VLAN; Port Weiterleitung zum Abruf

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Hallo,

    ich habe eine Alarmanlage in VLAN100. der Raspi ist im regulären Netz UND im VLAN100.

    Raspi Ip im normalen Netz 192.168.188.55, im VLAN 192.168.10.2

    Alarmanlage im VLAN100 192.168.100.21

    Die Alarmanlage hat ein Webinterface welches man über Port 443 öffnen könnte.

    Ich würde gerne mit meinem PC nun über den Pi auf dieses Webinterface zugreifen.

    Ich dachte man könnte vllt auf einen Port zb (eth0) 999 auf (eth0.100) 443 der Alarmanlage weiterleiten.

    sodass ich vllt über 192.168.188.55:999 dann 192.168.100.21:443 aufrufen könnte.

    Ist das möglich?

  • Das musst Du probieren. iptables kennt keine vlan-/alias-Interfaces.

    Probier mal auf dem PI:

    Code
    sudo iptables -t nat -I PREROUTING 1 -i eth0 --dport 999 -d 192.168.188.55 -j DNAT --to-destination 192.168.100.21:443

    Testen mit tcpdump (ob der vlans kennt weiß ich nicht) auf dem PI:

    Code
    sudo tcpdump -c 300 -vvveni eth0 host 192.168.100.21 and port 443

    Von außer dann einen Portscan auf den PI:

    Code
    nc -zv 192.168.188.55 999

    (oder gleichwertig).

    Wenn das alles nicht funktioniert, dann mit systemd-networkd probieren bzw. dem eth0-Interface, verschiedene IP-Adressen zuweisen und testen.

    EDIT:

    Evtl. den Filter für tcpdump optimieren/anpassen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (3. April 2022 um 11:33)

  • Danke für deine Nachricht!

    Code
    sudo tcpdump -c 300 -vvveni eth0 host 192.168.100.21 and port 443

    Erhalte ich wiederholt:

    proto TCP (6), length 97)

    192.168.100.21.443 > 192.168.100.2.33560: Flags [P.], cksum 0xa133 (correct), seq 2668140675:2668140720, ack 703594208, win 3432, options [nop,nop,TS val 4962084 ecr 1013997045], length 45

    11:29:04.514528 00:1d:94:0c:68:68 > e4:5f:01:34:57:00, ethertype 802.1Q (0x8100), length 266: vlan 100, p 0, ethertype IPv4 (0x0800), (tos 0x0, ttl 64, id 12097, offset 0, flags [DF],

    300 packets captured

    331 packets received by filter

    0 packets dropped by kernel

    Code
    nc -zv 192.168.188.55 999

    nc: connectx to 192.168.188.55 port 999 (tcp) failed: Operation timed out

  • Code
    nc -zv 192.168.188.55 999

    nc: connectx to 192.168.188.55 port 999 (tcp) failed: Operation timed out

    Das zeigt, dass keine Rückantwort kommt.

    Wie sind auf dem PI, die Ausgaben von:

    Code
    ip a
    route -n
    ip r s

    ?

    Versuch mal mit systemd-networkd, dem eth0-Interface, die IP-Adressen zuzuweisen die Du haben/benutzen willst? BTW: Warum müssen das mehrere IP-Adressen sein?

    EDIT:

    Hast Du den Auszug aus der Ausgabe von tcpdump, richtig/brauchbar ausgewählt/gepostet?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Code
    ip a

    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000

    link/ether e4:5f:01:34:57:00 brd ff:ff:ff:ff:ff:ff

    inet 192.168.188.55/24 brd 192.168.188.255 scope global dynamic noprefixroute eth0

    valid_lft 863413sec preferred_lft 755413sec

    inet6 2003:ce:f708:7200:ed95:8123:5d56:4f3d/64 scope global dynamic mngtmpaddr noprefixroute

