standardpasswort
Goto Top

Cisco SG300 - Routing Problem

Okay, wie erwartet bekomme ich die das Routen mit dem SG300 nicht hin.

Hier nochmal die gewünschte Zielkonfiguration:

VLAN10: Internet
Nimmt das Unitymedia Internet vom Kabelmodem auf

VLAN20:
Enthält 1-X NAS

VLAN30:
Wohnung 1 mit Netgear R7000 WiFi Router

VLAN40:
Wohnung 2 mit ähnlichem WiFi Router

Ziel soll es nun sein, dass die VLANs 30 und 40 auf das 10er zwecks Internet zugreifen können, aber nicht untereinander sichtbar sind.
Ferner sollen auch beide auf die NAS im 20er Netz Zugriff haben.
10er und 40er hingegen sollen sich nicht kennen.
Tüpfelchen auf dem i wäre noch eine Möglichkeit, ohne viel Konfigurationsaufwand (ich bin der Einzige, der auch nur halbwegs die Dinger bedienen können wird), eine Route zwischen 30 und 40 ein- und auszuschalten.


Hier die Konfiguration, die ich bis jetzt vorgenommen habe:
SG300 L3-Modus

Folgenge VLANs wurden erstellt
1 - Default mit IP 172.10.1.1
10 - Internet mit IP 192.168.10.10 (nur zum Test)
20 - Wohnung 1 mit IP 172.10.20.1
30 - Wohnung 2 mit IP 172.10.30.1
40 - NAS mit IP 172.10.40.1

Ports 1-8; VLAN 20 (untagged)
Ports 9-16; VLAN 30 (untagged)
Port 17; VLAN 10 (untagged)
Port 18; VLAN 40 (untagged)
Ports 19 und 20; VLAN 1 (untagged)
Für die übrigen Ports im jeweiligen VLAN ist "ausgeschlossen" eingestellt

DHCP pro Netz jeweils von 100 - 200
Gateway und DNS erstmal noch nichts. 192.168.10.10 oder 192.168.10.1 funktionieren nicht. Ebensoweinig die IP des entsprechenden VLANs in dem ich mich befinde.

Eine IPv4 Route wurde zum Test wie folgt festgelegt:
Ziel IP Präfix 172.10.20.0
Maske 255.255.255.0
Routertyp. Remote
Router IP-Adresse für nächsten Hop: 192.168.10.1

Ziel ist es folglich vom 20er VLAN ins 10 VLAN zu routen bzw. ins Internet (und später auch vom 30er VLAN)
Was mich wundert ist, dass ich mit einer 172.10.20.XXXer IP die 192.168.10.10 anpingen kann. Aber auch nur die .10 nichts weiter und somit auch keine Verbindung ins Internet herstellen.
Schließe ich zwei Geräte am selben VLAN an (z.B. Port 1 und Port 2) können die untereinander kommunizieren. Die eingestellten Routen werden leider auch nicht im Fenster angezeigt, nur, wenn ich auch ein Gerät an das jeweilige Netz hänge. Eingestellte Routen lassen sich auch weder bearbeiten noch löschen.

Besten Dank

Content-ID: 328716

Url: https://administrator.de/contentid/328716

Ausgedruckt am: 25.11.2024 um 02:11 Uhr

LordGurke
LordGurke 07.02.2017 um 22:52:41 Uhr
Goto Top

Gateway und DNS erstmal noch nichts.
Dann können deine Clients folgerichtig nichts außer ihrem eigenen Netz erreichen - denn ohne Gateway sind sie quasi erzwungenermaßen offline.
Als Gateway musst du dem Client die jeweilige IP des zugehörigen VLANs konfigurieren.
Für VLAN 20 wäre die Gateway-IP also 172.10.20.1.
Ich hoffe aber sehr, dass du 172.16.... benutzt hast, denn 172.10. sind keine privaten IP-Adressen, das Setup solltest du garnicht erst so anfangen face-wink


Eine IPv4 Route wurde zum Test wie folgt festgelegt:
Ziel IP Präfix 172.10.20.0
Maske 255.255.255.0
Routertyp. Remote
Router IP-Adresse für nächsten Hop: 192.168.10.1

Wo hast du das angelegt - auf dem Cisco?
Da wäre sie vollkommener Käse und sollte wieder gelöscht werden.
Sobald das geschehen ist, müsstest du von einem Client in VLAN 20 die Adresse 192.168.10.10 anpingen können und eine Antwort erhalten.

