gelöst Kann von Cisco SG300 nicht auf Cisco SG350 zugreifen

Mitglied: Aule1996

Aule1996 (Level 1) - Jetzt verbinden

10.10.2020 um 21:23 Uhr, 618 Aufrufe, 11 Kommentare

Hallo,

ich benötige mal Hilfe von Profis. Habe mir zwar schon einiges an Wissen aus diesem Forum gezogen, komme aber jetzt nicht mehr weiter.
Mein Netzwerkaufbau:
im Keller einen Cisco Switch SG 300-28 im Layer 3 Modus mit aktueller Firmware
Vlan´s:
Vlan 10 - 192.168.10.254
Vlan 11 - 192.168.11.254 - Management Vlan
Vlan 13 - GastWlan im Layer 2 Modus auf Router TP-ER6020 durchgeschleift
Vlan 14 - 192.168.14.254
Vlan 15 - 192.168.15.254 private Wlan
Vlan 17 - 172.16.1.254 - dieses Vlan ist nur zur Vebindung auf Router TP-ER6020
Vlan 999 - Blackhole und native Vlan

Ein Port im Trunk Modus mit: Vlan 11 untagged, Vlan 13 + 15 tagged - Unifi AP (AP AC Pro)
Ein Port im Trunk Modus mit Vlan 999 untagged, Vlan 10, 11, 13, 14, 15 tagged - zu Switch SG350-10
Ein Port im Trunk Modus mit Vlan 999 untagged, Vlan 17 + 13 tagged - zu Router TP-ER6020 (Internet über Fritzbox 7590)
Jeweils 2 Ports im Access Modus im Vlan 10 + 14
Jeweils 1 Port im Access Modus im Vlan 11 + 13
DHCP Server für Vlan 10, 11, 14 + 15
Default Route auf 172.16.1.1(TP-ER6020

Im EG einen Cisco Switch SG-350-10 im Layer 2 Modus mit aktueller Firmware
Vlan´s
Vlan 10 - 192.168.10.253
Vlan 11 - 192.168.11.253 - Management Vlan
Vlan 13 - GastWlan im Layer 2 Modus auf Router TP-ER6020 durchgeschleift
Vlan 14 - 192.168.14.253
Vlan 15 - 192.168.15.253 private Wlan
Vlan 999 - Blackhole und native Vlan

Ein Port im Trunk Modus mit: Vlan 11 untagged, Vlan 13 + 15 tagged - Unifi AP (AP AC Pro)
Ein Port im Trunk Modus mit Vlan 999 untagged, Vlan 10, 11, 13, 14, 15 tagged - zu Switch SG300-28
2 Ports im Access Modus im Vlan 10 und 4 Ports im Access Modus Vlan 14
Jeweils 1 Port im Access Modus im Vlan 11 + 13

Router TP-ER6060 IP 172.16.1.1 statische Route 192.168.0.0/16 auf 172.16.1.254 (Cisco SG300-28) - mit IP 10.0.1.2 an Fritzbox (Internet) verbunden. Fritzbox IP 10.0.1.1.

Jetzt mein Problem:
Wenn ich mein Laptop über LAN an SG300-28 (Vlan 11) verbinde, kann ich nicht auf SG350-10 (IP 192.168.11.253) zugreifen. Ebenfalls bekommen die WLAN Geräte über den Unifi AP keine IP zugewiesen (der an SG300-28). Umgekehrt wenn ich den Laptop mit SG350-10 (Vlan 11) verbinde kann ich ohne Probleme auf SG300-28 zugreifen. Der Unifi AP an SG350-10 vergibt auch IP-Adresen an die jeweiligen Geräte. Was habe ich hier falsch gemacht bzw. nicht verstanden? Bin halt noch Anfänger.
Mitglied: aqui
LÖSUNG 11.10.2020, aktualisiert um 12:42 Uhr
Kann es sein das du im IP Setup vergessen hast die Management IP Adresse des SG350 die im Default in VLAN 1 hängt auf dein Management VLAN 11 umzuhängen ?

mgmt - Klicke auf das Bild, um es zu vergrößern

Da der SG350 rein nur im Layer 2 Mode arbeitet darf bzw. sollte, darf dort nicht der L3 Mode aktiviert sein ! (IP Routing deaktiviert !)
Ggf. solltest du darüber nachdenken die Switches zu tauschen, da der 350er eine neuere, performantere Hardware hat, das der das L3 Geschäft macht und den älteren 300er dann im reinen L2 Mode laufen lassen. Muss aber nicht zwingend sein wenn du keine riesigen Bandbreiten bedienen musst.
Was den AP Anschluss anbetrifft darf das VLAN 13 (Nomen es omen !) natürlich keine VLAN IP Adresse bzw. IP Interface auf dem L3 Switch (SG300) haben !! Das VLAN 13 darf nur im L2 Mode transparent zum TP-Link Router "durchgeschleift" werden. Mit einer VLAN 13 IP Adresse auf dem 300er bestünde die große Gefahr das Gäste in deine internen VLANs kommen sofern du nicht massive Access Listen dort nutzt. Damit das nie passieren kann lässt man die Gast VLAN IP am l3 Switch natürlich immer weg sodas Gäste Clients rein nur den TP-Link Router "sehen" als Gateway.
Betreibst du den ER6020 und FritzBox in einer Router Kaskade mit doppeltem NAT und doppelter Firewall ?
Ansonsten hast du alles richtig gemacht !
Bitte warten ..
Mitglied: Aule1996
11.10.2020, aktualisiert um 14:12 Uhr
Da der SG350 rein nur im Layer 2 Mode arbeitet darf bzw. sollte, darf dort nicht der L3 Mode aktiviert sein ! (IP Routing deaktiviert !)
Hatte bereits beim SG350 das IPv4 routing deaktiviert und auch das Default Vlan1 auf Vlan 11 geändert. Ich glaube mich sperrt auf dem SG300 was. Denn über den AP bekomme ich auch keine IP-Adressen für die Wlan´s (Privat und Gast). Der Unifi AP ist wie folgt konfiguriert:

192.168.11.10 untagged im Vlan 11- Managment über Cloud Key (IP 192.168.11.2)
172.16.1.0 tagged im Vlan 13 - TP-Link Router als DHCP Server (Gast-Wlan)
192.168.15.0 tagged im Vlan 15 - SG300 als DHCP Server (Private Wlan)

Ich bekomme die Fehlermeldung Authendifizierungsfehler. Der zweite AP hängt am SG350, da funsen alle Wlan´s und bekommen die richtigen IP-Adressen zugewiesen.
Der Cloud Key hängt auch am SG300 und ich kann ohne Problme drauf zugreifen. Der Cloud Key zeigt auch an, dass beide AP´s verbunden sind.

Betreibst du den ER6020 und FritzBox in einer Router Kaskade mit doppeltem NAT und doppelter Firewall ?
Leider ja. Hier fehlt mir noch etwas Grundwissen. Ich weiss, das man das machen kann, aber nicht optimal ist. Ich hatte die Fritzbox so eingestellt, das andere Router eine Verbindung herstellen dürfen. Dann konnte ich aber nur Websiten mit .de öffnnen und mit .com nicht. Oder diese Fehler war rein zufällig. Als ich diese Einstellung wieder rückgängig gemacht habe, konnte ich auch ohne Probleme wieder ins Internet.
Bitte warten ..
Mitglied: Aule1996
23.10.2020 um 19:43 Uhr
Betreibst du den ER6020 und FritzBox in einer Router Kaskade mit doppeltem NAT und doppelter Firewall ?
Kann über meinen Anbieter nur eine PPPoE Verbindung aufbauen. Muss daher mit der Kaskade weiter leben.

Denn über den AP bekomme ich auch keine IP-Adressen für die Wlan´s (Privat und Gast)
Habe den AP neu Eingebunden geht jetzt auch

Ich kann aber immer noch nicht vom SG300 auf den SG350 zugreifen. Umgekehrt schon. Habe noch einen zweiten Switch im Netzwerk (SG250). Vom SG300 kann ich auf SG250 zugreifen. Der SG250 hängt zwischen SG300 undSG350.
Bitte warten ..
Mitglied: aqui
24.10.2020, aktualisiert um 11:44 Uhr
Kann über meinen Anbieter nur eine PPPoE Verbindung aufbauen. Muss daher mit der Kaskade weiter leben.
Sorry, aber das ist doch technischer Unsinn. Der ER60620 supportet ja auch PPPoE an seinem WAN Port und mit einem reinen "Nur" Modem (z.B. Vigor_165 oder Zyxel_VMG3006 u.a. könnte man sich diese Kaskade mit doppeltem NAT und Firewall sparen.
Ich kann aber immer noch nicht vom SG300 auf den SG350 zugreifen.
Das zeigt ganz eindeutig das dein Management Port (IP) entweder in unterschiedlichen VLANs und/oder diese VLANs nicht auf dem Tagged Uplink beidseitig ! konfiguriert ist der beide Switches verbindet !
Das solltest du wasserdicht checken bzw. ggf. die Screenshots dazu nochmal posten hier.
Das ist zu 100% ein Konfig Fehler. Am Switch liegt es de facto nicht !
Bitte warten ..
Mitglied: Aule1996
25.10.2020 um 15:22 Uhr
Ich habe mir nochmal alle Einstellungen angesehen, aber keinen Fehler gefunden. Daher hier die Screenshots meiner Einstellungen:

