17
!!!HILFE!!! VLAN-Planung erledigt, komme mit nur einem VLAN-Bereich ins Internet, mit allen anderen nicht
Hallo zusammen,
unter diesem Artikel hatte ich -nach Studium eurer Anleitungen- meine VLAN-Planung durchgeführt und gefragt, ob das so funktionieren kann (und den entdeckten Fehler korrigiert). Mittlerweile sind alle 3 Switches (2x CISCO SG250-8 und 1x CISCO SG350-28) angekommen und in die einzelnen Räume verteilt.
Die VLANs (1, 10, 20, 30, 40, 50, 60, 70, 99) sind auf allen 3 Switches angelegt und teilweise einigen Ports (ist momentan Test und noch nicht endgültig) zugeordnet (nicht alle Ports haben momentan ein zugewiesenes VLAN, weil ich erst mal testen wollte, VLAN 1 ist für extra noch nicht überall weggenommen).
Hier abgeleitet aus dem obigen Artikel der aktuelle Testaufbau:
Eurer Empfehlung nach habe ich das VLAN99 als Transfer-VLAN vorgesehen (liegt im Adressbereich 192.168.2.0/24), als Gateway ist 192.168.2.254 definiert. Die FritzBox 7490 hat die IP 192.168.2.1. Das VLAN1 habe ich auf default gelassen und auch im Adressbereich 192.168.1.0/24 und wollte dieses nicht verwenden. Die von mir hinzugefügten VLANs liegen in den Adressbereichen 10.99.x.0/24 (x geht von 10 bis 70).
Derzeit habe ich das Problem, dass ich außer mit VLAN20 nicht in der Lage bin, ins Internet zu kommen, obwohl ich aus allen VLANs die FritzBox erreichen und auch per Chrome konfigurieren kann. Heißt, ich komme per Rechner mit VLAN10 (10.99.10.101) auf die FritzBox (192.168.2.1) wie auch aus VLAN20 (10.99.20.101) auf die FritzBox, aber nur mit dem 20er VLAN ins Internet. An den IPv4-Routen in der FritzBox kann es -vermute ich- nicht liegen, ich habe sowohl schon 10.99.0.0 (255.255.0.0) konfiguriert gehabt (nur 20er VLAN ging) wie auch zwei statische Routen (10.99.10.0/255.255.255.0 & 10.99.20.0/255.255.255.0). Macht keinen Unterschied, auch hier gelangt nur VLAN20 ins Internet.
Ich bin jetzt mit meinem Latein (welches nicht sonderlich groß ist) am Ende oder auch betriebsblind oder einfach nur zu unerfahren/blöd, keine Ahnung. Könnte mir bitte jemand helfen???
Hier die Screenshots aller Einstellungen:
SG350-28: die konfigurierten VLANs
SG350-28: die Portsettings, die beiden Ports 9 & 11 als Trunk (da hier die SG250-8 dran hängen), alle anderen als Access
SG350-28: die VLAN Memberships, auf Port 10 hängt die FritzBox (Port 23 als "Reserve" für das Transfernetz, unnötig ich weiß, Port ist aber nicht belegt)
SG350-28: alle VLANs haben ein Gateway mit einer x.x.x.254 Adresse
SG350-28: die statische Route 0.0.0.0/0.0.0.0 verweist auf die FritzBox (192.168.2.1)
SG350-28: die automatisch erzeugte Forwarding Tablle sieht für mein Verständnis korrekt aus
SG350-28: der DHCP-Server ist aktiviert um in den VLANs entsprechende IP-Adressen zu verteilen (die FritzBox verteilt nur in ihrem Netz 192.168.2.0/24 zwischen .100 und .199)
SG350-28: DHCP-Bereiche pro VLAN sind zwischen .101 und .199 für jedes VLAN angelegt
SG350-28: DHCP-Konfiguration von VLAN10 (kommt warum auch immer leider nicht ins Internet)
SG350-28: DHCP-Konfiguration von VLAN20 (kommt ins Internet, nutze ich gerade [bitte nicht am VLAN-Namen stören, soll später für Entertain sein])
SG350-28: war mit meinem Rechner schon in jeweils einem VLAN angemeldet (Kabel am SG250-8 Switch umgesteckt und automatisch von SG350-28 eine Adresse bezogen, sieht man an der immer gleichen MAC-Adresse)
SG350-28: DNS ist aktiviert und die Adresse der FritzBox (192.168.2.1) eingetragen, wird auch per DHCP an die Clients übergeben, siehe zwei Screenshots weiter oben
SG250-8: gleiche VLANs sind angelegt mit der gleichen ID und dem jeweils gleichen Namen
SG250-8: Port 1 ist als Trunk konfiguriert und hängt auf Port 9 des SG350-28, der ebenfalls als Trunk konfiguriert ist
SG250-8: habe jedem Port zu Testzwecken ein VLAN zugeordnet (bis auf VLAN70, kein Platz mehr). Nur per VLAN20 komme ich ins Internet (und über Port 8 [VLAN99 weil das ja direkt auf der FritzBox hängt])
SG250-8: für jedes VLAN ist der Switch als .253 angelegt
SG250-8: auch hier ist die 0.0.0.0/0.0.0.0 mit Verweis auf die FritzBox (192.168.2.1) eingetragen
SG250-8: die Forwarding Tablle empfinde ich auch hier als korrekt
SG250-8: die FritzBox (192.168.2.1) ist auch hier als DNS hinterlegt, wobei ich mir in diesem Punkt nicht sicher bin, ob das überhaupt sein muss oder ob das überhaupt korrekt ist
FritzBox 7490: ich habe für extra beide möglichen Routenkonstellationen hinterlegt gehabt. Zu Beginn hatte "nur" 10.99.0.0/255.255.0.0 -> 192.168.2.254 eingetragen gehabt (sonst keine Routen). Ergebnis war, dass ich nur mit VLAN20 ins Internet gekommen bin. Danach habe ich pro VLAN eine statische Route in der FritzBox angelegt (siehe Screenshot) und die obere Route deaktiviert. Auch hier ist das Ergebnis, dass nur VLAN20 ins Internet kommt.
