kasimir82
Goto Top

VLAN: Routing ins Internet

Guten Tag,

ich habe ein Problem welches ich gerade nicht gelöst bekommen.
Stehe also sozusagen auf dem Schlauch.

Ich bin auch neu im VLAN gebiet.
Also bitte nicht gleich böse rumhacken.

Zu den Komponenten:

Switch: HPE 1920 24G L3
Router: Fritzbox 7490 im Versuchsaufbau im Scharfen betrieb nachher den Standard Kabelrouter von Kabel Deutschland.

Der Testaufbau:

VLAN 2 an Port 23: 192.168.178.199/24 Uplink ins Internet
Untagged: Port 23
Tagged Port 1-20

VLAN 101 an Port 1: 192.168.101.1/24 Wohnung 1
Untagged: Port 1
Tagged Port 23

VLAN 102 an Port 2: 192.168.102.1/24 Wohnung 2
Untagged: Port 2
Tagged Port 23

Danach noch die Wohnungen 103-120 in gleicher Einrichtung
(Im versuch noch nicht eingestellt) lediglich VLAN 2;101;102 sind fertig:

in der Rubrik IPv4 Routing habe ich die Default Route IP 0.0.0.0 NM 0.0.0.0 NextHop 192.168.178.1 eingestellt.
192.168.178.1/24 ist die IP des Routers.

Im Router habe ich die Rückroute IP 192.168.0.0 NM 255.255.0.0 Ziel 192.168.178.199 eingestellt.

Ich kann jetzt mit meinen Rechner 192.168.101.5 im VLAN 101 die 192.168.178.199 pingen aber die 192.168.178.1 nicht.
Somit habe ich auch kein Internet.

Ich hoffe ich habe verständlich gemacht wie der Aufbau ist.
Ich hoffe der Fehler ist nicht so tragisch wie der Switch kann das nicht oder so weiter.

Gerne erstelle ich auch Screenshots von den Konfigurationen.

Statische Route am Router
statische route

IPv4 Routing auf dem L3 Switch
bildschirmfoto 2017-02-13 um 20.03.44

Switch WEB Interface

bildschirmfoto 2017-02-13 um 22.38.33

Content-Key: 329302

Url: https://administrator.de/contentid/329302

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 13.02.2017 um 19:31:50 Uhr
Goto Top
Zitat von @kasimir82:

Im Router habe ich die Rückroute IP 192.168.0.0 NM 255.255.0.0 Ziel 192.168.178.2 eingestellt.

In welchem Router?

Ich kann jetzt mit meinen Rechner 192.168.101.5 im VLAN 101 die 192.168.178.2 pingen aber die 192.168.178.1 nicht.
Somit habe ich auch kein Internet.

Dann stimmt dein Routing nicht. Weiß die Fritzbox wo sie die Pakete für 192.168.0.0/16 hinschicken soll?


Ich hoffe ich habe verständlich gemacht wie der Aufbau ist.

nein.

Ich hoffe der Fehler ist nicht so tragisch wie der Switch kann das nicht oder so weiter.

Kann der switch denn überhaupt routen? Und die statische Route in der fritzbox nicht vergessen.

lks
Mitglied: kasimir82
kasimir82 13.02.2017 um 20:18:33 Uhr
Goto Top
Für das Routing auf dem Switch und auf dem Router habe ich im Anfangstext Screenshots eingefügt.

Was war an dem Aufbau nicht verständlich?

Es werden insgesamt 20 VLANS also jeder Port sein eigenes.
Beginnend mit der 192.168.101.0/24 Port1 - 192.168.120.0/24 Port20
Sie sollen sich untereinander nicht sehen. Deswegen die VLANS

Auf Port 23 mit der 192.168.178.199 Ist der Uplink zur FritzBox 7490 mit der 192.168.178.1

Der Switch sollte Routen können wenn ich Routen eintragen kann.
Mitglied: em-pie
em-pie 13.02.2017 um 20:24:41 Uhr
Goto Top
Ich bin auch neu im VLAN gebiet.
Also bitte nicht gleich böse rumhacken.
Jeder fängt mal klein an face-smile

Switch: HPE 1920 24G L3
Router: Fritzbox 7490 im Versuchsaufbau im Scharfen betrieb nachher den Standard Kabelrouter von Kabel Deutschland.
OK. Reicht fürs erste...

Der Testaufbau:
[gekürzt]
Danach noch die Wohnungen 103-120 in gleicher Einrichtung
(Im versuch noch nicht eingestellt) lediglich VLAN 2;101;102 sind fertig:
OK.wie viele Devices werden es am Ende sein. Denn der Switch hat ja auch nur eine begrenzte Switching-Kapazität...

in der Rubrik IPv4 Routing habe ich die Default Route IP 0.0.0.0 NM 0.0.0.0 NextHop 192.168.178.1 eingestellt.
192.168.178.1/24 ist die IP des Routers.
Passt

Im Router habe ich die Rückroute IP 192.168.0.0 NM 255.255.0.0 Ziel 192.168.178.2 eingestellt.
Dein Screenshot zeigt aber, dass die Rückroute an der Fritzbox auf eine 192.168.178.199 verweist. Ist das gewollt?
Zudem: Bin mir nicht sicher, ob das so sauber klappt... Du gibst hier ein goßes Netz an, Am Ende wirst du ja aber 22 kleinere Netze haben.
Hast du das mal exemplarisch nur mit dem 101er Netz probiert?
Also: 192.168.101.0 | 255.255.255.0 | 192.168.178.2

Ich kann jetzt mit meinen Rechner 192.168.101.5 im VLAN 101 die 192.168.178.2 pingen aber die 192.168.178.1 nicht.
Somit habe ich auch kein Internet.
OK, das Routing VLAN-übergreifend funktioniert also schon mal. Ich nehme mal an, dass ein Ping (ICMP-Paket) auch bis zur Fritzbox durch kommt, aber das Antwort-Paket nicht den Weg zurück findet.

Ich hoffe ich habe verständlich gemacht wie der Aufbau ist.
Banales Szenario
Ich hoffe der Fehler ist nicht so tragisch wie der Switch kann das nicht oder so weiter.
Können tut der Das, ob die Performance aber im Endausbau ausreicht... auch bzgl. der Fritzbox. Hängt halt davon ab, was und wieviel geroutet werden muss.

Ich nehme mal an, die Netze dürfen untereinander nicht zugreifen (du sprachest von 20 Wohnungen, was nach Hochhaus oder pension oder sowas klingt? Wenn dem so ist, solltest du das Thema ACL am Switch noch prüfen (aber erst, wenn dein Routing klappt face-smile).
Alle Netze dürfen dabei in das 2er VLAN (und natürlich auch umgekehrt), aber die Netze 101 bis 120 natürlich nicht gegenseitig...
Mitglied: em-pie
em-pie 13.02.2017 aktualisiert um 20:34:29 Uhr
Goto Top
Nachtrag (bewusst nicht als Edit)

Mir fällt auf, dass du mit dem Begriff tagged und untagged noch nicht klar kommst.


VLAN 2 an Port 23: 192.168.178.2/24 Uplink ins Internet
Untagged: Port 23
Tagged Port 1-20

VLAN 101 an Port 1: 192.168.101.1/24 Wohnung 1
Untagged: Port 1
Tagged Port 23

VLAN 102 an Port 2: 192.168.102.1/24 Wohnung 2
Untagged: Port 2
Tagged Port 23


Einen tagged Port benötigts du nur, wenn du über ein physisches Medium mehrere VLANs transportieren willst. z.B. wenn du den Traffic mehrerer VLANs zwischen zwei Switchen austauschen willst.
Einen untagged Port verwendest du immer, wenn am anderen Ende ein "dummes" Gerät angeschlossen ist. i.d.R. ein normaler PC, Drucker, Steuerungen, TVs, ...
Beispiel u.A. bei Thomass-Krenn gut erklärt: http://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

Du musst für dein Szenario also nur mit untagged Ports arbeiten. Die Einstellungen mit den Tagged-Ports kannst du also löschen/ rückgängig machen.
Mitglied: kasimir82
kasimir82 13.02.2017 um 20:47:55 Uhr
Goto Top
Port 2 hat natürlich wie in den Bildern zu sehen die 192.168.178.199 nicht 192.168.178.2
Ich habe es in den Post´s angeglichen.

