westberliner
Goto Top

Kein DHCP-Relay am Sub-Switch HP

Hallo,

ich habe hier eine Sterntopologie am Laufen.

Core-Switch -- Access-Switch -- Wlan-AP/Clients/Endgeräte

Nun habe ich das Problem:

Am Core-Switch funktioniert alles schick.
Am Access-Switch bekomme ich in einem VLAN kein DHCP.

IP-Helper ist richtig eingetragen. Den Gateway (und gleichzeitig DHCP-Server) kann ich anpingen. (Gateway und DHCP ist die Firewall, eigenes Gäste-VLAN).

Das VLAN ist an die Interfaces freigegeben.

Wo könnte da der Fehler liegen?

Content-Key: 320514

Url: https://administrator.de/contentid/320514

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: michi1983
michi1983 10.11.2016 aktualisiert um 11:31:17 Uhr
Goto Top
Hallo,

Zitat von @westberliner:
Wo könnte da der Fehler liegen?
  • Hat es vorher schon mal funktioniert? Wenn ja, was wurde seit dem geändert?
  • DHCP-Server mal neugestartet?
  • ACLs/Firewallregeln sind richtig konfiguriert?

Gruß
Mitglied: aqui
aqui 10.11.2016 um 11:43:15 Uhr
Goto Top
Am Access-Switch bekomme ich in einem VLAN kein DHCP.
In anderen VLANs aber schon ??
IP-Helper ist richtig eingetragen.
Wirklich ??
Nimm ganz einfach einen Wireshark und sniffer eingehende DHCP Request am Port der Firewall / DHCP Server !
Wennd er L3 Switch dort per DHCP Relay die DHCPs forwardet funktioniert er fehlerlos.
Dann kannst du wenigstens den Switch schonmal sicher als Fehlerquelle ausschliessen und musst nur an der FW suchen.
Der Wireshark Trace wird also sofort sagen was los ist.
Unverständlich warum du nicht selber auf diesen Punkt gekommen bist zum Troubleshooten ?!

Bedenke das der L3 Switch mit DHCP Relay die Absender IPs umschreibt. Ggf. musst du die FW customizen um diese Pakete durchzulassen !
Mitglied: westberliner
westberliner 10.11.2016 um 16:34:27 Uhr
Goto Top
Hallo,

ich bin mir nicht mal sicher ob das Gästenetz in den Subsegmenten überhaupt funktioniert hatte. Bisher hatte aber auch niemand was gesagt - also bin ich davon ausgegangen. Geändert hatte ich in dem Hinblick nichts.

ACL´s habe ich bisher keine im Einsatz.

Ich habe hier mehrere VLANs mit auch entsprechend mehreren WLAN-Netzen. In allen Netzen funktioniert DHCP ohne Probleme. Das DHCP wird jedoch von dem Windows-DHCP verteilt.

Im Gäste-Netz/VLAN übernimmt das die Firewall.

Ich kenne mich leider mit Wireshark absolut nicht aus. Das ich aber herausfinden konnte ist, dass lediglich der Client ein Request schickt ggf. noch ein Offer - aber nichts zurückkommt.

Der Verkehr scheint nur in eine Richtung zu kommen, aber nicht zurück.

Firewall regeln dürften in dem Moment nicht greifen, da ich hier intern arbeiten. Was bedeutet das der L3-Switch Pakete umschreibt?

