Dienste auf LAN-Anschlüsse aufteilen

[Pixelschubser]

Manche Synology Boxen haben ja mehre LAN-Anschlüsse. Ich versuche gerade verschiedene Dienste auf die Anschlüsse aufzuteilen. Allerdings gelingt mir das nicht. Weiß jemand wo ich den Gedankenfehler mache?
Also unter Netzwerk habe ich folgendes eingestellt.

LAN-1 steht auf IP:192.168.1.220



und LAN-2 steht auf IP:192.168.1.221.



Kein IPV6, kein DHCP sondern nur statische IP4 Adressen. In der Firewall habe ich auf dem ersten Anschluss LAN-1 verschiedene Dienste freigegeben. Unter anderem die Photostation.



Und bei LAN-2 ist alles aus und per default verboten:



Somit ist das hier in meinem Verständnis OK da die Photostation auf .220 in der Firewall freigegeben ist:



aber hier sieht man das ich auch über .221 zugreifen kann.



Irgendwie finde ich keine Erklärung dafür. Eigentlich kann das nur sein wenn die DS intern routet aber dann wäre doch eine per "Anschluss Firewall" sinnlos oder?. Weiß jemand wie man das abstellt oder welchen Gedankenfehler ich mache?

 

[Benares]

Hab noch kaum was mit der DS-Firewall gemacht, aber:
Ist die Firewall auf LAN2 nicht komplett aus, wenn nicht mal das Kreuzchen bei "Aktiviert" sitzt?

 

[Pixelschubser]

Was ich nicht mit auf dem Bild hatte war das unten "Wenn keine Regel zutrifft: Zugriff verweigern" aktiv ist. Aber der Gedanke ist gut. Habe ich gleich mal probiert den Haken ganz oben zu setzen; aber es brachte leider keinen Unterschied.

 

[Benares]

Ok, dann weiss ich aber auch nicht.
Starte doch erstmal mit einer Regel, die alles verbietet (zusätzlich zum default). Dann müsste LAN2 komplett zu sein. Evtl. ist mind. eine Regel zusätzlich erforderlich.

 

[Pixelschubser]

Hab ich probiert. Habe einfach mal NTP freigegeben aber ohne Erfolg. Also ich kann immer noch zugreifen.

Was mir noch einfällt, es ist völlig egal ob ich die LAN-Buchse mit dem Switch verbinde oder nicht. Sofern ich eine IP an irgendeinem Anschluss definiere kann ich zugreifen.

 

[stefan_lx]

ich behaupte mal, dass dein Vorhaben nicht funktioniert, solange beide Anschlüsse im gleichen Netzwerk sind... Du kannst nämlich auch die zweite IP anpingen, selbst wenn das Kabel nur am anderen Port angeschlossen ist...

Mal abgesehen davon, solltest du dein eigenes Netz auf alles zulassen... das erspart dir 5 Regeln...

Stefan

 

[Benares]

Ja, ich kann mir auch vorstellen, dass die DS beim gleichen Netzwerk, beide IPs auf beide Netzwerkkarten setzt oder irgendwie routet.
Hast du mal mit "ifconfig all" geschaut?

 

[Pixelschubser]

Ifconfig schaut für mich normal aus. Ich kenne mich mit Linux nicht so gut aus als das ich sagen könnte wie das routing gemacht wird. Obwohl echtes routign kann es nicht sein denn dann müsste man ja irgendwo die routing Tabelle einstellen können. Er kann ja nicht alles auf alles routen.
Ich kenne das auch nicht von gewöhnlichen Netzwerkkarten die mehrere Anschlüsse haben, da ist das auf jeden Fall getrennt. Es muss irgendwas mit dem Design der Hardware der LAN Schnittstelle zu tun haben aber keine Ahnung was.
Hier der ifconfig. Meine eingeschränkten Kenntnisse sagen mir aber lieber die Finger von der Ebene zu lassen. Sprich wenn es nicht auf der DM Ebene sollte ich es besser lassen .

RACK1DATA2> ifconfig
eth0 Link encap:Ethernet HWaddr 00:11:32:19:50:85
inet addr:192.168.1.220 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:44163776 errors:0 dropped:0 overruns:0 frame:0
TX packets:48869553 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:55447867944 (51.6 GiB) TX bytes:37637070107 (35.0 GiB)
Interrupt:19 Memory:fb800000-fb820000

eth1 Link encap:Ethernet HWaddr 00:11:32:19:50:86
inet addr:192.168.1.221 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6097 errors:0 dropped:0 overruns:0 frame:0
TX packets:21450 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1068042 (1.0 MiB) TX bytes:1802994 (1.7 MiB)
Interrupt:17 Memory:fba00000-fba20000

eth2 Link encap:Ethernet HWaddr 00:11:32:19:50:87
inet addr:192.168.1.222 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:16 Memory:fbb00000-fbb20000

eth3 Link encap:Ethernet HWaddr 00:11:32:19:50:88
inet addr:192.168.40.220 Bcast:192.168.40.255 Mask:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:18 Memory:fb900000-fb920000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:107633 errors:0 dropped:0 overruns:0 frame:0
TX packets:107633 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:15149515 (14.4 MiB) TX bytes:15149515 (14.4 MiB)

RACK1DATA2>

 

[Pixelschubser]

Da gibt es noch eine Anomalie.



Warum kann ich zwar auf die Station zugreifen, DM, DS Photo, Windows.. aber nicht anpingen? Auf meine kleine DS110 klappt der Ping einwandfrei.

 

[laserdesign]

Hallo,
und was zeigt route -n

 

[Benares]

Ich versteh jetzt auch nicht ganz, wieso plötzlich 4 Netzwerkkarten (eth0..4) im Spiel sind und was die komische IP bei eth3 soll. Sorry.

