עזרה לגבי VLAN's, RDP וVPN. - רשתות ואינטרנט - HWzone פורומים
עבור לתוכן
  • צור חשבון

עזרה לגבי VLAN's, RDP וVPN.


summer69

Recommended Posts

שלום רב לכולם!

אני חושב שהשאלה הזו מתאימה לכאן כי היא יותר מתעסקת בעניין הרשת.

בכל מקרה, הגדרתי לאחי בבית מחשב חזק עם כמה מכונות ווירטואליות בשביל שהועבדים יוכלו להתחבר מרחוק.

ברשותנו ראוטר של Cisco מסדרת הSmall Business שלהם - הwrvs4400n v2.

הגדרתי שתי VLAN's , הראשונה למכונות הווירטואליות שעובדת ברשת 192.168.5.0/24, והשניה לבית 192.168.1.0/24.

המטרה היא שלא יהיה Route בין שני הרשתות - אני לא רוצה שלרשת של המכונות הווירטואליות תיהיה גישה לרשת של הבית וההיפך.

בVLAN של העבודה ביטלתי את הDHCP, והגדרתי את שתי כרטיס הרשת של השרת ל192.168.5.10 ו11. המכונה הווירטואלית עובדת ב20.

בVLAN של הבית הוא אמר לחלק כתובות מDHCP.

הגדרתי לעצמי משתמש בVPN של הראוטר, ואני מתחבר אליו באמצעות הQuickVPN Client שהורדתי מהאתר של סיסקו, עובד יפה מאוד.

עכשיו הבעיה היא, שבמצב ש Inter-VLAN Routing נמצא בDisabled (מה שאני רוצה שיהיה) אני לא מצליח לבצע RDP אל המכונות הווירטואליות. בעצם חוץ מלעשות ping לgateway אני לא מצליח ליצור שום תקשורת.

כאשר Inter-VLAN Routing נמצא בEnabled (מה שאני לא רוצה שיהיה) אני מצליח לבצע RDP גם אל המכונה הווירטואלית וגם אל השרת המארח.

פירסמתי בפורומים של סיסקו ובנתיים אף אחד לא ענה לי...

האם אני עושה את הכל בסדר? האם אני צריך להגדיר איזשהו ניתוב סטאטי בשביל שזה יעבוד ללא Inter-VLAN Routing?

עוד שאלה - האם יש קשר לPort Mode בהגדות של הVLAN? מה בעצם ההבדל בין Access לTrunk?

כרגע זה מוגדר על Access ואני פחות מבין בזה וכרגע מעדיף לא להתעסק.

אני מקווה שמישהו יוכל לעזור לי.

המון המון תודה מראש!

קישור לתוכן
שתף באתרים אחרים

איך בדיוק מוגדר הVPN? זה L2 או L3? מאיפה לאיפה הוא נוצר?

זה נשמע כאילו התקשורת של הVLAN של העבודה עובדת דרך הVLAN של הבית.

(לפי מה שהבנתי המחשב המארח שייך לVLAN של הבית, והמכונות הוירטואליות שעליו מוגדרות על הVLAN של העבודה)

ולכן אין לך גישה לשם כשאין interl vlan routing.

בקשר לשאלה השניה, access זה פורט שמעביר רק vlan אחד ספציפי אליו הוא שייך, וtrunk הוא פורט uplink שמעביר את כל הvlanים.

קישור לתוכן
שתף באתרים אחרים

הVPN נוצר מהמחשבים של העובדים בבית אל הראוטר. בראוטר יש אפשרות הגדרה של המשתמשים של הVPN.

הם מתחברים באמצעות QuickVPN של סיסקו.

אני לא יודע באיזה שכבה הוא עובד, אני רק יודע שזה איזשהו SSL של סיסקו.

(לפי מה שהבנתי המחשב המארח שייך לVLAN של הבית, והמכונות הוירטואליות שעליו מוגדרות על הVLAN של העבודה)

אז זהו, שלא:

חילקתי את הפורטים של הראוטר לשתי הVLANים - פורט 1 ו2 של הראוטר שייכים לVLAN 1 - השרת והמכונות הווירטואליות של העבודה.

פורט 3-4 שייכים לVLAN 2 - אליהם מחובר הPC וכל השאר באלחוטי. שאר הבית.

VLAN 1 - 192.168.5.0

VLAN 2 - 192.168.1.0

קראתי באתר של סיסקו, שברגע שמבצעים , הוא מחובר אותך אל הDefualt VLAN - כלומר הVLAN הראשונה - שהיא של העבודה.

שיניתי לה את הכתובת ל192.168.5 מ192.168.1, בגלל שאין אפשרות להתחבר בVPN כאשר לGatway יש את אתה הכתובת, אז שיניתי למשהו קצת פחות נפוץ.

כל הקטע זה שלא יהיה פה Route בין הVLANים. כאשר Inter VLAN מופעל יש תקשורת בין כל הHOSTים. אז במצב כזה הVPN עובד ואני מצליח גם ליצור RDP עם המכונות הווירטואליות, מהבחינה הזאת זה טוב, אבל כל מי שנמצא בVLAN השני יכולים גם ליצור תקשורת עם המכונות והשרת - וזה מה שאני לא רוצה.

כאשר Inter-VLAN Routing מכובה, אני מצליח להתחבר הVPN כרגיל, אבל מעבר לעשות PING לGateway אין לי שום תקשורת.

בגלל זה אולי חשבתי שצריך להוסיף ניתוב סטאטי, אבל אין מה מושג מה ולאיפה....

אני מקווה שהבנתם אותי :kopfpatsch:

קישור לתוכן
שתף באתרים אחרים

אין שום קשר לניתוב סטאטי, שלושת הרשתות הן Directly connected. (שני הVLANs והWAN).

אם אתה הופך בין הVLANs ושם את הרשת של העבודה בVLAN 2...?

ומה לגבי להפעיל inter vlan routing ולהוסיף ACL שימנע תקשורת בין הרשתות?

קישור לתוכן
שתף באתרים אחרים

אם אני הופך בין הVLANS אז אני בעצם מבצע לתוך הרשת של הבית....

לגבי הACL - אני מגדיר רק את כתובות הMAC של השרת והמכונות הווירטואליות בעצם? מה לגבי מי שמבצע VPN? לא צריך להוסיף את כתובת הMAC של המחשב המרוחק?

קישור לתוכן
שתף באתרים אחרים

לא צריך ניתוב סטטי.

תגדיר על ה-interface vlan של העבודה Access-list לכיוון out

משהו בסגנון


ip access-list extended no-work-2-home
permit tcp 192.168.5.0 0.0.0.255 192.168.1.0 0.0.0.255 established
deny ip 192.168.5.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip any any

interface vlan 2
ip access-group no-work-2-home out

אם אתה רוצה לחסום גישה מהבית לעבודה בכלל, אל תכניס את השורה שמתחילה ב-permit tcp

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

×
  • צור חדש...