Ich habe es mit der Statischen Route für VLAN 101 getestet 192.168.101.0 - 255.255.255.0 - 192.168.178.199
Leider kein Internet und kein Ping auf 192.168.178.1 möglich

"Können tut der Das, ob die Performance aber im Endausbau ausreicht... auch bzgl. der Fritzbox. Hängt halt davon ab, was und wieviel geroutet werden muss.

Ich nehme mal an, die Netze dürfen untereinander nicht zugreifen (du sprachest von 20 Wohnungen, was nach Hochhaus oder pension oder sowas klingt? Wenn dem so ist, solltest du das Thema ACL am Switch noch prüfen (aber erst, wenn dein Routing klappt ).
Alle Netze dürfen dabei in das 2er VLAN (und natürlich auch umgekehrt), aber die Netze 101 bis 120 natürlich nicht gegenseitig..."


genau so soll es sein
Objekt ist eine Studentenwohnanlage mit 20 kleinen Wohnungen und jede Wohnung hat einen RJ45 Anschluss.

OK.wie viele Devices werden es am Ende sein. Denn der Switch hat ja auch nur eine begrenzte Switching-Kapazität...
Anzahl der Devices kann ich nicht sagen. Ich gehe von 1 Device pro Wohnung aus.
wenn sie in der Wohnungen Zwilche einbauen kann ich es wohl nicht verhindern.
Mitglied: kasimir82
kasimir82 13.02.2017 um 20:51:18 Uhr
Goto Top
Das ist schonmal eine große Hilfe.
Dann habe ich das wohl falsch verstanden.

Für die 3 VLANS

VLAN 2 an Port 23: 192.168.178.2/24 Uplink ins Internet
Untagged: Port 1-20 und 23

VLAN 101 an Port 1: 192.168.101.1/24 Wohnung 1
Untagged: Port 1 und 23

VLAN 102 an Port 2: 192.168.102.1/24 Wohnung 2
Untagged: Port 2 und 23

ist das Richtig ?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 13.02.2017 um 20:52:55 Uhr
Goto Top
Zitat von @kasimir82:

Für das Routing auf dem Switch und auf dem Router habe ich im Anfangstext Screenshots eingefügt.

Das macht einiges klarer

Was war an dem Aufbau nicht verständlich?

Deien beschreibung re VLANs, Du hast sowhl tagged als auc huntagged durceinandergeworfen, so das nicht ganz klar war, was Du machen willst.

Es werden insgesamt 20 VLANS also jeder Port sein eigenes.
Beginnend mit der 192.168.101.0/24 Port1 - 192.168.120.0/24 Port20
Sie sollen sich untereinander nicht sehen. Deswegen die VLANS

o.k.


Auf Port 23 mit der 192.168.178.199 Ist der Uplink zur FritzBox 7490 mit der 192.168.178.1

Und was hängt hinet r192.168.178.2, die Du anpingen kannst?

Mach mal ein tcpdump auf der fritzbox und schau, ob die Pakete ankomen udn beantwortet werden.

Der Switch sollte Routen können wenn ich Routen eintragen kann.

Würde ich jetz mal nicht per se annehmen. Aber kann man als Arbeisthypothese stehen lassen. (ich kenn den HP-switch nicht).

lks
Mitglied: em-pie
Lösung em-pie 13.02.2017 aktualisiert um 21:09:50 Uhr
Goto Top
Du scheinst die Thematik VLAN noch nicht verstanden zu haben:

Nochmal von vorne: setz mal die Switch-Config zurück und dann geht es wie folgt weiter:

Ein untagged Port kann nur in einem VLAN (mit Netgear kann man das auch anders, aber das ist... Mist) stehen
Mit deinem Vorhaben, das VLAN 2 an allen Ports (Ausnahme Port 22 und 24) anzulegen, gibst du jedem der Studentenwohnungen direkten Zugriff auf das VLAN 2. Das Willst du ja aber gar nicht. In deinem VLAN 2 steckt ja nur die Fritzbox. Und auch nur dieser Port kommt in das VLAN (von mir aus in Port 24)
  • Das VLAN 101 setzt du untagged auf Port 1
  • Das VLAN 102 setzt du untagged auf Port 2
  • Das VLAN 103 setzt du untagged auf Port 3
  • ...
  • Das VLAN 120 setzt du untagged auf Port 20
Fertig.

