vlan Controller på andet vLAN

[luke888888]

Dette er ikke et spørgsmål, men bare en konstatering der eventuelt kan hjælpe andre stakler som mig der sidder med noget gammelt IHC.

IHC controller version 3 (sikkert også ældrer) opfatter et andet vLAN som "internettet", og derved kan man ikke logge ind som admin fra et andet vLAN.

Har en controller 3 og var igang med at skifte den over til et andet vLAN. 
Jeg loggede ind på kontrolleren med min admin password (passwordet sidder i fingerene), og skiftede IP til det nye vLAN, og skiftede porten på switchen til samme vLAN.
Kontrolleren genstartede herefter, og jeg kunne se at den var startet med den nye IP.

Men derefter kunne jeg ikke komme ind med admin koden igen, jeg havde ellers lige været inde. Og ja, PC'en jeg prøvede fra har routing vLAN'et med kontrolleren.

Underligt nok kunne Home Assistant fint logge ind, og den sidder på samme vLAN som jeg prøver at komme ind med admin fra.
Så tror jo at jeg har "glemt" passwordet (jammer, jammer, jammer)

Efter en times tid finder jeg ud af, at hvis jeg skiftet PC'en til controllerens vLAN, kommer jeg fint ind med admin.

Det skyldes at controlleren som default i adgangskontrol har lukket af for LK IHC Administrator under Internet, og det kan ikke åbnes.

Vildt nok at LK opfatter en IP reserveret til LAN (RFC1918) som en WAN IP.

[Astronaut]

Det er helt rigtigt.

For at løse netop det problem har jeg lavet en virtuel IP adresse på controllerens VLAN. Det virker på den måde at når de PC'er som må tilgå controlleren connected, så ser det for controlleren ud om de PC'er er på samme netværk som controlleren (lidt på samme måde som NAT mod internettet).

[luke888888]

Min firewall UDM-Pro understøtter vidst ikke VIP's ud af boxen, den er jo ikke ligefrem helt enterprise klar  

Windows maskinen med controller software var heldigvis allerede en Proxmox VM specielt til det formål, så det var heldigvis nemt at skifte den over til det andet vLAN.

Men var allerede begyndt at svede da jeg ikke kunne få kontakt med controlleren.

[Lars1]

På 18.1.2024 at 21:02 , luke888888 skrev:

Vildt nok at LK opfatter en IP reserveret til LAN (RFC1918) som en WAN IP.

I praktisk er det implementeret sådan at alt som ikke er på samme subnet som IHC controlleren er defineret som værende internet. Det er ikke så vildt når man husker på at IP stacken i LK IHC blev designet tilbage i slut 90'erne/start 00'erne. Dengang kunne man sætte en server på internettet uden firewall, og der vil gå 6-12 mdr. før nogen forsøgte at hacke den. Internet var typisk noget kun firmaer havde. Hvis private have internet adgang var det via et modem, og når det skulle gå rigtigt hurtigt, et ISDN "modem".

At LK aldrig har forbedret IP stacken på IHC controlleren skyldes at udviklingen af LK IHC stoppede da Visual 2 controlleren blev lanceret. Visual 3 controlleren er reelt bare en HW opgradering af en Visual 2 controller.

 

Jeg har løst problemet på den måde at min firewall laver hide NAT på de IP addresser, som jeg bruger til at tilgå mine IHC controller fra. Jeg bruger bare firewallen's interface addresse, men kunne ligeså godt have brugt en virtuel IP som Astronaut