Muss ich hier ggf. eine andere IP-Helper-Adresse (die vom switch) eintragen?
Mitglied: aqui
aqui 10.11.2016 um 16:51:43 Uhr
Goto Top
ich bin mir nicht mal sicher ob das Gästenetz in den Subsegmenten überhaupt funktioniert hatte.
Oha...na das solltest du aber ja vorher mal wasserdicht testen. Ein Client im Gast WLAN und einen im dazu korrespondierenden VLAN per Kabel, beide statische IPs und dann mal checken ob die sich pingen können.
Ist ja in 5 Minuten erledigt....
n allen Netzen funktioniert DHCP ohne Probleme. Das DHCP wird jedoch von dem Windows-DHCP verteilt.
Die Kardinalsfrage, die du leider nicht beantwortest, ist hier das WIE ??
Gut gehen wir mal davon aus das du ja wohl kaum in diesen Netzen einzelne DHCP Server hast und hier auf dem zentralen L3 Switch mit DHCP Relay, sprich einem Forwarder (helper ip) arbeitest und einen zentralen Winblows DHCP Server hast. Ist dem so ?
Ich kenne mich leider mit Wireshark absolut nicht aus.
Das muss man auch nicht. Du musst nur einfach sehen ob da DHCP IP Pakete ankommen.
Obwohl wenn jemand wie du selber sagst sein Netzwerk in VLANs segmentiert hat und auch Routing eingerichtet hat und auch mit DHCP Relay erforlgreich arbeitet zeigt das einem Außenstehenden ja erstmal das da jemand am werkeln ist der sein (Netzwerk) Handwerk versteht und der eigentlich ja auch wissen müsste wie IP Pakete sich in einem Netzwerk bewegen.
Dann zu sagen man kann kein Wireshark klingt dann erstmal mehr als befremdlich...?!
Das ich aber herausfinden konnte ist, dass lediglich der Client ein Request schickt ggf. noch ein Offer
Das ist ja schomal was. Obwohl ein "Offer" ost natürlich technischer Blödsinn, denn das kann ein Client niemals schicken, das kommt immer vom Server !
Die 2 wichtigsten Fragen sind nun:
  • Kannst du sehen das der Client innerhalb seiner L2 Doamin also innerhalb seines VLANs den DHCP Request schickt ?
  • Wenn ja ist die kommende Frage viel wichtiger: Kannst du am Server sehen das der Request, den ja der DHCP Forwarder am L3 Switch an den DHCP Server sendet da auch ankommt ??

Wenn ja dann müsstest du sehen das die Absender IP nicht mehr eine 0.0.0.0 ist die der Client ursprünglich hatte (klar, denn er hat ja noch keine gültige IP !) Durch die IP Adresse des Forwarders in diesem VLAN ersetzt sein müsste !
Daran kann der DHCP Server erkennen für welchen Scope er die IP zuordnen muss.
So einfach ist der Mechanismus.
Siehst du also diesen DHCP Request der jetzt im VLAN IP Segment des DHCP Servers zu diesem kommt, dann kannst du den L3 Switch und Forwarder komplett ausschliessen.
Denn sendet der DHCP Server dann als Antwort auf diesen eingehenden Request keinerlei Offer raus ist der Fehler ganz klar in der DHCP Server Konfig zu suchen !
Muss ich hier ggf. eine andere IP-Helper-Adresse (die vom switch) eintragen?
Nein auch das ist Blödsinn ! Die Helper IP zeigt immer auf die IP des DHCP Servers zu dem diese Requests in dem Segment geforwardet werden sollen.
Bitte mal das Handbuch des Switches lesen, da ist das haarklein erklärt !
Auch hier ist es verständlich dokumentiert:
http://www.cisco.com/c/en/us/support/docs/ip/dynamic-address-allocation ...
Das ist auch bei gruseligen HP Schrottswitches nicht anders....
Mitglied: michi1983
michi1983 10.11.2016 um 17:54:38 Uhr
Goto Top
Hm, der TO sagt aber, dass im Gäste Netzt eine Firewall DHCP Server ist. Dann müsste doch die IP der Firewall als IP Helper eingetragen werden oder?
Mitglied: aqui
aqui 10.11.2016 um 23:27:48 Uhr
Goto Top
Da hast du absolut Recht !
Der TO fragt aber oben (Zitat) ob er die IP Adresse vom Switch dort als Helper IP eintragen soll, was natürlich technischer Quatsch wäre.
Mitglied: westberliner
westberliner 11.11.2016 aktualisiert um 09:41:31 Uhr
Goto Top
Hallo,

ich habe es jetzt mal mit statischer IP-Adresse versucht - sowohl im LAN wie auch WLAN bekomme ich keine Antwort. Scheint ein Routingproblem zu sein.

