Как сделать доступ к веб серверу через коммутатор и шлюз?

Question

Дмитрий Точнов @dimitryveg123

Как сделать доступ к веб серверу через коммутатор и шлюз?

Добрый день!
Имеется циска, у которой несколько портов поделено на VLAN (G1 & G2 - VLAN2; 3&4 - VLAN3) на гигабитный порт G1 приходит ip организации 192.168.2.50/22. Далее G2 соединен с 1 портом (Internet PoE) микротика (G2 тегированный порт). На микротике тоже установлены VLAN'ы (1й порт имеет VLAN ID 2, 2й - VLAN ID 3). На первый порт был задан статический IP 192.168.2.50/22, на второй: 10.100.50.2/24. Со второго порта микротика идет кабель в 4 тегированный порт циски, а с 3 порта уже непосредственно на веб сервер. Веб и 2 порт микротика находятся в одном влане.
Была настроен NAT на выходной интерфейс VLAN1. Правил фаервола как таковых нет.
Пытался с их помощью разрешить трафик от веб сервера до 192.168.2.50 ничего не происходило. Микротик не может пинговать свои vlan1 и vlan2, но с vlan1 микротика идет пинг до днс сервера.
А доступ к веб серверу надо например с ПК у которого следующие данные: ip: 192.168.0.10/22 gateway:192.168.0.4 DNS:192.168.0.2.
Подскажите пожалуйста, что не так? В каком направлении идти

?

Вопрос задан более трёх лет назад
346 просмотров

16 комментариев

Подписаться 1 Средний 16 комментариев

Армянское Радио @gbg

Начинаю с наводящих вопросов - зачем Ктулху из проводов и VLAN, зачем несколько проводов между коммутаторами с разными VLAN в них?
То есть, на какой-то хрен навернуты вланы, когда с точки зрения микротика в них нет необходимости.

Написано более трёх лет назад
Дмитрий Точнов @dimitryveg123 Автор вопроса

Армянское Радио, насчет разных VLAN: VLAN2 - это отдельная сеть, которая смотрит в организацию, организация выделила IP адрес. VLAN3 - считается внутренней сетью, на нем развернут web сервер для сбора информации, в будущем планируется ее дальше развивать.
Почему с точки зрения микротика нет в них необходимости?

Написано более трёх лет назад
Армянское Радио @gbg

Дмитрий Точнов, кроме двух занятых портов на микротике еще что-то есть?

Написано более трёх лет назад
Армянское Радио @gbg

Дмитрий Точнов, потому что если вы переведете на циске порты в обычные, а на микротике уберете VLANы, ничего не поменяется. Тогда вопрос - зачем нагорожен огород?

Написано более трёх лет назад
Дмитрий Точнов @dimitryveg123 Автор вопроса

Армянское Радио, кроме двух занятых портов есть ещё одни. Циска 24 портовая. С 5 по 24 подключены клиенты, они весят на другом влане. До них доступ извне не нужен. Еще не указал, что веб сервер с 2 сетевухами. 1ая 10.100.50.1, 2ая, 10.100.51.1. На 51.1 крутится веб.
Огород нагорожен, чтобы разделить сети.

Написано более трёх лет назад
Армянское Радио @gbg

Дмитрий Точнов, Разделение сетей делается при помощи VLAN, для чего вы разные VLAN еще и в разные кабели засунули?

Написано более трёх лет назад
Армянское Радио @gbg

Что значит вот это?

Микротик не может пинговать свои vlan1 и vlan2,

Он что, не в состоятнии пропинговать свои же собственные интерфейсы?
Заскринте вкладку interfaces, так понятнее будет.

Написано более трёх лет назад
Дмитрий Точнов @dimitryveg123 Автор вопроса

Армянское Радио, Не понял про разные VLAN в разные кабели. Порты G1 и G2 считаются внешней сетью (связь с организацией) - 2 VLAN. Связь веб сервера и микротика (через циску) - 3 VLAN. Остальные порты клиенты - 4 VLAN.
Скрин во вложении.

