statische Route (mal wieder.....)

    Frohes Neues!


    ich habe mit einem kleinen QNAP TS-221 (Firmware: 3.8.4) folgendes Problemchen:
    Die Route die ich eingetragen habe, findet keine Anwendung. Sie wird schlicht ignoriert.
    FTP, Windows-Shares und Admin-Webinterface ist nicht erreichbar. ICMP geht logischerwerise durch.
    Ich habe daher mal anbei eine vereinfachte Netzwerkinfrastruktur als Bild angehängt.
    Die Roten Einträge sind dabei VPN-Relevant.


    Das Netz 192.168.89.0/24 wird (Gott sei Dank) nicht durch mich betreut.
    Der QNAP wird dabei durch den NAS01 abgebildet. NAS02 ist eine Windows-Maschine welche bei eingetragener
    Route via VPN erreichbar ist. Jedes System ist bei eingetragener Route erreichbar, nur der QNAP nicht.
    Die Routingtabellen der beiden Systeme habe ich auch nochmal angehängt.




    Ein Firmwareupdate ist leider nicht drin, da damit der Mediaserver nicht mehr so funktioniert wie er soll :(
    Habt ihr eine Idee warum das so ist?


    Thx und Gruß
    Robert

    Hi!


    Leider werde ich nicht so ganz schlau aus Deiner Zeichnung und der zugehörigen Beschreibung...
    Soweit ich das verstanden habe, ist das Qnap-NAS die 10.200.201.1/8 bzw. 192.168.89.xxx/24, aber was sollen die IPs 192.168.25.0/24 -10.0.0.5 dabei in rot bedeuten?
    Von welchen Netzen/IPs soll das NAS erreichbar sein?


    Zitat von "spamme"

    Jedes System ist bei eingetragener Route erreichbar, nur der QNAP nicht.


    hilft da nicht sehr viel.


    Welchen Weg soll das NAS in das Internet nehmen? (über die 192.168.89.1/24 wäre logisch und die kürzeste Route!)


    Welche Aufgaben haben die 10.x.x.x/8 Netze? Wofür steht CSG?


    Was wird mit diesem "Construct" bezweckt?


    Grüße
    Jody


    PS.: Schreib mal dazu wieviele Netze Du brauchst und wieviele Clients in den entsprechenden Netzen hängen werden. Das ganze sieht etwas "gewachsen" aus und es scheint als wäre an einzelnen "Ästen" etwas verwachsen ;)

    Hi,


    das Rote sind die Routen für das VPN über das Juniper Gateway. Sinn und Zweck dieses Konstruktes
    ist es dass auf dem VPN-Gateway jeder Benutzer auf andere Geräte Zugriff bekommt. Via NetworkConnect
    kann somit nur auf die Geräte mit eingetragener Route den Rest nur über Webservices.
    "Der NAS verlässt sozusagen nie das LAN".
    CSG bteht für Content Security Gateway. Praktisch ein transparenter Virenscanner auf Netzwerkebene.
    Der QNAP kommt nicht ins Internet. Wird per Firewall-Regel geblockt. Er ist aus den beiden LAN-Netzen erreichber
    und dann eben noch (nicht) via VPN.


    In meinem 10.0.0.0/8 Netz hängen mit allen VLANs 8 Server und 60 Clients.
    Die Frewall und die Router sind Physikalisch in einer Juniper SSG-320 verbaut.
    Die beiden hier gezeigten Netz laufen über einen HP 50-Port Switch mittlens VLANs.


    Das andere Netz 192.168.89.0/24 ist ledigilich noch ein unabhäniger 1&1 Internetzugang, welcher
    früher mal als Ausweichleitung gedacht war. Da das CSG allerdings den ganzen "illegalen Dreck" blockt
    und jede Traffic per SYSLog geloggt wird, ist daraus mittlerweile eine Art "Piraten-WLAN" mit MediaServer geworden.
    Das ist übrigens die einzige Aufgabe des QNAP -> Twonky bereitstellen ;)


    Danke und Gruß
    Robert

    Hallo Robert,


    Kannst Du Einfluss auf die Config der Juniper nehmen?


