Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall nicht erreichbar

Frage Netzwerke LAN, WAN, Wireless

Mitglied: lattenlui

lattenlui (Level 1) - Jetzt verbinden

29.04.2014, aktualisiert 30.04.2014, 2149 Aufrufe, 8 Kommentare

Hallo!

Ich habe mal wieder ein kleines Problem:

Ich habe die VLAN 4,5 und 6.

Zu jedem VLAN habe ich ein Subnetz:
10.10.4.1
10.10.5.1 (Server)
10.10.6.1 (PC)

Jedes Subnetz hat wieder sein eigenes Standard GW:
10.10.4.200
10.10.5.200
10.10.6.200

Alle Standard GW werden dann zum Router mit der IP 10.10.6.222 geroutet. Diesen Router will ich nun durch eine Sonicwall ersetzen. Ich habe jetzt meine neue Firewall zu Testzwecken mit der IP 10.10.6.223 konfiguriert. Aus dem PC Netz 10.10.6.1/24 kann ich auf die Firewall zugreifen; aus dem Server Netz 10.10.5.1/24 kann ich nicht drauf zugreifen. Da ich aber vom Server Netz auf andere Geräte im PC Netz (am selben Switch Port!) Zugriff habe, schließe ich ein VLAN Problem eigentlich schon mal aus.

Ich habe folgendes in Verdacht: Der alte Cisco Router muss auf dem LAN Interface ein VLAN konfiguriert haben. Leider sehe ich das unter "show running config" nicht. Ich habe auf der Sonicwall schon ein virtuelles Interface mit den jeweiligen VLAN IDs angelegt (unassigned, LAN Interface als parent) und komme trotzdem nicht drauf. Es kann für mich nur an der Sonicwall liegen, aber ich finde einfach diesen blöden Fehler nicht... Ich verstehe an dieser Stelle auch das Handbuch nicht. Wenn ich statt "unassigned" "static" nehme muss ich eine IP setzen. Die kann ja nicht im gleichen Netz sein wie das LAN Interface. Muss ich dann vom LAN Int. ins VLAN routen???

Ich bin für jede Hilfe dankbar...

Gruß
Mitglied: Dani
29.04.2014 um 13:35 Uhr
Hallo,
Diesen Router will ich nun durch eine Sonicwall ersetzen.
Glückwunsch!

Bitte poste doch eine grobe Skizze wie was miteinander verbunden ist und wo welche IP-Adresse verwendet wird.
Ich sehe das aktuell ähnlich wie du, aber genaueres so zusagen ist schwer/unmöglich.


Grüße,
Dani
Bitte warten ..
Mitglied: lattenlui
29.04.2014, aktualisiert um 15:36 Uhr
Hallo Dani,

anbei eine grobe Zeichnung. (wirklich grob...)
11b81bcf003243637dd2442e7730c3e1 - Klicke auf das Bild, um es zu vergrößern

Das ist die Konfiguration der Ports:
01.
interface GigabitEthernet1/0/1 
02.
 description Router 
03.
 switchport access vlan 6 
04.
 switchport mode access 
05.
 speed 100 
06.
 duplex full 
07.
 srr-queue bandwidth share 10 10 60 20 
08.
 srr-queue bandwidth shape  10  0  0  0 
09.
 queue-set 2 
10.
 mls qos trust cos 
11.
 auto qos voip trust
Beide Ports (Router & Sonicwall) sind gleich konfiguriert. Ich habe in der Zeichnung mal die USV reingesetzt. Diese kann ich erreichen. Wenn ich jetzt die Sonicwall auf den Port der USV setze komme ich trotzdem nicht drauf. Und bei der USV sind keine VLANs konfiguriert...

Ich seh' den Wald vor lauter Bäumen nicht...
Bitte warten ..
Mitglied: Dani
29.04.2014 um 15:40 Uhr
Noch Eine Frage:
Jedes Subnetz hat wieder sein eigenes Standard GW:
10.10.4.200
10.10.5.200
10.10.6.200
Welches Gerät in der Grafik hat diese IP-Adressen?
Bitte warten ..
Mitglied: lattenlui
29.04.2014 um 15:49 Uhr
Hallo,

die IP Adressen hat der Switch auf den jeweiligen VLAN Interfaces. Hier mal die Konfigurationen der Interfaces:

interface Vlan4
description open
ip address 10.10.4.200 255.255.255.0
ip helper-address 10.10.5.1
no ip redirects
no ip route-cache cef
no ip route-cache
!
interface Vlan5
description server
ip address 10.10.5.200 255.255.255.0
ip helper-address 10.10.5.1
no ip redirects
no ip route-cache cef
no ip route-cache
!
interface Vlan6
description pcs
ip address 10.10.6.200 255.255.255.0
ip helper-address 10.10.5.1
no ip redirects
no ip route-cache cef
no ip route-cache


10.10.5.1 ist mein DHCP Server.
Bitte warten ..
Mitglied: aqui
LÖSUNG 29.04.2014, aktualisiert 30.04.2014
Auf dem Server VLAN 10.10.5.0 eine Helper IP Adresse im gleichen VLAN zu konfigurieren ist Blödsinn und eher ein Indiz dafür das da einer nicht verstanden hat was Helper IPs eigentlich sind ??
Die solltest du mit einem "no" also besser wieder entfernen !

