56268
Mar 03, 2008, updated at Mar 10, 2008 (UTC)
8456
6
0
HP Layer 2 Switch 2510, m0n0wall Router, VLAN
Hallo,
ich hatte die Problematik schon einmal, die wurde allerdings nicht vollständig & zufriedenstellend gelöst, also noch einmal:
Switch Config:
SWITCH (IP 192.168.0.10, Def. GW 192.168.0.1 (m0n0))
vlans:
1 default, no untagged 25,26 - 192.168.0.10
2 x, untagged 1-9, 11, tagged 25,26 192.168.1.10
3 y untagged, 10,12 tagged 25,26 192.168.10.10
4 z untagged 13-24 tagged 25,26 192.168.100.10
Port 25 und 26 sind Uplinks für Router, die HA machen.
Clients in Vlan 2 haben IP 192.168.1.X und als DEFAULT Gateway 192.168.1.10
Clients in Vlan 3 haben IP 192.168.10.X und als DEFAULT Gateway 192.168.10.10
Clients in Vlan 4 haben IP 192.168.100.X und als DEFAULT Gateway 192.168.100.10
Router hat die IP 192.168.0.1 und folgende statische Routen:
192.168.0.0/24 GW 192.168.0.1
192.168.1.0/24 GW 192.168.0.10
192.168.10.0/24 GW 192.168.0.10
192.168.100.0/24 GW 192.168.0.10
Das Internet ist konfiguriert und die Verbindung steht ansich.
Mein Problem besteht darin, dass die Clients in Ihren Netzen nicht ins Internet können.
Vom Router kann ich die 192.168.1,10,100.10 pingen, vom Switch kann ich die Clients pingen, vom Router kann ich die Clients NICHT pingen.
Fehlt irgendwas? Muss ich noch die VLAN-Interfaces auf dem LAN des Routers erstellen?
Skizze:
Vielen Dank im voraus!
ich hatte die Problematik schon einmal, die wurde allerdings nicht vollständig & zufriedenstellend gelöst, also noch einmal:
Switch Config:
SWITCH (IP 192.168.0.10, Def. GW 192.168.0.1 (m0n0))
vlans:
1 default, no untagged 25,26 - 192.168.0.10
2 x, untagged 1-9, 11, tagged 25,26 192.168.1.10
3 y untagged, 10,12 tagged 25,26 192.168.10.10
4 z untagged 13-24 tagged 25,26 192.168.100.10
Port 25 und 26 sind Uplinks für Router, die HA machen.
Clients in Vlan 2 haben IP 192.168.1.X und als DEFAULT Gateway 192.168.1.10
Clients in Vlan 3 haben IP 192.168.10.X und als DEFAULT Gateway 192.168.10.10
Clients in Vlan 4 haben IP 192.168.100.X und als DEFAULT Gateway 192.168.100.10
Router hat die IP 192.168.0.1 und folgende statische Routen:
192.168.0.0/24 GW 192.168.0.1
192.168.1.0/24 GW 192.168.0.10
192.168.10.0/24 GW 192.168.0.10
192.168.100.0/24 GW 192.168.0.10
Das Internet ist konfiguriert und die Verbindung steht ansich.
Mein Problem besteht darin, dass die Clients in Ihren Netzen nicht ins Internet können.
Vom Router kann ich die 192.168.1,10,100.10 pingen, vom Switch kann ich die Clients pingen, vom Router kann ich die Clients NICHT pingen.
Fehlt irgendwas? Muss ich noch die VLAN-Interfaces auf dem LAN des Routers erstellen?
Skizze:
Vielen Dank im voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 82219
Url: https://administrator.de/contentid/82219
Printed on: April 25, 2024 at 20:04 o'clock
6 Comments
Latest comment
Hallo pimadaum,
mich stört die statische Route auf dem router, die in ein lokal verbundenes Netzwerk zeigt.
Könnte sein das das Probleme gibt. ich kann leider nicht genau sagen was HP alles mit dem default-vlan anstellt, eventuell kann das aber auch Probleme geben. Versuche mal folgendes:
Erstelle auf dem Switch ein neues VLAN für den Transport an den Router
VLAN-Name: trans
VLAN-ID: 30
Tagged-Ports: none
Untagged-Ports: 25,26
Route-Interface: 192.168.0.10
Wie machst du HA auf den Routern? Ist das ein Stack oder ein Active/Passive konstrukt? Kannst du mal schauen welche MAC-Adresse der Switch für die IP des Routers gelernt hat und auf welchem Interface diese liegen soll? Nicht das dein Traffic auf dem passivem Router landet.