Außerdem habe ich noch Screenshots der Konsole mit ipconfig, ping und tracert angefertigt, vielleicht macht es das auch noch sichtbarer:
VLAN10 per DHCP zugewiesen, 1.1.1.1 nicht pingbar, Route endet an der FritzBox (Step 2)
VLAN20 per DHCP zugewiesen (gleicher Rechner, nur am SG250-8 von Port 2 [VLAN10] nach Port 3 [VLAN20] umgesteckt), 1.1.1.1 ist pingbar und wird nach Schritt 8 erreicht
VLAN30 per DHCP zugewiesen (gleicher Rechner, nur am SG250-8 von Port 3 [VLAN20] nach Port 4 [VLAN30] umgesteckt, 1.1.1.1 nicht pingbar, Route endet an der FritzBox (Step 2)
Ich weiß, ich habe euch jetzt mit Bildern zugemüllt, aber ich wollte es so nachvollziehbar wie möglich machen und hoffe wirklich sehr, dass mir jemand helfen kann. Habe im Internet schon nach DNS-Problemen gesucht, nach DHCP-Problemen gesucht, etc. Zuerst hatte ich die Vermutung, dass es daran lag, dass ich nur im VLAN20 einen "Domain Name" bei "Option 15" eingetragen habe und bei den anderen VLANs nicht. Das hatte ich dann in den anderen VLANs nachgezogen, sowohl mit unterschiedlichen Namen wie auch mit durchgängig den gleichen Namen (macht aber keinen Unterschied). Auch wenn ich den Client manuell konfiguriere und keine Adresse per DHCP zuweisen lasse, funktioniert es heute nicht, gestern hat es (warum auch immer) funktioniert. Bin wirklich ratlos...
Danke für eure Hilfe und Gruß
unter diesem Artikel hatte ich -nach Studium eurer Anleitungen- meine VLAN-Planung durchgeführt und gefragt, ob das so funktionieren kann (und den entdeckten Fehler korrigiert). Mittlerweile sind alle 3 Switches (2x CISCO SG250-8 und 1x CISCO SG350-28) angekommen und in die einzelnen Räume verteilt.
Die VLANs (1, 10, 20, 30, 40, 50, 60, 70, 99) sind auf allen 3 Switches angelegt und teilweise einigen Ports (ist momentan Test und noch nicht endgültig) zugeordnet (nicht alle Ports haben momentan ein zugewiesenes VLAN, weil ich erst mal testen wollte, VLAN 1 ist für extra noch nicht überall weggenommen).
Hier abgeleitet aus dem obigen Artikel der aktuelle Testaufbau:
Eurer Empfehlung nach habe ich das VLAN99 als Transfer-VLAN vorgesehen (liegt im Adressbereich 192.168.2.0/24), als Gateway ist 192.168.2.254 definiert. Die FritzBox 7490 hat die IP 192.168.2.1. Das VLAN1 habe ich auf default gelassen und auch im Adressbereich 192.168.1.0/24 und wollte dieses nicht verwenden. Die von mir hinzugefügten VLANs liegen in den Adressbereichen 10.99.x.0/24 (x geht von 10 bis 70).
Derzeit habe ich das Problem, dass ich außer mit VLAN20 nicht in der Lage bin, ins Internet zu kommen, obwohl ich aus allen VLANs die FritzBox erreichen und auch per Chrome konfigurieren kann. Heißt, ich komme per Rechner mit VLAN10 (10.99.10.101) auf die FritzBox (192.168.2.1) wie auch aus VLAN20 (10.99.20.101) auf die FritzBox, aber nur mit dem 20er VLAN ins Internet. An den IPv4-Routen in der FritzBox kann es -vermute ich- nicht liegen, ich habe sowohl schon 10.99.0.0 (255.255.0.0) konfiguriert gehabt (nur 20er VLAN ging) wie auch zwei statische Routen (10.99.10.0/255.255.255.0 & 10.99.20.0/255.255.255.0). Macht keinen Unterschied, auch hier gelangt nur VLAN20 ins Internet.
Ich bin jetzt mit meinem Latein (welches nicht sonderlich groß ist) am Ende oder auch betriebsblind oder einfach nur zu unerfahren/blöd, keine Ahnung. Könnte mir bitte jemand helfen???
Hier die Screenshots aller Einstellungen:
SG350-28: die konfigurierten VLANs
SG350-28: die Portsettings, die beiden Ports 9 & 11 als Trunk (da hier die SG250-8 dran hängen), alle anderen als Access
SG350-28: die VLAN Memberships, auf Port 10 hängt die FritzBox (Port 23 als "Reserve" für das Transfernetz, unnötig ich weiß, Port ist aber nicht belegt)
SG350-28: alle VLANs haben ein Gateway mit einer x.x.x.254 Adresse
SG350-28: die statische Route 0.0.0.0/0.0.0.0 verweist auf die FritzBox (192.168.2.1)
SG350-28: die automatisch erzeugte Forwarding Tablle sieht für mein Verständnis korrekt aus
SG350-28: der DHCP-Server ist aktiviert um in den VLANs entsprechende IP-Adressen zu verteilen (die FritzBox verteilt nur in ihrem Netz 192.168.2.0/24 zwischen .100 und .199)
SG350-28: DHCP-Bereiche pro VLAN sind zwischen .101 und .199 für jedes VLAN angelegt
SG350-28: DHCP-Konfiguration von VLAN10 (kommt warum auch immer leider nicht ins Internet)
SG350-28: DHCP-Konfiguration von VLAN20 (kommt ins Internet, nutze ich gerade [bitte nicht am VLAN-Namen stören, soll später für Entertain sein])
SG350-28: war mit meinem Rechner schon in jeweils einem VLAN angemeldet (Kabel am SG250-8 Switch umgesteckt und automatisch von SG350-28 eine Adresse bezogen, sieht man an der immer gleichen MAC-Adresse)
SG350-28: DNS ist aktiviert und die Adresse der FritzBox (192.168.2.1) eingetragen, wird auch per DHCP an die Clients übergeben, siehe zwei Screenshots weiter oben
SG250-8: gleiche VLANs sind angelegt mit der gleichen ID und dem jeweils gleichen Namen
SG250-8: Port 1 ist als Trunk konfiguriert und hängt auf Port 9 des SG350-28, der ebenfalls als Trunk konfiguriert ist
SG250-8: habe jedem Port zu Testzwecken ein VLAN zugeordnet (bis auf VLAN70, kein Platz mehr). Nur per VLAN20 komme ich ins Internet (und über Port 8 [VLAN99 weil das ja direkt auf der FritzBox hängt])
SG250-8: für jedes VLAN ist der Switch als .253 angelegt
SG250-8: auch hier ist die 0.0.0.0/0.0.0.0 mit Verweis auf die FritzBox (192.168.2.1) eingetragen
SG250-8: die Forwarding Tablle empfinde ich auch hier als korrekt
SG250-8: die FritzBox (192.168.2.1) ist auch hier als DNS hinterlegt, wobei ich mir in diesem Punkt nicht sicher bin, ob das überhaupt sein muss oder ob das überhaupt korrekt ist
FritzBox 7490: ich habe für extra beide möglichen Routenkonstellationen hinterlegt gehabt. Zu Beginn hatte "nur" 10.99.0.0/255.255.0.0 -> 192.168.2.254 eingetragen gehabt (sonst keine Routen). Ergebnis war, dass ich nur mit VLAN20 ins Internet gekommen bin. Danach habe ich pro VLAN eine statische Route in der FritzBox angelegt (siehe Screenshot) und die obere Route deaktiviert. Auch hier ist das Ergebnis, dass nur VLAN20 ins Internet kommt.
Außerdem habe ich noch Screenshots der Konsole mit ipconfig, ping und tracert angefertigt, vielleicht macht es das auch noch sichtbarer:
VLAN10 per DHCP zugewiesen, 1.1.1.1 nicht pingbar, Route endet an der FritzBox (Step 2)
VLAN20 per DHCP zugewiesen (gleicher Rechner, nur am SG250-8 von Port 2 [VLAN10] nach Port 3 [VLAN20] umgesteckt), 1.1.1.1 ist pingbar und wird nach Schritt 8 erreicht
VLAN30 per DHCP zugewiesen (gleicher Rechner, nur am SG250-8 von Port 3 [VLAN20] nach Port 4 [VLAN30] umgesteckt, 1.1.1.1 nicht pingbar, Route endet an der FritzBox (Step 2)
Ich weiß, ich habe euch jetzt mit Bildern zugemüllt, aber ich wollte es so nachvollziehbar wie möglich machen und hoffe wirklich sehr, dass mir jemand helfen kann. Habe im Internet schon nach DNS-Problemen gesucht, nach DHCP-Problemen gesucht, etc. Zuerst hatte ich die Vermutung, dass es daran lag, dass ich nur im VLAN20 einen "Domain Name" bei "Option 15" eingetragen habe und bei den anderen VLANs nicht. Das hatte ich dann in den anderen VLANs nachgezogen, sowohl mit unterschiedlichen Namen wie auch mit durchgängig den gleichen Namen (macht aber keinen Unterschied). Auch wenn ich den Client manuell konfiguriere und keine Adresse per DHCP zuweisen lasse, funktioniert es heute nicht, gestern hat es (warum auch immer) funktioniert. Bin wirklich ratlos...
Danke für eure Hilfe und Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 574174
Url: https://administrator.de/contentid/574174
Ausgedruckt am: 23.11.2024 um 18:11 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
Du brauchst nur einen Router-Switch. Die anderen sollten lediglich per trunk die Vlans verbinden.
Auf dem sg250-8 ist also nur eine Management-IP erforderlich, nicht für jedes Vlan eine.
Grüße
lcer
Du brauchst nur einen Router-Switch. Die anderen sollten lediglich per trunk die Vlans verbinden.
Auf dem sg250-8 ist also nur eine Management-IP erforderlich, nicht für jedes Vlan eine.
Grüße
lcer
Hallo Icer,
vielen Dank für die Antwort. Die VLAN-Einträge 10-70 habe ich im SG250-8 entfernt, nur VLAN1 und VLAN99 übrig gelassen. Einen Unterschied macht das aber nicht. Trotzdem komme ich nicht ins Internet.
vielen Dank für die Antwort. Die VLAN-Einträge 10-70 habe ich im SG250-8 entfernt, nur VLAN1 und VLAN99 übrig gelassen. Einen Unterschied macht das aber nicht. Trotzdem komme ich nicht ins Internet.
Der größte Kardinalsfehler ist der eine SG250 !
Dieser ist als Layer 3 Switch konfiguriert was grundfalsch ist ! Zentraler Core Switch der L3 macht und routet ist einzig nur der SG350. Kollege @lcer00 hat es oben schon richtig genannt.
Daran scheitert das gesamte L3 Konzept !
Fazit:
Auf beiden SG250 ist das IP Routing global zu deaktivieren (Haken entfernen) und diese beiden Switches rein nur als Layer 2 Switch zu konfigurieren. Es darf einzig nur der 350er das L3 Forwarding machen und die VLAN IP Adressen halten !!
Dann klappt das auch sofort.
Das grundlegende L3 Setup des SG350 zeigt dir dieser Thread:
Verständnissproblem Routing mit SG300-28
bzw. auch das Foren Drama hier:
Einrichtung von mindestens 20 Vlan
Statische Route auf der FritzBox zur VLAN Range mit entsprechender Summary Subnetzmaske nicht vergessen !!
Danach gehst du immer strategisch vor mit dem Funktionscheck:
Dieser ist als Layer 3 Switch konfiguriert was grundfalsch ist ! Zentraler Core Switch der L3 macht und routet ist einzig nur der SG350. Kollege @lcer00 hat es oben schon richtig genannt.
