Cisco SG300 - Routing Problem
Okay, wie erwartet bekomme ich die das Routen mit dem SG300 nicht hin.
Hier nochmal die gewünschte Zielkonfiguration:
VLAN10: Internet
Nimmt das Unitymedia Internet vom Kabelmodem auf
VLAN20:
Enthält 1-X NAS
VLAN30:
Wohnung 1 mit Netgear R7000 WiFi Router
VLAN40:
Wohnung 2 mit ähnlichem WiFi Router
Ziel soll es nun sein, dass die VLANs 30 und 40 auf das 10er zwecks Internet zugreifen können, aber nicht untereinander sichtbar sind.
Ferner sollen auch beide auf die NAS im 20er Netz Zugriff haben.
10er und 40er hingegen sollen sich nicht kennen.
Tüpfelchen auf dem i wäre noch eine Möglichkeit, ohne viel Konfigurationsaufwand (ich bin der Einzige, der auch nur halbwegs die Dinger bedienen können wird), eine Route zwischen 30 und 40 ein- und auszuschalten.
Hier die Konfiguration, die ich bis jetzt vorgenommen habe:
SG300 L3-Modus
Folgenge VLANs wurden erstellt
1 - Default mit IP 172.10.1.1
10 - Internet mit IP 192.168.10.10 (nur zum Test)
20 - Wohnung 1 mit IP 172.10.20.1
30 - Wohnung 2 mit IP 172.10.30.1
40 - NAS mit IP 172.10.40.1
Ports 1-8; VLAN 20 (untagged)
Ports 9-16; VLAN 30 (untagged)
Port 17; VLAN 10 (untagged)
Port 18; VLAN 40 (untagged)
Ports 19 und 20; VLAN 1 (untagged)
Für die übrigen Ports im jeweiligen VLAN ist "ausgeschlossen" eingestellt
DHCP pro Netz jeweils von 100 - 200
Gateway und DNS erstmal noch nichts. 192.168.10.10 oder 192.168.10.1 funktionieren nicht. Ebensoweinig die IP des entsprechenden VLANs in dem ich mich befinde.
Eine IPv4 Route wurde zum Test wie folgt festgelegt:
Ziel IP Präfix 172.10.20.0
Maske 255.255.255.0
Routertyp. Remote
Router IP-Adresse für nächsten Hop: 192.168.10.1
Ziel ist es folglich vom 20er VLAN ins 10 VLAN zu routen bzw. ins Internet (und später auch vom 30er VLAN)
Was mich wundert ist, dass ich mit einer 172.10.20.XXXer IP die 192.168.10.10 anpingen kann. Aber auch nur die .10 nichts weiter und somit auch keine Verbindung ins Internet herstellen.
Schließe ich zwei Geräte am selben VLAN an (z.B. Port 1 und Port 2) können die untereinander kommunizieren. Die eingestellten Routen werden leider auch nicht im Fenster angezeigt, nur, wenn ich auch ein Gerät an das jeweilige Netz hänge. Eingestellte Routen lassen sich auch weder bearbeiten noch löschen.
Besten Dank
Hier nochmal die gewünschte Zielkonfiguration:
VLAN10: Internet
Nimmt das Unitymedia Internet vom Kabelmodem auf
VLAN20:
Enthält 1-X NAS
VLAN30:
Wohnung 1 mit Netgear R7000 WiFi Router
VLAN40:
Wohnung 2 mit ähnlichem WiFi Router
Ziel soll es nun sein, dass die VLANs 30 und 40 auf das 10er zwecks Internet zugreifen können, aber nicht untereinander sichtbar sind.
Ferner sollen auch beide auf die NAS im 20er Netz Zugriff haben.
10er und 40er hingegen sollen sich nicht kennen.
Tüpfelchen auf dem i wäre noch eine Möglichkeit, ohne viel Konfigurationsaufwand (ich bin der Einzige, der auch nur halbwegs die Dinger bedienen können wird), eine Route zwischen 30 und 40 ein- und auszuschalten.
Hier die Konfiguration, die ich bis jetzt vorgenommen habe:
SG300 L3-Modus
Folgenge VLANs wurden erstellt
1 - Default mit IP 172.10.1.1
10 - Internet mit IP 192.168.10.10 (nur zum Test)
20 - Wohnung 1 mit IP 172.10.20.1
30 - Wohnung 2 mit IP 172.10.30.1
40 - NAS mit IP 172.10.40.1
Ports 1-8; VLAN 20 (untagged)
Ports 9-16; VLAN 30 (untagged)
Port 17; VLAN 10 (untagged)
Port 18; VLAN 40 (untagged)
Ports 19 und 20; VLAN 1 (untagged)
Für die übrigen Ports im jeweiligen VLAN ist "ausgeschlossen" eingestellt
DHCP pro Netz jeweils von 100 - 200
Gateway und DNS erstmal noch nichts. 192.168.10.10 oder 192.168.10.1 funktionieren nicht. Ebensoweinig die IP des entsprechenden VLANs in dem ich mich befinde.
Eine IPv4 Route wurde zum Test wie folgt festgelegt:
Ziel IP Präfix 172.10.20.0
Maske 255.255.255.0
Routertyp. Remote
Router IP-Adresse für nächsten Hop: 192.168.10.1
Ziel ist es folglich vom 20er VLAN ins 10 VLAN zu routen bzw. ins Internet (und später auch vom 30er VLAN)
Was mich wundert ist, dass ich mit einer 172.10.20.XXXer IP die 192.168.10.10 anpingen kann. Aber auch nur die .10 nichts weiter und somit auch keine Verbindung ins Internet herstellen.
Schließe ich zwei Geräte am selben VLAN an (z.B. Port 1 und Port 2) können die untereinander kommunizieren. Die eingestellten Routen werden leider auch nicht im Fenster angezeigt, nur, wenn ich auch ein Gerät an das jeweilige Netz hänge. Eingestellte Routen lassen sich auch weder bearbeiten noch löschen.
Besten Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 328716
Url: https://administrator.de/contentid/328716
Ausgedruckt am: 25.11.2024 um 02:11 Uhr
15 Kommentare
Neuester Kommentar
Gateway und DNS erstmal noch nichts.
Dann können deine Clients folgerichtig nichts außer ihrem eigenen Netz erreichen - denn ohne Gateway sind sie quasi erzwungenermaßen offline.Als Gateway musst du dem Client die jeweilige IP des zugehörigen VLANs konfigurieren.
Für VLAN 20 wäre die Gateway-IP also 172.10.20.1.
Ich hoffe aber sehr, dass du 172.16.... benutzt hast, denn 172.10. sind keine privaten IP-Adressen, das Setup solltest du garnicht erst so anfangen
Eine IPv4 Route wurde zum Test wie folgt festgelegt:
Ziel IP Präfix 172.10.20.0
Maske 255.255.255.0
Routertyp. Remote
Router IP-Adresse für nächsten Hop: 192.168.10.1
Ziel IP Präfix 172.10.20.0
Maske 255.255.255.0
Routertyp. Remote
Router IP-Adresse für nächsten Hop: 192.168.10.1
Wo hast du das angelegt - auf dem Cisco?
Da wäre sie vollkommener Käse und sollte wieder gelöscht werden.
Sobald das geschehen ist, müsstest du von einem Client in VLAN 20 die Adresse 192.168.10.10 anpingen können und eine Antwort erhalten.
Ziel ist es folglich vom 20er VLAN ins 10 VLAN zu routen bzw. ins Internet (und später auch vom 30er VLAN)
Was mich wundert ist, dass ich mit einer 172.10.20.XXXer IP die 192.168.10.10 anpingen kann.
Wundert mich auch, so ohne konfiguriertes Gateway... (Notiz an mich: Proxy-ARP?)Was mich wundert ist, dass ich mit einer 172.10.20.XXXer IP die 192.168.10.10 anpingen kann.
Aber auch nur die .10 nichts weiter und somit auch keine Verbindung ins Internet herstellen.
Das dürfte daran liegen, dass der Router von Unitymedia keine Routen zu deinen 172.16.x.x-Netzen kennt.Will heißen: Er empfängt Pakete von meinetwegen 172.16.20.100, will eine Antwort zurücksenden, guckt in seine Routingtabelle und sieht: "Aha, da habe ich keine spezielle Route für, muss ich an mein Defaultgateway schicken" und dann geht die Ping-Antwort zu Unitymedia ins Internet. Hilft dir natürlich nicht
Das kann man durch statische Routen am UM-Router lösen (Route für 172.16.20.0/24 nach 192.168.10.10) - aber am besten schaltest du den UM-Router in den reinen Bridgebetrieb so dass er nicht mehr routet sondern dein Cisco sich selbst per DHCP eine IP für sein VLAN 10 besorgt. Damit bist du dann auch gleich das Doppel- oder Dreifach-NAT los.
Moin,
eigentlich alles ein banales Szenario.
Schau zunächst mal hier: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Zunächst mal zum Routing mittels des SG
Sobald du den Switch im Layer3 Modus hast und in jedem relevanten VLAN dem Switch eine IP gibst, wird zwischen den VLANs auf dem Switch geroutet. Das ist erstmal fakt. Du musst folglich keine maneuellen Routingeinträge setzen, weil das der Switch schon von selbst erledigt hat.
Wichtig dabei ist, dass die Clients dann als Gateway die IP des Switches aus dem jeweiligen VLAN erhalten.
Jetzt zum Router von UnityMedia
Welcher Router ist es im Details?
Wenn du nun ins Internet willst, musst du dem Switch selbst ein Default Gateway mitgeben, also die IP des UM-Routers.
das bewirkt, dass dann eine Route für das Netz 0.0.0.0 mit der Netzmaske 0.0.0.0 auf die IP 192.168.10.1 (ist doch die IP des UM-Routers, richtig?)
Jetzt leitet der Switch schon mal alle Pakete, die zu keinem VLAN passen zum UM-Router.
Damit die Pakete aber auch wieder den weg zurück finden, musst du am UM-Router statische Routing-Einträge setzen.
Und zwar für jedes VLAN-Netz als Hopp den Switch im VLAN 10 (192.168.10.10)
z.B. 172.16.20.0 255.255.255.0 192.168.10.10 für das VLAN 20
Wenn das erledigt ist, kommen alle deine CLients aus allen VLANS erstmal in die anderen VLANs und ins Internet.
Als DNS-Server kannst du dann die IP des UM-Routers eintragen, denn das Routing klappt ja dann ab hier bereits.
Um Zugriffe auf andere VLANs zu unterbinden, musst du mit den AccessListen arbeiten.
Hierzu kannst du mal hier schauen: Cisco SG300 ACLs einrichten
und auch hier: http://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=865924b7d74b4a178d6 ...
Nachtrag
Wenn dein UM-Router keine statischen Routen kann, kaufe einen 40€ Router, z.B. Mikrotik und lasse den die ARbeit machen.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das ist Quatsch: es bedarf dann eines neuen Routers - FritzBox Cable z.B.
Am Router musst du nichts auf Brigded Mode umstellen, das wäre quatsch, lockert m.W.n. sogar die Sicherheits-Policies...
Gruß
em-pie
eigentlich alles ein banales Szenario.
Schau zunächst mal hier: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Zunächst mal zum Routing mittels des SG
Sobald du den Switch im Layer3 Modus hast und in jedem relevanten VLAN dem Switch eine IP gibst, wird zwischen den VLANs auf dem Switch geroutet. Das ist erstmal fakt. Du musst folglich keine maneuellen Routingeinträge setzen, weil das der Switch schon von selbst erledigt hat.
Wichtig dabei ist, dass die Clients dann als Gateway die IP des Switches aus dem jeweiligen VLAN erhalten.
Jetzt zum Router von UnityMedia
Welcher Router ist es im Details?
Wenn du nun ins Internet willst, musst du dem Switch selbst ein Default Gateway mitgeben, also die IP des UM-Routers.
das bewirkt, dass dann eine Route für das Netz 0.0.0.0 mit der Netzmaske 0.0.0.0 auf die IP 192.168.10.1 (ist doch die IP des UM-Routers, richtig?)
Jetzt leitet der Switch schon mal alle Pakete, die zu keinem VLAN passen zum UM-Router.
Damit die Pakete aber auch wieder den weg zurück finden, musst du am UM-Router statische Routing-Einträge setzen.
Und zwar für jedes VLAN-Netz als Hopp den Switch im VLAN 10 (192.168.10.10)
z.B. 172.16.20.0 255.255.255.0 192.168.10.10 für das VLAN 20
Wenn das erledigt ist, kommen alle deine CLients aus allen VLANS erstmal in die anderen VLANs und ins Internet.
Als DNS-Server kannst du dann die IP des UM-Routers eintragen, denn das Routing klappt ja dann ab hier bereits.
Um Zugriffe auf andere VLANs zu unterbinden, musst du mit den AccessListen arbeiten.
Hierzu kannst du mal hier schauen: Cisco SG300 ACLs einrichten
und auch hier: http://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=865924b7d74b4a178d6 ...
Nachtrag
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das ist Quatsch: es bedarf dann eines neuen Routers - FritzBox Cable z.B.
Am Router musst du nichts auf Brigded Mode umstellen, das wäre quatsch, lockert m.W.n. sogar die Sicherheits-Policies...
Gruß
em-pie
Okay, wie erwartet bekomme ich die das Routen mit dem SG300 nicht hin.
Wieso "wie erwartet" ?? Normal bekommt das auch ein laie in 3 Minuten zum Fliegen:http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-busin ...
Gateway und DNS erstmal noch nichts.
DNS ist für den Switch auch vollkommen irrelevant. NICHT aber das gateway !!Du musst zwingend eine Default Route vom Switch auf die 192.168.10.1 setzen was ja die IP Adresse deines Internet Routers im VLAN 10 ist am Switchport 17.
Hier an Port 17 muss der Internet Router angeschlossen sein und als Funktuionstest MUSS ein Ping vom Switch Setup GUI auf diese Unitymedia Router IP sauber funktionieren !!
Tut es das nicht musst du gar nicht erst weitermachen !
Eine IPv4 Route wurde zum Test wie folgt festgelegt:
Ziel IP Präfix 172.10.20.0, Maske 255.255.255.0 Routertyp. Remote Router IP-Adresse für nächsten Hop: 192.168.10.1
Das ist natürlich völlig Quatsch !Ziel IP Präfix 172.10.20.0, Maske 255.255.255.0 Routertyp. Remote Router IP-Adresse für nächsten Hop: 192.168.10.1
Sagt einem auch schon der gesunde Menschenverstand ohne Ahnung von IP Routing.
Zuallererst gehört diese Route NICHT auf den Switch !!!
Auf dem Switch selber ist einzig und allen nur eine Default Route auf die Unitymedia Internet Router IP 192.168.10.1 zu konfigurieren. Nicht mehr und nicht weniger !
Die Switch IP in dem VLAN 10 ist ja die 192.168.10.10 wenn man dich oben richtig versteht.
Die Routen für die VLAN Subnetze kommt immer auf den Internet Router !! also deine Unitymedia Gurke. Die MUSS statische Routen supporten sonst kannst du das alles gleich vergessen !
Hier auf dem Internet Router (nicht Switch !) musst du eine statische Route definieren für die Switch Subnetze !!
Klar, denn der Unitymedia Internet Router muss ja wissen WO er IP Pakete zu den VLAN Subnetzen hinschicken muss und das ist logischerweise dann der Switch bzw. die Switch IP 192.168.10.10 im VLAN 10 !!!
Hier (auf dem Internet Router !!)) reicht es jetzt eine sog. Summary Route (Sammelroute für alle Netze) mit einem 18 Bit Prefix anzugeben um alle deine 172er Netze mit eiem Eintrag zu routen, nämlich:
Zielnetz: 172.16.1.0
Maske: 255.255.192.0 (man achte auf die Maske hier !! 18 Bit)
Gateway: 192.168.10.10 (die Switch IP in VLAN 10 !)
Fertisch !
Damit routet der Internet Router nun alle IP Netze von 172.16.1.0 bis 172.16.63.0 an den Switch !
Das erspart die die 172.16.10, 172.16.20.. 172.16.30., und 172.16.40. einzeln dort einzutragen.
Kannst du auch machen, ist aber mehr überflüssige Tipparbeit
Beide Wege sind aber richtig.
Mehr ist nicht zu tun. Das sollte auch ein Laie in 10 Minuten im Switch und Router GUI zusammengeklickt haben.
Ziel ist es folglich vom 20er VLAN ins 10 VLAN zu routen bzw. ins Internet (und später auch vom 30er VLAN)
Innerhalb der VLANs direkt am Switch zu routen klappt so oder so IMMER !!Das macht der Switch ja von sich aus, denn er kennt ja alle IP Subnetze in den VLAN. Wichtig nur das man L3 aktiviert im Switch, siehe oben ! Routen ets sind dafür NICHT erforderlich.
Damit es aber ins Internet klappt sind die bereits oben genanten 3 Punkte essentiell wichtig:
- Der Unitymedia Internet Router MUSS statische Routen supporten !!! Tut er das nicht ist das ganze Projekt tot ! (jedenfalls dann mit so einem Schrottrouter der dann ausgetauscht werden muss) Also diesen Punkt vorher sicher klären.
- Die Switch Default Route auf die Internet Router IP 192.168.10.1 in VLAN 10 !
- Die IP Subnetz Routen oder Route auf dem Unitymedia Internet Router für die Switchnetze
Wichtig ist natürlich das man immer VORHER auch alle Verbindung testet !!
- Ping vom Switch GUI auf die Internet Router IP muss klappen !
- Sofern der Internet Router eine Ping Funktion im GUI hat kann man als Quercheck von hier auch die Switch IP 192.168.10.10 pingen. Das stellt sicher das der Router korrekt an Port 17 angeschlossen ist und die Unitymedia Internet Router IP im VLAN 10 sicher erreichbar ist.
- Dann macht man weiter mit den Endgeräten...
- Stimmt die IP Adresszuweisung in den VLANs insbesondere das Gateway ? Check mit ipconfig
- Endgeräte müssen immer die Internet Router IP als DNS Server vergeben haben 192.168.10.1 !!! Switch DHCP muss entsprechend eingestellt sein ! Endgeräte Gateway ist immer die jeweilige Switch IP im VLAN
- Klappt ein Endgeräte Ping auf seine VLAN Switch IP ?
- Klappt ein Endgeräte Ping auf eine andere VLAN Switch IP insbesondere die 192.168.10.10 in VLAN 10 (Internet) ?
- Klappt ein Endgeräte Ping auf sdie Router IP 192.168.10.1 ?
- Klappt ein Ping auf eine Internet IP z.B. 8.8.8.8 (um erstmal ggf. DNS Probleme zu umgehen)
- Klappt ein Ping auf eine Internet FQDN Adresse z.B. www.heise.de oder www.administrator.de ??
Da wo es kneift ist auch der Fehler.
Die Tools: Ping, Traceroute (tracert) und pathping sind hier deine besten Freunde...wie immer.
Nur auf Geräte im 192.168.10.10 Netz habe ich von VLAN 20 und 30 aus Zugriff.
Das ist ja auch völlig kalr und logisch. Da das dein Internet VLAN ist können sich da nur 2 pingbare IP Adressen drin befinden. Sprich einmal der Switch selber und einmal der Internet Router.Da du die beiden IPs von allen anderen VLANs und Geräten aus pingen kannst hast du alles richtig gemacht !
Das zeigt das verhalten eindeutig !
Aber wie gesagt, ich kann nur die übrigen VLANs anpingen, an denen auch ein Endgerät hängt.
Ähhh...das ist ja auch wohl klar und logisch. In einem VLAN wo keine Endgeräte aktiv sind ist ja auch nix zu pingen und solange es in solchem VLAN keinen aktiven Link gibt nimmt der Switch IMMER auch das L3 Interface runter damit das netz als inaktiv markiert wird in seiner Routing Tabelle.Logisch denn wenn nix da ist im netz ist das netz eigentlich sinnfrei. Der Switch macht allso alles was er soll und richtig.
Wenn du nur willst das das Switch L3 Interface aktiv ist steck irgendwas in einen der Ports das dort ein kative Link ist. Egal was und welche IP hauptsache der Link ist oben, dann ist auch das L3 Switch Interface oben.
Mal logisch nachdenken...
Der Ping ans Endgerät selber geht nicht durch.
