MetalForLive
Admiral
- Registriert
- Sep. 2011
- Beiträge
- 8.113
Hallo zusammen,
kurz vorab: So langsam artet mein Heimnetz aus und ist bald schon größer als das mancher kleinen Firma
Ich versuche mal mein Vorhaben so gut es geht zu beschreiben.
Eigentlich will ich nur ein Gäste WLAN, welches über eine separate Firewall läuft, damit die Clients dort nicht auf Interne Netzwerk Ressourcen Zugreifen können.
Ich habe im Netz mehrere Switche welche VLAN fähig sind, einen Windows Server mit Hyper-V, ein Pi-Hole, eine virtuelle Sophos UTM, eine Fritzbox.
Mein normales Heimnetz befindet sich im VLAN 10 mit dem Netzwerkbereich 192.168.10.0/24 die Fritzbox hat die 192.168.10.1, diese ist der Internetrouter und dient als Gateway.
Die 192.168.10.200 hat das Pi-Hole welches als DNS Server dient, auf dem Windows Server läuft DHCP, dieser hat die 192.168.10.254.
Die Sophos hat im VLAN 10 die 192.168.10.253.
So, mein Gästenetz soll das VLAN 11 werden IP Bereich 192.168.11.0/24, das Layer 3 Interface hierfür liegt auf der Sophos, diese hat die 192.168.11.1.
Mein Windows Server hat eine separate Netzwerkkarte in diesem Netz und zwar die 192.168.11.200, diese ist auf den Switch gesteckt ins VLAN 11. Aber Layer 2 lassen wir mal außen vor, das passt auf jeden Fall ebenso das Routing, das wäre jetzt too much, dann würde hier glaube keiner mehr durch steigen.
Verbinde ich mich mit einem Notebook per Lan Kabel direkt mit dem VLAN 11, bekomme ich eine IP vom DHCP zugeteilt, dort ist auch das Pi-Hole als DNS hinterlegt.
Ich kann das Pi-Hole auch pingen, ebenso kann ich ins Internet pingen z.B. die 8.8.8.8.
Versuche ich im Browser eine Seite zu öffnen, schlägt es fehl, er bekommt keine DNS Auflösung hin.
Ich verstehe nicht wieso, ich kann den DNS Server anpingen, ich habe auch versucht den DNS auf 8.8.8.8 zu ändern, dort habe ich genau das gleiche Problem.
Dann dachte ich es liegt am Notebook, habe micht mit dem iPhone mit der Guest SSID verbunden, genau das gleiche Spiel, es geht alles, nur kein DNS.
Ich gebe zu, mit Firewalls kenne ich mich nicht sonderlich gut aus und gerade so eine Sophos macht es nicht leichter, da diese ja schon ein Professionelles Stück Hardware bzw. in dem Fall Software ist.
Kann es sein, dass ich auf der Sophos noch irgendwas setzen muss, damit DNS geht ?
Aktuell habe ich noch keine Firewall Regeln definiert.
Bei einem nslookup, sagt er bei Server "Unknown", zeigt aber die richtige IP an also die 192.168.10.200, dann kommt immer DNS Timeout.
Ich hoffe ihr blickt halbwegs durch, was ich da geschrieben habe und könnt mir ein paar Tipps geben.
Wenn DNS klappt, bin ich schon so gut wie am Ziel, dann müssen nur noch die FW Regeln definiert werden.
kurz vorab: So langsam artet mein Heimnetz aus und ist bald schon größer als das mancher kleinen Firma
Ich versuche mal mein Vorhaben so gut es geht zu beschreiben.
Eigentlich will ich nur ein Gäste WLAN, welches über eine separate Firewall läuft, damit die Clients dort nicht auf Interne Netzwerk Ressourcen Zugreifen können.
Ich habe im Netz mehrere Switche welche VLAN fähig sind, einen Windows Server mit Hyper-V, ein Pi-Hole, eine virtuelle Sophos UTM, eine Fritzbox.
Mein normales Heimnetz befindet sich im VLAN 10 mit dem Netzwerkbereich 192.168.10.0/24 die Fritzbox hat die 192.168.10.1, diese ist der Internetrouter und dient als Gateway.
Die 192.168.10.200 hat das Pi-Hole welches als DNS Server dient, auf dem Windows Server läuft DHCP, dieser hat die 192.168.10.254.
Die Sophos hat im VLAN 10 die 192.168.10.253.
So, mein Gästenetz soll das VLAN 11 werden IP Bereich 192.168.11.0/24, das Layer 3 Interface hierfür liegt auf der Sophos, diese hat die 192.168.11.1.
Mein Windows Server hat eine separate Netzwerkkarte in diesem Netz und zwar die 192.168.11.200, diese ist auf den Switch gesteckt ins VLAN 11. Aber Layer 2 lassen wir mal außen vor, das passt auf jeden Fall ebenso das Routing, das wäre jetzt too much, dann würde hier glaube keiner mehr durch steigen.
Verbinde ich mich mit einem Notebook per Lan Kabel direkt mit dem VLAN 11, bekomme ich eine IP vom DHCP zugeteilt, dort ist auch das Pi-Hole als DNS hinterlegt.
Ich kann das Pi-Hole auch pingen, ebenso kann ich ins Internet pingen z.B. die 8.8.8.8.
Versuche ich im Browser eine Seite zu öffnen, schlägt es fehl, er bekommt keine DNS Auflösung hin.
Ich verstehe nicht wieso, ich kann den DNS Server anpingen, ich habe auch versucht den DNS auf 8.8.8.8 zu ändern, dort habe ich genau das gleiche Problem.
Dann dachte ich es liegt am Notebook, habe micht mit dem iPhone mit der Guest SSID verbunden, genau das gleiche Spiel, es geht alles, nur kein DNS.
Ich gebe zu, mit Firewalls kenne ich mich nicht sonderlich gut aus und gerade so eine Sophos macht es nicht leichter, da diese ja schon ein Professionelles Stück Hardware bzw. in dem Fall Software ist.
Kann es sein, dass ich auf der Sophos noch irgendwas setzen muss, damit DNS geht ?
Aktuell habe ich noch keine Firewall Regeln definiert.
Bei einem nslookup, sagt er bei Server "Unknown", zeigt aber die richtige IP an also die 192.168.10.200, dann kommt immer DNS Timeout.
Ich hoffe ihr blickt halbwegs durch, was ich da geschrieben habe und könnt mir ein paar Tipps geben.
Wenn DNS klappt, bin ich schon so gut wie am Ziel, dann müssen nur noch die FW Regeln definiert werden.