Daran scheitert das gesamte L3 Konzept !
Fazit:
Auf beiden SG250 ist das IP Routing global zu deaktivieren (Haken entfernen) und diese beiden Switches rein nur als Layer 2 Switch zu konfigurieren. Es darf einzig nur der 350er das L3 Forwarding machen und die VLAN IP Adressen halten !!
Dann klappt das auch sofort.
Das grundlegende L3 Setup des SG350 zeigt dir dieser Thread:
Verständnissproblem Routing mit SG300-28
bzw. auch das Foren Drama hier:
Einrichtung von mindestens 20 Vlan
Statische Route auf der FritzBox zur VLAN Range mit entsprechender Summary Subnetzmaske nicht vergessen !!
Danach gehst du immer strategisch vor mit dem Funktionscheck:
- Test PC in ein VLAN auf einen Untagged Endgeräte Port stecken
- Check ob korrekte VLAN IP Adresse, Gateway und DNS Server (FritzBox IP !) per DHCP gekommen ist
- Wenn ja Ping auf die Switch VLAN L3 IP, Ping auf die FritzBox IP und Ping auf eine Internet IP wie 8.8.8.8. Klappt das finaler Ping auf einen Internet Hostnamen wie www.heise.de
- Klappt das alles Test für die anderen VLANs so wiederholen und auch von VLAN Ports auf den 3 beteiligten Switches.
Da du die Fritzbox erreichst, funktioniert das Routing grundlegend. Ich könnte mir vorstellen, dass die Fritzbox IPs, die nicht aus dem von ihr verwalteten Bereichen stammen, nicht NATtet oder über den Paketfilter verbietet.
Eine Fritzbox ist und bleibt der letzte Dreck und in solchen Netzwerken nichts verloren.
Eine Fritzbox ist und bleibt der letzte Dreck und in solchen Netzwerken nichts verloren.
Hallo @aqui,
vielen Dank für die Antwort und die Tipps.
Habe bei beiden SG250 den Haken bei IPv4 Routing entfernt. Ebenso, wie von @lcer00 empfohlen, alle VLAN IDs (bis auf VLAN1 und VLAN99) ausgetragen.
Trotzdem läuft es nicht reibungslos, denn ich komme nach wie vor nicht mit allen VLANs vom SG250 ins Internet.
Folgende Dinge habe ich am SG250 gemacht:
Habe, wie von Dir beschrieben, den Rechner in jeden Port nacheinander (VLAN10 bis VLAN60) am SG250 eingesteckt und immer das gleiche überprüft. Zunächst immer mit ipconfig /all geschaut, ob die korrekte Zuweisung erfolgt ist (die Adressierung stimmte immer, die Eintragung des Gateway 10.99. VLANID .254 (SG350) war korrekt und es steht immer die 192.168.2.1 (FritzBox) als DNS-Eintrag drinnen.
Danach habe ich immer einen Ping auf 192.168.2.254 (SG350) und einen Ping auf 192.168.2.1 (FritzBox) abgesetzt. Hat in allen VLANs reibungslos funktioniert (Response 1ms).
Dann habe ich auf Google (8.8.8.8) gepingt, das funktionierte nur für die VLANs 20 und 60. Nicht für 10, 30, 40 und 50. VLAN70 habe ich noch nicht geprüft. Für VLAN20 und VLAN60 hat dann der Ping auf www.heise.de ebenfalls reibungslos funktioniert (Response 7ms).
Parallel habe ich einen weiteren Rechner auf den gleichen SG250 gehängt. Und jetzt kommt das seltsame! Dieser kommt per VLAN50 ins Internet. Am gleichen Port (habe die Rechner nacheinander in den allerselben Port gesteckt) kommt mein erster Rechner nicht ins Internet, der zweite Rechner schon...
Wie kann das sein? Rechner1 kommt am Port 6 (VLAN50) nicht ins Internet, Rechner2 kommt am Port 6 (VLAN50) ins Internet. Rechner1 hat die IP 10.99.50.101 zugewiesen bekommen, Rechner2 hat die IP 10.99.50.102 zugewiesen bekommen. Sonst gibt es keinen Unterschied.
Hast Du eine Erklärung dafür???
Kann es sein, dass das nur dann funktioniert für die Konstellation die gerade eingeschaltet ist, in dem Moment wo man in der FritzBox bei den statischen Routen auf "ok" und "übernehmen" drückt? Habe irgendwie das Gefühl, dass das mit dem Rückweg von der FritzBox nicht sauber funktioniert.
Wenn ich bei einem nicht funktionierenden VLAN einen Ping auf www.heise.de absetze, schreibt er mir trotzdem die IP (193.99.144.85) in die Kopfzeile, kommt dann aber mit einer "Zeitüberschreitung der Anforderung".
Gruß
Alexander
vielen Dank für die Antwort und die Tipps.
Habe bei beiden SG250 den Haken bei IPv4 Routing entfernt. Ebenso, wie von @lcer00 empfohlen, alle VLAN IDs (bis auf VLAN1 und VLAN99) ausgetragen.
Trotzdem läuft es nicht reibungslos, denn ich komme nach wie vor nicht mit allen VLANs vom SG250 ins Internet.
Folgende Dinge habe ich am SG250 gemacht:
Habe, wie von Dir beschrieben, den Rechner in jeden Port nacheinander (VLAN10 bis VLAN60) am SG250 eingesteckt und immer das gleiche überprüft. Zunächst immer mit ipconfig /all geschaut, ob die korrekte Zuweisung erfolgt ist (die Adressierung stimmte immer, die Eintragung des Gateway 10.99. VLANID .254 (SG350) war korrekt und es steht immer die 192.168.2.1 (FritzBox) als DNS-Eintrag drinnen.
Danach habe ich immer einen Ping auf 192.168.2.254 (SG350) und einen Ping auf 192.168.2.1 (FritzBox) abgesetzt. Hat in allen VLANs reibungslos funktioniert (Response 1ms).