Was meinst du damit genau ???Du kannst z.B, kein Endgerät im VLAN 30 anpingen von einem Client im VLAN 20 ??
Das liegt dann zu 100% an der lokalen Firewall dieser Geräte !!
Wen das Winblows ist, dann bedenke das ab Win 7 ICMP (Ping) immer in der lokalen Firewall geblockt sind. Du musst also immer erst ICMP freigeben damit Ping klappt !
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Das gilt ebenso für den Zugriff auf Applikationen mit fremden Absender IPs. Auch das blockiert die Windows Firewall per default und muss man freigeben.
Das es daran liegt und nicht am L3 Switching (Routing) kannst du ja ganz klar daran sehen das du immer die fremde Switch IP pingen kannst und im VLAN 10 den Internet Router.
Es liegt also de facto NICHT an deiner Infrastruktur. Die Ergenbisse deiner Ping Tests zeigen ja eindeutig das alles sauber funktioniert und damit richtig konfiguriert ist.
Das kannst du auch vermutlich sofort verifizieren wenn du mal ein NICHT Windows Gerät wie Rasperyy Pi oder Drucker etc. also etwas OHNE Firewall in die VLANs bringst und anpingst. Das wird ganz sicher funktionieren und dir dann aufzeigen das du ein Firewall Problem hast und kein Problem im Netz an sich.
Dachte man müsste keine Routen für die VLANs untereinander einstellen.
Das ist auch absolut so und richtig !!Wozu muss denn dein L3 Switch irgendwelche Routen kennen ?? Muss er nicht.
ALLE deine IP Segmente sprich Netze sind ja immer direkt an ihm angeschlossen. Damit kennt er alle IP Netze.
Die Default Route sagt ihm: "Hey...alles was du nicht kennst schaufelst du zum Internet Router !"
Wozu muss also der Switch noch Routen haben ?? Braucht er de facto NICHT !!
Fazit:
Ohne ACLs kann jeder mit jedem. Sprich JEDES Endgerät kann auf alle anderen Endgerät zugreifen. Natürlich solange die lokale Firewall am Endgerät nicht dazwischengrätscht.
Ist auch klar und logisch, denn das Routing ist transparent und es gibt keine ACLs. Also jeder mit jedem.
Erst wenn du den Zugriff einschränken willst kommen ACLs ins Spiel !!
Nehmen wir mal dein Beispiel "Keine Kommunikation zwischen VLAN 20 und 30 sowie 10 und 40":
am L3 Interface an VLAN 20 steht dann:
access-list DENY ip 172.10.20.0 0.0.0.255 172.10.30.0 0.0.0.255
access-list PERMIT ip 172.10.20.0 0.0.0.255 any
Das verbietet VLAN 20 zu VLAN 30 Traffic und erlaubt den Rest und Internet. Alles mit Absender IP .20.x und Ziel IP .30.x wird geblockt. Analog bei VLAN 30:
access-list DENY ip 172.10.30.0 0.0.0.255 172.10.20.0 0.0.0.255
access-list PERMIT ip 172.10.30.0 0.0.0.255 any
Dir ist das Prinzip klar, oder ?? Wenn nicht hier nochmal das Beispiel Verbot VLAN 10 auf 40:
access-list DENY ip 172.10.10.0 0.0.0.255 172.10.40.0 0.0.0.255
access-list PERMIT ip 172.10.10.0 0.0.0.255 any
Vlan 40 solltest du aber nun selber schaffen, oder ??
ACHTUNG:
Bringe ZUERST mal das Routing sauber zum Fliegen so das du da Fehler ausschliessen kannst.
Erst DANACH kannst du die Schotten langsam mit ACLs dichtmachen !
oder ich stehe total auf dem Schlauch...?
Nur ein bischen... Hast du dem WLAN Switch auch ein Default Gateway konfiguriert auf die Gateway IP 172.16.20.1 ??? Oder eine Default Route ??
Vermutlich wohl NICHT, oder ?
Ohne ein Default Gateway oder eine Default Route kann der WLAN Switch bzw. sein Management Interface keine Pakete an das 30er Netz senden.
Das wird oft vergessen das auch alle anderen Endgeräte immer ein Gateway brauchen im L3 Umfeld um aus den anderen VLANs erreichbar zu sein !