SG350 - Port 10 ist der Uplink zum SG250 (Port 9 ist vorbereitet für LAG)
Port 5 + 6 ist der Uplink zu den AP´s

sg350vlansettings - Klicke auf das Bild, um es zu vergrößern
sg350vlanmembership - Klicke auf das Bild, um es zu vergrößern
sg350ipinterface - Klicke auf das Bild, um es zu vergrößern

SG250 - Port 7 ist der Uplink zum SG350 und Port 8 zum SG300

sg250vlansettings - Klicke auf das Bild, um es zu vergrößern
sg250vlanmembership - Klicke auf das Bild, um es zu vergrößern
sg250ipinterface - Klicke auf das Bild, um es zu vergrößern

SG300 - Port 28 ist der Uplink zum SG250 (Port 27 ist vorbereitet für LAG)
Port 1 ist der Uplink zum Router ER6020
Port 10 ist der Uplink zum AP

sg300vlansettings - Klicke auf das Bild, um es zu vergrößern
sg300vlanmembership - Klicke auf das Bild, um es zu vergrößern
sg300vlanmembership2 - Klicke auf das Bild, um es zu vergrößern
sg300ipsettings - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
25.10.2020, aktualisiert um 15:46 Uhr
Das Problem ist das auf DHCP Client stehende VLAN 1 Management Interface auf dem 250er und 350er !!
Das musst du du logischerweise anhaken und entfernen (Delete) und einzig nur das VLAN 11 Interface belassen !
Dann sollte es sofort klappen.
Bitte warten ..
Mitglied: Aule1996
25.10.2020 um 15:41 Uhr
Sorry, aber das ist doch technischer Unsinn. Der ER60620 supportet ja auch PPPoE an seinem WAN Port und mit einem reinen "Nur" Modem (z.B. Vigor_165 oder Zyxel_VMG3006 u.a. könnte man sich diese Kaskade mit doppeltem NAT und Firewall sparen.
Ich habe beim ER6020 den WAN-Port auf PPPoE mit Zugangsdaten eingestellt und bei der Fritzbox "andren Geräten erlauben eine Internetverbing herzustellen" eingestellt aber ich habe kein Internet bekommen. Wenn ich jetzt ein Modem z.B. Vigor 165 nehme, wo hänge ich die Fritzbox (ist Telefonanlage) dran? Vigor oder ER6020?
Bitte warten ..
Mitglied: aqui
25.10.2020, aktualisiert um 15:45 Uhr
wo hänge ich die Fritzbox (ist Telefonanlage) dran? Vigor oder ER6020?
Die stellst du als IP Client ein und hängst sie einbeinig ins interne LAN. Sie agiert dann ganz einfach nur als VoIP Medienwandler für VoIP.
Aber du kannst es auch als Kaskade belassen. Hat der ER6062 denn eine öffentliche IP an seinem WAN Port ?
Bitte warten ..
Mitglied: Aule1996
25.10.2020 um 16:05 Uhr
Habe auf dem 250er und 350er die DHCP Client entfernt. Das Problem ist damit aber nicht gelöst. Kann es auch an PortSecurity liegen?
Bitte warten ..
Mitglied: Aule1996
25.10.2020 um 17:02 Uhr
Hat der ER6062 denn eine öffentliche IP an seinem WAN Port ?
Nein er bekommt keine öffentliche IP zugewiesen. Für den Zugang benötige ich auch eine VLAN-ID. Wenn ich dieses VLAN anlege muss das tagged sein oder? Weil ich ja die ID übermitteln will.
Bitte warten ..
Mitglied: aqui
25.10.2020, aktualisiert um 17:40 Uhr
Kann es auch an PortSecurity liegen?
Nicht wenn du von dem betreffenten Port kompletten Zugang auf das VLAN 11 Netzwerk bekommst und dort alle Geräte pingen kannst.
Es ist unverständlich warum das nicht geht. VLAN Tagging 11 ist beidseitig aktiv auf dem Switch Link und die Management IP liegt im VLAN 11. Faktisch ist alles richtig.
Hast du an beiden Switches weitere Geräte im VLAN 11 und kannst du die über den Tagged Uplink jeweils am anderen Switch pingen ?
Konfig technisch ist alles richtig soweit man das auf den Screenshots erkennen kann.
Nein er bekommt keine öffentliche IP zugewiesen.
Dann arbeitet das Konstrukt FritzBox ER6020 auch als stinknormale Router Kaskade mit doppeltem NAT und doppelter Firewall !
Was ist der tiefere Sinn hier mit 2 Routern bzw. sogar 3 Routern (SG300) zu arbeiten ?
Der ER6020 ist doch nur reiner "Durchlauferhitzer" ohne wirklichen Sinn und Nutzen, der Performance frisst und das Setup unnötig verkompliziert.
Bitte warten ..
Heiß diskutierte Inhalte
Server-Hardware
Grobes Konzept Hyper-V Storage - Storage für Hyper-V
nachgefragtFrageServer-Hardware24 Kommentare

