[fli4l] VLAN - kein ping m?==?utf-8?Q?öglich

K. Dreier usenetforum at gmx.net
So Jan 27 08:55:39 CET 2019


Hallo,

4.0 testing.

Ich habe mehrere VLANs aktiviert, die clients darin bekommen auch schön
ihre IP für das jeweilige VLAN-Netz zugewiesen (via DHCP), z.B.
10.1.30.x und die clients darin kommen ins Internet. Soweit so gut.

Mein Mgmt-VLAN hat die IP-Range 192.168.1.x. fli4l ist .250. Es ist
NET_2.
Die Switch-Ports sind als Trunks konfiguriert respektive für einen
angeschlossenen client für das jeweilige VLAN untagged. Ich kann von
meinem PC im Mgmt-LAN z.B. 10.1.50.250 pingen. Ich kann aber nicht den
client 10.1.50.123 pingen. Und ja, der ist "online". fli4l httpd-GUI
zeigt mir die clients allerdings eben auch als offline (rot) an. Aber
sagen wir eine fritzbox ist der genannte client: da mein (VoIP-)Telefon
geht, ist das Ding ja nun offensichtlich online. fli4l sieht das nur
nicht, warum auch immer.

Mir scheint, als gäbe es hier ein Probleml mit PF_FORWARD-Regeln?

Ein:
PF_FORWARD[]='IP_NET_2 ACCEPT'
müsste aber doch auf sämtliche (V)LAN ein Zugriff erlauben aus dem
NET_2 raus (also dort, wo der PC hängt und auch die Switches), oder
nicht?

Zwar habe ich
PF_FORWARD[]='IP_NET_5 IP_NET_2 REJECT'
aber das ist ja gerade auch der Sinn: ich möchte den Zugriff aus NET_5
auf NET_2 verbieten.

Die INPUT-Regeln (für das hier gezeigte VLAN-Netz) sind:
PF_INPUT[]='prot:tcp IP_NET_5 8080 REJECT'					# reject entire NET_5
access to httpd on fli4l
PF_INPUT[]='tmpl:dns IP_NET_5 ACCEPT'						# allow entire NET_5 access
to dns
PF_INPUT[]='tmpl:ntp IP_NET_5 ACCEPT'						# allow entire NET_5 access
to ntp
PF_INPUT[]='tmpl:ping IP_NET_5 ACCEPT'						# allow entire NET_5 to ping
fli4l

Wo könnte das Problem liegen?

Gruß
Klaus


Mehr Informationen über die Mailingliste Fli4L