Написано более трёх лет назад
Дмитрий Точнов @dimitryveg123 Автор вопроса

Армянское Радио, Другими словами делаю пинг "ping 192.168.2.50 interface vlan2" - timeout.
"ping 10.100.50.2 interface vlan1" - timeout

Написано более трёх лет назад
Армянское Радио @gbg

Дмитрий Точнов, для какой цели у вас порт Gi1 сделан тегированным? Почему вы просто не пошлете по нему трафик до микротика без тегирования.
Аналогично про Gi4 - зачм тегирование, когда по кабелю идет всего один VLAN.

Написано более трёх лет назад
Дмитрий Точнов @dimitryveg123 Автор вопроса

Армянское Радио, Порт G1 не тегированный. Порт G2 - тегированный, т.к. им соединяется циска и микротик.

Написано более трёх лет назад
Армянское Радио @gbg

Дмитрий Точнов, Они могут соединяться и без тегирования, вы создали лишнюю сущность в виде VLAN, теперь пытаетесь героически с ней бороться.

Я бы еще понял, если бы у вас два порта были бы объединены в агрегацию, так нет этого.

Наверняка у вас или категории портов в микротиковом файерволе криво настроены, или еще что-то такое. Высылайте скрины.

Ладно, когда просто накосячено в конфигах, но когда изобретают новое слово в сетевой архитектуре, становится совсем тяжело.

Написано более трёх лет назад
Дмитрий Точнов @dimitryveg123 Автор вопроса

Армянское Радио, В этом скрине показано как настроен vlan1. Vlan id = 2 т.к. в циске из VLAN 2 идет соединение 1 порта циски.
Аналогично и на vlan2 сделано, но VLAN ID = 3, т.к. VLAN 3 указан в циске и он соединяет веб сервер с микротиком.

---
На этом скрине указана адресация. Т.к. выдали статический ip я его указал во VLAN 1, у VLAN 2 указан ip, который смотрит во внутрь.

-----
Маршрутизацию на всякий случай выложу.

-----
Правила фильтрации. Ими хотел как-нибудь манипулировать хождением трафика. (чтобы из организации был доступ к веб серверу)

-----
Ну и NAT на последок.

Написано более трёх лет назад
Армянское Радио @gbg

Эм, вот за такую порнуху, а именно - бардак в именах VLAN и их ID, в приличных организациях можно получить как минимум неприятный разговор с вышестоящим инженером.

Я так понимаю, что провода в этой гениальной схеме - это ваше представление об Air Gap - ни за что не пускать внешний и внутренний трафик в одном проводе? А ничего, что перед этим трафик из одного устройства вышел? Более того, если напутать конфиг, в этот провод повалит другой трафик, ведь наверняка никто не заморачивался со switchport trunk vlan на тегированных портах.

Написано более трёх лет назад
Армянское Радио @gbg

Дмитрий Точнов, теперь давайте конфиги с циски, особенно того, как вы порты в транк настролили. И поместили ли вы в vlan database правильные id вланов (которые, еще раз повторю, можно было не вытаскивать за пределы циски).

Написано более трёх лет назад
Дмитрий Точнов @dimitryveg123 Автор вопроса

Армянское Радио, почему бардак в имена VLAN и их ID? VLAN на стороне циски нумеруется, в моем случае это 2 и 3. Далее создал VLAN на микротике,: vlan1 (да, может название не очень) имеет VLAN ID равный VLAN'у циски, т.е. 2; vlan2 имеет VLAN ID 3 равный снова циске, т.е.3
Конфиги циски:
Тут задаю те самые VLAN:

------
Присваиваем порту определенный VLAN.
VLAN ID 1 - FE1 не тегированный, порт конфигурации циски.

VLAN ID 2: G1 - не тегированный, т.к. смотрит во внешнюю сеть. G2 - тегированный, т.к. соединяется с микротиком, FE3 - не тегированный, для проверки хоста 192.168.2.50

VLAN ID 3: FE23 (на рисунке он 3) - не тегированный, т.к. соединение циски и веб сервера; FE24 (на рисунке он 4) - тегированный, т.к. соединяет циску с микротиком

VLAN ID 4 соответственно другие порты для соединения 2 сетевой карты веб сервера и клиентов.
------------
Тут информация по всем интерфейсам.

-----------
В принципе больше никуда не лазил.

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Яндекс Практикум

Python-разработчик

10 месяцев

Далее
Skillfactory

DevOps-инженер

6 месяцев

Далее
Нетология

Python-разработчик с нуля

6 месяцев

Далее

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

MikroTik

+1 ещё

Средний
CAPsMAN на солянке из старых (сАР) и новых (AX) девайсов?
- 2 подписчика
- 23 окт.
- 222 просмотра
1

ответ
Компьютерные сети

+2 ещё

Средний
Как организовать сеть на Микротике с двумя интернет шлюзами?
- 4 подписчика
- 18 окт.
- 3202 просмотра
6

ответов
MikroTik

+1 ещё

Средний
Mikrotik 7.19, load balansing PCC PPPoE и L2TP VPN client, не складываються каналы?
- 1 подписчик
- 13 окт.
- 150 просмотров
0

ответов
Сетевое оборудование

+1 ещё

Простой
Будет ли работать WiFi в микротик chr?
- 2 подписчика
- 11 окт.
- 254 просмотра
0

ответов
Windows Server

+2 ещё

Простой
Почему не приходят адреса DHCP клиентам?
- 2 подписчика
- 24 сент.
- 374 просмотра
1

ответ
MikroTik

Простой
"баг" dst-nat с 443 порту на микротике?
- 2 подписчика
- 24 сент.
- 212 просмотров
4

ответа
Ubuntu

+4 ещё

Средний
С помощью чего создать тунель между Ubuntu и Cisco?
- 1 подписчик
- 24 сент.
- 272 просмотра
2

ответа
MikroTik

Средний
Как поймать маркированное соединение (продолжение вопроса)?
- 1 подписчик
- 22 сент.
- 219 просмотров
0

ответов
MikroTik

+2 ещё

Средний
Маршрутизация ipv6 между роутером микротик без ipv6 и роутером с ipv6 openwrt?
- 1 подписчик
- 22 сент.
- 110 просмотров
1

ответ
Компьютерные сети

+3 ещё

Простой
Можно ли настроить маршрутизатор так, чтобы при подключении к сети Radmin видеть всю локальную сеть?
- 1 подписчик
- 20 сент.
- 458 просмотров
2

ответа
Показать ещё Загружается…

React Developer

ITK academy • Воронеж

от 50 000 до 90 000 ₽

Senior Business Analyst

Уницифра • Краснодар

от 180 000 до 200 000 ₽

Senior Flutter Developer

Oggetto • Ростов-на-Дону

До 350 000 ₽

Начинаю с наводящих вопросов - зачем Ктулху из проводов и VLAN, зачем несколько проводов между коммутаторами с разными VLAN в них?
То есть, на какой-то хрен навернуты вланы, когда с точки зрения микротика в них нет необходимости.
Армянское Радио, насчет разных VLAN: VLAN2 - это отдельная сеть, которая смотрит в организацию, организация выделила IP адрес. VLAN3 - считается внутренней сетью, на нем развернут web сервер для сбора информации, в будущем планируется ее дальше развивать.
Почему с точки зрения микротика нет в них необходимости?
Дмитрий Точнов, кроме двух занятых портов на микротике еще что-то есть?
Дмитрий Точнов, потому что если вы переведете на циске порты в обычные, а на микротике уберете VLANы, ничего не поменяется. Тогда вопрос - зачем нагорожен огород?
Армянское Радио, кроме двух занятых портов есть ещё одни. Циска 24 портовая. С 5 по 24 подключены клиенты, они весят на другом влане. До них доступ извне не нужен. Еще не указал, что веб сервер с 2 сетевухами. 1ая 10.100.50.1, 2ая, 10.100.51.1. На 51.1 крутится веб.
Огород нагорожен, чтобы разделить сети.
Дмитрий Точнов, Разделение сетей делается при помощи VLAN, для чего вы разные VLAN еще и в разные кабели засунули?
Что значит вот это?