Hallo Administratoren. Um VHDX-Daten zentral zu halten freue ich mich auf Euren konstruktiven Input. Bisher liegen die VHDX-Daten jeweils ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
gelöst kman123FrageVoice over IP16 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Ubuntu
Ubuntu 20.10 "Groovy Gorilla" mit GNOME 3.38 und Kernel 5.8 veröffentlicht
FrankInformationUbuntu15 Kommentare

Canonical hat Ubuntu 20.10 veröffentlicht. Die neue Version mit dem Codenamen "Groovy Gorilla" bekommt lediglich 9 Monaten Sicherheitsupdates, kritischen ...

Windows Userverwaltung
Synology mit Azure Active Directory verbinden
roeggiFrageWindows Userverwaltung13 Kommentare

Ich suche eine Lösung mit der ich ein Synology NAS mit der Active Directory verbinden kann um die Benutzer ...

Windows 10
RFID oder ähnlich Methode zur Sperrung W10pro bei Abwesenheit - Anmeldung nur über PW wieder ermöglichen
UweGriFrageWindows 1013 Kommentare

Hallo Admins, folgende Lösung wird gesucht: W10pro Anmeldung über Bitlocker Freischaltung und PW bei Anmeldung. Gesucht wird: RFID Chip ...

C und C++
(Cpp) Verständnisproblem: Nutzen des new-operators? (mit Beispiel)
gelöst SinixNDFrageC und C++12 Kommentare

Hallo liebe community! INTRO: Zunächsteinmal: Trotz mehrerer Stunden Recherche habe ich für meine Frage leider noch keine Antwort gefunden ...

Ähnliche Inhalte
Switche und Hubs
VLAN CISCO SG350
orgaITFrageSwitche und Hubs1 Kommentar

Guten Tag, ist es Möglich auf dem CISCO SG350 im Layer 3 Modus, eine MAC-Adressenbasierte Zuordnung in die einzelnen ...

LAN, WAN, Wireless

Configuration von Cisco SG350-10 auf Cisco SG350-10P

gelöst darkness08FrageLAN, WAN, Wireless1 Kommentar

Hallo, ich würde gerne meinen Cisco SG350-10 durch einen Cisco SG350-10P ersetzen. Kann ich hier die Konfiguration des alten ...

Netzwerke

ACLs bei Cisco SG350

gelöst darkness08FrageNetzwerke5 Kommentare

Hallo Zusammen, ich versuche seit einiger Zeit meinen SG350 mittels ACLs abzusichern. Bisheriger Aufbau: VLAN 1, 172.16.1.0/24 VLAN 20 ...

Switche und Hubs

Unterschied Cisco SG350 und SG350x

SpartacusFrageSwitche und Hubs20 Kommentare

Hallo, ich möchte mir in naher Zukunft einen Cisco SG350 (48Ports und POE+ 2 x SFP) Es gibt aber ...

DNS

Cisco SG350 und Hostname-Auflösung

gelöst fkerberFrageDNS7 Kommentare

Hallo zusammen, vielleicht stehe ich einfach irgendwo auf dem Schlauch, aber ich sehe aktuell nicht so wirklich, wo. Kurz ...

Switche und Hubs

Cisco SG300 - Routing Problem

StandardpasswortFrageSwitche und Hubs15 Kommentare

Okay, wie erwartet bekomme ich die das Routen mit dem SG300 nicht hin. Hier nochmal die gewünschte Zielkonfiguration: VLAN10: ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT