10
Gateway und Routing bei VLANs
Moin,
ich stehe gerade voll auf dem Schlauch.
Hier ist ein HP Switch als Core Switch (CS) im Einsatz bei dem das IP-Routing aktiviert ist.
Nun soll das VLAN aber nicht über den Switch geroutet werden sondern über eine Firewall.
Der Client ist mit dem Switch (CS) verbunden am Port 13 untagged.
Die Firewall ist auf Port 10 eines anderen Switches (S01) verbunden als tagged, da die Firewall die Pakete entsprechend markiert.
Das VLAN ist beim Uplink beider Switche als tagged eingetragen.
Richte ich am CS kein Gateway ein, so kann der Client nicht kommunizieren. Hinterlege ich dort aber die Firewall als Gateway funktioniert es sofort.
Damit routet jetzt aber wieder der Switch und nicht die Firewall oder übersehe ich hier etwas?
Muss bei aktivierten IP-Routing immer ein Gateway beim VLAN eingetragen werden?
Bei Layer-2 Switchen spielt das doch auch keine Rolle, Hauptsache die VLANs können untereinander kommunizieren.
Verstehe ich gerade nicht. Bitte helft mir mal auf die Sprünge.
ich stehe gerade voll auf dem Schlauch.
Hier ist ein HP Switch als Core Switch (CS) im Einsatz bei dem das IP-Routing aktiviert ist.
Nun soll das VLAN aber nicht über den Switch geroutet werden sondern über eine Firewall.
Der Client ist mit dem Switch (CS) verbunden am Port 13 untagged.
Die Firewall ist auf Port 10 eines anderen Switches (S01) verbunden als tagged, da die Firewall die Pakete entsprechend markiert.
Das VLAN ist beim Uplink beider Switche als tagged eingetragen.
Richte ich am CS kein Gateway ein, so kann der Client nicht kommunizieren. Hinterlege ich dort aber die Firewall als Gateway funktioniert es sofort.
Damit routet jetzt aber wieder der Switch und nicht die Firewall oder übersehe ich hier etwas?
Muss bei aktivierten IP-Routing immer ein Gateway beim VLAN eingetragen werden?
Bei Layer-2 Switchen spielt das doch auch keine Rolle, Hauptsache die VLANs können untereinander kommunizieren.
Verstehe ich gerade nicht. Bitte helft mir mal auf die Sprünge.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 621123
Url: https://administrator.de/contentid/621123
Ausgedruckt am: 25.11.2024 um 10:11 Uhr
10 Kommentare
Neuester Kommentar
Nun soll das VLAN aber nicht über den Switch geroutet werden sondern über eine Firewall.
Dann lässt du schlicht und einfach das IP Interface des betreffenden VLANs auf dem Core Switch weg !Damit besteht dann keinerlei Layer 3 Connectivity zum Core und nur rein Layer 2. Routing über den Core ist damit technisch unmöglich !
so kann der Client nicht kommunizieren.
Das ist doch Blödsinn ! Sorry, aber das mit dem Koma könnte sein... 
Es ist doch auch von dir gewollt das er eben NICHT über den CS kommuniziert im Layer 3. Folglich kein L3 Interface dort.DHCP und Gateway IP kommen dann immer von dem Firewall Interface das ja in diesem VLAN hängt ! Nur damit soll der Client doch kommunizieren.
Bei Layer-2 Switchen spielt das doch auch keine Rolle, Hauptsache die VLANs können untereinander kommunizieren.
Der Satz ist völlig leider wirr und unverständlich...?!Layer 2 VLANs sind immer physisch vollkommen getrennte Collision Domains und können niemals miteinander kommunizieren. Eben weil physisch getrennt.
Es braucht also ein Routerbein in diesem VLAN (Layer 3) dafür.
In deinem Fall ist das dann eben nicht mehr der CS sondern die Firewall.
Einfache und simple Logik !
Guckst du auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
2
Zitat von @Komabaer:
Moin,
ich stehe gerade voll auf dem Schlauch.
Hier ist ein HP Switch als Core Switch (CS) im Einsatz bei dem das IP-Routing aktiviert ist.
Nun soll das VLAN aber nicht über den Switch geroutet werden sondern über eine Firewall.
Moin,
ich stehe gerade voll auf dem Schlauch.
Hier ist ein HP Switch als Core Switch (CS) im Einsatz bei dem das IP-Routing aktiviert ist.
Nun soll das VLAN aber nicht über den Switch geroutet werden sondern über eine Firewall.
Dann mußt Du das Routing im Switch abstellen, so daß er sich nur noch wie ein dummer L2-switch mit VLANS verhält.
lks
Moin,
trägst du denn am Client dann als DefaultGateway auch die IP der Firewall ein?
Wenn in Client weiterhin die IP des CoreSwitches hinterlegt ist, kann der Client ja auch nur über den Coreswitch raus gehen. Wenn dem aber die DefaultRoute fehlt...
Zum Rest haben die Kollegen @aqui und @Lochkartenstanzer ja schon etwas geschrieben.
Gruß
em-pie
trägst du denn am Client dann als DefaultGateway auch die IP der Firewall ein?
Wenn in Client weiterhin die IP des CoreSwitches hinterlegt ist, kann der Client ja auch nur über den Coreswitch raus gehen. Wenn dem aber die DefaultRoute fehlt...
Zum Rest haben die Kollegen @aqui und @Lochkartenstanzer ja schon etwas geschrieben.
Gruß
em-pie
Zitat von @aqui:
Damit besteht dann keinerlei Layer 3 Connectivity zum Core und nur rein Layer 2. Routing über den Core ist damit technisch unmöglich !
Nun soll das VLAN aber nicht über den Switch geroutet werden sondern über eine Firewall.
Dann lässt du schlicht und einfach das IP Interface des betreffenden VLANs auf dem Core Switch weg !Damit besteht dann keinerlei Layer 3 Connectivity zum Core und nur rein Layer 2. Routing über den Core ist damit technisch unmöglich !
Das war die Ausgangssituation.
so kann der Client nicht kommunizieren.
Das ist doch Blödsinn ! Sorry, aber das mit dem Koma könnte sein... Es ist doch auch von dir gewollt das er eben NICHT über den CS kommuniziert im Layer 3. Folglich kein L3 Interface dort.DHCP und Gateway IP kommen dann immer von dem Firewall Interface das ja in diesem VLAN hängt ! Nur damit soll der Client doch kommunizieren.
Nein es ist kein Blödsinn, ich kann die Fakten die mir vorliegen ja nicht einfach ignorieren. So wie du es beschreibst kenne ich es von vielen anderen Konfigurationen. In diesem Fall aber, ohne die entsprechende IP-Adresse auf dem Core Switch, kam kein Paket bei der Firewall an.
Deswegen ja meine Frage wo mein Denkfehler ist bzw. ob ich irgendwas übersehen habe.
Bei Layer-2 Switchen spielt das doch auch keine Rolle, Hauptsache die VLANs können untereinander kommunizieren.
Der Satz ist völlig leider wirr und unverständlich...?!Layer 2 VLANs sind immer physisch vollkommen getrennte Collision Domains und können niemals miteinander kommunizieren. Eben weil physisch getrennt.
Es braucht also ein Routerbein in diesem VLAN (Layer 3) dafür.
In deinem Fall ist das dann eben nicht mehr der CS sondern die Firewall.
Einfache und simple Logik !
Guckst du auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Du hast mich falsch verstanden. Es ging mir darum, dass bei Layer 2 Switchen das VLAN untereinander kommuniziert auch über andere Switche hinweg (sofern konfiguriert), und dafür eben kein Routerbein benötigt solange es im eigenen Netz bleibt. Dementsprechend hätte das Paket an der Firewall ankommen sollen.
Nun gut, ich schaue mir nochmal die Nebenschauplätze an. Vermutlich habe ich da etwas übersehen.
Zitat von @Lochkartenstanzer:
Dann mußt Du das Routing im Switch abstellen, so daß er sich nur noch wie ein dummer L2-switch mit VLANS verhält.
lks
Zitat von @Komabaer:
Moin,
ich stehe gerade voll auf dem Schlauch.
Hier ist ein HP Switch als Core Switch (CS) im Einsatz bei dem das IP-Routing aktiviert ist.
Nun soll das VLAN aber nicht über den Switch geroutet werden sondern über eine Firewall.
Moin,
ich stehe gerade voll auf dem Schlauch.
Hier ist ein HP Switch als Core Switch (CS) im Einsatz bei dem das IP-Routing aktiviert ist.
Nun soll das VLAN aber nicht über den Switch geroutet werden sondern über eine Firewall.
Dann mußt Du das Routing im Switch abstellen, so daß er sich nur noch wie ein dummer L2-switch mit VLANS verhält.
lks
Das mögen die anderen VLANs, die auch über den Switch geroutet werden sollen, nicht so gerne
Zitat von @em-pie:
Moin,
trägst du denn am Client dann als DefaultGateway auch die IP der Firewall ein?
Wenn in Client weiterhin die IP des CoreSwitches hinterlegt ist, kann der Client ja auch nur über den Coreswitch raus gehen. Wenn dem aber die DefaultRoute fehlt...
Zum Rest haben die Kollegen @aqui und @Lochkartenstanzer ja schon etwas geschrieben.
Gruß
em-pie
Moin,
trägst du denn am Client dann als DefaultGateway auch die IP der Firewall ein?
Wenn in Client weiterhin die IP des CoreSwitches hinterlegt ist, kann der Client ja auch nur über den Coreswitch raus gehen. Wenn dem aber die DefaultRoute fehlt...
Zum Rest haben die Kollegen @aqui und @Lochkartenstanzer ja schon etwas geschrieben.
Gruß
em-pie
Der Client steht auf DHCP
Zitat von @Komabaer:
Das mögen die anderen VLANs, die auch über den Switch geroutet werden sollen, nicht so gerne
Zitat von @Lochkartenstanzer:
Dann mußt Du das Routing im Switch abstellen, so daß er sich nur noch wie ein dummer L2-switch mit VLANS verhält.
lks
Dann mußt Du das Routing im Switch abstellen, so daß er sich nur noch wie ein dummer L2-switch mit VLANS verhält.
lks
Das mögen die anderen VLANs, die auch über den Switch geroutet werden sollen, nicht so gerne
Dann mußt Du das in der Fragestellung auch genau spezifizieren.
Imho wäre es zwar sowieso sinnvoller alles über eine ordentliche Firewall zu routen, aber sei's drum.
Dann solltest Du mit einem sniffer prüfen, ob der switch Pakete im entsprechenden VLAN an die anderen Ports weiterleitet (geht am einfachsten mit gezielten Broadcasts).
lks
Das mögen die anderen VLANs, die auch über den Switch geroutet werden sollen, nicht so gerne
Dann mußt Du das in der Fragestellung auch genau spezifizieren.
Imho wäre es zwar sowieso sinnvoller alles über eine ordentliche Firewall zu routen, aber sei's drum.
Dann solltest Du mit einem sniffer prüfen, ob der switch Pakete im entsprechenden VLAN an die anderen Ports weiterleitet (geht am einfachsten mit gezielten Broadcasts).
lks
Nein, muss ich nicht, denn mein Frage war ja eine ganz andere.
Auf jeden fall wird dein Vorschlag mit der Firewall auch von mir bevorzugt und soll auch irgendwann umgesetzt werden.
Das mit dem Sniffer werde ich in Angriff nehmen. Danke dir auf jeden fall für deine Unterstützung.
In diesem Fall aber, ohne die entsprechende IP-Adresse auf dem Core Switch, kam kein Paket bei der Firewall an.
Sorry aber das ist Blödsinn. Dann würde sich HP komplett anders verhalten als der Rest der Switching Welt. OK, bei Billigheimer HP wäre das ja nicht weiter verwunderlich aber so schlimm ist es bei denen nun auch wieder nicht.Klar ist natürlich das das VLAN bzw. seine ID selber auf dem CS eingerichtet sein muss und auch die Uplinks mussen Member dieses VLANs sein um einen Layer 2 Connectivity zu haben.