Ziel ist es folglich vom 20er VLAN ins 10 VLAN zu routen bzw. ins Internet (und später auch vom 30er VLAN)
Was mich wundert ist, dass ich mit einer 172.10.20.XXXer IP die 192.168.10.10 anpingen kann.
Wundert mich auch, so ohne konfiguriertes Gateway... (Notiz an mich: Proxy-ARP?)

Aber auch nur die .10 nichts weiter und somit auch keine Verbindung ins Internet herstellen.
Das dürfte daran liegen, dass der Router von Unitymedia keine Routen zu deinen 172.16.x.x-Netzen kennt.
Will heißen: Er empfängt Pakete von meinetwegen 172.16.20.100, will eine Antwort zurücksenden, guckt in seine Routingtabelle und sieht: "Aha, da habe ich keine spezielle Route für, muss ich an mein Defaultgateway schicken" und dann geht die Ping-Antwort zu Unitymedia ins Internet. Hilft dir natürlich nicht face-wink
Das kann man durch statische Routen am UM-Router lösen (Route für 172.16.20.0/24 nach 192.168.10.10) - aber am besten schaltest du den UM-Router in den reinen Bridgebetrieb so dass er nicht mehr routet sondern dein Cisco sich selbst per DHCP eine IP für sein VLAN 10 besorgt. Damit bist du dann auch gleich das Doppel- oder Dreifach-NAT los.
Standardpasswort
Standardpasswort 07.02.2017 um 23:30:29 Uhr
Goto Top
Super danke erstmal für die Tipps...
Im Moment probiere ich noch in meinem alten zu Hause rum und komme leider nicht an den Unity Media Router. Kann also auch nicht gucken, wie und ob überhaupt, man die Kiste nur in den Bridge Modus bringen kann. Hoffe mal das geht...

Die IPs werde ich noch ändern, genau wie die DHCP Einträge. Als DNS ist im Moment der Google Server eingestellt. Aber ich vermute mal, dass es die .1 des jeweiligen VLANs die bessere Lösung wäre, oder?

Wo hast du das angelegt - auf dem Cisco?
Da wäre sie vollkommener Käse und sollte wieder gelöscht werden.
Sobald das geschehen ist, müsstest du von einem Client in VLAN 20 die Adresse 192.168.10.10 anpingen können und eine Antwort erhalten.

Ja, genau da. Das ist auch das Problem. Ich kann keine Routen sehen, die ich angelegt habe. Versuche ich sie nochmal anzulegen, sagt er mir aber, "Route bereits vorhanden". Was ich nicht sehe kann ich leider auch nicht löschen ;)

Theoretisch ist mir mir zwar klar, wie ich vom 20er und 30er VLAN ins Internet komme, aber wie verhindere ich, dass 20 und 30 sich nicht sehen können, aber trotzdem ins Internet und aufs 40er VLAN kommen?

Besten Dank
em-pie
em-pie 08.02.2017 aktualisiert um 14:20:39 Uhr
Goto Top
Moin,

eigentlich alles ein banales Szenario.
Schau zunächst mal hier: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Zunächst mal zum Routing mittels des SG
Sobald du den Switch im Layer3 Modus hast und in jedem relevanten VLAN dem Switch eine IP gibst, wird zwischen den VLANs auf dem Switch geroutet. Das ist erstmal fakt. Du musst folglich keine maneuellen Routingeinträge setzen, weil das der Switch schon von selbst erledigt hat.
Wichtig dabei ist, dass die Clients dann als Gateway die IP des Switches aus dem jeweiligen VLAN erhalten.

Jetzt zum Router von UnityMedia
Welcher Router ist es im Details?
Wenn du nun ins Internet willst, musst du dem Switch selbst ein Default Gateway mitgeben, also die IP des UM-Routers.
das bewirkt, dass dann eine Route für das Netz 0.0.0.0 mit der Netzmaske 0.0.0.0 auf die IP 192.168.10.1 (ist doch die IP des UM-Routers, richtig?)
Jetzt leitet der Switch schon mal alle Pakete, die zu keinem VLAN passen zum UM-Router.
Damit die Pakete aber auch wieder den weg zurück finden, musst du am UM-Router statische Routing-Einträge setzen.
Und zwar für jedes VLAN-Netz als Hopp den Switch im VLAN 10 (192.168.10.10)
z.B. 172.16.20.0 255.255.255.0 192.168.10.10 für das VLAN 20

Wenn das erledigt ist, kommen alle deine CLients aus allen VLANS erstmal in die anderen VLANs und ins Internet.
Als DNS-Server kannst du dann die IP des UM-Routers eintragen, denn das Routing klappt ja dann ab hier bereits.


Um Zugriffe auf andere VLANs zu unterbinden, musst du mit den AccessListen arbeiten.
Hierzu kannst du mal hier schauen: Cisco SG300 ACLs einrichten
und auch hier: http://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=865924b7d74b4a178d6 ...

Nachtrag
Wenn dein UM-Router keine statischen Routen kann, kaufe einen 40€ Router, z.B. Mikrotik und lasse den die ARbeit machen.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Das ist Quatsch: es bedarf dann eines neuen Routers - FritzBox Cable z.B.


Am Router musst du nichts auf Brigded Mode umstellen, das wäre quatsch, lockert m.W.n. sogar die Sicherheits-Policies...


Gruß
em-pie
aqui
aqui 08.02.2017 aktualisiert um 11:01:47 Uhr
Goto Top
Okay, wie erwartet bekomme ich die das Routen mit dem SG300 nicht hin.
Wieso "wie erwartet" ?? Normal bekommt das auch ein laie in 3 Minuten zum Fliegen:
http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-busin ...
Gateway und DNS erstmal noch nichts.
DNS ist für den Switch auch vollkommen irrelevant. NICHT aber das gateway !!
Du musst zwingend eine Default Route vom Switch auf die 192.168.10.1 setzen was ja die IP Adresse deines Internet Routers im VLAN 10 ist am Switchport 17.
Hier an Port 17 muss der Internet Router angeschlossen sein und als Funktuionstest MUSS ein Ping vom Switch Setup GUI auf diese Unitymedia Router IP sauber funktionieren !!
Tut es das nicht musst du gar nicht erst weitermachen !
Eine IPv4 Route wurde zum Test wie folgt festgelegt:
Ziel IP Präfix 172.10.20.0, Maske 255.255.255.0 Routertyp. Remote Router IP-Adresse für nächsten Hop: 192.168.10.1
Das ist natürlich völlig Quatsch !
Sagt einem auch schon der gesunde Menschenverstand ohne Ahnung von IP Routing.
Zuallererst gehört diese Route NICHT auf den Switch !!!

Auf dem Switch selber ist einzig und allen nur eine Default Route auf die Unitymedia Internet Router IP 192.168.10.1 zu konfigurieren. Nicht mehr und nicht weniger !
Die Switch IP in dem VLAN 10 ist ja die 192.168.10.10 wenn man dich oben richtig versteht.
Die Routen für die VLAN Subnetze kommt immer auf den Internet Router !! also deine Unitymedia Gurke. Die MUSS statische Routen supporten sonst kannst du das alles gleich vergessen !
Hier auf dem Internet Router (nicht Switch !) musst du eine statische Route definieren für die Switch Subnetze !!
Klar, denn der Unitymedia Internet Router muss ja wissen WO er IP Pakete zu den VLAN Subnetzen hinschicken muss und das ist logischerweise dann der Switch bzw. die Switch IP 192.168.10.10 im VLAN 10 !!!
Hier (auf dem Internet Router !!)) reicht es jetzt eine sog. Summary Route (Sammelroute für alle Netze) mit einem 18 Bit Prefix anzugeben um alle deine 172er Netze mit eiem Eintrag zu routen, nämlich:
Zielnetz: 172.16.1.0
Maske: 255.255.192.0
(man achte auf die Maske hier !! 18 Bit)
Gateway: 192.168.10.10
(die Switch IP in VLAN 10 !)
Fertisch !

Damit routet der Internet Router nun alle IP Netze von 172.16.1.0 bis 172.16.63.0 an den Switch !
Das erspart die die 172.16.10, 172.16.20.. 172.16.30., und 172.16.40. einzeln dort einzutragen.
Kannst du auch machen, ist aber mehr überflüssige Tipparbeit face-wink
Beide Wege sind aber richtig.
Mehr ist nicht zu tun. Das sollte auch ein Laie in 10 Minuten im Switch und Router GUI zusammengeklickt haben.

Ziel ist es folglich vom 20er VLAN ins 10 VLAN zu routen bzw. ins Internet (und später auch vom 30er VLAN)
Innerhalb der VLANs direkt am Switch zu routen klappt so oder so IMMER !!
Das macht der Switch ja von sich aus, denn er kennt ja alle IP Subnetze in den VLAN. Wichtig nur das man L3 aktiviert im Switch, siehe oben ! Routen ets sind dafür NICHT erforderlich.

