Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 16.04.2019, 22:09   #1
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 126
По умолчанию kerio control - разделение Vlan

приветствую всех. Понимаю что тема с виланами в керио уже многим набила оскомину. Начал делать и боюсь все сломать


[Для просмотра данной ссылки нужно зарегистрироваться]


имеем вот такую схему. На виртуалке под esxi стоят kerio, почтовик и терминал сервера. Нижний интерфейс - провайдер.

На L3 коммутаторе порт GE1/0/1, смотрящий на Esxi, в режиме Hybrid (терминология HP). То есть на нем Vlan1 - untagged, Vlan 2 - tagged.


И тут я вижу такую схему работы все этого. Vlan 1 идет на Локальный интерфейс керио и работает как будто нет никаких виланов (?).
В свойствах этого "Локального интерфейса" добавляем Vlan 2 и получаем второй виртуальный Интерфейс и перемещаем его в "Гостевые". И он обслуживает гостевую wifi сеть.


Почтовик и терминал также д.б. в Vlan 1. Будут ли они в нем работать сразу или надо делать доп. настройки на vSwitch0 Esxi ?



Правильно я себе представляю работу схемы?
Voyager вне форума   Ответить с цитированием Вверх
Старый 17.04.2019, 10:36   #2
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,666
По умолчанию Re: kerio control - разделение Vlan

в более общем случае, когда влан относительно немного, можно например сделать проще:
добавить на VM с керио количество виртуальных интерфейсов по количеству вланов, а сами вланы разруливать на vSwitch ESXi.

Заходим на виртуальный свитч и строгаем там несколько групп портов (по количеству вланов) В свойствах каждой portgroup ставим Network Label вида "VLAN X - Guest например", во втором поле VLAN ID пишем номер влана. Итого по каждому влану получилась виртуальная группа портов, которая работает как Access-порты.

Далее, каждому виртуальному сетевому интерфейсу в свойствах VM kerio присваиваем нужную группу портов (тот самый Network Label).
После этого в керио всё рулится уже без вланов - только по виртуальным интерфейсам.

С остальными VM аналогично - единственной виртуальной сетевухе присваивается ГП соответствующая локальной сети.

Добавлено через 2 минуты

Цитата
Сообщение от Voyager Посмотреть сообщение
в режиме Hybrid (терминология HP). То есть на нем Vlan1 - untagged, Vlan 2 - tagged.
в гибрид он переключается в любом случае почти
а после манипуляций на транк-порте не вижу необходимости оставлять untagged vlan.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы

Последний раз редактировалось exchar; 17.04.2019 в 13:09. Причина: Добавлено сообщение
exchar вне форума   Ответить с цитированием Вверх
Старый 17.04.2019, 14:03   #3
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 126
По умолчанию Re: kerio control - разделение Vlan

exchar,спасибо
Вы сами пробовали так делать? Нормально работало?
Цитата:
Сообщение от exchar Посмотреть сообщение
а после манипуляций на транк-порте не вижу необходимости оставлять untagged vlan
то оба вилана надо делать тегированными?
Цитата:
Сообщение от exchar Посмотреть сообщение
Далее, каждому виртуальному сетевому интерфейсу в свойствах VM kerio присваиваем нужную группу портов (тот самый Network Label).
именно указанный ранее Network Label, а не VLAN ID (optional) ?




VLan немного. Только я похоже сам в них запутался.


VLAN 1 это kerio, VLAN 2 - guest network. Есть основная рабочая есть, пускай будет VLAN 100, в этой сети все компы и сервера, в том числе д.б. этот почтовик и сервер терминалов. И для всех виланов на коммутаторе L3 VLAN 1 (kerio) это дефолтный шлюз.



Плюс через kerio VPN удаленщики цепляются и к терминалу и к серверам в основной сети. Также почтовик д.б. доступен и через инет и с основной сети по локальному адресу.
Voyager вне форума   Ответить с цитированием Вверх
Старый 17.04.2019, 14:25   #4
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,666
По умолчанию Re: kerio control - разделение Vlan

Цитата
Сообщение от Voyager Посмотреть сообщение
Вы сами пробовали так делать? Нормально работало?
у меня кластер хостов vmWare так работает в режиме 24/7/365
керио контрола там сейчас нет, но для всего остального схема с вланами именно такая.
Цитата
Сообщение от Voyager Посмотреть сообщение
то оба вилана надо делать тегированными?
да
только сделай это в последнюю очередь.

Цитата
Сообщение от Voyager Посмотреть сообщение
именно Network Label, а не VLAN ID (optional) ?
в Network Label пишем так, чтобы потом при использовании видно было что это вообще влан ("VLAN"), какой сети (локалка? гостевая?) и какой это влан по номеру (1? 100500?).
в VLAN ID пишем только номер влан.
Цитата
Сообщение от Voyager Посмотреть сообщение
VLAN 1 это kerio, VLAN 2 - guest network. Есть основная рабочая есть, пускай будет VLAN 100, в этой сети все компы и сервера, в том числе д.б. этот почтовик и сервер терминалов. И для всех виланов на коммутаторе L3 VLAN 1 (kerio) это дефолтный шлюз.
у тебя уже есть два влан

1 - ВСЯ локалка, включая локальный интерфейс керио

2 - гостевая сеть
зачем городить еще некий "влан 100"?
Цитата
Сообщение от Voyager Посмотреть сообщение
Только я похоже сам в них запутался.
Есть основная рабочая есть
каждая единица оборудования этой сети, которой нужен керио и прочие сервисы должна быть

а) воткнута в умный свитч, где на порту проставлен vlan 1 access
либо
б) воткнута в тупой свитч (или гирлянду тупых свитчей), где очередной верхний тупой свитч соединяется с умным и на аплинк порту проставлен vlan 1 access
а для гостевой сети - те же пункты "а" и "б", только про vlan 2 access
и на тупом свитче (или одной их гирлянде) размещать оборудование из обоих вланов сразу - нельзя!
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 18.04.2019, 14:14   #5
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 126
По умолчанию Re: kerio control - разделение Vlan

Цитата:
Сообщение от exchar Посмотреть сообщение
в Network Label пишем так, чтобы потом при использовании видно было что это вообще влан ("VLAN"), какой сети (локалка? гостевая?) и какой это влан по номеру (1? 100500?).
в VLAN ID пишем только номер влан.
Это я понял. Я имел ввиду в свойствах виртуального интерфейса керио пишем номер вилана, указанный в VLAN ID, а не Network Label.
Цитата:
Сообщение от exchar Посмотреть сообщение
зачем городить еще некий "влан 100"?
это от непонимания. Считал что между интерфейсом L3 коммутатора, смотрящим на роутер (kerio), тоже должен быть свой вилан.


Вообще, виланов на коммутаторе L3 с десяток. И для них всех интерфейсы L3 коммутатора - дефолтные шлюзы. A default route (ip route-static) на самом L3 указывает на kerio.
Voyager вне форума   Ответить с цитированием Вверх
Старый 18.04.2019, 14:29   #6
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,666
По умолчанию Re: kerio control - разделение Vlan

Цитата
Сообщение от Voyager Посмотреть сообщение
Я имел ввиду в свойствах виртуального интерфейса керио пишем номер вилана, указанный в VLAN ID
я предложил более простую схему, чтобы не тащить сами вланы внутрь виртуалки с керио.
но если хочется тащить их туда, то см статью про вланы в kerio kb - как их правильно делать.
Цитата
Сообщение от Voyager Посмотреть сообщение
это я от непонимания. Считал что между интерфейсом L3 коммутатора, смотрящим на роутер (kerio), тоже должен быть свой вилан.
вот "на пальцах":

простая схема:
VM с керио имеет несколько (по кол-ву вланов) вирт. сетевух, каждая из которых "втыкеются" в свою виртуальную группу портов, соответствующую определенному влану.
вирт. порты на VM в режиме access, внутри VM только нетегированный трафик. В админке керио имеем несколько автоматически проброшенных из VM сетевых карт и все рулим через них.

чуть более сложная схема (для большого кол-ва влан):
VM с керио имеет одну вирт. сетевуху, каждая работает как транк и пропускает тегированный трафик внутрь этой VM. В админке керио руками строгаются виртуальные интерфейсы, которым присваиваются vlan и дальше в админке все рулится через них. Как при этом должен выглядеть vswitch сказать не готов, а экспериментировать некогда.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 18.04.2019, 17:39   #7
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 126
По умолчанию Re: kerio control - разделение Vlan

Цитата:
Сообщение от exchar Посмотреть сообщение
простая схема:
VM с керио имеет несколько (по кол-ву вланов) вирт. сетевух, каждая из которых "втыкеются" в свою виртуальную группу портов, соответствующую определенному влану.
вирт. порты на VM в режиме access, внутри VM только нетегированный трафик. В админке керио имеем несколько автоматически проброшенных из VM сетевых карт и все рулим через них.
создал в vswitch 0 (см. выше) еще одну Virtual port group. Прописал в ней vlan. Как теперь без переустановки сопоставить этой port group kerio control?
Voyager вне форума   Ответить с цитированием Вверх
Старый 18.04.2019, 19:13   #8
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,666
По умолчанию Re: kerio control - разделение Vlan

Цитата
Сообщение от Voyager Посмотреть сообщение
создал в vswitch 0 (см. выше) еще одну Virtual port group. Прописал в ней vlan. Как теперь без переустановки сопоставить этой port group kerio control?
перечитай внимательно всю тему
я уже пару раз написал - как
и раза три - для чего и почему.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 18.04.2019, 19:54   #9
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 126
По умолчанию Re: kerio control - разделение Vlan

извиняюсь, разобрался, не туда полез.
[Для просмотра данной ссылки нужно зарегистрироваться]
Voyager вне форума   Ответить с цитированием Вверх
Старый 18.04.2019, 20:35   #10
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,666
По умолчанию Re: kerio control - разделение Vlan

Цитата
Сообщение от Voyager Посмотреть сообщение
разобрался
нижний скрин не прикрепился.
по верхнему скрину:
нет первого влана, вместо него пока что вижу нетегированный трафик (без влан)
так же не ясно, зачем на скрине две физические серверные сетевухи справа воткнуты в один виртуальный свитч.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 18.04.2019, 21:13   #11
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 126
По умолчанию Re: kerio control - разделение Vlan

тренируюсь еще ) Вторая сетевуха это пока тот самый "guest network", воткнутый в общую сеть, но с другой IP подсетью. Колхоз конечно, пока без виланов. Ну и избавляет от Welcome screen который у керио клянчат убрать с 15 года.
Voyager вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 19:17. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях