DSM 6.x und darunter Zugriff auf Web-Verwaltungsoberfläche für verschiedene LAN-Ports konfigurieren

[networker83]

Hallo zusammen,

ich habe ein kleineres Problem mit meiner DS2015xs:
Das Gerät hat ja insgesamt 4 LAN-Ports und bisher habe ich nur einen LAN-Port (LAN 3) für die Verwaltung genutzt. Darüber kann ich mich auch problemlos per http/s am DSM-Webinterface anmelden.

Nun würde ich aber gerne zusätzlich den LAN-Port 4 ebenfalls für die Verwaltung nutzen. Dieser befindet sich zwar in einem anderen VLAN, auf dieses habe ich jedoch vollen Verwaltungszugriff. Netzwerkseitig ist die Kommunikation also in Ordnung.

Leider kann ich mich hierüber jedoch nicht am DSM anmelden, auch SSH klappt nicht. Nun habe ich schon einige Zeit im DSM gesucht, finde jedoch nirgends die Einstellung, wo man den Zugriff erlauben bzw. ablehnen kann.

Die Firewall ist nicht die Ursache, da es auch bei komplett ausgeschalteter Firewall nicht klappt.

Kann mir bitte jemand diesbezüglich weiterhelfen? Wo und wie kann ich das einstellen?

Vielen Dank und viele Grüße
networker83.

 

[networker83]

Ich habe selbst etwas gefunden:
https://www.synology.com/de-de/knowledgebase/DSM/help/DSM/AdminCenter/connection_network_route

Wenn ich einen Haken bei "Mehrere Gateways aktivieren" setze, dann klappt es. Vermutlich sendet DSM die Anfrage sonst durch das falsche Interface, oder sehe ich das falsch?

Dazu ergibt sich aber eine neue Frage:
Es soll noch ein drittes Netz mit der DS2015xs genutzt werden, welches NICHT geroutet wird und demnach auch kein Gateway besitzt. In diesem Netz sollen nur NAS untereinander per rsync, iSCSI etc. kommunizieren können.
Deshalb habe ich in den Netzwerkeinstellungen dort auch kein Gateway eingetragen.

Wird das dann trotz der Option "Mehrere Gateways aktivieren" noch wie gewünscht funktionieren?

Viele Grüße und danke
networker83.

 

[NSFH]

Warum so kompliziert? Hänge die beiden Geräte in ein eigenes VLAN und fertig.

 

[networker83]

Warum so kompliziert? Hänge die beiden Geräte in ein eigenes VLAN und fertig.

Verstehe nicht so ganz, wie du das meinst. Jedes LAN-Interface hängt in einem separaten Netz/VLAN, die Netze haben unterschiedliche Funktionen und die Zugriffsmöglichkeiten der Netze untereinander sind genau definiert:
https://www.lancom-systems.de/fileadmin/produkte/feature/techpaper/TP-ARF-DE.pdf

Die Alternative wäre ein virtueller Switch auf dem NAS, welches per VLAN-Trunk mit dem physischen Switch kommuniziert. Aber über mehrere LAN-Interfaces klappt es ja eigentlich auch ganz gut.

 

[NSFH]

VLAN ist immer "virtuell". Durch das Tagging trennst du lediglich LAN Komponenten voneinander. Dafür braucht tman keine verschiedenen IP Bereiche.
Klar kannst du das auch mit IPs machen. Wenn du kein Gateway definierst gibt es auch keinen Übergang in eines der anderen IP-Netze. Spielt sich das alles auf einem Switch ab würde ich aber trotzdem in jedem Fall ein VLAN einrichten, denn dann machst du es dem Switch einfacher den Traffic entsprechend zu verwalten.

 

[networker83]

Danke dass du es erklärt hast, aber ich glaube, wir reden hier aneinander vorbei. Mir ist die Funktion von VLANs durchaus bekannt und auch die Konfiguration. Die Trennung nach verschiedenen IP-Bereichen und das Routing der einzelnen Bereiche wird in dem von mir verlinkten Dokument erläutert. In Verbindung mit VLAN lässt sich das ganze dann nicht nur auf einer Komponente (meist dem Router), sondern im gesamten Netz nutzen.

Zurück zu meiner noch offenen Frage:
Funktioniert die Kommunikation der DS2015xs auch dann noch, wenn "Mehrere Gateways aktivieren" aktiv ist, ein Netz bzw. eine LAN-Schnittstelle jedoch KEIN Gateway besitzt, da dieses Netz NICHT geroutet werden soll/muss? Sollte das nicht klappen, müsste ich notgedrungen auf dem VRRP-Router-Verbund noch ein weiteres virtuelles Gateway aufschalten, für welches das Routing von/zu den anderen Netzen bzw. ins Internet per Firewall-Regel unterbunden wird.

 

[NSFH]

Auch wenn du mehrere Gw aktiviert hast kann keine Verbindung entstehen, wenn du in einem Subnet das Gw nicht angibst. Softwaretechnisch darf es da kein Problem geben, denn wo nichts ist kann auch nichts eingebunden werden. Davon unbelassen bleibt natürlich immer, wie sauber die Fw des Switch programmiert wurde. Ein unbeabsichtigtes Verhalten ist theoretisch möglich.
Aber warum testet du es nicht einfach? Ich würde die benötigte Anzahl an Ports taggen und dafür in dem Switch auch das spezielle Subnet mit eingegrenztem IP Bereich in der Art 255.255.255.248 oder 252 aufsetzen.