Das ist natürlich eine zwingende Voraussetzung damit im Layer 2 Pakete an die Firewall geforwardet werden können.
Einzig nur die IP Adressse darf im CS nicht in diesem VLAN liegen.
Das kann man ja auch kinderleicht testen indem man durchgehend dieses Layer 2 VLAN anlegt und an seinen beiden Enden 2 PCs mit statischen IPs einstöpselt und pingt. Das muss dann klappen.
Das ist ein tausendfach gängiges Design was in jeder Firma vorkommt die Gast- und Besuchernetze logischerweise über eine sichere Firewall abfackeln anstatt sie im firmeneigenen Core Switch zu routen wo ihnen das Tafelsilber zu Füßen liegt.
Jeder Baumarkt Switch auf der Welt verhält sich so und das sollte bei der Weltfirma HP auch nicht anders sein.
Deine Denkweise ist also grundsätzlich richtig nur an der Ausführung hapert es...
Zitat von @aqui:
Klar ist natürlich das das VLAN bzw. seine ID selber auf dem CS eingerichtet sein muss und auch die Uplinks mussen Member dieses VLANs sein um einen Layer 2 Connectivity zu haben.
Das ist natürlich eine zwingende Voraussetzung damit im Layer 2 Pakete an die Firewall geforwardet werden können.
Einzig nur die IP Adressse darf im CS nicht in diesem VLAN liegen.
Das kann man ja auch kinderleicht testen indem man durchgehend dieses Layer 2 VLAN anlegt und an seinen beiden Enden 2 PCs mit statischen IPs einstöpselt und pingt. Das muss dann klappen.
Das ist ein tausendfach gängiges Design was in jeder Firma vorkommt die Gast- und Besuchernetze logischerweise über eine sichere Firewall abfackeln anstatt sie im firmeneigenen Core Switch zu routen wo ihnen das Tafelsilber zu Füßen liegt.
Jeder Baumarkt Switch auf der Welt verhält sich so und das sollte bei der Weltfirma HP auch nicht anders sein.
Deine Denkweise ist also grundsätzlich richtig nur an der Ausführung hapert es...
In diesem Fall aber, ohne die entsprechende IP-Adresse auf dem Core Switch, kam kein Paket bei der Firewall an.
Sorry aber das ist Blödsinn. Dann würde sich HP komplett anders verhalten als der Rest der Switching Welt. OK, bei Billigheimer HP wäre das ja nicht weiter verwunderlich aber so schlimm ist es bei denen nun auch wieder nicht.Klar ist natürlich das das VLAN bzw. seine ID selber auf dem CS eingerichtet sein muss und auch die Uplinks mussen Member dieses VLANs sein um einen Layer 2 Connectivity zu haben.
Das ist natürlich eine zwingende Voraussetzung damit im Layer 2 Pakete an die Firewall geforwardet werden können.
Einzig nur die IP Adressse darf im CS nicht in diesem VLAN liegen.
Das kann man ja auch kinderleicht testen indem man durchgehend dieses Layer 2 VLAN anlegt und an seinen beiden Enden 2 PCs mit statischen IPs einstöpselt und pingt. Das muss dann klappen.
Das ist ein tausendfach gängiges Design was in jeder Firma vorkommt die Gast- und Besuchernetze logischerweise über eine sichere Firewall abfackeln anstatt sie im firmeneigenen Core Switch zu routen wo ihnen das Tafelsilber zu Füßen liegt.
Jeder Baumarkt Switch auf der Welt verhält sich so und das sollte bei der Weltfirma HP auch nicht anders sein.
Deine Denkweise ist also grundsätzlich richtig nur an der Ausführung hapert es...
Also zum einen muss ich auf jeden Fall sagen das ich mich geehrt fühle von so einer Legende wie dir beraten zu werden.
Zum anderen weiß ich wie VLANs funktionieren und bisher hat auch immer alles geklappt, ohne größere Probleme. Nur in diesem speziellen Fall verhält sich der Core Switch nicht so wie erwartet. Deswegen meinte ich ja in einen anderen Post, das ich mir das ganze nochmal von vorne inkl. der Nebenschauplätze anschauen werde.