Dann habe ich auf Google (8.8.8.8) gepingt, das funktionierte nur für die VLANs 20 und 60. Nicht für 10, 30, 40 und 50. VLAN70 habe ich noch nicht geprüft. Für VLAN20 und VLAN60 hat dann der Ping auf www.heise.de ebenfalls reibungslos funktioniert (Response 7ms).
Parallel habe ich einen weiteren Rechner auf den gleichen SG250 gehängt. Und jetzt kommt das seltsame! Dieser kommt per VLAN50 ins Internet. Am gleichen Port (habe die Rechner nacheinander in den allerselben Port gesteckt) kommt mein erster Rechner nicht ins Internet, der zweite Rechner schon...
Wie kann das sein? Rechner1 kommt am Port 6 (VLAN50) nicht ins Internet, Rechner2 kommt am Port 6 (VLAN50) ins Internet. Rechner1 hat die IP 10.99.50.101 zugewiesen bekommen, Rechner2 hat die IP 10.99.50.102 zugewiesen bekommen. Sonst gibt es keinen Unterschied.
Hast Du eine Erklärung dafür???
Kann es sein, dass das nur dann funktioniert für die Konstellation die gerade eingeschaltet ist, in dem Moment wo man in der FritzBox bei den statischen Routen auf "ok" und "übernehmen" drückt? Habe irgendwie das Gefühl, dass das mit dem Rückweg von der FritzBox nicht sauber funktioniert.
Wenn ich bei einem nicht funktionierenden VLAN einen Ping auf www.heise.de absetze, schreibt er mir trotzdem die IP (193.99.144.85) in die Kopfzeile, kommt dann aber mit einer "Zeitüberschreitung der Anforderung".
Gruß
Alexander
Hallo @tikayevent,
meinst Du mit Deinem Kommentar die Beobachtung, die ich in der Antwort auf @aqui geschrieben habe? Dass die FritzBox nicht sauber zurück kommt?
Gruß
Alexander
meinst Du mit Deinem Kommentar die Beobachtung, die ich in der Antwort auf @aqui geschrieben habe? Dass die FritzBox nicht sauber zurück kommt?
Gruß
Alexander
Ich habe -glaube ich- die FritzBox in Verdacht.
Mein Rechner2 war im VLAN10 und hatte keine Verbindung ins Internet (hatte ich nochmals probieren wollen). Ich war parallel mit dem anderen Rechner1 in der Konfig der FritzBox, habe mir nochmals die statischen Routen angesehen und dort auf "ok" gedrückt.
Mehr habe ich nicht verändert, jetzt kann der Rechner2 plötzlich über VLAN10 ins Internet. Hänge ich ihn auf einen anderen ursprünglichen Port (und somit bspw. wieder in VLAN50), dann kommt er darüber plötzlich nicht mehr ins Internet (zuvor konnte er aber über VLAN50 sehr wohl ins Internet...).
Scheinbar funktioniert immer nur die aktuelle Konstellation in dem Moment, wo die statischen Routen der FritzBox bestätigt werden. Das kann doch aber nicht sein... Was stimmt da nicht?
Mein Rechner2 war im VLAN10 und hatte keine Verbindung ins Internet (hatte ich nochmals probieren wollen). Ich war parallel mit dem anderen Rechner1 in der Konfig der FritzBox, habe mir nochmals die statischen Routen angesehen und dort auf "ok" gedrückt.
Mehr habe ich nicht verändert, jetzt kann der Rechner2 plötzlich über VLAN10 ins Internet. Hänge ich ihn auf einen anderen ursprünglichen Port (und somit bspw. wieder in VLAN50), dann kommt er darüber plötzlich nicht mehr ins Internet (zuvor konnte er aber über VLAN50 sehr wohl ins Internet...).
Scheinbar funktioniert immer nur die aktuelle Konstellation in dem Moment, wo die statischen Routen der FritzBox bestätigt werden. Das kann doch aber nicht sein... Was stimmt da nicht?
Dann habe ich auf Google (8.8.8.8) gepingt, das funktionierte nur für die VLANs 20 und 60. Nicht für 10, 30, 40 und 50.
Das kann dann einzig nur an einer falschen statischen Route in der FritzBox liegen !! Diese findet dann die Rückroute in die VLANs 10, 30, 40 und 50 nicht !!Wenn deine Switch VLANs alle im 10.99.er Bereich liegen muss in der FritzBox die folgende Route definiert sein:
Das hast du oben ja schon richtig gemacht aber blödsinnigerweise hast du diese richtige Summary Route deaktiviert und dann alle Einzel IP Netze wieder eingetragen was dann Unsinn ist.
Also bitte dort aufräumen und die Subnetzmaske mal sinnvoll und intelligent einrichten.
Und jetzt kommt das seltsame! Dieser kommt per VLAN50 ins Internet.
Das ist ein klares Indiz dafür das deine Tagged Uplinks die die 250er mit dem 350er Core verbinden NICHT richtig und durchgängig getagged sind für ALLE VLANs !!! Das solltest du genau überprüfen !Die Switch Uplinks müssen als Mode=Trunk definiert sein.
Du solltest auch mal strategisch vorgehen und das VLAN Routing erst wasserdicht nur auf dem Core 350er zum Laufen bringen.
Wenn es da klappt, dann weisst du das der Fehler nur an den Tagged Uplinks zu den 250ern oder deren Port Zuweisung dort liegen können !
Du solltest ferner darauf achten das auf ALLEN Switches RSTP Spanning Tree aktiviert ist !
Der 350er Core Switch ist dabei der Root Switch und MUSS eine höhere Priority haben als die 250er !! (Niedriger Priority Wert=höhere Priority, Wert muß modulo 4096 sein !)
schreibt er mir trotzdem die IP (193.99.144.85) in die Kopfzeile,
Zeigt das DNS sauber funktioniert und die FritzBox (die ja DNS Server ist) erreicht wird.kommt dann aber mit einer "Zeitüberschreitung der Anforderung".