Микротик не может пинговать свои vlan1 и vlan2,

Он что, не в состоятнии пропинговать свои же собственные интерфейсы?
Заскринте вкладку interfaces, так понятнее будет.
Армянское Радио, Не понял про разные VLAN в разные кабели. Порты G1 и G2 считаются внешней сетью (связь с организацией) - 2 VLAN. Связь веб сервера и микротика (через циску) - 3 VLAN. Остальные порты клиенты - 4 VLAN.
Скрин во вложении.
Армянское Радио, Другими словами делаю пинг "ping 192.168.2.50 interface vlan2" - timeout.
"ping 10.100.50.2 interface vlan1" - timeout
Дмитрий Точнов, для какой цели у вас порт Gi1 сделан тегированным? Почему вы просто не пошлете по нему трафик до микротика без тегирования.
Аналогично про Gi4 - зачм тегирование, когда по кабелю идет всего один VLAN.
Армянское Радио, Порт G1 не тегированный. Порт G2 - тегированный, т.к. им соединяется циска и микротик.
Дмитрий Точнов, Они могут соединяться и без тегирования, вы создали лишнюю сущность в виде VLAN, теперь пытаетесь героически с ней бороться.

Я бы еще понял, если бы у вас два порта были бы объединены в агрегацию, так нет этого.

Наверняка у вас или категории портов в микротиковом файерволе криво настроены, или еще что-то такое. Высылайте скрины.

Ладно, когда просто накосячено в конфигах, но когда изобретают новое слово в сетевой архитектуре, становится совсем тяжело.
Армянское Радио, В этом скрине показано как настроен vlan1. Vlan id = 2 т.к. в циске из VLAN 2 идет соединение 1 порта циски.
Аналогично и на vlan2 сделано, но VLAN ID = 3, т.к. VLAN 3 указан в циске и он соединяет веб сервер с микротиком.

---
На этом скрине указана адресация. Т.к. выдали статический ip я его указал во VLAN 1, у VLAN 2 указан ip, который смотрит во внутрь.

-----
Маршрутизацию на всякий случай выложу.

-----
Правила фильтрации. Ими хотел как-нибудь манипулировать хождением трафика. (чтобы из организации был доступ к веб серверу)

-----
Ну и NAT на последок.
Эм, вот за такую порнуху, а именно - бардак в именах VLAN и их ID, в приличных организациях можно получить как минимум неприятный разговор с вышестоящим инженером.

Я так понимаю, что провода в этой гениальной схеме - это ваше представление об Air Gap - ни за что не пускать внешний и внутренний трафик в одном проводе? А ничего, что перед этим трафик из одного устройства вышел? Более того, если напутать конфиг, в этот провод повалит другой трафик, ведь наверняка никто не заморачивался со switchport trunk vlan на тегированных портах.
Дмитрий Точнов, теперь давайте конфиги с циски, особенно того, как вы порты в транк настролили. И поместили ли вы в vlan database правильные id вланов (которые, еще раз повторю, можно было не вытаскивать за пределы циски).
Армянское Радио, почему бардак в имена VLAN и их ID? VLAN на стороне циски нумеруется, в моем случае это 2 и 3. Далее создал VLAN на микротике,: vlan1 (да, может название не очень) имеет VLAN ID равный VLAN'у циски, т.е. 2; vlan2 имеет VLAN ID 3 равный снова циске, т.е.3
Конфиги циски:
Тут задаю те самые VLAN:

------
Присваиваем порту определенный VLAN.
VLAN ID 1 - FE1 не тегированный, порт конфигурации циски.

VLAN ID 2: G1 - не тегированный, т.к. смотрит во внешнюю сеть. G2 - тегированный, т.к. соединяется с микротиком, FE3 - не тегированный, для проверки хоста 192.168.2.50

VLAN ID 3: FE23 (на рисунке он 3) - не тегированный, т.к. соединение циски и веб сервера; FE24 (на рисунке он 4) - тегированный, т.к. соединяет циску с микротиком

VLAN ID 4 соответственно другие порты для соединения 2 сетевой карты веб сервера и клиентов.
------------
Тут информация по всем интерфейсам.

-----------
В принципе больше никуда не лазил.

Answer 1 · 2020-06-21 15:21:11

https://linkmeup.ru/sdsm/
олифер, сети

идти в сторону знаний и понимания, как оно работает, а не заниматься магическими пассами с разными галочками в вебинтерфейсах разных железок.

Ну или отдайте задачу админу, пусть решает, а вы своим делом займитесь...

Как сделать доступ к веб серверу через коммутатор и шлюз?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт