Re: GS308E - Webinterface aus anderem Subnetz aufrufen

ralph82 · ‎2021-11-27

Hallo miteinander

Ich suche nun schon seit Stunden aber finde nicht wirklich was.
Ich habe einen GS308E Switch und betriebe ihn offsite. Es existiert ein OpenVPN Tunnel mit einem eigenen Subnetz am Remote Ort.

Wenn ich nun über die OpenVPN Verbindung versuche auf die Weboberfläche des GS308E zuzugreifen dann lädt die Seite nicht. Beim GS308EP zum Vergleich lädt die Seite problemlos über die VPN Verbindung.
Vom Namen her sollte man meinen das es sich um vergleichbare Produkte handelt aber betrachte man die Weboberfläche bin ich da am Zweifeln.

Im Handbuch steht was davon das bei ausgewählten Modellen der Zugriff eingeschränkt werden kann auf die Weboberfläche. Der GS308E ist da explizit ausgenommen.

Jetzt frage ich mich heißt ausgenommen das der grundsätzlich alles außerhalb seinen Subnetzes blockt oder durchlassen sollte?
Switch habe ich auf die neuste Version aktualisiert und auch komplett auf Werkseinstellungen zurückgesetzt. Hat jedoch nix geändert.

Weiß jemand wie man der Zugriff für alle Subnetze freischalten kann. Das Netzwerk ist soweit abgesichert so dass ich keine ACL am Switch brauche.

Ich bedanke mich schon mal vorab für eure Hilfe.

DamianM · ‎2021-11-29

Hallo @ralph82,

willkommen in der NETGEAR Community!

Könntest Du mir gräfisch (als Anhang, mit allen Modellbezeichnungen) darstellen, wie das ganze Netzwerk konfiguriert wurde?

Ich wäre für Dein Feedback dankbar.

Freundliche Grüße,
DamianM
NETGEAR Team

ralph82 · ‎2021-11-29

Hallo @DamianM

Das ist mein Setup.

Rechner verbindet sich aus dem Internet mit dem OpenVPN Server in den pfSense und erhält z.B. die lokale Adresse 10.0.2.5.

Firewall lässt Kommunikation von 10.0.2.x ins Subnetz 10.0.1.x zu wo der GS308E sitzt und das Management Interface erreichbar ist.

Hoffe das Bild hilft.

DamianM · ‎2021-12-01

Hallo @ralph82,

vielen Dank für die Skizze!

Kannst Du mir bitte noch mitteilen, ob der lokale Zugriff zum GS308E richtig funktioniert?

Wie hast Du (so generell) den TP-Link konfiguriert?

Freundliche Grüße,
DamianM
NETGEAR Team

ralph82 · ‎2021-12-01

Hallo @DamianM

Lokaler Zugriff wenn ich von einem Gerät aus dem Subnetz 10.0.1.x komme läuft ohne Probleme.

Auf dem TP-Link Switch ist nicht viel konfiguriert. Außer einem getaggten VLAN für das Gäste WLAN ist eigentlich nix konfiguriert. Aber der Port an dem der GS308E hängt ist sogar untagged. Getaggt sind eigentlich nur der Uplink zum Router und zur WLAN Basis.

DamianM · ‎2021-12-02

Hallo @ralph82,

da die neuen FW-Versionen von dem GS308E das Login via VPN nicht unterstützen, sollte es mit älteren FW-Versionen funktionieren. Ich kann Dir also nur empfehlen, ein Downgrade auf dem Switch zu machen und dann diese Funktion zu testen.

Freundliche Grüße,
DamianM
NETGEAR Team

ralph82 · ‎2021-12-03

Hallo @DamianM

Danke für die Hilfe. Ich konnte den Zugriff mit Version 1.00.05 erfolgreich testen. Alle folgenden blockieren den Zugriff aus anderen Subnetzen.

Warum wurde dies bei späteren Versionen entfernt. Der Switch ist doch als Business Gerät klassifiziert und ich würde mal behaupten VPNs für remote Management sind im Business Umfeld jetzt nicht sowas unüblich.

Es ist zwar nicht genauer aufgeführt aber die Releasenotes der Folgeversionen sprechen von „security fixes“ die ich dann doch gern einsetzten würde.

Wird der VPN Zugriff in einer Folgeversion wieder verfügbar gemacht?

DamianM · ‎2021-12-10

Hallo @ralph82,

wir haben momentan keine Informationen, ob es in Zukunft geändert werden kann.

Ich wünsche Dir ein schönes Wochenende!

Freundliche Grüße,
DamianM
NETGEAR Team

RobertAUT · ‎2022-01-25

Könnte man die Beschränkung nicht wie folgt umgehen?
Wenn ich die dzt. Einstellung der SubNetMask im Switch von 255.255.255.0 auf 0.0.0.0 umstelle, sollte es nach meiner Einschätzung vielleicht doch gehen. Denn dieser Eintrag im Switch kann ja nur diese Funktion haben, oder irre ich da?
Robert

schumaku · ‎2022-02-04

Nein. Das Problem welches mit einem "Security-Fix" eingeführt wurde liegt dabei dass der einfache IP Stack den Default-Gateway ignoriert also die Pakete nicht an diese Adresse sendet. Das Problem betrifft bei weitem nicht nur VPN-Implementationen..