docusnap-dude
Goto Top

HP-Aruba Switch und Sophos Firewall

Guten Morgen,

ich habe einen nigelnagelneuen Layer3-HP-Aruba Switch, 2 Sophos UTM's und einen Internetrouter (Marke weiss ich gerade nicht, Providergerät).
Dort ist (neben vielen anderen VLANS) auf den Ports 1-3 ein eigenees VLAN ohne Gateway eingerichtet für Internetleitung (WAN).

Port 1 die Master Sophos UTM, Port 2 die Slave Sophos UTM. Port 3 das Internetmodem connected.

Wenn ich die Master-Sophos abschalte (Fehlertest) baut sich keine Internetleitung auf. Das ist das Problem.

Zum Test habe ich dann ein unmanaged-Miniswitch genommen, die 3 Ports zusammengeführt und siehe da: so klappt es.

Meine Frage: wie kann ich dem ARUBA-Switch beibringen "sei im VLAN3 einfach dumm und mach dein Ding". Also quasi "VLAN3 = dummer unmaneged Switch" face-smile

Danke für eure Ideen und Hilfe!

F.

Content-ID: 375735

Url: https://administrator.de/forum/hp-aruba-switch-und-sophos-firewall-375735.html

Ausgedruckt am: 21.12.2024 um 16:12 Uhr

UnbekannterNR1
Lösung UnbekannterNR1 01.06.2018 um 08:48:30 Uhr
Goto Top
so nach zwei mal Lesen habe ich auch verstanden was dein Problem ist face-smile

Ich würde vorschlagen das Du mal die Config von deinem Aruba hier postest. Sonst wissen ja nicht wo das Problem liegen kann. Dran denken ggf. Kennwörter zu schönen.
SlainteMhath
Lösung SlainteMhath 01.06.2018 um 09:02:19 Uhr
Goto Top
Moin,

ich würde ja sagen, Ports 1-3 untagged ins VLAN3 und es sollte funktionieren. Notfalls Portsecurity und/oder ACLs abschalten, falls die UTM da mit ihren MACs jongliert.

lg,
Slainte
DocuSnap-Dude
DocuSnap-Dude 01.06.2018 um 09:34:04 Uhr
Goto Top
Stimmt, das kann ich machen. Die "Secure-Bereiche" habe ich mal alle mit x,y,z,v auskommentiert. Alles unwesentlich (die anderen VLAN's etc) rausgenommen. Hoffe das ist aussagekräftig genug.

Running configuration:

console idle-timeout 3600
trunk 21-22 trk1 trunk
trunk 23-24 trk2 trunk
trunk 19 trk3 trunk
trunk 18 trk4 trunk
gvrp
timesync ntp
telnet-server listen data
web-management listen data
web-management idle-timeout 1200
ip default-gateway x.x.x.x
ip ssh listen data
ip timep manual x.x.x.x
ip route 0.0.0.0 0.0.0.0 x.x.x.x
ip routing

interface 2
   name "Provider-WAN"  
   exit
interface 5
   name "SOPHOS-WANport"  
   exit
interface 6
   name "SOPHOS-WANport"  
   exit

snmp-server community "xxxxxx"  
snmp-server listen data
snmp-server contact "xxx@yyy.zz" location "xxx"  
oobm
   disable
   ip address dhcp-bootp
   exit
vlan 1
   name "VLAN_1"  
   no untagged 2,5,7-17,20
   untagged 3-4,6,Trk2-Trk4
   tagged 1,B1-B2,Trk1
   ip address x.x.x.x 255.255.255.0
   ip helper-address z.z.z.z
   ip helper-address v.v.v.v
   exit
vlan 5
   name "Sophos WAN-2-Modem"  
   untagged 2,5,6
   no ip address
   exit

management-vlan 1
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
spanning-tree Trk3 priority 4
spanning-tree Trk4 priority 4
spanning-tree pathcost mstp 8021d
spanning-tree mode rapid-pvst
spanning-tree priority 0 force-version rstp-operation
no tftp server
tftp server listen data
no autorun
no dhcp config-file-update
no dhcp image-file-update
em-pie
Lösung em-pie 01.06.2018 aktualisiert um 09:38:46 Uhr
Goto Top
Moin,

und ihr habt nur die beiden WAN-Ports sowie das Modem am aruba in diesem VLAN hängen?
- Edit: OK, durch deinen jümgsten Beitrag dann nun beantwortet face-smile
Klappt denn der Schwenk des zweiten Nodes als Master-Node?
Wird der WAN-Port des dann neuen Masters aktiv (am Switch und der UTM), wenn den funktionierenden Master ausschaltest?
Was sagt das Log des Switches? (CLI -> sh log -r)?
Irgendwleche Logs in der UTM aussagefähig?

Gruß
em-pie
em-pie
Lösung em-pie 01.06.2018 um 09:41:05 Uhr
Goto Top
Fehler in deiner config:
dein Port 6 steckt untagged im VLAN 1 sowie im VLAN 5....

Normal sollte der HP/ aruba das nicht zulassen...
SlainteMhath
Lösung SlainteMhath 01.06.2018 um 09:43:08 Uhr
Goto Top
Port 6 ist untagged in VLAN 1 und 5 - evtl. ist das das Problem?
Setz den im VLAN 1 mal auf no untagged ...
DocuSnap-Dude
DocuSnap-Dude 01.06.2018 um 09:51:17 Uhr
Goto Top
Verflixt! Danke. Jetzt seh ich es auch. Arrgh. Merci!
DocuSnap-Dude
DocuSnap-Dude 01.06.2018 um 09:53:12 Uhr
Goto Top
Et voila. Das wars. oh man, BLINDHEIT lässt grüßen. Danke euch allen!
em-pie
em-pie 01.06.2018 um 09:59:27 Uhr
Goto Top
Sehr gut.

Was mich aber dennoch wundert ist, das HP das zulässt. Ich habe es bislang mit keinem Befehl geschafft, einen Port in zwei VLANs als untagged zu schieben (VLAN 4711 untagged 8, danach VLAN 0815 untagged 8 und der Port ist nur im VLAN 0815)
Oder habt ihr die config orbereitet und dann hochgeladen?
chgorges
chgorges 01.06.2018 um 10:21:02 Uhr
Goto Top
Zitat von @em-pie:
Oder habt ihr die config orbereitet und dann hochgeladen?

Sieht eher nach einem Notepad-Verschreiber aus, meine Arubas lassen das auch nicht zu...
certifiedit.net
certifiedit.net 01.06.2018 um 10:28:36 Uhr
Goto Top
Guten Morgen DocuSnap-Dude,

auch, wenn die Frage geklärt ist, aber welche Logik steckt dahinter, dass man 2 Sophos über einen Switch an einen Router hängt?

Lass den Switch dazwischen komplett Weg und häng die beiden Sophos' an den Router, So senkst du die Knotenausfallwahrscheinlichkeit schonmal um einen Punkt.

Viele Grüße,

Christian
DocuSnap-Dude
DocuSnap-Dude 01.06.2018 aktualisiert um 10:30:41 Uhr
Goto Top
Hm. So stands in unserem Configbackup drin. Ich war jetzt lediglich nochmal remote auf dem Switch, hab den Port 6 im VLAN 1 auf "no tagged" sowie nochmal im VLAN5 auf "unattaged" gesetzt; save config That's it. Damit ging es. Könnte jetzt auch sein, das der im VLAN5 nicht auf untagged war vorher und die Configfile meines Kollegen falsch. Kann ich nicht mehr prüfen. Aber es geht jetzt sauber. Das ist der magic point.
DocuSnap-Dude
DocuSnap-Dude 01.06.2018 um 10:36:15 Uhr
Goto Top
auch, wenn die Frage geklärt ist, aber welche Logik steckt dahinter, dass man 2 Sophos über einen Switch an einen Router hängt?

Lass den Switch dazwischen komplett Weg und häng die beiden Sophos' an den Router, So senkst du die Knotenausfallwahrscheinlichkeit schonmal um einen Punkt.


Ganz einfach: wenn der dämliche Router nur einen WAN-Port hat. Sonst klar.
certifiedit.net
certifiedit.net 01.06.2018 um 10:37:37 Uhr
Goto Top
Zitat von @DocuSnap-Dude:

auch, wenn die Frage geklärt ist, aber welche Logik steckt dahinter, dass man 2 Sophos über einen Switch an einen Router hängt?

Lass den Switch dazwischen komplett Weg und häng die beiden Sophos' an den Router, So senkst du die Knotenausfallwahrscheinlichkeit schonmal um einen Punkt.


Ganz einfach: wenn der dämliche Router nur einen WAN-Port hat. Sonst klar.

Der WAN-Port ist hierbei gar nicht von Interesse? Was ist es denn für ein Modell?

Viele Grüße,

Christian
em-pie
em-pie 01.06.2018 um 10:39:42 Uhr
Goto Top
Zitat von @certifiedit.net:

Guten Morgen DocuSnap-Dude,

auch, wenn die Frage geklärt ist, aber welche Logik steckt dahinter, dass man 2 Sophos über einen Switch an einen Router hängt?

Lass den Switch dazwischen komplett Weg und häng die beiden Sophos' an den Router, So senkst du die Knotenausfallwahrscheinlichkeit schonmal um einen Punkt.

Viele Grüße,

Christian
certifiedit.net

Moin Christian,

deinen Aspekt verstehe ich zwar, ist aber nicht immer umsetzbar:
Wenn er nur ein Modem (kein ModemRouter) hat und das Cluster im Active-Passive-Szenario gefahren wird, muss er doch den WAN-Port mit dem einzigen LAN-Port des Modems (ich gehe von diesem konstrukt mal aus) über einen Switch verbinden!?