Ich hänge mal eine Zeichnung an - ich hoffe damit hat man eher einen Überblick.
3642_001

Auf allen Switchen is DHCP-Relay aktiv - die DHCP-Verteilung funktioniert in allen Netzen - bis auf das VLAN 200.

Der einige Unterschied ist liegt bei den IP-Adressen auf dem Core-Switch, welcher bei mir das Routing im Netz übernimmt:


Coreswitch:

VLAN | IP Config IP Address Subnet Mask Std Local
-------------------- + ---------- --------------- --------------- ----------
DEFAULT_VLAN | Manual 10.128.80.254 255.255.255.0 No No
VLAN111 | Manual 10.128.81.254 255.255.255.0 No No
VLAN120 | Manual 10.128.84.254 255.255.255.0 No No
VLAN121 | Manual 10.128.85.254 255.255.255.0 No No
VLAN144 | Manual 10.128.86.254 255.255.255.0 No No
VLAN150 | Manual 10.128.87.254 255.255.255.0 No No
VLAN160 | Manual 10.128.88.254 255.255.255.0 No No
VLAN165 | Manual 10.128.93.254 255.255.255.0 No No
VLAN200 | Disabled
VLAN300 | Manual 10.128.94.1 255.255.255.0 No No
VLAN999 | Manual 192.168.1.250 255.255.252.0 No No

IP Route Entries

Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 10.128.94.250 300 static 1 1
10.128.80.0/24 DEFAULT_VLAN 1 connected 1 0
10.128.81.0/24 VLAN111 111 connected 1 0
10.128.84.0/24 VLAN120 120 connected 1 0
10.128.85.0/24 VLAN121 121 connected 1 0
10.128.86.0/24 VLAN144 144 connected 1 0
10.128.88.0/24 VLAN160 160 connected 1 0
10.128.93.0/24 VLAN165 165 connected 1 0
10.128.94.0/24 VLAN300 300 connected 1 0
127.0.0.0/8 reject static 0 0
127.0.0.1/32 lo0 connected 1 0
192.168.0.0/22 VLAN999 999 connected 1 0




Accessswitch:

IP Routing : Disabled
Default Gateway : 10.128.80.254

VLAN | IP Config IP Address Subnet Mask Std Local
-------------------- + ---------- --------------- --------------- ----------
VLAN1 | Manual 10.128.80.242 255.255.255.0 No No
VLAN111 | Disabled
VLAN120 | Disabled
VLAN121 | Disabled
VLAN144 | Disabled
VLAN160 | Disabled
VLAN165 | Disabled
VLAN200 | Disabled

IP Route Entries

Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 10.128.80.254 1 static 250 1
10.128.80.0/24 VLAN1 1 connected 1 0
127.0.0.0/8 reject static 0 0
127.0.0.1/32 lo0 connected 1 0



Firewall:
VLAN 111: 10.128.81.250/24
VLAN 200: 10.128.200.254/24
VLAN 300: 10.128.94.250/24


Ich kann von Firewall den Accesswitch anpingen und zurück. Nur der Client kommt nicht durch.
Mitglied: aqui
aqui 11.11.2016 aktualisiert um 09:49:51 Uhr
Goto Top
Scheint ein Routingproblem zu sein.
Ja definitiv ! Das ist ganz sicher dann kein Helper Problem hier hast du ein grundlegendes Problem im L3.
die DHCP-Verteilung funktioniert in allen Netzen - bis auf das VLAN 200.
Und dann hast du VLAN 200 disabled ??? Muss man sich ja dann nicht wundern ?!

Das hier ist Blödsinn in der Konfig:
ip default-gateway 10.128.94.250
ip route 0.0.0.0 0.0.0.0 10.128.94.250

Der Core Router sollte einzig und allein NUR die Default Route konfigurierten haben und nicht noch parallel ein Default Gateway !
Das Default Gateway solltest du besser löschen !