Kannst du von einem PC aus dem .10.0/24 Netz nach .100.0/24 pingen? Also nicht direkt vom Switch, sondern von Client zu Client? Sollte das nicht möglich sein, schaue mal in der doku von deinem Switch ob du das routing explizit aktivieren musst oder eine Securitypolicy die weiterleitung der Pakete verhindert oder der Switch kein routing kann.
Ansonsten, wenn das Routing auf dem Switch funktioniert, sollte das Problem am Router liegen. Was verwendest du für Geräte und wie wird das HA realisiert?
Kannst du auch mal schauen, wenn das ein aktiv-aktiv HA ist, ob dir nicht der SpanningTree einen strich durch die Rechnung macht und genau den falschen Uplink sperrt? Oder ist der Router ein Stack und der Uplink ein Etherchannel (Aggregated Link)?
Ich habe gerade deinen anderen Beitrag gelesen. Hast du einen reinen L2 switch? Hmm, falls das der Fall ist, kannst du nicht zwischen den VLANs routen. Du müsstest dann die VLANs tagged auf die Router forwarden und dort routen. Es kann sein das diese IP's die du da konfiguriert hast, reine management-IPs sind. Ist aber bloß eine böse Vermutung. Prüfe bitte ob du zwischen den VLANs pingen kannst wie weiter oben beschrieben.
mich stört die statische Route auf dem router, die in ein lokal verbundenes Netzwerk zeigt.
Könnte sein das das Probleme gibt. ich kann leider nicht genau sagen was HP alles mit dem default-vlan anstellt, eventuell kann das aber auch Probleme geben. Versuche mal folgendes:
Erstelle auf dem Switch ein neues VLAN für den Transport an den Router
VLAN-Name: trans
VLAN-ID: 30
Tagged-Ports: none
Untagged-Ports: 25,26
Route-Interface: 192.168.0.10
Wie machst du HA auf den Routern? Ist das ein Stack oder ein Active/Passive konstrukt? Kannst du mal schauen welche MAC-Adresse der Switch für die IP des Routers gelernt hat und auf welchem Interface diese liegen soll? Nicht das dein Traffic auf dem passivem Router landet.
Kannst du von einem PC aus dem .10.0/24 Netz nach .100.0/24 pingen? Also nicht direkt vom Switch, sondern von Client zu Client? Sollte das nicht möglich sein, schaue mal in der doku von deinem Switch ob du das routing explizit aktivieren musst oder eine Securitypolicy die weiterleitung der Pakete verhindert oder der Switch kein routing kann.
Ansonsten, wenn das Routing auf dem Switch funktioniert, sollte das Problem am Router liegen. Was verwendest du für Geräte und wie wird das HA realisiert?
Kannst du auch mal schauen, wenn das ein aktiv-aktiv HA ist, ob dir nicht der SpanningTree einen strich durch die Rechnung macht und genau den falschen Uplink sperrt? Oder ist der Router ein Stack und der Uplink ein Etherchannel (Aggregated Link)?
Ich habe gerade deinen anderen Beitrag gelesen. Hast du einen reinen L2 switch? Hmm, falls das der Fall ist, kannst du nicht zwischen den VLANs routen. Du müsstest dann die VLANs tagged auf die Router forwarden und dort routen. Es kann sein das diese IP's die du da konfiguriert hast, reine management-IPs sind. Ist aber bloß eine böse Vermutung. Prüfe bitte ob du zwischen den VLANs pingen kannst wie weiter oben beschrieben.
Hallo datasearch,
vielen Dank für deine Antwort!
Es handelt sich in der Tat um einen Layer2-Switch - er kann ergo nicht routen.
Die Clients können sich untereinander nicht pingen, also vlan übergreifend.
Für HA setze ich nachher pfsense ein, da gibts eine Option für HA.
Die lassen wir jetzt aber mal außer Acht und gucken, dass es jetzt so erstmal läuft mit Port 25 oder Port 26 als Uplinks für den Router. Die beiden Ports habe ich wie oben beschrieben in den Vlans getagged, die Clients hängen alle an untagged Ports - das sollte so stimmen.
Ich habe schon überlegt, dass die getaggted Pakete von 25/26 vom Switch zum Router auch von letzterem "verstanden" werden müssen. Deswegen die Frage, ob ich die Vlans dort noch mal auf das LAN-Interface legen soll. Nur dann fehlt mir immer noch die Lösung wie ich die unterschiedliche Netze dem Router beibringe.
Andere Idee wäre 4 Subnetze zu bilden und diesen ganzen VLAN-Kram zu lassen...
vielen Dank für deine Antwort!
Es handelt sich in der Tat um einen Layer2-Switch - er kann ergo nicht routen.
Die Clients können sich untereinander nicht pingen, also vlan übergreifend.