Dann gibst du jedem VLAN eine IP
  • VLAN 2 die 192.168.178.254 /24 (Fehler korrigiert)
  • VLAN 101 die 192.168.101.254 /24
  • VLAN 102 die 192.168.102.254 /24
  • VLAN 103 die 192.168.103.254 /24
  • ...
  • VLAN 120 die 192.168.120.254 /24
Ab hier kann der HP bereits routen, ohne dass du selbst Routen eingetragen hast!
Ich selbst verwende ganz gerne immer die 254 für Switche, die zum Routen in dem jeweiligen VLAN verwendet werden und eine 1 für die Firewall/ den Router in das große weite Netz

Dann gehst du auf die FritzBox und richtest dort eine Route (oder halt mehrere Routen) ein:
192.168.0.0 | 255.255.128.0 | 192.168.178.254
Somit werden alle Pakete, die zwischen 192.168.0.0 und 192.168.127.255 liegen auf den Switch verwiesen.

Nun noch auf dem Switch eine Default-Route einrichten:
0.0.0.0 | 0.0.0.0 | 192.168.178.1

Ab hier sollten dann Pakete von den einzelnen VLANs zur FritzBox kommen und von der FritzBox auch wieder zurück
### Bisher können aber noch alle Netze untereinander zugreifen ###
Mitglied: aqui
aqui 13.02.2017 um 21:04:48 Uhr
Goto Top
Also bitte nicht gleich böse rumhacken.
Nein, wir sind alle ganz lieb hier face-smile
Du hast alles soweit richtig gemacht. Default Route auf dem Switch stimmt und auch die Summary Route aller 192.168er Netze auf den Switch im VLAN 2. Dein VLAN 2 ist ja dein Koppelnetz vom Switch ins Internet.
Dieser Thread hier beschreibt diese Schritte exakt so wie du sie ja auch umgesetzt hast:
Verständnissproblem Routing mit SG300-28

Man kann also hier nur vermuten das der HP Billigswitch nicht routet. Der 1920 ist auch das Gruseligste am untersten Ende sollte aber dennoch solche babalen Grundfunktionen können.
Hier steht wie es richtig geht:
https://vmfocus.com/2012/09/26/how-to-configure-layer-3-static-routes-vl ...
HP 1920 VLAN Layer3 Internetzugang über Firewall

Die Frage ist in der Tat was die Tagged Ports 1-20 für das VLAN auf dem Switch sollen ?? Eigentlich Unsinn, denn der Switch soll ja routen zw. den VLANs oder soll er das nicht ?
Im Grunde ist dein Konzept nicht klar, deshalb kann man auch nicht wirklich sagen wie der richtige Weg aussieht.
Es sieht ein bischen danach aus als ob du einen zentralen Intrernetzugang für verschiedenen Wohnungen realisierne willst.
Dafür ist den Vorgehen, Konzept und die HW komplett falsch. Aber das ist jetzt nur geraten.
Hilfreich wäre wenn du mal kurz skizzierst was dein Vorhebane und Design ist.
Mitglied: aqui
aqui 13.02.2017 aktualisiert um 21:32:34 Uhr
Goto Top
Strategisch vorgehen...!
  • Erstmal vom Client die lokale Switch IP pingen im VLAN des Clients
  • Dann mal das VLAN IP Interface des Switches in einem anderen VLAN pingen
  • Diese beiden Tests müssen gehen sonst routet der Switch nicht !
  • Klappt das, dann das Switch IP Interface im VLAN 2 pingen 192.168.178.199
  • Auch das muss klappen, denn dann routet nur der Switch erstmal. Router ist außen vor.
  • Ist das alles erfolgreich muss auch ein Ping des Routers funktionieren.
Traceroute (tracert) und Pathping sind immer deine Freunde. Da wo es nicht mehr weitergeht ist auch der Fehler...
Testweise kannst du statt des Routers mal einen Laptop mit der gleichen IP anklemmen.
Hier kannst du dann mit tcpdump oder Wireshark sehen ob die Pakete ankommen.
Achtung: Default Route des Laptop auf den Switch mit der IP .199 einstellen !

