Sure ska försöka ge en mer exakt bild.
Nätet består enkelt förklarat av 1 server, ml350 med ett NC7761 NIC med VLAN aktiverat. (17 VLAN atm). Default VLAN har ipadress 192.168.1.1. På denna sitter servern och all nätutrustning. klienterna sitter på egna VLAN nät.
Alla ska komma åt server/brandvägg men inte komma åt varandra är tänket. Detta fungerar bra och har inte varit några strul med.
Brandväggen är en Ingate 1450 med FW 4.3.1 och VLAN stöd. Har eth0 som LAN och dit är alla VLAN kopplade. ETH3 är Extern IP.
2x Procurve 2524 som switchar också VLAN indelade. (Stackade)
2 portar är taggade och tillhör varje vlan som finns uppsatta medans alla andra portar är untagged enligt vanligt tänk. Taggade portarna är de som går till brandvägg respektive server.
Applikationer som inte fungerar är alla egentligen. Dem som används är Exchange med IMAP/pop3/smtp som slutar fungera tex samt TS, fjärrstyrning. Får även samma problem om jag använder mig av IPSEC.
I praktiken:
Ansluter mot ETH3 via nätet. -> Brandväggen relayar vidare in till servern på 192.168.1.1. -> Brandväggen får svar på eth0.114 som betyder VLAN114. Dock svar på ipadressen 192.168.1.1. Alltså servern svarar på rätt ipadress men brandväggen förstår det som fel VLAN. Ifall brandväggen läser det som vlan114 borde det komma svar ifrån 192.168.114.1 om jag inte fattar helt galet?. Brandväggen säger då att "aha!" "eth0.114 192.168.1.1" nått som inte stämmer. "ger spoofed adress" till klienten och slänger paketet.
Vart är det bäst att sätta ethreal tex för att sniffa? Hade tyvärr inte visio på denna maskinen kan återkomma med nätskiss.
/Robert
