pabbajay
Goto Top

Komme aus Vlan nicht ins Internet. Layer 3 Switch und Lancom Router

Hallo zusammen,

ich bin neu hier (in Firma ubd Forum) und noch unerfahren was VLAN Netzwerke angeht. Ich habe bei uns in der Firma einen HP A5500 EI Layer 3 Switch bekommen um zusätzlich VLAN Netzwerke einrichten zu können.
Für diesen habe ich aktuell über Putty und Web Interface das VLAN 1 und ein VLAN 50 eingerichtet.
Für diese habe ich ein VLAN Interface angelegt damit diese miteinander kommunizieren können.
(Dies ist Aktuell noch so gewünscht.)
Ports entsprechend eingerichtet und den Aktuellen Vlans zugewiesen.
Es Funktioniert soweit alles bis auf die Möglichkeit mit Vlan 50 auf das Internet zuzugreifen.

Aktuelle Konfiguration:
Vlan 1 Interface 192.168.51.99 (diese habe ich als GW bei angeschlossenen clienten eingetragen)
Vlan 50 Interface 10.10.50.254 (ebenfalls GW für clienten)
Router IP: 192.168.51.254 LANCOM 1721 VPN (Annex B)
Route im L3 Switch eingerichtet 0.0.0.0 mask 0.0.0 next hop 192.168.51.254 (für Internet)

Ich habe festgestellt wenn ich diese Route:
IP 255.255.255.255 Netmask 0.0.0.0 an T-DSL
Deaktiviere, komme ich ohne Probleme aus dem Vlan 50 auf den Router.
Wenn ich diese deaktiviere habe ich allerdings kein Internet mehr!
Diese scheint zwingend erforderlich zu sein. Eine Solche Route habe ich noch nie gesehen und bin mir Ihrer Bedeutung leider nicht bewusst.
Was kann ich tun um vom Vlan 50 auf das Internet und andere Geräte zuzugreifen?
Bitte verzweifelt um Hilfe.

Beste Grüße
Pabba Jay

Content-Key: 251847

Url: https://administrator.de/contentid/251847

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: seltsam
seltsam 14.10.2014 um 09:56:05 Uhr
Goto Top
N bissl was an Angaben fehlt noch.

Sind die VLANS tagged?
Kennt Dein Router die VLANS auch?
Subnetze der (V)LANS ?
Hast mal n Traceroute aus dem VLAN 50 gemacht (vielleicht sogar vom Switch, um zu sehen wo es hängt)?

Gruß aus Berlin
Seltsam
Mitglied: PabbaJay
PabbaJay 14.10.2014 um 10:20:16 Uhr
Goto Top
Hallo,

die Ports für die Vlans sind untagged da sich zwischen Router und dem neuen Layer3 Switch noch 2 dumme Switches und einige Räume befinden.
Auch die Geräte die angebunden werden sollen, sind nicht Vlan fähig.
Am Vlan1 hängen die dummen Switches da die dort verbundenen Geräte sich alle im 192.168.51.0 Netzwerk befinden.
Vom PC am Vlan 50 kann ich weder Router noch Internet erreichen.
Vom Switch selbst kann ich den Router und und alle dahinter befindlichen Geräte erreichen da der Switch selbst ja auch im Vlan1 arbeitet.
Vom Switch sieht Traceroute wie folgt aus:

traceroute to 192.168.51.254(192.168.51.254) 30 hops max,40 bytes packet
1 192.168.51.254 2 ms 1 ms 2 ms

Wenn ich diese Seltsame Route in den Router eintrage:
IP 10.10.50.0 mask 255.255.255.0 an 255.255.255.255
Komme ich vom Vlan50 auf den Router, aber zu keinem anderen Gerät inklusive Internet.
Geräte die direkt am Layer 3 hängen können untereinander Kommunizieren und angepingt werden.

Gruß Pabba Jay
Mitglied: seltsam
Lösung seltsam 14.10.2014, aktualisiert am 24.10.2014 um 16:02:59 Uhr
Goto Top
Du hast also ein komplettes Segment mittels VLAN seperiert.
Du trennst also auf OSI Layer 2.

ich gehe davon aus, dass Du nur einen Uplink zum LC Router hast.
Der vermittel auf Layer 2 untagged alle Datenpakete für VLAN1.
Die Pakete aus VLAN 50 kommen dort nicht an,sie müssen erst auf Layer 3 zusammengeführt werden.
Das würde ich den Lancom erledigen lassen.

Folgendes Setup würde ich vorschlagen:
BACKUPS der KONFIGURATIONEN MACHEN !!!

Ein Uplink am HP Switch programmieren und gegenüber am Lancom das selbe.

VLAN 1 Tagged an Uplink lancom (alternativ untagged auf beiden Geräten)
VLAN 50 Tagged an Uplink Lancom

LANCOM konfigurieren:
VLANS einrichten (Lanconfig: Schnittstellen. VLAN Modul aktivieren; vlan-tabelle einrichten, Port-Tabelle: Lanzuordnung einrichten, je nach Interface und Modus gemischt.)
Netzwerke einrichten (im Lanconfig über IPv4, IP Netzwerke mit dazugehöriger IP, beide auf dem selben IFC ankommen lassen, VLAN Tag nicht vergessen)
IPv4 Routing Tabelle einrichten für VLAN 50
Firewall einrichten und Verkehr regeln (dazu musst du dann noch Stationsobjekte anlegen, die auf die Netze referenzieren)

Das sollte so in etwa klappen, wenn ich nichts vergessen habe.

Grüße aus berlin.
Mitglied: PabbaJay
PabbaJay 14.10.2014 um 13:40:49 Uhr
Goto Top
In der Aktuellen Konfiguration übernimmt doch mein HP A5500EI Layer 3 Switch das Zusammenführen der Vlans.
Dort habe ich die Interfaces angelegt und das Routing zwischen ihnen aktiv.
Deaktiviere ich im Lancom die besagte Route dann kommt das Vlan 50 ja auch dort an.
Dies bedeutet doch, das Routing auf dem Layer 3 Switch funktioniert. Oder?
Am Lancom selbst kann ich nicht so viel Experimentieren. Da dieser dringend ununterbrochen für die Produktion benötigt wird.
Deshalb wollte ich dies ja über den Layer 3 abwickeln.
Bei einem Test mit aktiviertem Vlan auf dem Router konnte ich diesen weder tagged noch untagged erreichen, daher wollte ich vermeiden die Vlan Funktion des Routers auch mit ins Spiel zu bringen.
Entschuldige wenn ich einiges nochmal hinterfragen muss.
Mitglied: seltsam
Lösung seltsam 14.10.2014, aktualisiert am 24.10.2014 um 16:02:52 Uhr
Goto Top
Naja, kann man so machen.
Ich schätze mal, dass dem Lancom die Rückroute / Netzwerk nicht bekannt ist und die Pakete daher nicht zurück kommen.
Mach mal nen Lantrace um zu schauen, was am Lancom ankommt.
Du musst dem Lacom sagen, welche Route benutzt werden muss, also ein IP Netz und einen Router angeben.
Gegebenenfalls die Firewall anpassen und den Traffic regeln.
Ich würds an Deiner Stelle den Lancom machen lassen, der kann das und so hast Du es schön an einer Stelle.

255.255.255.255 0.0.0.0 ist deine Default Route in das Internet, das lass mal so wie es ist.
Mitglied: PabbaJay
PabbaJay 14.10.2014 um 16:42:25 Uhr
Goto Top
Mir bleibt aktuell leider keine andere Wahl als es über den Layer 3 zu bewerkstelligen. (Zumal er dafür angeschafft wurde)
Du hast mich auf ein paar Denkansätze gebracht. Ich habe dem Lancom unter TCP/IP jetzt die Adresse des Vlan 50 Interfaces 10.10.50.254 eingetragen und komme nun aus dem Vlan50 auf das Webinterface des Routers 192.168.51.254.
Ins Internet komme ich leider trotzdem nicht.
Ich habe folgenden Rückrouten ohne Ergebnis eingetragen:
IP 10.10.0.0 Mask 255.255.0.0 An, sticky für RIP 10.10.50.254 (Interface Vlan 50)
IP 192.168.0.0 Mask 255.255.0.0 An, sticky für RIP 192.168.51.99 (Interface Vlan 1)
Keine der rückrouten hatte Auswirkungen. Was habe ich falsch gemacht.