Zeigt das die Ziel IP 193.99.144.85 nicht erreicht werden kann oder die Rückroute nicht stimmt, sprich also ein Routing Problem.Fazit ist das du etwas mit dem Tagging bzw. Untagging der Endgeräteports falsch gemacht hast. Das ist nicht konsistent bei dir.
Hallo @aqui,
vielen Dank, dass Du Dir nochmals die Mühe gemacht hast und mich da weiter unterstützt. Hatte in der FritzBox schon wieder den "großen" Bereich hinterlegt gehabt (also 10.99.0.0/255.255.0.0). Das hat aber trotzdem nicht zum gewünschten Ergebnis geführt.
Nur eine statische Route mit 10.99.0.0/255.255.0.0 definiert, Ziel ist der 350er (192.168.2.254)
Die Ports 9 und 11 am 350er sind (schon von Beginn an) als "Trunk" konfiguriert. Der 9er Port geht auf einen 250er, der 11er Port geht auf den anderen 250er. Der 10er Port (VLAN99) geht auf die FritzBox. Ich weiß, normalerweise legt man die an den Anfang oder ans Ende, ist aber dem Patchpanel so geschuldet.
350er mit zwei Trunks und VLAN99 auf Port 10
Der 9er Port vom 350er kommt auf dem 1er Port beim 1. 250er an
Der 11er Port vom 350er kommt auf dem 1er Port beim 2. 250er an
Spanning Tree ist wie von Dir geschrieben konfiguriert
Und trotzdem habe ich immer noch das Verhalten, dass nur der Rechner in dem jeweiligen VLAN ins Netz kommt, wenn ich in der FritzBox auf "ok" geklickt habe. Stecke ich danach den gleichen Rechner in einen anderen Port (am 250er) oder einen anderen Rechner in den gleichen Port wo vorher der andere Rechner drinnen war, komme ich nicht ins Internet. Wieso ist das so?
Habe auch schon versucht, ob es bei der FritzBox etwas bringt den "Stealth Mode" zu deaktivieren, bzw. habe bei allen 3 Switches den Green Ethernet Modus "802.3 Energy Efficient Ethernet (EEE)" deaktiviert, damit die Ports oben bleiben. Bringt aber auch nichts.
vielen Dank, dass Du Dir nochmals die Mühe gemacht hast und mich da weiter unterstützt. Hatte in der FritzBox schon wieder den "großen" Bereich hinterlegt gehabt (also 10.99.0.0/255.255.0.0). Das hat aber trotzdem nicht zum gewünschten Ergebnis geführt.
Nur eine statische Route mit 10.99.0.0/255.255.0.0 definiert, Ziel ist der 350er (192.168.2.254)
Die Ports 9 und 11 am 350er sind (schon von Beginn an) als "Trunk" konfiguriert. Der 9er Port geht auf einen 250er, der 11er Port geht auf den anderen 250er. Der 10er Port (VLAN99) geht auf die FritzBox. Ich weiß, normalerweise legt man die an den Anfang oder ans Ende, ist aber dem Patchpanel so geschuldet.
350er mit zwei Trunks und VLAN99 auf Port 10
Der 9er Port vom 350er kommt auf dem 1er Port beim 1. 250er an
Der 11er Port vom 350er kommt auf dem 1er Port beim 2. 250er an
Spanning Tree ist wie von Dir geschrieben konfiguriert
Und trotzdem habe ich immer noch das Verhalten, dass nur der Rechner in dem jeweiligen VLAN ins Netz kommt, wenn ich in der FritzBox auf "ok" geklickt habe. Stecke ich danach den gleichen Rechner in einen anderen Port (am 250er) oder einen anderen Rechner in den gleichen Port wo vorher der andere Rechner drinnen war, komme ich nicht ins Internet. Wieso ist das so?
Habe auch schon versucht, ob es bei der FritzBox etwas bringt den "Stealth Mode" zu deaktivieren, bzw. habe bei allen 3 Switches den Green Ethernet Modus "802.3 Energy Efficient Ethernet (EEE)" deaktiviert, damit die Ports oben bleiben. Bringt aber auch nichts.
350er mit zwei Trunks und VLAN99 auf Port 10
Das 99er VLAN da Tagged zu übertragen ist doch Blödsinn ! Das ist doch einzig nur relevant zwischen 350er und FritzBox. Das kannst du vom Uplink entfernen.Soweit hast du alles richtig gemacht. Ein Testaufbau hier mit einem 350er und den VLANs 1, 10, 20 und 30 an einem Mikrotik Router funktioniert fehlerlos. Da kann man umstecken wie man lustig ist.
Man kann dann nur vermuten das die FritzBox einen an der Waffel hat.
Eins solltest du noch beachten.
Der 350er verhält sich so das die jeweilige VLAN IP deaktiviert ist wenn kein aktiver Port in diesem VLAN ist. Die IP ist dann nicht erreichbar bzw. pingbar. Logisch, denn wozu sollte sie das auch sein wenn es keinerlei Endgeräte in diesen VLANs gibt. Das solltest du auf dem Radar haben.
Kann bei dir aber für die VLANs 1, 10, 20, 30, 40, 50 und 60 nicht passieren denn diese VLANs und IPs sind immer aktiv solange die Trunk Ports auf die 2 anderen Switches aktiv sind. Damit hat der 350er ja in diesen VLANs ein bzw. 2 aktive Interfaces.
Wichtig ist das nur wenn du den 350er standalone konfigurierst.
Du solltest ggf. nichmal sauber von vorne anfangen. Den 350er mit einem globalen Reset auf die Werkseinstellungen zurücksetzen und NUR mit dem 350er anfangen.
- STP und Prio aktivieren.
- Nur erstmal mit 4 VLANs 10, 20, 30 und 99 starten. (1 bleibt als Default)
- Kein DHCP Server in VLAN 99, da ist die FritzBox aktiv
- FritzBox Connectivity in 99 herstellen, DHCP Server für 10 bis 30, Routing aktivieren, Default Route setzen
- FritzBox kann so bleiben wenn du die Adressierung nutzt
- Dann Ping Checks wie oben erstmal nur auf diesen 4 VLANs
Dann vom 250er Ports Ping checken.
Erst wenn das alles sauber klappt VLANs erhöhen und 2ten 250er anflanschen.
Der Schritt ist hier jetzt einfacher als mit dir alle relevanten Setup Schritte zu checken was hier vollkommen den Rahmen sprengt.
Hallo @aqui,
war jetzt mit einem Laptop am Netzwerkschrank am 350er (der direkt per Kabel an der FritzBox hängt) und habe dort jeweils Port 1 (VLAN10) bis Port 7 (VLAN70) alle nacheinander durchprobiert.
Das Laptop hat an jedem Port per DHCP die jeweils richtige IP zugewiesen bekommen, also 10.99.VLANID.103 (101 und 102 sind von den beiden Rechnern schon konsumiert worden). Es wurde per DHCP an jedem Port als Gateway 10.99.VLANID.254 zugewiesen und an jedem Port wurde als DNS 192.168.2.1 (FritzBox) zugewiesen. -> habe ich jeweils mit ipconfig /all geprüft.
Ich konnte an jedem Port (also aus jedem VLAN) jeweils die 10.99.VLANID.254 erfolgreich pingen (also das eigene Gateway).
Ich konnte an jedem Port (also aus jedem VLAN) jeweils alle anderen 10.99.VLANID.254 erfolgreich pingen (also alle anderen Gateways).
Ich konnte an jedem Port (also aus jedem VLAN) jeweils die 192.168.2.1 (FritzBox) erfolgreich pingen.
Ich konnte an jedem Port (also aus jedem VLAN) jeweils die 8.8.8.8 nicht erfolgreich pingen.
Jetzt sitze ich hier am Rechner (der hängt auf einem 250er) und bin über VLAN10 (Port 2 am 250er) im Internet! Ich habe an keiner Konfiguration etwas verändert. Null komma Null. VLAN10 am 250er funktionierte nachdem ich vorhin (beim vorletzten Post) bei der FritzBox bei der statischen Route auf "ok" geklickt habe, alle anderen VLANs am 250er haben kein Intertzugriff.
Fazit:
am 350er über VLAN10 kein Internet, am 250er (der am 350er per Trunk hängt) über VLAN10 funktionierendes Internet.
Das 99er VLAN per Trunk auf den beiden 250er habe ich mir als Reserve offen gelassen, dass ich jederzeit eine Nicht-VLAN IP direkt von der FritzBox erhalte, so lange das hier nicht sauber funktioniert. Deshalb habe ich auf den 250er den Port 8 auf VLAN99 gelegt und dadurch automatisch ein 99T zwischen dem 350er und den beiden 250er erhalten. Das wollte ich, sobald das alles sauber funktioniert wegmachen und dort VLAN1 hinterlegen.
war jetzt mit einem Laptop am Netzwerkschrank am 350er (der direkt per Kabel an der FritzBox hängt) und habe dort jeweils Port 1 (VLAN10) bis Port 7 (VLAN70) alle nacheinander durchprobiert.
Das Laptop hat an jedem Port per DHCP die jeweils richtige IP zugewiesen bekommen, also 10.99.VLANID.103 (101 und 102 sind von den beiden Rechnern schon konsumiert worden). Es wurde per DHCP an jedem Port als Gateway 10.99.VLANID.254 zugewiesen und an jedem Port wurde als DNS 192.168.2.1 (FritzBox) zugewiesen. -> habe ich jeweils mit ipconfig /all geprüft.
Ich konnte an jedem Port (also aus jedem VLAN) jeweils die 10.99.VLANID.254 erfolgreich pingen (also das eigene Gateway).
Ich konnte an jedem Port (also aus jedem VLAN) jeweils alle anderen 10.99.VLANID.254 erfolgreich pingen (also alle anderen Gateways).
Ich konnte an jedem Port (also aus jedem VLAN) jeweils die 192.168.2.1 (FritzBox) erfolgreich pingen.
Ich konnte an jedem Port (also aus jedem VLAN) jeweils die 8.8.8.8 nicht erfolgreich pingen.
Jetzt sitze ich hier am Rechner (der hängt auf einem 250er) und bin über VLAN10 (Port 2 am 250er) im Internet! Ich habe an keiner Konfiguration etwas verändert. Null komma Null. VLAN10 am 250er funktionierte nachdem ich vorhin (beim vorletzten Post) bei der FritzBox bei der statischen Route auf "ok" geklickt habe, alle anderen VLANs am 250er haben kein Intertzugriff.
Fazit:
am 350er über VLAN10 kein Internet, am 250er (der am 350er per Trunk hängt) über VLAN10 funktionierendes Internet.
Das 99er VLAN per Trunk auf den beiden 250er habe ich mir als Reserve offen gelassen, dass ich jederzeit eine Nicht-VLAN IP direkt von der FritzBox erhalte, so lange das hier nicht sauber funktioniert. Deshalb habe ich auf den 250er den Port 8 auf VLAN99 gelegt und dadurch automatisch ein 99T zwischen dem 350er und den beiden 250er erhalten. Das wollte ich, sobald das alles sauber funktioniert wegmachen und dort VLAN1 hinterlegen.
Ich konnte an jedem Port (also aus jedem VLAN) jeweils die 8.8.8.8 nicht erfolgreich pingen.
Zeigt ganz klar das die FritzBox ein Problem hat.Hast du auch mal einen Traceroute (tracert, Winblows) gemacht um mal zu sehen das der letzte Hop auch final auf der FB endet ? Das würde dann die FB klar als Fehlerquelle identifizieren.
Das Verhalten des 350ers ist einwandfrei !
Checke ob die FB die aktuellste Firmware hat und reboote die FB auch zur Sicherheit mal !!
Es ist dann de facto das VLAN Routing auf der FB.
alle anderen VLANs am 250er haben kein Intertzugriff.
