen ist) anpinge.
Anders als bei den VLANs untereinander haben die beiden Adapter unterschiedliche MAC-Adressen. So enthält der ARP-Respond die MAC-Adresse aus LAN-B.
Hat Debian hier ggf. ein allgemeines Problem, dass die IPs auf alle Interfaces gepackt werden und dann nur der Traffic zugelassen wird, wenn die IP-Adresse auch zum Interface passt?