Die obige Switch Konfig ist richtig so ! Der Switch MUSS noch eine Default Route ala:
ip route 0.0.0.0 0.0.0.0 10.10.6.222

eingestellt haben das ist klar. Oder alternativ eben auf deine .223 wenn du deine Firewall testen willst ! Ein "show ip route" zeigt dir das Routing !
Du schreibst:
Der alte Cisco Router muss auf dem LAN Interface ein VLAN konfiguriert haben. Leider sehe ich das unter "show running config" nicht.
Das ist aber Unsinn, wenn du mit "show run" KEINE solche 802.1q Subinterfaces dort siehst, dann gibt es auch kein VLAN Routing auf dem Router. Wäre nebenbei ja auch Blödsinn, denn du hast ja ein VLAN IP Adressing auf dem Switch !
Der Switch ist also hier der Router zwischen den VLANs und hat als Default Route dann den Internet Router oder deine Firewall.
Der Internet Router muss also gar keine VLANs haben...wozu auch ??
Nutze immer Traceroute oder Pathping (letzteres nur Winblows) um Paket Wege im Netzwerk sichtbar zu machen ! Traceroute zeigt dir immer wo ein Fehler ist im Routing. Vermutlich ist es hier aber gar kein Routing Problem, denn du hast es ja jetzt mit einer Firewall statt einem Router zu tun und da ist die IP Welt schon etwas anders.....

Wenn die Firewall diesen Traffic nicht zulässt hast du schlicht und einfach eine Regel vergessen !!
Bedenke: Auf einer Firewall ist GRUNDSÄTZLICH ALLES verboten was nicht explizit erlaubt ist. Beim Router ist das nicht so, dort ist alles erlaubt.
Wenn also das Firewall LAN Segment im Netzwerk 10.10.5.0 mit der .223 ist, dann nimmt sie vermutlich Pakete mit einer Absender IP aus diesem Netzwerk an. Keinesfalls aber IP Adressen mit Absender IP Adressen aus den Netzwerken 10.10.4.0 oder 10.10.5.0 wenn du dazu nicht auch zusätzlich eine entsprechende Firewall Regel am LAN Port erstellt hast !!
Vermutlich hast du hier also schlicht und einfach nur ein Firewall Problem aber kein Routing Problem....wie so oft ?!
Bitte warten ..
Mitglied: Dani
LÖSUNG 29.04.2014, aktualisiert 30.04.2014
@aqui
Bedenke: Auf einer Firewall ist GRUNDSÄTZLICH ALLES verboten was nicht explizit erlaubt ist.
Bei einer Sonicwall so leider nicht. Beim Interface anlegen gibt es die option "Trust Networks" und wenn diese Haken gesetzt ist, ist das Regelwerk offnen.


Grüße,
Dani
Bitte warten ..
Mitglied: sk
LÖSUNG 29.04.2014, aktualisiert 30.04.2014
Zitat von lattenlui:

Aus dem PC Netz 10.10.6.1/24 kann ich auf die Firewall zugreifen; aus dem Server Netz 10.10.5.1/24 kann ich nicht drauf zugreifen.
Da ich aber vom Server Netz auf andere Geräte im PC Netz (am selben Switch Port!) Zugriff habe, schließe ich ein VLAN Problem
eigentlich schon mal aus.

Du hast vermutlich vergessen, auf der Firewall die Rückrouten für das 4er und 5er Netz zu setzen!

Gruß
sk
Bitte warten ..
Mitglied: lattenlui
30.04.2014 um 08:54 Uhr
Vielen Dank für eure Hilfe!

Es lag an der fehlenden Route: Ich habe erst ein "Address Object" mit dem Bereich des 5er VLAN angelegt und dann das Routing dafür eingerichtet. Ich musste noch RIP auf enabled setzen und nun komme ich aus den anderen Netzen drauf

Danke nochmal allen Helfern!!!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (4)

Frage von Aubanan zum Thema Windows Server ...

Router & Routing
gelöst Fritzbox am FTTx-Anschluss ganz ohne Firewall ? (3)

Frage von Dilbert-MD zum Thema Router & Routing ...

Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...