Gruß Pabba Jay
Mitglied: seltsam
Lösung seltsam 15.10.2014, aktualisiert am 24.10.2014 um 16:02:44 Uhr
Goto Top
Moin,

ist die Firewall des Lancom aktiv?
Ich hoffe für euch, ja, zumoindest wenn der LANCOm Das Gateway ist (welches Modell ist es denn?)...

Du kannst bei Lancom komplett regelbasiert routen. Bedeutet auch, dass Du die Firewall konfigurieren musst.
Also eine Regel wie beispielsweise " Netzwerk a darf ins Internet" "Netzwerk a darf ins Netzwerk B". Hierbei die Dienste festlegen, alss http, https, fpt, DNS...
Ach ja, DNS!!!
Welche DNS Server gibst Du den Clients in VLAN 50 an? Ohne DNS wird das nix.
Also, prüfe ob und welcher DNS Server aus dem VLAN 50 konfiguriert ist und ob dieser erreichbar ist und die Namensauflösung durchführen kann.
Ist er innerhalb des VLAN 50 und kommt nicht ins Internet, dann klappts nicht. Dann solltest Du entweder den LANCOM als DNS Server angeben oder ihn auf deinem DNS im VLAN 50 als DNS Server angeben, damit ordentlich aufgelöst werden kann.

Viele Erfolg!

Seltsam
Mitglied: aqui
aqui 15.10.2014 um 16:17:00 Uhr
Goto Top
Dieses Forumstutorial sollte ebenfalls helfen das zu fixen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Den externen Router denkst du dir dabei weg weil das dein Switch macht.
Häufig wird vergessen eine Default Route auf dem L3 Switch auf den Router einzutragen !
Mitglied: PabbaJay
PabbaJay 17.10.2014 um 12:30:21 Uhr
Goto Top
Hallo,

ich weiß leider aktuell nicht an welcher Stelle ich nach dem Fehler suchen soll.
Über deine Tutorials bin ich schon des öfteren gestolpert. Ich habe in den letzten Wochen kaum etwas anderes als diese und diverse englische, gelesen.
Die defalt Route im L3 Switch habe ich wie beschrieben eingerichtet "0.0.0.0 mask 0.0.0 next hop 192.168.51.254 (für Internet)"
dies müsste doch soweit korrekt sein.
Als DNS habe ich bereits unseren DNS Server und den Router eingetragen.
Die Firewall des Routers habe ich zu Testzwecken auch schon kurz deaktiviert, leider ohne Ergebnis.
Ich komme einfach nicht über den Router hinaus.Auch andere Geräte wie Drucker kann ich aus dem Subnetz nicht erreichen.
Als wenn der Router dieses aussperrt obwohl ich das Netzwerk mittlerweile eingetragen habe.
Ich bitte um Nachsicht.

Gruß Jay
Mitglied: PabbaJay
PabbaJay 20.10.2014 um 10:00:40 Uhr
Goto Top
Hallo,

update zur vorhanden Konfiguration.
Ich habe das IP Netz des Vlan 50 erneut im Lancom angelegt. Firewall Regel angelegt und Stationsnamen bei DNS eingetragen.
Zum Testen habe ich den Clienten aus dem Vlan 50 direkt mit dem Netzwerk (ohne Layer3 Switch) verbunden und einen verbogenen Gateway zum Router (192.168.51.254) eingetragen.
Damit komme ich Online, die heißt doch der Router lässt das Subnetz jetzt zu.
Wenn ich jetzt mit dem Clienten wieder an den HP A5500EI Layer 3 Switch gehe und als Gateway des Clienten wieder das Vlan Interface (10.10.50.254) angebe,
dann komme ich nicht mehr Online.(Den Router kann ich aber aus dem 10.10.50.0 Netzwerk erreichen)
Mit den angeschlossenen Geräten am Layer 3 im Netzwerk 192.168.51.0 (als GW: VLAN1 Interface 192.168.51.99) , komme ich problemlos über den Layer3 online.
Ich hoffe das diese Ergebnisse dazu beitragen das Ihr mir bei der Lösungssuche zu helfen.