Für HA setze ich nachher pfsense ein, da gibts eine Option für HA.
Die lassen wir jetzt aber mal außer Acht und gucken, dass es jetzt so erstmal läuft mit Port 25 oder Port 26 als Uplinks für den Router. Die beiden Ports habe ich wie oben beschrieben in den Vlans getagged, die Clients hängen alle an untagged Ports - das sollte so stimmen.
Ich habe schon überlegt, dass die getaggted Pakete von 25/26 vom Switch zum Router auch von letzterem "verstanden" werden müssen. Deswegen die Frage, ob ich die Vlans dort noch mal auf das LAN-Interface legen soll. Nur dann fehlt mir immer noch die Lösung wie ich die unterschiedliche Netze dem Router beibringe.
Andere Idee wäre 4 Subnetze zu bilden und diesen ganzen VLAN-Kram zu lassen...
Mit Subnetzen hast du keine saubere Trennung auf L2. Hmm, ich würde alle VLANs getaggt über die beiden Uplinks auf die Router schicken, dort wieder auseinanderpflücken und das Routing von den Kisten machen lassen. Du musst also nur pro VLAN ein Interface konfigurieren und routing aktivieren. Wie das auf der Kiste funktioniert und ob es überhaupt geht kann ich dir leider nicht sagen. Eröffne eventuell einen neuen Beitrag zb. Erstellen von VLAN Interface auf M0Nowall Router oder vieleicht geht es ja auch ganz einfach.
Wenn der Switch ein Layer 2 Switch only ist dann hast du keine Chance das zum Laufen zu bringen !!
Wie denkst du dir sollen denn die Packete zum Internet Router kommen aus den einzelnen VLANs wenn der Switch sie nicht auf das VLAN 1 routingtechnisch forwarden kann !!!
Das ist doch unmöglich, denn auf einen Layer 2 Switch sind die VLANs vollkommen getrennt !!!
Die IP Adressen sind dann lediglich Management IP Adressen pro VLAN für den Switch !
Fazit: Technisch nicht möglich das zu lösen mit dieser Switchhardware, da die HP 2510 keine L3 Switches sind !
http://h10010.www1.hp.com/wwpc/de/de/sm/WF05a/23523-23535-23535-23535-1 ...
Einzige Chance ist den Monowall Router auf ein 802.1q tagged Link zu setzen und mit ihm zwischen den VLANs zu routen wie es hier in diesem Tutorial anhand von Windows erklärt ist:
Diese Lektüre im Heise Forum erklärt wie es für Linux gemacht werden muss:
http://www.heise.de/netze/Fiktive-Netzwerke--/artikel/77832
(Seite 5)
Wie denkst du dir sollen denn die Packete zum Internet Router kommen aus den einzelnen VLANs wenn der Switch sie nicht auf das VLAN 1 routingtechnisch forwarden kann !!!
Das ist doch unmöglich, denn auf einen Layer 2 Switch sind die VLANs vollkommen getrennt !!!
Die IP Adressen sind dann lediglich Management IP Adressen pro VLAN für den Switch !
Fazit: Technisch nicht möglich das zu lösen mit dieser Switchhardware, da die HP 2510 keine L3 Switches sind !
http://h10010.www1.hp.com/wwpc/de/de/sm/WF05a/23523-23535-23535-23535-1 ...
Einzige Chance ist den Monowall Router auf ein 802.1q tagged Link zu setzen und mit ihm zwischen den VLANs zu routen wie es hier in diesem Tutorial anhand von Windows erklärt ist:
Diese Lektüre im Heise Forum erklärt wie es für Linux gemacht werden muss:
http://www.heise.de/netze/Fiktive-Netzwerke--/artikel/77832
(Seite 5)
Danke, ich habe mir das schon gedacht. Aber die Lösungsvorschläge unten sind für Kunden inakzeptabel. Muss ein Layer3-her. Oder ich mach das erstmal mit Subnetzen, da bin ich fitter drinn.
Das nützt dir ja nichts, egal ob du fitter bis oder nicht. Die Netze müssen L3 technisch wieder zusammengeführt werden ob du willst oder nicht.
Ob du das nun routingtechnisch mit einem L3 Switch machst oder mit einem externen Server spielt keine Rolle.
NetGear, D-Link und andere NoNames haben aber auch sehr preiswerte L3 Switches im Produktportfolio
Wenns das war bitte
How can I mark a post as solved?
nicht vergessen.
Ob du das nun routingtechnisch mit einem L3 Switch machst oder mit einem externen Server spielt keine Rolle.
NetGear, D-Link und andere NoNames haben aber auch sehr preiswerte L3 Switches im Produktportfolio
Wenns das war bitte
How can I mark a post as solved?
nicht vergessen.