    valid_lft 6878sec preferred_lft 1473sec

    inet6 fe80::e32e:177a:1c08:6140/64 scope link

    valid_lft forever preferred_lft forever

    4: eth0.100@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000

    link/ether e4:5f:01:34:57:00 brd ff:ff:ff:ff:ff:ff

    inet 192.168.100.2/24 brd 192.168.100.255 scope global noprefixroute eth0.100

    valid_lft forever preferred_lft forever

    inet6 fe80::15d8:918f:bf4a:5d53/64 scope link

    Code
    route -n

    Destination Gateway Genmask Flags Metric Ref Use Iface

    0.0.0.0 192.168.188.1 0.0.0.0 UG 202 0 0 eth0

    0.0.0.0 192.168.100.1 0.0.0.0 UG 204 0 0 eth0.100

    169.254.0.0 0.0.0.0 255.255.0.0 U 207 0 0 vethb7dcbad

    169.254.0.0 0.0.0.0 255.255.0.0 U 209 0 0 veth77c6bb9

    172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0

    192.168.100.0 0.0.0.0 255.255.255.0 U 204 0 0 eth0.100

    192.168.188.0 0.0.0.0 255.255.255.0 U 202 0 0 eth0

    Code
    ip r s

    default via 192.168.188.1 dev eth0 proto dhcp src 192.168.188.55 metric 202

    default via 192.168.100.1 dev eth0.100 src 192.168.100.2 metric 204

    169.254.0.0/16 dev vethb7dcbad scope link src 169.254.55.78 metric 207

    169.254.0.0/16 dev veth77c6bb9 scope link src 169.254.237.33 metric 209

    172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1

    192.168.100.0/24 dev eth0.100 proto dhcp scope link src 192.168.100.2 metric 204

    192.168.188.0/24 dev eth0 proto dhcp scope link src 192.168.188.55 metric 202


    -------

    wenn ich tcpdump Befehl ausführe wiederholt er o.g. recht häufig, dachte ein Ausschnitt reicht, soll ich alles posten?

    der Raspi hat 2 IPs eine im VLAN und eine im HauptLan. daher brauch er ja 2.

  • Teste mal mit:

    Code
    sudo tcpdump -c 300 -vvveni eth0.100 src host 192.168.100.21 and port 443

    EDIT:

    ... und mit:

    Code
    sudo tcpdump -c 300 -vvveni eth0.100@eth0 src host 192.168.100.21 and port 443

    EDIT 2:

    Wenn das nicht funktioniert, dann such mal im Internet nach:

    Zitat


    Linux policy based routing with VLANs

    Ich habe damit keine Erfahrung (... weil nie benutzt) und kann dir nicht helfen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (3. April 2022 um 12:46)

  • mit code 2 kommt folgendes:

    sudo tcpdump -c 300 -vvveni eth0.100 src host 192.168.100.21 and port 443

    tcpdump: listening on eth0.100, link-type EN10MB (Ethernet), snapshot length 262144 bytes

    13:28:12.826715 00:1d:94:0c:68:68 > e4:5f:01:34:57:00, ethertype IPv4 (0x0800), length 97: (tos 0x0, ttl 64, id 1744, offset 0, flags [DF], proto TCP (6), length 83)

    192.168.100.21.443 > 192.168.100.2.33054: Flags [P.], cksum 0x9765 (correct), seq 3095779100:3095779131, ack 2794464493, win 3968, options [nop,nop,TS val 12110533 ecr 3343690719], length 31

  • mit code 2 kommt folgendes:

    192.168.100.21.443 > 192.168.100.2.33054: Flags [P.], cksum 0x9765 (correct), seq 3095779100:3095779131, ack 2794464493, win 3968, options [nop,nop,TS val 12110533 ecr 3343690719], length 31

    OK, das ist eine Antwort an den Port 33054 der IP 192.168.100.2. Wer/was benutzt diese IP(.2) und diesen Port? Hast Du das evtl. durch den Portscan initiiert? ... ich denke nicht.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • der port wird nicht benutzt. die .2 ist der Pi im VLAN

    Kannst Du zwischen .100.2 und .100.21 kommunizieren?

    Wenn ja, dann versuch mit der .100.2 als gateway im PI (als Routing), für den Traffic vom PI (.188.55) zur .100.21.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!