Gruß Jay
Mitglied: seltsam
Lösung seltsam 21.10.2014, aktualisiert am 24.10.2014 um 16:02:35 Uhr
Goto Top
Moin Jay,

sorry, ich finde Deine Angaben n bissl ungenau.
Was ist z. B. ein verbogenes Gateway?
Ein Schema wäre hilfreich oder Konfigurationsauszüge.
Hast Du mal einen Trace gemacht, mit Wireshark oder am Lancom mit LANTrace ?
Das kann Dir viel zeigen.
Möglicherweise sind die Interfaces falsch konfiguriert, oder DNS nicht richtig konfiguriert.
Funktioniert DNS?
Versuch mal aus dem VLAN 50 nen Ping auf Heise.de, da müsste 193.99.144.80 antworten, dann versuch mal ob Du heise über die IP Adresse aus dem VLAN 50 erreichst.
Wenn das klappt, ist DNS falsch konfiguriert. Das müsstest Du dann vermutlich am LANCOM an der Firewall einstellen.
Aber wie gesagt, ohne genaue Kenntnisse zur Konfiguration raten wir hier nur.

Gruß aus Berlin

Seltsam
Mitglied: aqui
Lösung aqui 21.10.2014, aktualisiert am 24.10.2014 um 16:02:27 Uhr
Goto Top
"0.0.0.0 mask 0.0.0 next hop 192.168.51.254 (für Internet)"
Da ist schon der erste Fehler !
Richtig muss die Route lauten: "0.0.0.0 mask 0.0.0.0 next hop 192.168.51.254"
Hast du auf dem Lancom zusätzlich die statische Route für das VLAN 50 konfiguriert ??
"10.10.50.0 mask 255.255.255.0 next hop 192.168.51.99"
Das ist zwingend notwending damit das Routing sauber funktioniert (Siehe VLAN Tutorial !)
Mitglied: PabbaJay
PabbaJay 23.10.2014 um 09:49:15 Uhr
Goto Top
Hallo,

bei der genannten Route (für Internet) habe ich mich hier verschrieben. Im Layer3 steht sie korrekt, ohne komme ich ja aus beiden Netzen nicht auf den Router.
Beim Lancom habe ich auch die von aqui genannte Route eingetragen. Leider ohne Ergebnis.
Und auch bei deaktivierter Firewall ist es mir leider nach wie vor nicht möglich aus dem Vlan 50 auf das Internet zuzugreifen.
Mitglied: aqui
Lösung aqui 23.10.2014, aktualisiert am 24.10.2014 um 16:02:24 Uhr
Goto Top
Kannst du denn aus dem VLAN 50 mit einem Client die LAN IP Adresse des Internet Routers 192.168.51.254 anpingen ??
Wenn das klappt hast du dann mal versucht eine nackte IP Adresse im Internet zu pingen wie z.B. 8.8.8.8 ?
Klappt das auch ?
Das wäre ja erstmal der sinnvollste Troubleshooting Schritt um zu sehen ob das interne Routing klappt !
Mitglied: PabbaJay
PabbaJay 23.10.2014 um 11:52:00 Uhr
Goto Top
Ich kann aus dem Vlan 50 ohne Probleme den Router anpingen (komme auch auf das Webinterface).
Auch das Pingen vom Vlan50 an Clients aus dem Vlan1, die am Layer 3 hängen, klappt wunderbar.
Daher nahm ich an das das Routing kein Problem darstellt.
Das anpingen an andere Clienten die nicht direkt mit dem Layer 3 verbunden sind klappt nicht vom Vlan 50 aus. Dies gelingt nur mit clients aus dem Vlan 1.
Auch der Versuch an eine nackte IP endet mit kompletten Paketverlust.
(Mit nackter IP meinst du sicher eine nicht vergebene IP oder?)
Mitglied: aqui
Lösung aqui 23.10.2014 aktualisiert um 13:37:04 Uhr
Goto Top
Das anpingen an andere Clienten die nicht direkt mit dem Layer 3 verbunden sind
WIE sind diese denn verbunden und WO sind diese "anderen Clients" ?
Fakt ist das diese "anderen Clients" ganz sicher ein anderen Gateway Eintrag haben auf einen Router (Gateway) der NICHT oder keine Route ins VLAN 50 IP Netz eingetragen hat ! Oder.... dessen Firewall Verbindungen aus fremden IP Netzen (nämlich dem VLAN 50) blocken und nicht zulassen.
Das ist zu 98% in soclehn Fällen der Grund !