Was aber klar ist das wenn du das VLAN 200 auf dem Coreswitch disablest das man sich nicht groß wundern muss das nix rennt.
Mal ganz abgesehen davon das die Core Switch IP Adresse fehlt oder nicht konfiguriert ist. Damit ist ein Routing via Coreswitch vollkommen unmöglich !
Diese banale Tatsache springt einem doch sofort ins Auge wenn man deine Konfig sieht. Sowas kann man doch nicht übersehen ?!
Mitglied: westberliner
westberliner 11.11.2016 um 10:01:17 Uhr
Goto Top
Wenn ich jetzt dem VLAN 200 auf dem CoreSwitch eine IP-Adresse eintrage, dann wird dies auf Status enabled gesetzt.

Dann ist es aber möglich von VLAN200 in die anderen und umgekehrt zu kommunizieren - was dann letztendlich ohne ACL als Sicherheitslücke wäre, sehe ich das richtig?

Ich meine dass damals dies der Grund war, warum ich das so konfiguriert hatte und da auf dem CoreSwitch alles schick funktionierte, hatte ich der Sache keine Beachtung mehr geschenkt (Hatte sich auch keiner beschwert, dass das Gäste-Netz in dem anderen 3/4 Unternehmen nicht funktioniert).

Ich konfiguriere Netzwerke sogut wie nie, daher fehlen mich hier die Erfahrungswerte.
Mitglied: aqui
aqui 11.11.2016 aktualisiert um 10:13:17 Uhr
Goto Top
Dann ist es aber möglich von VLAN200 in die anderen und umgekehrt zu kommunizieren - was dann letztendlich ohne ACL als Sicherheitslücke wäre, sehe ich das richtig?
Ja, das siehst du richtig !
Willst du das verhindern dann ist deine ursprüngliche Konfig natürlich richtig.
Keine IP Im Coreswitch VLAN 200 aber dann musst du die Firewall direkt mit einem untagged Port in das VLAN 200 stecken.
Hast du das gemacht ??
VLAN 200 Clients kommen dann nur noch über die Firewall bzw. den Firewall Port raus.
Dann musst du einzig auf der Firewall sicherstellen das diese IP Adressen per DHCP für das VLAN 200 rausgibt.
Das erfordert dann natürlich entsprechende Einstellungen und Regeln in der Firewall !!
Das richtige Firewall Setup ist dann hier der Schlüssel zum Erfolg !
Mitglied: westberliner
westberliner 11.11.2016 um 10:21:33 Uhr
Goto Top
Nein, ich habe wie in der Zeichnung dargestellt 3 getaggte VLANs auf nur einem Port von der Firewall in den Switch gehen.

Würde das überhaupt einen Unterschied machen ob ich jetzt das VLAN getagged über einen Port an die Firewall übergebe oder untagged über einen seperaten Port? Knackpunkt wäre ja dann immer noch der CoreSwitch, welcher nicht weiß wohin mit den Paketen? Aus örtlichen Gegebenheiten laufen alle Accessswitche am CoreSwitch auf und der sollte die Pakete entsprechend weiterrouten.

Müsste ich dann nicht wirklich am CoreSwitch eine IP für das VLAN200 eintragen und dann mit ACL arbeiten (was ich sowieso mal bräuchte)?
Mitglied: michi1983
michi1983 11.11.2016 aktualisiert um 10:33:48 Uhr
Goto Top
Vielleicht bin ich einfach zu doof es zu verstehen, aber warum hast du nicht überall den Core Switch als DHCP Server?
Weshalb hast du im Gästenetz die Firewall als DHCP Server?
Nicht, dass es nicht machbar wäre, aber übersichtlicher und einfacher zu konfigurieren wäre doch das alles zentral zu verwalten.

Du kannst doch eh alles was du benötigst (VLANS, DHCP) am Coreswitch abfackeln und die Firewall regelt eben die Zugriffe zum Schluss wenn du nicht mit ACLs am Switch arbeiten möchtest
Mitglied: westberliner
westberliner 11.11.2016 um 12:56:48 Uhr
Goto Top
Ich mag die Verwaltung über den Switch nicht so besonders, deswegen läuft bei mir DHCP und DNS jeweils auf den Domain-Controllern im Split-Scope und noch einige andere Optionen sind aktiv. Ist ja an sich eine zentrale Verwaltung.

