IP-Adressen in anderen Subnets sichtbar?

Guten Tag,

ich habe hier mehrere VLANs für unterschiedliche Zwecke. Mein Server, ein WLAN-Router sowie ein Raspberry Pi sind allerdings tagged am Switch angeschlossen und in allen diesen 3 VLANs.
Nur der Server hat in allen 3 eine entsprechende IP-Adresse, die anderen Geräte nur im 1. VLAN.

VLAN1: 10.0.1.0/26 (Management)
VLAN2: 10.0.2.0/27 (Gast)
VLAN3: 10.0.3.0/28 (Isolated, kein Internetzugriff)

Nun ist es mir letztens passiert, dass ich auf dem Handy das falsche WLAN-Netz gewählt habe und mir letzten Endes im VLAN2 eine IP-Adresse statisch zugewiesen habe (10.0.1.2), welche aber im VLAN1 ist. Natürlich hat der Internetzugriff nicht funktioniert, aber ein Scan via der App Fing (funktioniert auch mit nmap) listete mir dann den Server sowie den Raspberry Pi mit der entsprechenden IP-Adresse aus dem VLAN1 auf. Zugreifen konnte man auf diese zwar nicht, trotzdem fand ich es schon merkwürdig, dass selbst der Raspberry (ohne IP im eigentlichen Subnet) so IP-Adressen ausspuckt, welche er an anderen Interfaces verwendet.

Mein OpenWRT-WLAN-Router hat da nicht mitgespielt, somit scheint es hier auf Debian zurückzuführen, was auf dem Server und dem Pi läuft.

Derzeit stehe ich da ein wenig auf dem Schlauch und wüßte gerne wieso das so ist... Besonders weil ich jedlichen unkontrollierten Zugriff der VLANs untereinander gerne unterbinden würde. Geräte im VLAN3 sollten unmöglich in andere VLANs kommen bzw. durch solche IP-Tricks auch andere Geräte sehen können.

Code:

---

iface enp1s0 inet static
        address 10.0.1.3
        netmask 255.255.255.192
        gateway 10.0.1.1
        dns-nameserver 10.0.1.3 10.0.1.1
iface enp1s0.2 inet static
        address 10.0.2.1
        netmask 255.255.255.224
iface enp1s0.3 inet static
        address 10.0.3.1
        netmask 255.255.255.240

---

Vielleicht hat es ja auch was damit zu tun:
Ich habe einen Unterschied bei einem Traceroute festgestellt: Sofern ich bei meinem Router (einer FRITZ!Box 7430) meine externe IP verfolge bekomme ich erst einen Hop auf die interne Router-IP und dann erst auf die Zeil-Adresse. Sofern ich nun bei meinem Server aus z.B. VLAN1 die IP die er im VLAN3 hat verfolge hopt dieser direkt beim 1. Mal dorthin.

sieht nach einem Routing-Problem aus. Dazu bräuchte man aber ein paar Infos mehr.

Grundsätzlich sind Systeme, die in mehreren VLANs oder Netzsegmenten hängen immer besonders kritisch - oder saubere Paketfilter kann man sich da dann das Trennen von Netzen meist gleich sparen.

Zitat:

---

VLAN1: 10.0.1.0/26 (Management)
VLAN2: 10.0.2.0/27 (Gast)
VLAN3: 10.0.3.0/28 (Isolated, kein Internetzugriff)

---

Ist das für Dich ein Sicherheitsfeature, dass Du bewusst Subnetzmasken ausserhalb von Bytegrenzen verwendest(Also statt so etwas einfachem wie /24)? So etwas verkompliziert die Sache und kann natürlich auch Fehler provozieren.