Was das Internet anbetrifft ist es möglich das der Lancom einzig nur IP Adress Translation (NAT) ins Internet für das IP netz aus VLAN 1 macht und die NAT Regel eben nicht gilt für das IP Netz in VLAN 50.
Somit werden dann die IP Clientadressen von VLAN 50 nicht geNATet und dann klappt die Internet Verbindung natürlich nicht !
Bei besseren Routern wie z.B. Cisco oder vermutlich auch dem Lancom ist das so.
Ich bin jetzt nicht der Lancom Spezi und kann das nicht beurteilen aber das dürfte mit ein Grund sein.
Alle diese Optionen musst du wasserdicht überprüfen.
Nutze dazu auch immer Traceroute (tracert) oder Pathping.
Mitglied: PabbaJay
PabbaJay 23.10.2014 um 13:32:10 Uhr
Goto Top
Das habe ich bisher nicht bedacht. Der Gateway des Vlan 50 ist ja ein anderer.
Die anderen Clienten sind im Laufenden Netzwerk an normalen Switches angeschlossen und deren Gateway läuft auf unseren Router (192.168.51.254).
Ich hatte die Hoffnung das der Router zwischen ihnen vermittelt wenn ihm die Adressen des Layer 3 bekannt sind und die Route wieder auf die 192.168.51.99 vom Vlan Interface 1 zurückläuft.
Habe zum test eben den Gateway auf einen Clienten der hinter mehreren normalen und Layer2 switches hängt auf die 192.168.51.99 gestellt und alles flutscht.
Diesen Aufbau kann ich leider nicht ändern und die neu eingebundenen Geräte am Layer 3 sollen aber teilweise mit denen im vorhandenen Netz kommunizieren.
Ist es in dieser Konstellation erforderlich die Gateways aller anderen Clienten auf das Vlan 1 (192.168.51.99) zu setzen?
Oder kann man diese Problematik über eine Route zu lösen? Wenn ja, an welchem Gerät würde ich diese eintragen?

Ich schaue inzwischen mal was ich zur NAT Konfiguration des Lancom Routers in Erfahrung bringen kann.
Mitglied: PabbaJay
PabbaJay 24.10.2014 um 16:02:17 Uhr
Goto Top
Hallo zusammen,

jetzt funktioniert es! Es lag ein DNS Problem vor.
Das in den Lancom eingetragene TCP/IP Netz 10.10.50.0 musste ich wieder entfernen und danach in den Vlan 50 Clienten den den Lancom Router als DNS eintragen.
Dies hatte ich schon im Vorfeld probiert, allerdings schlug dies fehl da er über das von mir in den Lancom eingetragene 10.10.50.0 Netzwerk als eigenes erkannt hat und dadurch die Informationen nicht über die Backroute zum Layer 3 zurückgeleitet.

Vielen vielen Dank an euch beide und eure Tatkräftige Unterstützung.

Beste Grüße

Jay
Mitglied: aqui
aqui 24.10.2014 um 20:28:31 Uhr
Goto Top
Oder kann man diese Problematik über eine Route zu lösen? Wenn ja, an welchem Gerät würde ich diese eintragen?
Ja, das kann man natürlich machen indem du die dedizierte statische Route auf jedem Client einträgst ala route add <ip_netz> mask <maske> <next_hop_gateway-ip> -p
Ist zwar nicht das Gelbe vom Ei denn ein ROUTER soll ja immer routen und nicht das Endgerät !!
Wenn du aber auf dem Router den diese Endgeräte eingetragen haben als Default Gateway die fehlende statische Route nicht eintragen kannst musst du das über diesen Quick and Dirty Workaround machen...einen andere Chance hast du nicht !

Wenns nun aber doch nur ein DNS Problem war ist ja auch alles gut....
Wie gesagt ob dein Routing sauber ist kannst du immer mit dem Hop Tracing Traceroute (tracert) verfolgen !!