Der DHCP-Server über die Firewall hat den Hintergrund der Netztrennung zwischen den internen VLANs und dem Gäste-Netz.
Mitglied: aqui
aqui 11.11.2016 aktualisiert um 16:13:21 Uhr
Goto Top
Nein, ich habe wie in der Zeichnung dargestellt 3 getaggte VLANs auf nur einem Port von der Firewall in den Switch gehen.
OK, sorry das hatte ich übersehen ! OK, wenn du mehrere IP Segmente über einen Link auf die Firewall bringen willst oder musst ist das natürlich absolut richtig !
Diese 3 IP Netze dürfen dann logischerweise NICHT mit einer IP Adresse am Core Switch konfiguriert sein, das wäre na klar tödlich (Backdoor Route).
ToDos bleiben aber so wie oben beschrieben, nur eben Tagged Port mit Subinterfaces an der FW.
Würde das überhaupt einen Unterschied machen ob ich jetzt das VLAN getagged über einen Port an die Firewall übergebe oder untagged über einen seperaten Port?
Nein, das macht keinerlei Unterschied ! Ist völlig egal. Abgesehen von dem Punkt das du mehr Kabelfrickelei bei Untagged hast da du da ja 3 separate Kabel ziehen müsstest !
Knackpunkt wäre ja dann immer noch der CoreSwitch, welcher nicht weiß wohin mit den Paketen?
Sorry, aber das Argument ist ja technischer Blödsinn !!
Der Core Switch hat logischerweise KEINE IP Adresse mehr aus diesen 3 Segmenten !! Damit ist er in das L3 Forwarding, sprich das Routing aus diesen 3 IP Netzen überhaupt nicht mehr involviert !
Das macht dann logischerweise einzig und allein NUR die Firewall. So soll es ja vermutlich auch sein um das sicher zu machen.
Im Gegenteil wenn du IPs auf dem Core in diesen 3 Netzen hättest wäre das mega fatal, denn damit hast du einen backdoor Router der dir die gesamte Sicherheit der FW aushebelt.
Vergiss das also ganz schnell ! Der Core soll ja in Bezug auf L3 de facto nichts wissen für diese 3 VLANs !!
Aus örtlichen Gegebenheiten laufen alle Accessswitche am CoreSwitch
Auch das ist ja Unsinn und gelogen wenn man deine o.a. Konfig sieht.
Wenigstens für VLAN 200 stimmt das ja genau nicht.
Hier widersprichst du dich also mit Anspruch und wirklichkeit !
Fakt ist aber auf alle Fälle: IP Netze deren IP Forwarding nicht über den Core gehen dürfen aus Sicherheitsgründen dürfen auch keine IP am Core in ihrem VLAN definiert haben ! Warum ist ja oben nachdrücklich erklärt.
Für diese simple Logik reicht aber auch der gesunde Menschenverstand !
Müsste ich dann nicht wirklich am CoreSwitch eine IP für das VLAN200 eintragen und dann mit ACL arbeiten
Nein, nicht unbedingt ! Das kommt darauf an was du willst.
Wenn du die Gefahr eines Einbruchs aus den 3 IP Netzen generell verhindern willst dann konfigurierst du diese gar nicht erst auf dem Core. So verhinderst du durch die physische Trennung der VLANs dann jegliches IP Forwarding da und gehst auf Nummer sicher. Da auch keine ACLs dann logischerweise erforderlich sind sparst du dir auch die Gefahr falsch konfigurierter ACLs.
Diese 3 VLANs terminieert man L3 seitig dann nur auf der FW.

Willst du aber partout alles zentral auf dem Switch haben dann setzt du in allen VLANs auf IPs auf dem Core, routest da und schottest die 3 Netze mit entsprechenden ACLs auf dem Core ab.
Der Tagged Uplink dieser 3 Netze auf die Firewall ist dann natürlich sinnlos und damit obsolet...klar !
Im Gegenteil er ist dann sogar gefährlich und sollte immer entfernt werden.
Das ist doch alles eine ganz einafche Logik.
Die Konfig bzw. welche du nutzt hängt ganz klar von deiner Sicherheits Policy ab !

aber warum hast du nicht überall den Core Switch als DHCP Server?
Es ist Unsinn einen Switch als DHCP Server zu konfigurieren für jedes VLAN Segment ! Sowas macht man in der Regel nicht als Netzwerker sondern betreibt einen zentralen DHCP mit IP Forwardern. Allein schon die DHCP zu DNS Kopplung bei Verwendung eines AD erzwingt das oft. Ein Switch kann sowas nicht leisten...soll er auch nicht.
Weshalb hast du im Gästenetz die Firewall als DHCP Server?
Das müsste der TO. Ist ja auch logisch. Ohne IP Adresse auf dem Core mit einem isolierten L2 VLAN kann er ja nicht mit Forwardern arbeiten. Es sei denn über die Firewall. Dann müsste er aber wieder diverse Löcher bohren in diese was nicht eben sinnvoll ist. Folglich fungiert die FW dann für diese isolierten VLANs als DHCP. Das macht schon Sinn.
aber übersichtlicher und einfacher zu konfigurieren wäre doch das alles zentral zu verwalten.
Erzwänge dann aber auch einen erheblichen zusätzlichen Aufwand ACL zu konfigurieren und auch zu pflegen auf dem Core. Entfällt bei isolierten VLANs und Zugang nur über die FW.
Ist aber wie oben schon gesagt Policy Sache...
alles was du benötigst (VLANS, DHCP) am Coreswitch abfackeln
Hier stellt sich aber dann wieder die Frage nach Effizienz, Sinnhaftigkeit und vor allen Dingen Sicherheit....?! Argumente siehe oben.
Der DHCP-Server über die Firewall hat den Hintergrund der Netztrennung zwischen den internen VLANs und dem Gäste-Netz.
Was hier auch Sinn macht...

P.S.: Ist der Thread jetzt gelöst oder warum hat der TO den jetzt selber auf "gelöst" gesetzt ???
Mitglied: westberliner
westberliner 18.11.2016 um 12:42:55 Uhr
Goto Top
Egal wie oft ich mich das hier durchlesen - aber ich komme nicht auf den Trichter wie ich das Routing auf der Firewall dann zu konfigurieren habe.


Ich kann vom Accessswitch das VLAN200-GW der Firewall anpingen und umgekehrt. Aber an den Clients tut sich nix.
Mitglied: aqui
aqui 18.11.2016 aktualisiert um 17:03:47 Uhr
Goto Top
Was genau meinst du mit "an den Clients tut sich nix." ???
Mit Routing hast du gar nichts einzustellen.

Dein Gast VLAN 200 hat ja auf dem L3 Core Switch kein IP Interface konfiguriert !!! Das einzige IP Interface was im Gast VLAN 200 ist ist das der Firewall, da die mit einem untagged Port im VLAN 200 hängt.
Folglich ist also dann die Firewall für alle Clients im VLAN 200 der Weg nach draussen, sprich das Gateway.

Hier tut sich jetzt die erste Frage auf:
Wie kann es sein das du von einem Access Switch das VLAN 200 Gateway sprich also die IP Adresse der FW pingen kannst ?
Das dürfte bei richtiger Switchkonfig gar nicht möglich sein oder meinst du jetzt damit das du einen Client auf einem Access Switch ins VLAN 200 gesteckt hast und pingst jetzt von diesem VLAN 200 Client den Firewall Port ?
Das ist ja klar das das dann geht !!
Der Access Switch selber aber dürfte ja nie und nimmer nicht die Firewall im VLAN 200 pingen können.
Das ist auch klar, denn normal ist die Management IP des Switches im VLAN 1 und da der Core Switch keine IP im VLAN 200 hat kommen Ping Pakete mit einer Absender IP Adresse aus VLAN 1 nie ins VLAN 200. Wenn du vom Accessswith bzw. von dessen CLI Konsole pingst hast du ja dann zwangsläufig eine VLAN 1 Absender IP.
Soll ja auch genau so sein damit das Gast VLAN vollkommen isoliert ist und nur über die Firewall rauskommt...logisch !
Kannst du also irgendwas im VLAN 200 pingen von den VLANs am Core Switch wäre das fatal und ein gefährliches Sicherheitsloch. Zeigt dann auch gleichzeitig das du einen gravierenden Fehler im Switch Setup gemacht hast !!

