Как сделать доступ к веб серверу через коммутатор и шлюз?

Question

[Дмитрий Точнов]

Добрый день!
Имеется циска, у которой несколько портов поделено на VLAN (G1 & G2 - VLAN2; 3&4 - VLAN3) на гигабитный порт G1 приходит ip организации 192.168.2.50/22. Далее G2 соединен с 1 портом (Internet PoE) микротика (G2 тегированный порт). На микротике тоже установлены VLAN'ы (1й порт имеет VLAN ID 2, 2й - VLAN ID 3). На первый порт был задан статический IP 192.168.2.50/22, на второй: 10.100.50.2/24. Со второго порта микротика идет кабель в 4 тегированный порт циски, а с 3 порта уже непосредственно на веб сервер. Веб и 2 порт микротика находятся в одном влане.
Была настроен NAT на выходной интерфейс VLAN1. Правил фаервола как таковых нет.
Пытался с их помощью разрешить трафик от веб сервера до 192.168.2.50 ничего не происходило. Микротик не может пинговать свои vlan1 и vlan2, но с vlan1 микротика идет пинг до днс сервера.
А доступ к веб серверу надо например с ПК у которого следующие данные: ip: 192.168.0.10/22 gateway:192.168.0.4 DNS:192.168.0.2.
Подскажите пожалуйста, что не так? В каком направлении идти?

Comments

[Армянское Радио]

Начинаю с наводящих вопросов - зачем Ктулху из проводов и VLAN, зачем несколько проводов между коммутаторами с разными VLAN в них?
То есть, на какой-то хрен навернуты вланы, когда с точки зрения микротика в них нет необходимости.

[Дмитрий Точнов]

Армянское Радио, насчет разных VLAN: VLAN2 - это отдельная сеть, которая смотрит в организацию, организация выделила IP адрес. VLAN3 - считается внутренней сетью, на нем развернут web сервер для сбора информации, в будущем планируется ее дальше развивать.
Почему с точки зрения микротика нет в них необходимости?

[Армянское Радио]

Дмитрий Точнов, кроме двух занятых портов на микротике еще что-то есть?

[Армянское Радио]

Дмитрий Точнов, потому что если вы переведете на циске порты в обычные, а на микротике уберете VLANы, ничего не поменяется. Тогда вопрос - зачем нагорожен огород?

[Дмитрий Точнов]

Армянское Радио, кроме двух занятых портов есть ещё одни. Циска 24 портовая. С 5 по 24 подключены клиенты, они весят на другом влане. До них доступ извне не нужен. Еще не указал, что веб сервер с 2 сетевухами. 1ая 10.100.50.1, 2ая, 10.100.51.1. На 51.1 крутится веб.
Огород нагорожен, чтобы разделить сети.

[Армянское Радио]

Дмитрий Точнов, Разделение сетей делается при помощи VLAN, для чего вы разные VLAN еще и в разные кабели засунули?

[Армянское Радио]

Что значит вот это?

Микротик не может пинговать свои vlan1 и vlan2,

Он что, не в состоятнии пропинговать свои же собственные интерфейсы?
Заскринте вкладку interfaces, так понятнее будет.

[Дмитрий Точнов]

Армянское Радио, Не понял про разные VLAN в разные кабели. Порты G1 и G2 считаются внешней сетью (связь с организацией) - 2 VLAN. Связь веб сервера и микротика (через циску) - 3 VLAN. Остальные порты клиенты - 4 VLAN.
Скрин во вложении.

[Дмитрий Точнов]

Армянское Радио, Другими словами делаю пинг "ping 192.168.2.50 interface vlan2" - timeout.
"ping 10.100.50.2 interface vlan1" - timeout

[Армянское Радио]

Дмитрий Точнов, для какой цели у вас порт Gi1 сделан тегированным? Почему вы просто не пошлете по нему трафик до микротика без тегирования.
Аналогично про Gi4 - зачм тегирование, когда по кабелю идет всего один VLAN.

[Дмитрий Точнов]

Армянское Радио, Порт G1 не тегированный. Порт G2 - тегированный, т.к. им соединяется циска и микротик.

[Армянское Радио]

Дмитрий Точнов, Они могут соединяться и без тегирования, вы создали лишнюю сущность в виде VLAN, теперь пытаетесь героически с ней бороться.

Я бы еще понял, если бы у вас два порта были бы объединены в агрегацию, так нет этого.

Наверняка у вас или категории портов в микротиковом файерволе криво настроены, или еще что-то такое. Высылайте скрины.

Ладно, когда просто накосячено в конфигах, но когда изобретают новое слово в сетевой архитектуре, становится совсем тяжело.

[Дмитрий Точнов]

Армянское Радио, В этом скрине показано как настроен vlan1. Vlan id = 2 т.к. в циске из VLAN 2 идет соединение 1 порта циски.
Аналогично и на vlan2 сделано, но VLAN ID = 3, т.к. VLAN 3 указан в циске и он соединяет веб сервер с микротиком.

---
На этом скрине указана адресация. Т.к. выдали статический ip я его указал во VLAN 1, у VLAN 2 указан ip, который смотрит во внутрь.

-----
Маршрутизацию на всякий случай выложу.

-----
Правила фильтрации. Ими хотел как-нибудь манипулировать хождением трафика. (чтобы из организации был доступ к веб серверу)

-----
Ну и NAT на последок.

[Армянское Радио]

Эм, вот за такую порнуху, а именно - бардак в именах VLAN и их ID, в приличных организациях можно получить как минимум неприятный разговор с вышестоящим инженером.

Я так понимаю, что провода в этой гениальной схеме - это ваше представление об Air Gap - ни за что не пускать внешний и внутренний трафик в одном проводе? А ничего, что перед этим трафик из одного устройства вышел? Более того, если напутать конфиг, в этот провод повалит другой трафик, ведь наверняка никто не заморачивался со switchport trunk vlan на тегированных портах.

[Армянское Радио]

Дмитрий Точнов, теперь давайте конфиги с циски, особенно того, как вы порты в транк настролили. И поместили ли вы в vlan database правильные id вланов (которые, еще раз повторю, можно было не вытаскивать за пределы циски).

[Дмитрий Точнов]

Армянское Радио, почему бардак в имена VLAN и их ID? VLAN на стороне циски нумеруется, в моем случае это 2 и 3. Далее создал VLAN на микротике,: vlan1 (да, может название не очень) имеет VLAN ID равный VLAN'у циски, т.е. 2; vlan2 имеет VLAN ID 3 равный снова циске, т.е.3
Конфиги циски:
Тут задаю те самые VLAN:

------
Присваиваем порту определенный VLAN.
VLAN ID 1 - FE1 не тегированный, порт конфигурации циски.


VLAN ID 2: G1 - не тегированный, т.к. смотрит во внешнюю сеть. G2 - тегированный, т.к. соединяется с микротиком, FE3 - не тегированный, для проверки хоста 192.168.2.50


VLAN ID 3: FE23 (на рисунке он 3) - не тегированный, т.к. соединение циски и веб сервера; FE24 (на рисунке он 4) - тегированный, т.к. соединяет циску с микротиком


VLAN ID 4 соответственно другие порты для соединения 2 сетевой карты веб сервера и клиентов.
------------
Тут информация по всем интерфейсам.


-----------
В принципе больше никуда не лазил.

Answer 1

[Руслан Федосеев]

https://linkmeup.ru/sdsm/
олифер, сети

идти в сторону знаний и понимания, как оно работает, а не заниматься магическими пассами с разными галочками в вебинтерфейсах разных железок.

Ну или отдайте задачу админу, пусть решает, а вы своим делом займитесь...