Gib also deinem WLAN Switch in seinem Setup eine Gateway IP auf die 172.16.20.1 dann klappt das auch sofort
Zitat von @Standardpasswort:
Tatsache...
Dachte eigentlich, dass sich der Gerät direkt anpingen lassen müsste. Aber mit einer entsprechenden Route geht es dann... ich Frage mich aber wie das funktionieren soll, wenn ein NAS am Cisco dran hängt. Ich hoffe bei den Dingern lassen sich auch statische Routen programmieren sonst muss ich ja auch da einen Router zwischen hängen.
Watt?Tatsache...
Dachte eigentlich, dass sich der Gerät direkt anpingen lassen müsste. Aber mit einer entsprechenden Route geht es dann... ich Frage mich aber wie das funktionieren soll, wenn ein NAS am Cisco dran hängt. Ich hoffe bei den Dingern lassen sich auch statische Routen programmieren sonst muss ich ja auch da einen Router zwischen hängen.
Du musst am NAS doch nur ein STANDARD-GATEWAY eintragen. Das ist meist das dritte Feld, beim festsetzen der IP-Adresse in einem netzwerkfähigem Gerät. Da Bedarf es doch keinen Router...
Einfach alle Netzwerk-Geräte einmalig abgrasen, dort überall das Standardgateway (Default-Gateway) eintragen und Gut. Manchmal verwenden die Hersteller auch den Begriff Router (z.B. Fa. Siemens bei Ihren SPSen, aber die hast du ja nicht )
Aber danke für die Unterstützung. Jetzt bleibt nur abzuwarten, was die UM Kiste kann oder nicht. Ich befürchte fast, da lassen sich keine statischen Routen programmieren....
Welche Kiste hast du denn?Ist es eine FritzBox, eine Technicolor TC7200 (ihh...bahh) oder die ConnectBox?
Falls letztere beiden, investiere noch einmal in eine Cable-FritzBox und aus die Maus
Die Dinger sind der letzte ... sind halt ungeeignet für solche Themen
Jetzt kann ich ja ruhigen Gewissens ACLs zum Blocken zwischen 20 und 30 und 1,10 und 40 schreiben. Das Problem scheint geklärt.
Gibt es eigentlich eine Möglichkeit ein komplettes VLAN von der Konfiguration des SG300 auszuschließen?
Wie meinen?Gibt es eigentlich eine Möglichkeit ein komplettes VLAN von der Konfiguration des SG300 auszuschließen?
Als was willst du ausschließen? und von welcher Konfiguration?
Ahh... OK.
Wenn man den Satz etwas anders betont liest, ist es einleuchtend
Schaue mal hier:
https://supportforums.cisco.com/discussion/11456581/sg300-how-block-mana ...
Statt GE1 nimmst du dann einfach dein VLAN20
@aqui würde dir das sicherlich jetzt per CLI aufzeigen, aber ich "kratz" mir die erforderlichen Befehle auch erst immer aus dem WWW/ der Doku zusammen, von daher war es so jetzt schneller
Bedenke aber noch eines:
Bei den ACL-Regeln müsste es wie bei den klassischen Firewall-Regeln an den ganzen UTMs etc so sein, dass FirstMatch Rules.
Achte also auf die Reihenfolge deiner Regel(n)...
Wenn man den Satz etwas anders betont liest, ist es einleuchtend
Schaue mal hier:
https://supportforums.cisco.com/discussion/11456581/sg300-how-block-mana ...
Statt GE1 nimmst du dann einfach dein VLAN20
@aqui würde dir das sicherlich jetzt per CLI aufzeigen, aber ich "kratz" mir die erforderlichen Befehle auch erst immer aus dem WWW/ der Doku zusammen, von daher war es so jetzt schneller
Bedenke aber noch eines:
Bei den ACL-Regeln müsste es wie bei den klassischen Firewall-Regeln an den ganzen UTMs etc so sein, dass FirstMatch Rules.
Achte also auf die Reihenfolge deiner Regel(n)...
ich Frage mich aber wie das funktionieren soll, wenn ein NAS am Cisco dran hängt.
Das NAS funktioniert nicht anders als ein PC oder was auch immer am Cisco hängt. Warum sollte es da irgendein irgendwie gearteten Unterschied geben ??NAS bekommt ne statische IP, Maske und als Default Gateway die IP Adresse des Cisco in dem VLAN.
Fertig aus ! Das wars !
Ein Endgerät brauch niemals eine statische Route. Wäre auch totaler Schwachsinn, denn es hat ja ein Default Gateway und damit eine Default Route: "Alles was du nicht kennst und nicht lokal ist an IP Adressen ab dahin..."
Diese Logik ist so banal und simpel wie effektiv ! Deshalb funktioniert sie ja auch so gut
Kollege em-pie hat ja auch schon alles zu dem Thema gesagt !
Ich befürchte fast, da lassen sich keine statischen Routen programmieren....
Kann bei so billigen, gruseligen Zwangsroutern der untersten Kategorie passieren...siehe Speedport Schrott. Aber denk mal positiv und hoffe das Beste Gibt es eigentlich eine Möglichkeit ein komplettes VLAN von der Konfiguration des SG300 auszuschließen?
Ja, klar !!Kinderleicht: Lasse einfach die IP Adresse auf dem Cisco für dieses VLAN weg und definiere es nirgendwo in einem tagged Uplink.
Damit ist dieses VLAN dann logischerweise vollkommen isoliert.
Das macht man so z.B. bei Gast VLANs / WLANs die dann eine separate Strippe in eine Firewall oder CP bekommen z.B.
DMZ ist auch so ein Klassiker dafür.
Kommt man aber auch selber druaf wenn man mal ein bischen nachdenkt
Ich will dass die VLAN 20 und 30 voneinander getrennt sind
Dann lasse eben wie gesagt die IP Adresse am Switch weg. Dann sind sie zwangsweise vollständig getrennt !!Gibt es eigentlich eine Möglichkeit ein komplettes VLAN von der Konfiguration des SG300 auszuschließen?
Ja, klar !!Kinderleicht: Lasse einfach die IP Adresse auf dem Cisco für dieses VLAN weg und definiere es nirgendwo in einem tagged Uplink.
Damit ist dieses VLAN dann logischerweise vollkommen isoliert.
Das macht man so z.B. bei Gast VLANs / WLANs die dann eine separate Strippe in eine Firewall oder CP bekommen z.B.
DMZ ist auch so ein Klassiker dafür.
Kommt man aber auch selber druaf wenn man mal ein bischen nachdenkt
Ich will dass die VLAN 20 und 30 voneinander getrennt sind
Dann lasse eben wie gesagt die IP Adresse am Switch weg. Dann sind sie zwangsweise vollständig getrennt !!Ziel soll es nun sein, dass die VLANs 30 und 40 auf das 10er zwecks Internet zugreifen können, aber nicht untereinander sichtbar sind.
Ferner sollen auch beide auf die NAS im 20er Netz Zugriff haben.
10er und 40er hingegen sollen sich nicht kennen.
Tüpfelchen auf dem i wäre noch eine Möglichkeit, ohne viel Konfigurationsaufwand (ich bin der Einzige, der auch nur halbwegs die Dinger bedienen können wird), eine Route zwischen 30 und 40 ein- und auszuschalten.
Ferner sollen auch beide auf die NAS im 20er Netz Zugriff haben.
10er und 40er hingegen sollen sich nicht kennen.
Tüpfelchen auf dem i wäre noch eine Möglichkeit, ohne viel Konfigurationsaufwand (ich bin der Einzige, der auch nur halbwegs die Dinger bedienen können wird), eine Route zwischen 30 und 40 ein- und auszuschalten.
Das wäre ja in Firmen gemäß folgendem Szenario auch mist:
Server im VLAN 20
Clients der Produktion im VLAN 30
Clients der FiBu im VLAN 40
klaut man dem VLAN 30 und 40 die IPs auf dem Switch, kommen beide nicht mehr an die Server
Außer man verbindet die beiden VLANS über seperate Leitungen mit der zentralen Firewall, welche dann aber jeden ERP-Server-Zugriff (teuer) routen müsste...
Ich denke, der Weg über o.g. Link wäre passend...
Teste es dann einfach, wenn es nicht klappt, kann man sich immernoch etwas überlegen...