Damit es aber ins Internet klappt sind die bereits oben genanten 3 Punkte essentiell wichtig:
  • Der Unitymedia Internet Router MUSS statische Routen supporten !!! Tut er das nicht ist das ganze Projekt tot ! (jedenfalls dann mit so einem Schrottrouter der dann ausgetauscht werden muss) Also diesen Punkt vorher sicher klären.
  • Die Switch Default Route auf die Internet Router IP 192.168.10.1 in VLAN 10 !
  • Die IP Subnetz Routen oder Route auf dem Unitymedia Internet Router für die Switchnetze
Ende !

Wichtig ist natürlich das man immer VORHER auch alle Verbindung testet !!
  • Ping vom Switch GUI auf die Internet Router IP muss klappen !
  • Sofern der Internet Router eine Ping Funktion im GUI hat kann man als Quercheck von hier auch die Switch IP 192.168.10.10 pingen. Das stellt sicher das der Router korrekt an Port 17 angeschlossen ist und die Unitymedia Internet Router IP im VLAN 10 sicher erreichbar ist.

  • Dann macht man weiter mit den Endgeräten...
  • Stimmt die IP Adresszuweisung in den VLANs insbesondere das Gateway ? Check mit ipconfig
  • Endgeräte müssen immer die Internet Router IP als DNS Server vergeben haben 192.168.10.1 !!! Switch DHCP muss entsprechend eingestellt sein ! Endgeräte Gateway ist immer die jeweilige Switch IP im VLAN
  • Klappt ein Endgeräte Ping auf seine VLAN Switch IP ?
  • Klappt ein Endgeräte Ping auf eine andere VLAN Switch IP insbesondere die 192.168.10.10 in VLAN 10 (Internet) ?
  • Klappt ein Endgeräte Ping auf sdie Router IP 192.168.10.1 ?
  • Klappt ein Ping auf eine Internet IP z.B. 8.8.8.8 (um erstmal ggf. DNS Probleme zu umgehen)
  • Klappt ein Ping auf eine Internet FQDN Adresse z.B. www.heise.de oder www.administrator.de ??
Das sind die einzelnen Schritte nach denen du strategisch vorgehen musst und danach kommt das auch sicher zum Fliegen.
Da wo es kneift ist auch der Fehler.
Die Tools: Ping, Traceroute (tracert) und pathping sind hier deine besten Freunde...wie immer.
Standardpasswort
Standardpasswort 08.02.2017 um 15:56:43 Uhr
Goto Top
Okay, soweit so gut. IPs sind geändert, statische Routen eim Router eingestellt, DHCP mit entsprechenden Gateway und DNS konfiguriert.

Stimmt die IP Adresszuweisung in den VLANs insbesondere das Gateway ? Check mit ipconfig
Ja, es werden die korrekten Einstellungen an den Adapter übermittelt, entsprechend an welchem Port er angeschlossen ist
Klappt ein Endgeräte Ping auf seine VLAN Switch IP ?
Ja
Klappt ein Endgeräte Ping auf sdie Router IP 192.168.10.1 ?
Aye
Klappt ein Ping auf eine Internet IP z.B. 8.8.8.8 (um erstmal ggf. DNS Probleme zu umgehen)
Funktioniert
Klappt ein Ping auf eine Internet FQDN Adresse z.B. www.heise.de oder www.administrator.de ??
Ja, klappt alles, ABER
Klappt ein Endgeräte Ping auf eine andere VLAN Switch IP insbesondere die 192.168.10.10 in VLAN 10 (Internet) ?
Ja, sofern ein Gerät am am Port des VLAN angeschlossen ist, kann ich das entsprechende VLAN selbst (mit .1 am Ende) anpingen.
Nur auf Geräte im 192.168.10.10 Netz habe ich von VLAN 20 und 30 aus Zugriff.
Internet funktioniert alles wunderbar. An meiner alten FritzBox die statischen Routen eingestellt (für Netz 20 und 30, der Rest soll keine Verbindung haben).
Aber wie gesagt, ich kann nur die übrigen VLANs anpingen, an denen auch ein Endgerät hängt. Und dann auch nur das Netz selbst (z.B. die 172.16.20.1 vom 30er VLAN und umgekehrt). Der Ping ans Endgerät selber geht nicht durch. Dass das mit 20 und 30 untereinander nicht funktioniert ist ja okay, aber ich hätte gerne mit 20 und 30 Zugriff auf das 40er VLAN. Dachte man müsste keine Routen für die VLANs untereinander einstellen.
ACLs helfen mir hier leider auch nicht weiter, da die Grundkommunikation schon nicht läuft. Ich kann mich aber ganz prima selber mit ACLs ausprerren, wenn ich sämtlichen Traffic blockiere :P

Auf der to do List wäre also noch:
- Kommunikation zwischen VLAN 20 und 40 sowie 30 und 40 herstellen
- Zugriff auf den SG300 nur von VLAN 20 und VLAN1
- Keine Kommunikation zwischen VLAN 20 und 30 sowie 10 und 40 (ist zwar im Moment so, aber ich will auch nichts machen, was pauschal alle Netze öffnet, nur damit 20 und 30 Zugriff auf 40 haben)

Trotzdem schon mal besten Dank für die Tipps. Internet funktioniert ja soweit und die Netze sind getrennt. Im Zweifelsfall lebe ich auch damit
aqui
aqui 08.02.2017 aktualisiert um 16:33:25 Uhr
Goto Top
Nur auf Geräte im 192.168.10.10 Netz habe ich von VLAN 20 und 30 aus Zugriff.
Das ist ja auch völlig kalr und logisch. Da das dein Internet VLAN ist können sich da nur 2 pingbare IP Adressen drin befinden. Sprich einmal der Switch selber und einmal der Internet Router.
Da du die beiden IPs von allen anderen VLANs und Geräten aus pingen kannst hast du alles richtig gemacht !
Das zeigt das verhalten eindeutig !
Aber wie gesagt, ich kann nur die übrigen VLANs anpingen, an denen auch ein Endgerät hängt.
Ähhh...das ist ja auch wohl klar und logisch. In einem VLAN wo keine Endgeräte aktiv sind ist ja auch nix zu pingen und solange es in solchem VLAN keinen aktiven Link gibt nimmt der Switch IMMER auch das L3 Interface runter damit das netz als inaktiv markiert wird in seiner Routing Tabelle.
Logisch denn wenn nix da ist im netz ist das netz eigentlich sinnfrei. Der Switch macht allso alles was er soll und richtig.
Wenn du nur willst das das Switch L3 Interface aktiv ist steck irgendwas in einen der Ports das dort ein kative Link ist. Egal was und welche IP hauptsache der Link ist oben, dann ist auch das L3 Switch Interface oben.
Mal logisch nachdenken... face-wink
Der Ping ans Endgerät selber geht nicht durch.
Was meinst du damit genau ???
Du kannst z.B, kein Endgerät im VLAN 30 anpingen von einem Client im VLAN 20 ??
Das liegt dann zu 100% an der lokalen Firewall dieser Geräte !!
Wen das Winblows ist, dann bedenke das ab Win 7 ICMP (Ping) immer in der lokalen Firewall geblockt sind. Du musst also immer erst ICMP freigeben damit Ping klappt !
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Das gilt ebenso für den Zugriff auf Applikationen mit fremden Absender IPs. Auch das blockiert die Windows Firewall per default und muss man freigeben.

Das es daran liegt und nicht am L3 Switching (Routing) kannst du ja ganz klar daran sehen das du immer die fremde Switch IP pingen kannst und im VLAN 10 den Internet Router.
Es liegt also de facto NICHT an deiner Infrastruktur. Die Ergenbisse deiner Ping Tests zeigen ja eindeutig das alles sauber funktioniert und damit richtig konfiguriert ist.
Das kannst du auch vermutlich sofort verifizieren wenn du mal ein NICHT Windows Gerät wie Rasperyy Pi oder Drucker etc. also etwas OHNE Firewall in die VLANs bringst und anpingst. Das wird ganz sicher funktionieren und dir dann aufzeigen das du ein Firewall Problem hast und kein Problem im Netz an sich.
Dachte man müsste keine Routen für die VLANs untereinander einstellen.
Das ist auch absolut so und richtig !!
Wozu muss denn dein L3 Switch irgendwelche Routen kennen ?? Muss er nicht.
ALLE deine IP Segmente sprich Netze sind ja immer direkt an ihm angeschlossen. Damit kennt er alle IP Netze.
Die Default Route sagt ihm: "Hey...alles was du nicht kennst schaufelst du zum Internet Router !"
Wozu muss also der Switch noch Routen haben ?? Braucht er de facto NICHT !!
Fazit:
Ohne ACLs kann jeder mit jedem. Sprich JEDES Endgerät kann auf alle anderen Endgerät zugreifen. Natürlich solange die lokale Firewall am Endgerät nicht dazwischengrätscht.
Ist auch klar und logisch, denn das Routing ist transparent und es gibt keine ACLs. Also jeder mit jedem.

Erst wenn du den Zugriff einschränken willst kommen ACLs ins Spiel !!
Nehmen wir mal dein Beispiel "Keine Kommunikation zwischen VLAN 20 und 30 sowie 10 und 40":
am L3 Interface an VLAN 20 steht dann:
access-list DENY ip 172.10.20.0 0.0.0.255 172.10.30.0 0.0.0.255
access-list PERMIT ip 172.10.20.0 0.0.0.255 any

Das verbietet VLAN 20 zu VLAN 30 Traffic und erlaubt den Rest und Internet. Alles mit Absender IP .20.x und Ziel IP .30.x wird geblockt. Analog bei VLAN 30:
access-list DENY ip 172.10.30.0 0.0.0.255 172.10.20.0 0.0.0.255
access-list PERMIT ip 172.10.30.0 0.0.0.255 any

Dir ist das Prinzip klar, oder ?? Wenn nicht hier nochmal das Beispiel Verbot VLAN 10 auf 40:
access-list DENY ip 172.10.10.0 0.0.0.255 172.10.40.0 0.0.0.255
access-list PERMIT ip 172.10.10.0 0.0.0.255 any

Vlan 40 solltest du aber nun selber schaffen, oder ??
ACHTUNG:
Bringe ZUERST mal das Routing sauber zum Fliegen so das du da Fehler ausschliessen kannst.
Erst DANACH kannst du die Schotten langsam mit ACLs dichtmachen !
Standardpasswort
Standardpasswort 08.02.2017 um 16:50:46 Uhr
Goto Top
Ja, ich denke ich hab das schon irgendwie verstanden, das mit dem Routing und den ACLs ;)

Problem ist weiterhin:
Du kannst z.B, kein Endgerät im VLAN 30 anpingen von einem Client im VLAN 20 ?? Das liegt dann zu 100% an der lokalen Firewall dieser Geräte !!
Genau das ist der Fall.
Beispiel WLAN Switch mit fester IP 172.16.20.2 an VLAN 20 angeschlossen. Laptop an VLAN 20 angeschlossen, bekommt per DHCP die IP 172.16.20.100, Gateway 172.16.20.1 -> Ping auf WLAN Switch geht durch, Konfiguration über WebGUI möglich.

Gleicher WLAN Switch unverändert an VLAN 20 angeschlossen, Laptop umgesteckt auf Port 9, VLAN 30. Laptop bekommt IP 172.16.30.100, Gateway 172.16.30.1. Ping auf 172.16.20.1 geht, auf 172.16.20.2 geht nicht, keine Konfiguration möglich.
Das ist das Einzige, was mich total verwirrt. Ich habe es bis jetzt so verstanden, dass das problemlos möglich sein sollte... oder ich stehe total auf dem Schlauch...?
aqui
aqui 08.02.2017 aktualisiert um 16:57:21 Uhr
Goto Top
oder ich stehe total auf dem Schlauch...?
Nur ein bischen... face-smile
Hast du dem WLAN Switch auch ein Default Gateway konfiguriert auf die Gateway IP 172.16.20.1 ??? Oder eine Default Route ??
Vermutlich wohl NICHT, oder ?
Ohne ein Default Gateway oder eine Default Route kann der WLAN Switch bzw. sein Management Interface keine Pakete an das 30er Netz senden.
Das wird oft vergessen das auch alle anderen Endgeräte immer ein Gateway brauchen im L3 Umfeld um aus den anderen VLANs erreichbar zu sein !
Gib also deinem WLAN Switch in seinem Setup eine Gateway IP auf die 172.16.20.1 dann klappt das auch sofort face-wink
Standardpasswort
Standardpasswort 08.02.2017 um 17:30:16 Uhr
Goto Top
Tatsache...
Dachte eigentlich, dass sich der Gerät direkt anpingen lassen müsste. Aber mit einer entsprechenden Route geht es dann... ich Frage mich aber wie das funktionieren soll, wenn ein NAS am Cisco dran hängt. Ich hoffe bei den Dingern lassen sich auch statische Routen programmieren sonst muss ich ja auch da einen Router zwischen hängen.

Aber danke für die Unterstützung. Jetzt bleibt nur abzuwarten, was die UM Kiste kann oder nicht. Ich befürchte fast, da lassen sich keine statischen Routen programmieren....

Jetzt kann ich ja ruhigen Gewissens ACLs zum Blocken zwischen 20 und 30 und 1,10 und 40 schreiben. Das Problem scheint geklärt.
Gibt es eigentlich eine Möglichkeit ein komplettes VLAN von der Konfiguration des SG300 auszuschließen?

Gruß
em-pie
em-pie 08.02.2017 aktualisiert um 17:53:16 Uhr
Goto Top
Zitat von @Standardpasswort:

Tatsache...
Dachte eigentlich, dass sich der Gerät direkt anpingen lassen müsste. Aber mit einer entsprechenden Route geht es dann... ich Frage mich aber wie das funktionieren soll, wenn ein NAS am Cisco dran hängt. Ich hoffe bei den Dingern lassen sich auch statische Routen programmieren sonst muss ich ja auch da einen Router zwischen hängen.
Watt?
Du musst am NAS doch nur ein STANDARD-GATEWAY eintragen. Das ist meist das dritte Feld, beim festsetzen der IP-Adresse in einem netzwerkfähigem Gerät. Da Bedarf es doch keinen Router...
Einfach alle Netzwerk-Geräte einmalig abgrasen, dort überall das Standardgateway (Default-Gateway) eintragen und Gut. Manchmal verwenden die Hersteller auch den Begriff Router (z.B. Fa. Siemens bei Ihren SPSen, aber die hast du ja nicht face-wink)

Aber danke für die Unterstützung. Jetzt bleibt nur abzuwarten, was die UM Kiste kann oder nicht. Ich befürchte fast, da lassen sich keine statischen Routen programmieren....
Welche Kiste hast du denn?
Ist es eine FritzBox, eine Technicolor TC7200 (ihh...bahh) oder die ConnectBox?
Falls letztere beiden, investiere noch einmal in eine Cable-FritzBox und aus die Maus face-smile
Die Dinger sind der letzte ... sind halt ungeeignet für solche Themen

Jetzt kann ich ja ruhigen Gewissens ACLs zum Blocken zwischen 20 und 30 und 1,10 und 40 schreiben. Das Problem scheint geklärt.
Gibt es eigentlich eine Möglichkeit ein komplettes VLAN von der Konfiguration des SG300 auszuschließen?
Wie meinen?
Als was willst du ausschließen? und von welcher Konfiguration?
Standardpasswort
Standardpasswort 08.02.2017 um 18:05:45 Uhr
Goto Top
Jetzt kann ich ja ruhigen Gewissens ACLs zum Blocken zwischen 20 und 30 und 1,10 und 40 schreiben. Das Problem scheint geklärt. Gibt es eigentlich eine Möglichkeit ein komplettes VLAN von der Konfiguration des SG300 auszuschließen?
Wie meinen? Als was willst du ausschließen? und von welcher Konfiguration?

Ich will dass die VLAN 20 und 30 voneinander getrennt sind, genau so wie 1 und 10 und 40. Klar im Moment kann da eh nichs miteinander kommunizieren. Aber sicher ist sicher, nicht dass da noch jemand irgendwas rummanipuliert :D
Daher will ich auch der Einzige sein, der über VLAN 20 Zugriff auf den SG300 hat. Aber das ist Spielerei... wenns nicht geht, gehts nicht.

P.S. wenn ich mich recht erinnere ist es eine Connect Box. Aber wie mehrfach erwähnt. Ich wohne noch in meiner alten Wohnung, die Box ist hingegen im neuen Haus. Mal schnell hinfahren und gucken is nicht ;)
em-pie
em-pie 08.02.2017 um 19:48:32 Uhr
Goto Top
Ahh... OK.
Wenn man den Satz etwas anders betont liest, ist es einleuchtend face-big-smile

Schaue mal hier:
https://supportforums.cisco.com/discussion/11456581/sg300-how-block-mana ...
Statt GE1 nimmst du dann einfach dein VLAN20

@aqui würde dir das sicherlich jetzt per CLI aufzeigen, aber ich "kratz" mir die erforderlichen Befehle auch erst immer aus dem WWW/ der Doku zusammen, von daher war es so jetzt schneller face-big-smile

Bedenke aber noch eines:
Bei den ACL-Regeln müsste es wie bei den klassischen Firewall-Regeln an den ganzen UTMs etc so sein, dass FirstMatch Rules.
Achte also auf die Reihenfolge deiner Regel(n)...
aqui
aqui 09.02.2017 um 15:30:29 Uhr
Goto Top
ich Frage mich aber wie das funktionieren soll, wenn ein NAS am Cisco dran hängt.
Das NAS funktioniert nicht anders als ein PC oder was auch immer am Cisco hängt. Warum sollte es da irgendein irgendwie gearteten Unterschied geben ??
NAS bekommt ne statische IP, Maske und als Default Gateway die IP Adresse des Cisco in dem VLAN.
Fertig aus ! Das wars !
Ein Endgerät brauch niemals eine statische Route. Wäre auch totaler Schwachsinn, denn es hat ja ein Default Gateway und damit eine Default Route: "Alles was du nicht kennst und nicht lokal ist an IP Adressen ab dahin..."
Diese Logik ist so banal und simpel wie effektiv ! Deshalb funktioniert sie ja auch so gut face-wink
Kollege em-pie hat ja auch schon alles zu dem Thema gesagt !
Ich befürchte fast, da lassen sich keine statischen Routen programmieren....
Kann bei so billigen, gruseligen Zwangsroutern der untersten Kategorie passieren...siehe Speedport Schrott. Aber denk mal positiv und hoffe das Beste face-smile
Gibt es eigentlich eine Möglichkeit ein komplettes VLAN von der Konfiguration des SG300 auszuschließen?
Ja, klar !!
Kinderleicht: Lasse einfach die IP Adresse auf dem Cisco für dieses VLAN weg und definiere es nirgendwo in einem tagged Uplink.
Damit ist dieses VLAN dann logischerweise vollkommen isoliert.
Das macht man so z.B. bei Gast VLANs / WLANs die dann eine separate Strippe in eine Firewall oder CP bekommen z.B.
DMZ ist auch so ein Klassiker dafür.
Kommt man aber auch selber druaf wenn man mal ein bischen nachdenkt face-wink
Ich will dass die VLAN 20 und 30 voneinander getrennt sind
Dann lasse eben wie gesagt die IP Adresse am Switch weg. Dann sind sie zwangsweise vollständig getrennt !!
em-pie
em-pie 09.02.2017 um 16:11:00 Uhr
Goto Top
Gibt es eigentlich eine Möglichkeit ein komplettes VLAN von der Konfiguration des SG300 auszuschließen?
Ja, klar !!
Kinderleicht: Lasse einfach die IP Adresse auf dem Cisco für dieses VLAN weg und definiere es nirgendwo in einem tagged Uplink.
Damit ist dieses VLAN dann logischerweise vollkommen isoliert.
Das macht man so z.B. bei Gast VLANs / WLANs die dann eine separate Strippe in eine Firewall oder CP bekommen z.B.
DMZ ist auch so ein Klassiker dafür.
Kommt man aber auch selber druaf wenn man mal ein bischen nachdenkt face-wink
Ich will dass die VLAN 20 und 30 voneinander getrennt sind
Dann lasse eben wie gesagt die IP Adresse am Switch weg. Dann sind sie zwangsweise vollständig getrennt !!
Das wiederum wäre aber völlig doof und beisst sich mit seiner Ausgangs genannten Anforderung:

Ziel soll es nun sein, dass die VLANs 30 und 40 auf das 10er zwecks Internet zugreifen können, aber nicht untereinander sichtbar sind.
Ferner sollen auch beide auf die NAS im 20er Netz Zugriff haben.
10er und 40er hingegen sollen sich nicht kennen.
Tüpfelchen auf dem i wäre noch eine Möglichkeit, ohne viel Konfigurationsaufwand (ich bin der Einzige, der auch nur halbwegs die Dinger bedienen können wird), eine Route zwischen 30 und 40 ein- und auszuschalten.

Das wäre ja in Firmen gemäß folgendem Szenario auch mist:
Server im VLAN 20
Clients der Produktion im VLAN 30
Clients der FiBu im VLAN 40

klaut man dem VLAN 30 und 40 die IPs auf dem Switch, kommen beide nicht mehr an die Server face-sad
Außer man verbindet die beiden VLANS über seperate Leitungen mit der zentralen Firewall, welche dann aber jeden ERP-Server-Zugriff (teuer) routen müsste...

Ich denke, der Weg über o.g. Link wäre passend...
Teste es dann einfach, wenn es nicht klappt, kann man sich immernoch etwas überlegen...
aqui
aqui 09.02.2017 aktualisiert um 16:25:31 Uhr
Goto Top
Das wiederum wäre aber völlig doof und beisst sich mit seiner Ausgangs genannten Anforderung:
Stimmt, aber der TO hatte ja explizit nach so einer Option gefragt face-wink
Obs sinnvoll ist oder nicht hat er ja nicht gesagt...

Mit dem Rest hast du natürlich auch Recht...keine Frage.