Ein anderer, kosmetischer Tip noch:
Generell gibt man Routern oder Gateways niemals IP Adressen die in der IP Range mittendrin liegen. Das ist meist kontraproduktiv und erhöht die Gefahr einer Doppelvergabe.
Router und Gateway sollten immer wenn möglich an den obersten oder untersten Rand des IP Netzes verlegt werden. Bei dir und deinen /24er Prefix dann immer die .1 bzw. .254
Macht auch das Management erheblich einfacher. face-wink
Mitglied: kasimir82
kasimir82 13.02.2017 um 22:14:58 Uhr
Goto Top
So alle Einstellungen wie von em-pie beschrieben getätigt.
Wie dir schon klar war komme ich nun ins internet.

Ich werde morgen nochmal alle restlichen Eintragungen vornehmen und mich dann nochmal melden..

Erstmal vielen vielen dank an alle zu der späten Stunde.
Mitglied: em-pie
em-pie 13.02.2017 um 22:30:57 Uhr
Goto Top
Sehr gut face-smile

Manchmal sieht man den Wald vor lauter Bäumen einfach nicht face-wink

Wenn das nun soweit lüppt, wären die nächsten Schritte ja dann ACLs.
Wie sieht das eigentlich mit DHCP aus?
Wer macht das bei dir?

Ich weiss nicht, ob der HP1920 das kann.
Falls der das nicht kann, müsstest du (in Form eines Raspberry) noch einen einbringen, denn die FritzBox kann das für die 20 Netze definitiv nicht.

Du hättest dann zwei Möglichkeiten:
Variante 1: Den Raspberry mittels VLAN und in diesem Fall tagged Ports an den Switch anbinden.
Hier hängt der Raspberry dann in jedem VLAN selbst und kann die DHCP-Anfragen direkt beantworten.
http://community.domotz.com/index.php?/topic/164-how-to-configure-suppo ...

Variante 2: Auf dem Switch DHCP-Ralay aktivieren. Die Clients suchen dann in ihrem eigenen VLAN nach einem DHCP-Server.
Der Switch reicht die Anfrage an DEN DHCP-Server weiter, welcher dann eine IP vorschlägt, an den Switch weiterreicht und dem Client dann bereit stellt.
http://theithollow.com/2015/04/27/setup-dhcp-relay-on-hp-v1910/

Nachteil Variante 1: Aufwendig, wenn mal weitere VLANs hinzu kommen sollten
Nachteil Variante 2: Der Switch muss DHCP-Relay-Agent können.

Den DHCP auf dem Pi selbst richtest du wie folgend z.B. beschrieben ein. Du musst aber für jedes VLAN einen eigenen DHCP-Bereich (DHCP-Scope) einrichten. Sollte aber klappen, denke ich:
https://www.elektronik-kompendium.de/sites/raspberry-pi/2007041.htm
Mitglied: kasimir82
kasimir82 13.02.2017 um 22:33:39 Uhr
Goto Top
Es geht jetzt schon mehr um den Switch oder Lieber einen neuen Thread aufmachen?
Sonst würde ich diesen dankbarer weise auf gelöst setzen.

Switch HPE 1920 wie oben schon beschreiben.

Ich möchte jetzt aber noch das die Benutzer nicht auf das WebInterface des Switches zugreifen können
Das möchte ich wenn dann nur über ein eigens VLAN oder halt Konsole.

Nun kann ich im VLAn Interface den einzelnen VLANS sagen Admin Status Up or Down
Ich glaube aber das es nicht das bedeutet was ich denke.
Bei up komme ich auf das Web Interface des Switches und ins Internet
Bei down geht nichts von beiden.