Du musst jetzt einfach mal strategisch vorgehen:
  • Wie gesagt: keine IP vom Core im VLAN 200. Einziges IP Gateway Interface ist das Firewall Interface im VLAN 200
  • Firewall muss gültige VLAN 200 IP haben und ICMP erlauben damit es anpingbar ist
  • Firewall muss zusätzlich DHCP Server spielen im VLAN 200 um den VLAN 200 Clients IP Adressen zu vergeben
  • Ist das alles gemacht muss ein per Kabel angeschlossener Client im VLAN 200 auch IP Adressen von der FW bekommen. Das kannst du checken mit ipconfig i.d. Eingabeaufforderung
  • Stimmen IP Adresse, Gateway und DNS (Gateway und DNS ist die FW) dann muss das Firewall Interface von diesem Client pingbar sein
  • Ist es das pingst du jetzt mal eine Internet IP z.B. 8.8.8.8 ! Klappt das auch ist auch das Internet da
  • Dann pingst du mal einen Domainnamen wie z.B. www.heise.de Klappt das funktioniert alles wie es soll
Damit kannst du dann sicher sein das kabelbasierend alles sauber funktioniert.
Wenn das Gastnetz auch per WLAN erreichbar sein soll, dann sollte es auch mit einem AP der im VLAN 200 steckt sauber funktionieren.

Vom Routing her must du NICHTS weiteres einstellen.
Clients im gast VLAN 200 bekommen die Firewall dort als Gateway und die routet ja eh ins Internet.
Clients am Core Switch (ohne VLAN 200 IP) bekommen als Gateway die Coreswitch IP in ihrem jeweiligen VLAN und der Switch hat eine Default Route auf die Firewall und so gelangen die ins Internet.
Allso alles ganz einfach un logisch !
Mitglied: westberliner
westberliner 22.11.2016 aktualisiert um 08:24:53 Uhr
Goto Top
Zitat von @aqui:

Was genau meinst du mit "an den Clients tut sich nix." ???
Mit Routing hast du gar nichts einzustellen.

Dein Gast VLAN 200 hat ja auf dem L3 Core Switch kein IP Interface konfiguriert !!! Das einzige IP Interface was im Gast VLAN 200 ist ist das der Firewall, da die mit einem untagged Port im VLAN 200 hängt.
Folglich ist also dann die Firewall für alle Clients im VLAN 200 der Weg nach draussen, sprich das Gateway.
Genau - eben die 10.128.200.254 auf der Firewall - in meinem Fall tagged.

Hier tut sich jetzt die erste Frage auf:
Wie kann es sein das du von einem Access Switch das VLAN 200 Gateway sprich also die IP Adresse der FW pingen kannst ?
Das dürfte bei richtiger Switchkonfig gar nicht möglich sein oder meinst du jetzt damit das du einen Client auf einem Access Switch ins VLAN 200 gesteckt hast und pingst jetzt von diesem VLAN 200 Client den Firewall Port ?
Das ist ja klar das das dann geht !!
Der Access Switch selber aber dürfte ja nie und nimmer nicht die Firewall im VLAN 200 pingen können.
Ok, war eine Firewall regel. Das funktioniert jetzt nicht mehr.