Die Gedachten Subnets sind auch entsprechend: mit /24 gedacht. Allerdings habe ich die Netze ein wenig kleiner gewählt um z.B. bei einem Netzwerk-Scan ein wenig Zeit zu sparen. Besonders Fing ist da ein wenig träge wenn es um Größere Netze geht. Da ich sowieso nicht mehr als 62 Adressen im Primären brauche ist das für mich soweit erstmal okay, da nahezu alle Geräte eine statische DHCP-Lease haben. Der Pool von .50 bis 62 ist dann für Geräte ohne Reservierung und wird auch nach 24 Stunden wieder freigemacht... Insofern glaube ich nicht dass es daran liegt, da das Problem auch bei IPs aus Klasse B oder C auftritt.

Es ist zwar kein Zugriff auf irgendwelche Dienste möglich (nur ARP-Requests), trotzdem irritiert mich das schon und lässt bei mir schon den Gedanken an eine Fehlkonfiguration meinerseits hochkommen...

Zitat:

---

Zitat von marce

sieht nach einem Routing-Problem aus. Dazu bräuchte man aber ein paar Infos mehr.

---

Welche Infos genau?
An sich habe ich auf dem Server einfach (wie schon oben in der Konfig) einfach 3 VLANs erstellt mit entsprechenden IPs. Dann in der Sysctl IP-Forwarding aktiviert. Der Server spielt in VLAN2 und 3 Router, in VLAN1 habe ich auf dem Router eine statische Route für die Subnets eingerichtet. Allerdings ist VLAN3 durch iptables so konfiguriert, dass dort alle Inputs und Forwards gedroppt werden, auch besteht das Problem ja mit dem Raspberry, wo weder IP-Forwarding, eine IP-Adresse in dem Subnet oder eine statische Route vorhanden ist.

An sich kann ich das sogar soweit treifen indem ich den Server komplett vom Netzwerk nehme, ihm einen 2. Netzwerkanschluss (in meinem Fall über USB-Ethernet) anstecke, diesen ohne IP am Server konfiguriere. Dann einfach via Laptop einstecken und eine IP aus einem beliebigen Subnet nehmen wo der Server eine IP hat und schon antwortet der mir auch auf ARP-Request. Somit scheint es mir zumindest nicht an meinem Netzwerk an sich zu liegen...

Zitat:

---

Zitat von Kazuto

Es ist zwar kein Zugriff auf irgendwelche Dienste möglich (nur ARP-Requests)

---

Kann denn das nicht näher beschriebene Switch mit VLAN's umgehen?

Zitat:

---

Welche Infos genau?

---

Die Infos vielleicht mal etwas strukturierter und aussagekräftiger. Konfigfiles oder Screenshots vom WebUI oder was du auch immer zum Konfigurieren hergenommen hast. Routingtabellen und ARP-Tabellen. Da du ja irgendwie kreuz und quer routest, daher ja auch irgendwas sichtbar sein sollte und wir nicht wissen ob die ARP Requests vom Server beantwortet werden oder direkt vom Client? IPTables ist auch noch im Spiel, also die Konfiguration hiervon auch noch.
Es wird eine Fritzbox und OpenWRT erwähnt. Ich benutzte keine FB und hatte die auch noch nie so richtig in der Hand. 10 Sekunden Googeln nach deinem Model und VLAN bringt keine Ergebnisse außer die Verwendung von VLAN-IDs mit externen Modems. Kann die denn überhaupt VLAN? Wie richtest du das ein? Eine Beschreibung deines Vorgehens mit wie schon erwähnt Screenshots oder ner Verlinkung zu einem äquivalentem Howto wäre wertvoll. Mit der FB bringe ich so gesehen auch kein IPTables in Verbindung. Dann hab ich die Rolle von OpenWRT bei dir nicht verstanden.
Ich persönlich bevorzuge immer gerne bunte Bilder. Etwa so:

http://www.pct-solutions.de/pct-netzwerk1.jpg

Geht mit Visio, Powerpoint oder auch freien Alternativen dazu.