WAS definierst du als keinen Internet Zugriff ?? Wenn damit der Ping auf 8.8.8.8 gemeint ist ist das OK.Wenn das aber von einem VLAN 10 Port des 350ers nicht ging kann es ja niemals von einem Port des 250ers klappen ! Das wäre völlig unlogisch, denn der 350er ist ja die zentrale Routing Instanz aller VLANs ins Internet.
Würde das tatsächlich stimmen, dann zeigt es ganz klar das bei dir im Layer 2 also dem VLAN Taggun, Untagging un dder Deklaration der Ports ob Access oder Trunk usw. etwas gravierend nicht stimmt.
Eine andere Erklärung gäbe es dann dafür nicht !
dass ich jederzeit eine Nicht-VLAN IP direkt von der FritzBox erhalte,
OK, das macht dann Sinn, sorry. Denk dran das dann auf dem 350er kein DHCP Server im Vlan 99 aktiv sein darf !und dadurch automatisch ein 99T zwischen dem 350er und den beiden 250er erhalten.
Nein, das ist unmöglich. Automatisch geht das nicht. Du musst das Tagging in den VLAN Settings des betreffenden VLANs explizit setzen.
Hallo @aqui,
hatte die FritzBox neu gestartet, hat aber ebenfalls keinen Erfolg gebracht. Gleiches Verhalten.
Habe mich dann dazu entschlossen, die FritzBox einfach mal auf Werkseinstellungen zurück zu setzen und neu einzurichten. Habe ihr jetzt nur mal die ursprüngliche IP (192.168.2.1) verpasst statt der Werks-IP und die IPv4-Route (10.99.0.0/255.255.0.0) gesetzt, alles andere jetzt erstmal weggelassen.
Und das Ergebnis ist: es funktioniert nun, keine Änderungen an den Switches mehr vorgenommen. Kann problemlos am 350er jeden beliebigen Port verwenden und komme ins Internet.
Das muss ich jetzt nicht verstehen, oder? Einmal Werkseinstellungen und zurück und dann funktioniert es?
hatte die FritzBox neu gestartet, hat aber ebenfalls keinen Erfolg gebracht. Gleiches Verhalten.
Habe mich dann dazu entschlossen, die FritzBox einfach mal auf Werkseinstellungen zurück zu setzen und neu einzurichten. Habe ihr jetzt nur mal die ursprüngliche IP (192.168.2.1) verpasst statt der Werks-IP und die IPv4-Route (10.99.0.0/255.255.0.0) gesetzt, alles andere jetzt erstmal weggelassen.
Und das Ergebnis ist: es funktioniert nun, keine Änderungen an den Switches mehr vorgenommen. Kann problemlos am 350er jeden beliebigen Port verwenden und komme ins Internet.
Das muss ich jetzt nicht verstehen, oder? Einmal Werkseinstellungen und zurück und dann funktioniert es?
Das muss ich jetzt nicht verstehen, oder?
Pack es in das Buch der ungelösten FritzBox Probleme ! 
Gut wenn es nun rennt wie es soll !
Pack es in das Buch der ungelösten FritzBox Probleme !
Gut wenn es nun rennt wie es soll !
Gut wenn es nun rennt wie es soll !
Auch an beiden 250er Switches funktioniert jetzt alles problemlos, komme von jedem Port ins Internet und kann problemlos alle .254er Gateways pingen.
Ich danke Dir sehr sehr herzlich für die Geduld und die Unterstützung!!!
Hast Du noch Tipps, welche ich -jetzt wo wenigstens mal die Grundkonfiguration problemlos rennt- noch einstellen kann bzw. was ich sonst noch tun kann/muss?
Auch an beiden 250er Switches funktioniert jetzt alles problemlos,
War zu erwarten. Konnte auch einzig nur noch die FritzBox sein als Fehler.Ich danke Dir sehr sehr herzlich für die Geduld und die Unterstützung!!!
Immer gerne. Aber warte ab bis die Rechnung mit dem Feiertagszuschlag kommt ! 
was ich sonst noch tun kann/muss?
Das sind kosmetische Dinge- Nach Hause Telefonieren auf den Switches unbedingt abschalten ! PNP State disable
- Zwingend IGMP Snooping und Querrier auf allen Switches aktivieren. (Unter Multicast)
- Spanning Tree customizen, was du schon erledigt hast
- Cisco CDP deaktiveren und dafür LLDP auf allen Switches aktivieren
- DNS Server auf dem Switch einstellen
- NTP Zeitserver einstellen: https://www.heise.de/ct/hotline/Oeffentliche-Zeitquellen-322978.html
- Management Zugriff absichern und ggf. per ACL begrenzen
- Ggf. SNMP aktivieren wenn du die Switches Trafic usw. überwachen willst
- Netzwerk Port Security mit 802.1x oder MacPassthrough je nach Anforderung
Immer gerne. Aber warte ab bis die Rechnung mit dem Feiertagszuschlag kommt !
LOL, oh Gott, hoffentlich kann ich mir das leisten! 
Das sind kosmetische Dinge
Na dann kenne ich ja schon mal meine nächsten Hausaufgaben!- Nach Hause Telefonieren auf den Switches unbedingt abschalten ! PNP State disable
- Zwingend IGMP Snooping und Querrier auf allen Switches aktivieren. (Unter Multicast)
- Spanning Tree customizen, was du schon erledigt hast
- Cisco CDP deaktiveren und dafür LLDP auf allen Switches aktivieren
- DNS Server auf dem Switch einstellen
- NTP Zeitserver einstellen: https://www.heise.de/ct/hotline/Oeffentliche-Zeitquellen-322978.html
- Management Zugriff absichern und ggf. per ACL begrenzen
- Ggf. SNMP aktivieren wenn du die Switches Trafic usw. überwachen willst
- Netzwerk Port Security mit 802.1x oder MacPassthrough je nach Anforderung
Vielen Dank nochmal, werde die Frage jetzt als gelöst markieren und die Rechnung schicken wir dann einfach zu AVM!