Dann hatte em-pie das Thema ACL am Switch noch prüfen angeschnitten.
Hättest du eine gute Seite in der ich mich dafür einlesen kann ?
Mitglied: kasimir82
kasimir82 13.02.2017 um 22:54:03 Uhr
Goto Top
Mensch ich bekomme ja schon Antworten wenn ich noch schreibe face-smile

Hallo em-pie, ich hatte angedacht nichts der gleichen zu machen sondern auf jeder Stube eine Ordner zu hinterlegen wo beschrieben ist welche statische IP Adresse Sie sich zulegen sollen.

Ein Bild meiner WebInterface DHCP Einstellungen ist oben beigefügt.

Was benötige ich dann für eine Komponente um einen DHCP server aufzustellen.
Sollte wenn dann sehr klein sein. Es ist kaum platz im Schrank.
Mitglied: em-pie
em-pie 14.02.2017 um 08:53:53 Uhr
Goto Top
Moin,

DHCP würde ich dir sehr stark empfehlen.
Stell dir vor, du hast einen (jm das Klischee mal zu erfüllen) weiblichen Kunststudenten. Wie hoch ist die Wahrscheinlichkeit, dass die sich eine IP irgendwo fest eintragen wird?
Hilfe siehe obigen Post. Der Raspberry Pi kostet inkl. Gehäuse rund 50 € und ist ca. so groß wie eine Zigarettenschachtel...
Zudem der nachträgliche Hinweis: setz da irgendwo WLAN hin. Die Leute wollen alle mit ihren Smartphones etc. ins Internet (um Traffic zu schonen, da studenten)... DU musst dafür keine 20 APs kaufen, wenige APs mit MultiSSID-Funktion reicht da aus

Um das Thema insgesamt zu besprechen, solltest du mal hier die Forensuche benutzen und/oder bei Fragen einen neuen Thread eröffnen

Aber schon mal vorab:
Der Link könnte dir, für das Verständnis her helfen:
DAP-2660 MultiSSID und VLAN Konfiguration

Geeignete APs z.B. die hier
Und hier eine kleine Anleitung

Die Verbindung zwischen AP und Switch wäre dann Tagged auf allen VLANs, die am AP verfügbar sein sollen.
Du musst aber genau schauen, wo du die APs strategisch platzierst. Und ich würde die nicht in den Zimmern unterbringen, der nächste Student benötigt dann mal die Steckdose ums Eck und legt 5 Zimmer lahm...
Mitglied: kasimir82
kasimir82 14.02.2017 um 09:55:52 Uhr
Goto Top
Danke für alles.

Ich werde die Frage als gelöst markieren.
Für weitere Fragen werde ich dann einen neuen Thread eröffnen um hier kein durcheinander rein zu bringen.
Mitglied: aqui
aqui 14.02.2017 aktualisiert um 10:33:24 Uhr
Goto Top
Was benötige ich dann für eine Komponente um einen DHCP server aufzustellen.
Im Zweifel einen 30 Euro Raspberry Pi face-smile
Netzwerk Management Server mit Raspberry Pi
Oft haben aber auch L3 Switches schon DHCP Server gleich mit an Bord. (Cisco SG-300 z.B.) Gut mit der gruseligen HP Gurke hast du vermutlich was Billiges was all das nicht kann. Besser wäre da gewesen vorher mal drüber nachzudenken. Aber der RasPi löst dein Problem im Handumdrehen....und das sogar in einer Deluxe VLAN Konfig mit DHCP Relay als zentraler DHCP Server für alle Segmente face-wink
Mitglied: kasimir82
kasimir82 14.02.2017 aktualisiert um 14:17:07 Uhr
Goto Top
Ich habe da mal einen rausgesucht. CISCO Small Business SRW2024-K9-EU - SG 300-28

Den Gibt es natürlich auch in teuer und ganz teuer Unterschiede die ich auf die schnelle sehen kann sind PoE

Reicht der günstige und gibt es andere Gravierende Unterschiede?