Hej!
Skulle behöva hjälp av några nätverkskunniga.
Har tagit över ett redan driftsatt nät som består av en pFsense router/brandvägg med 3 NICs. Jag har alltså inte kunnat vara med och designa nätet.
Ena interfacet går till en CPE där den får en publik IP adress av ISP. Detta är alltså WAN.
Ett interface som är avsett vara gästnätverk, går till Port1 till en managerbar Dlink switch, vi kallar den Core switch. Detta nät har ett DHCP range på 10.1.0.0/16 och interfacet har ip 10.1.0.1
Ett interface som är avsett vara managementnät går till port 9 på samma Dlink switch (core switchen). Detta nät har ett DHCP range på 10.20.0.0/24 och interfacet har 10.20.0.1
Dlink switchen (core) är konfad såhär på VLAN delen:
Port 1-8,17-18 VLAN1 (default) Gästnätet
Port 9-16,19-20 VLAN100 (management) Managementnätet
Jag är medveten om man egentligen borde satt upp tex VLAN200 som gästnät istället för default.
Från port 17 på coreswitchen går det en kabel till en likadan switch (gästswitch med IP 10.1.0.2), där det är inkopplat ett antal accesspunkter för gäster. Denna switch är alla portar konfade till VLAN1 (default). Här får alla klienter en IP i 10.1.x.x rangen.
Från port 20 på coreswitchen går det en kabel till en likadan dlink switch (managementswitch). I denna switch sitter det ett antal datorer/servrar och accespunkter. Denna switch (managementsw) är ställd till VLAN1 (default). Här får alla klienter ett IP i 10.20.x.x rangen.
I brandväggen så finns det regler som säger att trafiken som kommer in på gästnätets interface, inte får gå till management interfacet, och det ser ut att fungera, gästnätet kan inte pinga någonting ur management.
Nu till det konstiga,
Om jag sitter på gästnätet, 10.1.x.x och försöker surfa in i webbgränssnittet på management switchen, alltså IP 10.20.0.2 så kommer jag in! Faktum är att går jag via webbläsaren mot de webbservrar jag har på managementnätet så kommer jag in i dem allihopa.. Och det känns ju inte särskilt tryggt..
När jag är inloggad i managementswitchen från gästnätet, så säger webbgränssnittet i switchen att jag är inloggad med IP 10.20.0.1 (routerns management interface) istället för den ip jag faktiskt har på burken, som är i rangen 10.1.x.x
Var tvungen att köra portmirroring och wireshark på managementswitchen för att se vad som faktiskt händer när jag kommer in i den från gästnätet. Och i wireshark så ser det ut som att ett HTTP paket kommer ifrån 10.20.0.1 till 10.20.0.2, men när jag går in i paketet och tittar närmare så hittar jag någonting i HTTP delen: "X-Forwarded-for 10.1.x.x". Googlade lite på det och fann att detta hade att göra med Squid proxy server. Jag är urkass på proxyservrar då jag har aldrig hållt på med det..
I brandväggen ser jag att squid proxy server är installerat.
Är det alltså proxyservern som forwardar http förfrågningar över gästnätet till managementnätet?
Vad mer tycker ni jag borde ändra på i nätverkslayouten? Funderar på att sätta gästnätet i ett annat VLANID till att börja med.. Om det är nödvändigt? Jättetacksam för svar =)