Evtl. wird für ping eine eigene Regel gebraucht.

 

[stefan_lx]

naja, seine RS hat 4 LAN-Ports ...

In der FW gibt es keine eigene Regel für den Ping, aber da andersrum nur ein paar Ports für intern freigegeben sind, dürfte der ping geblockt werden... wie schon mal gesagt, für das eigene Netz sollte man keine Firewall aktivieren...

Stefan

 

[Pixelschubser]

Waren schon immer 4 LAN`s aber nur zwei sind verbunden. Ich hatte anfänglich der Reihe nach .220, 221, 222 und 223 eingetragen. Bei den vierten habe ich mal rumgespielt und .40.220 probiert. Aber wie gesagt die sind nicht angeschlossen.

 

[Pixelschubser]

Jo, stimmt. Wie du vermutet hast waren die Filter der Firewall für den verhagelten Ping zuständig. Als ich testweise eine Regel angelegt habe die alles auf allen Ports erlaubt ging auch der Ping. Hmm, das dürfte aber nicht sein denn Ping hat überhaupt keinen Port sonder nutzt ICMP-8 und will ICMP-0 zurück haben.

Ich kann alle LAN Anschlüsse anpingen solange sie innerhalb der selben Netzwerkmaske liegen. Also bei mir mit 192.168.1.x und Netzmaske 3x255.0, egal ob ein Kabel zum Switch geht oder nicht.

Ich hatte mal auf LAN-4 mit .40.220 gespielt und dann lässt sich der Anschluss auch aus dem anderen Netz nicht pingen. Sprich ich denke dort würden die Firewall Regeln greifen und man könnte Dienste erlauben/sperren. Aber das ist nicht das was ich wollte und somit ist der Gedanke der das ganze befeuert hatte obsolet. Schade aber wohl eine Tatsache.

Die DS erscheint eher wie mein Layer2 Switch, der kann auch gemanagte werden, kann trunking aber nicht wirklich Anschlüssen eigene Interfaces mit eigenen IP`s geben. Da ich aber in der DS den LAN Ports unterschiedliche IP`s zuweisen kann hätte ich das so nicht vermutet.

Also ehrlich gesagt verhält sich die DS schon etwas komisch, sei es Ping über Ports zu sperren oder ungefragt zwischen LAN Anschlüssen zu routen. Normal ist das nicht. Das ich das auch für einen Designfehler halte wird aber in Taiwan keinen Interessieren .

 

[Brigge]

Ich habe die 4 Ports zur Linkaggregation genutzt.

 

[fpo4711]

Also ehrlich gesagt verhält sich die DS schon etwas komisch, sei es Ping über Ports zu sperren oder ungefragt zwischen LAN Anschlüssen zu routen. Normal ist das nicht. Das ich das auch für einen Designfehler halte wird aber in Taiwan keinen Interessieren .

Die DS verhällt sich hier in keinster Weise komisch, sondern wie jede Linuxmachine. Und ja, das ist völlig normal! Unter Linux sind einzelne IP's nicht an Schnittstellen gebunden deshalb kannst Du auch eine IP pingen die auf einer anderen Schnittstelle eingestellt wurde. An den Schnittstellen IP's einzustellen die sich im gleichen Subnetz befinden ist der Kardinalfehler schlecht hin. Wie sieht es dann beispielsweise mit der Namensauflösung aus? Der Computerbrowser unter Windows stellt da beispielsweise recht konsequent den Dienst ein oder liefert nicht vorhersehbare Ergebnisse. Das gleiche sollte mit deinem gesammten Netzwerkverkehr passieren. Schonmal unter dieser Konfiguration eine größere Datei unter Samba kopiert?

Für weitere Info's würde ich das hier mal zum Studium empfehlen.

Gruß Frank

 

[süno42]

Moin,

hierzu gab es schon mal eine Diskussion: Link.

Mein Vorredner hat es aber schon zusammengefaßt, völlig normales Verhalten unter Linux und Standardeinstellungen.


Viele Grüße
Süno42

 

[Pixelschubser]

Ich habe das mal getestet und mir eine Ubuntu Maschine aufgesetzt mit zwei Karten. Zwei statische IP`s vergeben und bei einer das Kabel gezogen und siehe da ich kann tatsächlich auf beide IP`s pingen. Somit muss ich das „DS verhält sich komisch“ zurücknehmen zumindest was den Linux Unterbau angeht und sagen verhält sich wie Linux.

Das bedeute aber nicht das ich es richtiger finde nur weil Linux es so macht. Wobei mir das Linux Interna fehlt um sagen zu können warum das so ist bzw. ob das so sein muss oder ob man es irgendwie abstellen könnte. Danke für die Links, da scheint es also doch noch mehr zu geben die, vorsichtig gesagt, ein anderes Verhalten erwartet hätten.

Windows verhält sich jedenfalls nicht so. Ich habe eine Maschine hier auf der mehrere virtuelle Instanzen laufen, Host Windows und Client Linux und Windows. In der Kiste steckt eine Karte mit 4 Anschlüssen. Je nach Verwendung sind die virtuellen Maschinen auf die Anschlüsse verteilt. Die auf den selben Anschluss sehen sich natürlich wenn sie in selben Subnetz sind. Sie sehen sich aber nicht wenn sie im selben Subnetz sind aber auf verschiedenen Anschlüssen. Das habe ich dutzendfach geprüft.

Aber ich nehme mal einfach hin das es so ist wie es ist bei der DiskStation und muss mein Szenario dem Umstand anpassen. Ich dachte halt auf die Weise billig eine Trennung zwischen internem und externen Datenverkehr zu erreichen.

Danke an alle die mir mit Ihren Erklärungen geholfen haben die Sache zu verstehen. Tolles Board hier.