Du musst jetzt einfach mal strategisch vorgehen:
  • Wie gesagt: keine IP vom Core im VLAN 200. Einziges IP Gateway Interface ist das Firewall Interface im VLAN 200
Passt.
* Firewall muss gültige VLAN 200 IP haben und ICMP erlauben damit es anpingbar ist
Vom Core mit einem Client möglich.
* Firewall muss zusätzlich DHCP Server spielen im VLAN 200 um den VLAN 200 Clients IP Adressen zu vergeben
Aktiv, funktioniert am Core einwandfrei.
* Ist das alles gemacht muss ein per Kabel angeschlossener Client im VLAN 200 auch IP Adressen von der FW bekommen. Das kannst du checken mit ipconfig i.d. Eingabeaufforderung
  • Stimmen IP Adresse, Gateway und DNS (Gateway und DNS ist die FW) dann muss das Firewall Interface von diesem Client pingbar sein
  • Ist es das pingst du jetzt mal eine Internet IP z.B. 8.8.8.8 ! Klappt das auch ist auch das Internet da
  • Dann pingst du mal einen Domainnamen wie z.B. www.heise.de Klappt das funktioniert alles wie es soll
Damit kannst du dann sicher sein das kabelbasierend alles sauber funktioniert.
Wenn das Gastnetz auch per WLAN erreichbar sein soll, dann sollte es auch mit einem AP der im VLAN 200 steckt sauber funktionieren.
Vom Core funktioniert alles genau so wie es soll.
Nur nicht von den Accessswitchen. Auch nicht mit statischen IP-Adressen.

Vom Routing her must du NICHTS weiteres einstellen.
Clients im gast VLAN 200 bekommen die Firewall dort als Gateway und die routet ja eh ins Internet.
Das funktioniert vom Core einwandfrei.
Clients am Core Switch (ohne VLAN 200 IP) bekommen als Gateway die Coreswitch IP in ihrem jeweiligen VLAN und der Switch hat eine Default Route auf die Firewall und so gelangen die ins Internet.
Allso alles ganz einfach un logisch !
Mitglied: aqui
Lösung aqui 22.11.2016 aktualisiert um 09:13:15 Uhr
Goto Top
eben die 10.128.200.254 auf der Firewall - in meinem Fall tagged.
Da einen tagged Port zu nehmen ist eigentlich sinnfrei ! Was soll das bringen ? Kannst du auch untagged lassen. Gut stören tut das Tagging nicht aber dir muss dann klar sein das der Port in VLAN 200 and dem die FW angeschlossen ist auch Tagged sein muss.
Vom Core funktioniert alles genau so wie es soll. Nur nicht von den Accessswitchen. Auch nicht mit statischen IP-Adressen.
OK, das zeigt ja ganz eindeutig das du das VLAN 200 NICHT auf den Uplinks zu den Access Switches liegen hast ! Folglich wird VLAN 200 also auch nicht in den Access transportiert, klar !
Du musst auf allen Switch Uplinks vom Core zu den Access Switches logischerweise auch das VLAN 200 tagged dort konfigurieren !
Analog natürlich auch auf den Access Switches die das VLAN 200 bedienen. Auch auf deren Uplinks zum Core muss VLAN 200 tagged eingetragen sein !
Genau da liegt dein Fehler ! Das ist zu 99% vergessen worden oder fehlerhaft.

Es müsste ja schon ein simpler Ping scheitern zwischen 2 PCs oder Laptops die im VLAN 200 am Access und Core angeschlossen sind. Ggf. mit statischen Adressen.
Das wäre mal ein simpler Test das man eben diese 2 Rechner mal am Core in VLAN 200 steckt mit IP Adressen aus diesem VLAN und sie pingen lässt, was ja klappen sollte.
Nimm man einen nun am Access ins VLAN 200 sollte es eigentlich auch klappen.
Wenn wider Erwarten nicht, dann hast du genau das oben beschriebene Tagging Problem von VLAN 200 auf den Uplinks zum Access bzw. vom Access zum Core.
Das VLAN 200 ist dann im Tagging auf diesen Uplinks falsch oder fehlerhaft konfiguriert, das ist ganz eindeutig.
Mitglied: westberliner
westberliner 22.11.2016 um 09:33:20 Uhr
Goto Top
Jetzt ist mir auch eingefallen, was ich bereits vor einem Jahr erledigen wollte.

Ich habe damals das VLAN200 nicht auf den Trunks konfiguriert, wollte es noch machen und habs vergessen...

Habs eben gemacht und zack läufts. Danke! face-smile
Mitglied: aqui
aqui 22.11.2016 um 09:38:36 Uhr
Goto Top
Wie zu erwarten ! face-wink