    Da Du dem NAS max 2 IPs (auf natürlichem Wege) mitgeben kannst, solltest Du vielleicht überlegen, das Routing komplett an die Juniper zu übergeben.
    Ggf. Brauchst Du dann noch ein zusätzliches VLan, in das Du alle Geräte aufnimmst, die über VPN erreichbar sein müssen, aber dann kannst Du mit Hilfe der Firewall regulieren, wer von wo welchen Dienst auf welchem Server nutzen darf.
    Somit ist es dann möglich, nur noch an einer Stelle die Routen pflegen zu müssen (ggf. RIP?).
    Wenn der Zugriff aus dem 192.168.89.x Netz gewünscht ist, ist in dem Plastik-Router nur genau ein Route zum Juniper anzulegen....


    Einziger Nachteil an dieser Lösung ist, das sämtlicher Netzwerkverkehr über ein Device geführt wird.


    Für ein Feintuning bräuchte ich jedoch mehr Infos (welche Vlans wofür, hängt in jedem Vlan ein Server oder bedienendie Server alle Vlans... etc) gerne auch per PM.
    Grüße
    Jody

    Hi,
    die Idee das VPN-Gateway sozusagen in eine DMZ zu stellen, hat was....
    Allerdings habe ich eben dann geanu das Problem, dass alles über die Firewall flitzt. So muss diese nur SSL durchwinken und fertig.
    Die Benutzer welche sich via VPN Anmelden brauchen ja nur Zugriff auf Exchange, FileServer, etc...! Nicht auf andere Server und Clients - so ist die Routen-Idee entstanden. Alternativ könnte man das VPN ja auch transparent für alle machen, da das VPN-GW ja einen Interne und einen bisher ungenutzen Externen Port hat.
    Aber auf dem QNAP gibt es keine Möglichkeit eine statische Route zu hinterlegen? Schon bisschen schwach, wie ich finde?!


    Danke und Gruß
    Robert

    Hallo Robert,


    was die Routen auf dem NAS betrifft, komme ich sehr gerne zu meiner Kernaussage zurück:
    Es ist ein NAS, als ein Speicher! Kein Router!


    Um jedoch noch mal ein Lösungsszenario anzubieten...
    Sofern die Server aus allen VLANs erreichbar sein müssen, wird zu diesen ja ohnehin geroutet, oder?
    Demzufolge würde ich tatsächlich darüber nachdenken, alle Server in ein VLAN zu schubsen und dies nur über eine FW erreichbar zu machen, damit hast Du zusätzlichen Schutz für die Server und kannst die VPN-Geschichte wesentlich leichter etablieren. Selbst bei 60 Clients sollte die Juniper den erforderliche Datendurchsatz ermöglichen.


    Da ich das genaue Einsatzszenario nicht kenne, würde ich jedoch vermuten, dass sich die 10.x.x.x/8 Netze in deutlich kleinere Netze überführen ließen (bei ca 80 Hosts gesamt, sollte eigentlich ein C-Netz reichen, beim Einsatz von VLANS je VLAN ein C-Netz) Wobei ich beim 192.168.x.x/24 bleiben würde.
    Nehmen wir einmal an, du bräuchtest für die Clients 10 und für die Server 1 VLAN,
    dann würde ich z.B. 192.168.100.x/24 für die Server (einschließlich der NASen) wählen (dann käme man per VPN auch ohne Frickelei auf alle Server)


    Für die Client-Netze würde ich bei 192.168.200.x/24 anfangen und ggf. in 10er Schritten hochzählen (also 192.168.200.x/24, 192.168.210.x/24, 192.168.220.x/24 etc, falls Du extreme Zuwächse in den einzelnen Netzen befürchtest ;) ).
    Alternativ ließe sich auch die VLAN-Nummer in die genutzten Netzwerke integrieren (also 192.168.10.x/24 = VLAN10 192.168.20.x/24 = VLAN20, 192.168.30.x/24 = VLAN30 etc.)


    Das Plastiknetz 192.168.89.x/24 kannst Du als seperates Netz ebenfalls auf die Juniper legen und das Routing über die Kosten als Ausweichroute nutzen oder über die Firewall als "Piraten-WLAN" weiterhin bereitstellen.


    Auch wenn der Aufwand zunächst abschrecken sollte, ist der Sicherheitsgewinn nicht zu unterschätzen (bspw. keine direkte Kommunikation der Server mit dem Internet.. etc), das gesamte Netz wird deutlich leichter administrierbar und "Fremdlinge" im Netzwerk fallen Dir schneller auf (DHCP macht Administration aber auch Netzwerkeinbrüche einfacher...)


    Wie gesagt, fürs Finetuning auch gerne per PM, wenn es um Details gehen sollte)


    Grüße
    Jody