Der Switch (D-Link DGS 1100-8) kann mit VLANs umgehen. Die FRITZ!Box ist nur im VLAN1 als DSL-Router. Die anderen VLANs werden jeweils erst über den Server ins VLAN1 geroutet, von dort aus dann halt über die FRITZ!Box. Der OpenWRT baut einfach mehrere WLAN-Netze auf, welche dann in die jeweiligen VLANs gehen, deswegen ist dieser auch in mehreren VLANs drin (in einigen halt ohne IP-Adresse).
Ich habe mal schnell eine einfache Zeichnung mit Paint gemacht, wo ich die wichtigen Komponenten eingezeichnet habe. Meine PCs, Laptop und Co habe ich da erstmal weggelassen um das nicht zu komplizieren, zudem haben die mit dem Problem wohl auch nichts zu tun, denn auch wenn die aus sind funktioniert das.

Bis auf die FRITZ!Box und der Server darf keiner Routen, das habe ich gerade noch einmal kontrolliert. Auf dem Server sind folgende iptables aktiv:

Code:

---

iptables -A INPUT -p tcp ! -i enp1s0.1 -m multiport --dport 80,443,8080 -j DROP #Webserver auf VLAN1 beschränken
iptables -A INPUT -p udp -i enp1s0.3 --dport 67 -j ACCEPT                      #DHCP an VLAN3 erlauben
iptables -A INPUT -i enp1s0.3 -j REJECT                                        #Alles andere an VLAN3 droppen
iptables -A FORWARD -i enp1s0.3 -j REJECT                                      #Kein Forwarding in VLAN3

---

Mein Netzwerk sieht (vereinfacht) so aus:
Anhang 21244

An sich glaube ich nicht, dass es an den Routen liegt, ohne Routing bzw. Angabe des jeweiligen Gateways im Netzwerk funktioniert dass auch (gerade getestet). Dazu entsprechend einfach mal meinen Desktop (in VLAN1) eine IP aus VLAN2 vergeben und entsprechend mal einen ARP-Request aufgelöst (Ping):
Anhang 21248
Der Switch-Port ist selbstverständlich so eingestellt, dass er nur VLAN1 untagged zulässt (eth1 OpenWrt, eth7 Desktop-Port, eth8 Server-Port): Anhang 21249

Zitat:

---

Zitat von Kazuto

Mein Netzwerk sieht (vereinfacht) so aus:
Anhang 21244

---

Zitat:

---

Ungültige Angabe: Anhang
Wenn du einem normalen, gültigen Link im Forum gefolgt bist, wende dich bitte an den Webmaster.

---

Wenn alles am Switch hängt und ARP Requests doch durchgereicht werden liegt die Ursache vielleicht dort?
Welche MAC Adresse antwortet denn? Die Karte aus dem anderen VLAN?
Wobei ja der Server eh in allen VLAN's hängt und daher in allen antworten kann. Was antwortet denn jetzt konkret was nicht antworten dürfte?

Hier nochmal der Anhang: Anhang 21252

Ich habe das nun am WE noch einmal grundlegend durchgespielt: An sich funktioniert das unabhängig von meinem Netzwerk: Mein Server hat 2 Netzwerkkarten, davon verwende ich eigentlich nur eine für LAN (nennen wir sie mal LAN-A). Die andere (LAN-B) verwende ich nicht.
Nun habe ich mich mal an LAN-B angeschlossen (es gibt keine Interface-Config!) und dort bekomme ich auch ARP-Responses wenn ich z.B. 10.0.1.3 (IP, welche an LAN-A zugewiesen ist) anpinge.
Anders als bei den VLANs untereinander haben die beiden Adapter unterschiedliche MAC-Adressen. So enthält der ARP-Respond die MAC-Adresse aus LAN-B.

Hat Debian hier ggf. ein allgemeines Problem, dass die IPs auf alle Interfaces gepackt werden und dann nur der Traffic zugelassen wird, wenn die IP-Adresse auch zum Interface passt?

Woher kommt denn jetzt Server 2? Der ist da nicht eingezeichnet.

Vielleicht ist da nur der ARP Cache noch vorhanden. Die Infos fehlen weiterhin.