Wir haben es (aus Platzgründen/ fehlender WAN-Redundanz) ähnlich:
Beide UTMs hängen in einem Schrank. Der HA-Uplink ist - klar - direkt ohne Umwege an beiden UTMs angeschlossen, alles andere hängt aber (via versch. VLANs/ beim Modem ein dusseliger, kleiner dedizierter Switch) an ein und dem selben (gestackten) Switch.
Wären beide Kisten räumlich getrennt, sähe das Setup sicherlich etwas anders aus, wobei das Modem und die beiden WAN-Ports weiterhin via einem gemeinsamen Switch (bzw. in einem VLAN über mehrere Switche) kommunizieren würden...

Gruß
em-pie
certifiedit.net
certifiedit.net 01.06.2018 um 10:45:35 Uhr
Goto Top
Richtig, aber hinterfragen darf man es ja. Ich gehe davon aus, dass, wenn das Geld für eine zweite Sophos HW da ist, dass man sich auch ein Modem mit mehreren LAN-Ports zulegen kann (KP ~150-200€ max). Damit hat man das Problem und den Aufwand nicht mehr.

Bei euch ist das wohl eine gewachsene Umgebung, zu der man bisher noch nicht kam, was? face-wink


Viele Grüße,

Christian
DocuSnap-Dude
DocuSnap-Dude 01.06.2018 aktualisiert um 10:48:37 Uhr
Goto Top
Wie gesagt, frag mich nicht nach dem Modell des Routers. Fakt ist: der Router hat nur ein CU-Beinchen in mein internes Netz (insgesamt 2: einer rein, einer raus; mehr ist halt physich nicht auch wenn ich gern hätte face-smile ). Und ich werde da keinen zusätzlichen Miniswitch oder sowas reinhängen um noch eine unbekannte einzubauen.
Der Provider ist halt so ein lokaler Anbieter, welcher da irgendwelche Low-Budget-Büchsen abwirft. Will das gar nicht weiter evaluieren. Ist halt so.
em-pie
em-pie 01.06.2018 um 10:59:38 Uhr
Goto Top
Zitat von @certifiedit.net:

Richtig, aber hinterfragen darf man es ja. Ich gehe davon aus, dass, wenn das Geld für eine zweite Sophos HW da ist, dass man sich auch ein Modem mit mehreren LAN-Ports zulegen kann (KP ~150-200€ max). Damit hat man das Problem und den Aufwand nicht mehr.
Recht er hat face-smile

Bei euch ist das wohl eine gewachsene Umgebung, zu der man bisher noch nicht kam, was? face-wink
Recht er hat, liegt aber auch daran, dass der zweite richtige Raum erst seit wenigen Wochen verfügbar ist und die FW (aufgrund ggf. noch bevorstehender ISP-Umstellungen) noch nicht für ein räumliches Splitting in Angriff genommen wurde.

Aber wollen ja nicht abscheifen face-smile
certifiedit.net
certifiedit.net 01.06.2018 um 11:04:16 Uhr
Goto Top
Korrekt, DocuSnap, nur als Anmerkung, vielleicht kommt ihr ja dazu den Providerrouter durch besseres zu ersetzen. Setzt er beispielsweise auf VDSL, lässt sich dies i.d.R einfach durch ein Allnetmodem ersetzen.

Wünsche einen angenehmen Freitag.

Viele Grüße,

Christian
DocuSnap-Dude
DocuSnap-Dude 01.06.2018 aktualisiert um 11:12:30 Uhr
Goto Top
.....vielleicht kommt ihr ja dazu den Providerrouter durch besseres zu ersetzen. Setzt er beispielsweise auf VDSL, lässt sich dies i.d.R einfach durch ein Allnetmodem ersetzen.......

Der Wunsch ist da, der Kunde wünscht sich auch was anderes aber der Standort lässt nur diesen Provider zu und der ist da (nett gesagt) "sehr Strange" face-smile

Manchmal ist der Wunsch und die Reality eben eine klaffende blutende Wunde face-smile Kennst du sicher auch.

Euch allen auch ein angenehmes WE!
certifiedit.net
certifiedit.net 01.06.2018 um 11:24:51 Uhr
Goto Top
Sicher, ich leg euch das auch nur nahe, da ich dasselbe Problem hatte; Telekom mit ca 1.5Mbit /ja, in 2018...) oder örtlicher Provider mit 50-100, allerdings einer bis aufs extremste Verbogene Fritzbox - lief nach ein paar Handständen aber trotzdem stabil. Die Sophos imitiert jetzt eben virtuell die MAC der Fritzbox... face-wink
aqui
aqui 01.06.2018 aktualisiert um 16:33:25 Uhr
Goto Top
dass man 2 Sophos über einen Switch an einen Router hängt?
Vor allen Dingen dann das "Modem" an Port 3 isoliert...??!!
Den Unsinn versteht kein Mensch...
Wobei wir hier mal wieder davon ausgehen das wieder laienhaft die Begriffe "Modem" und "Router" verwechselt wurden...vermutlich.
Aber heute ist ja Freitag
fish
Da muss man ja auch nicht alles verstehen.
Eine vernünftige Skizze wie das Gruseldesign aussieht hätten den Thread vermutlich auf 3 simneple Postings verkleinert face-sad
DocuSnap-Dude
DocuSnap-Dude 05.06.2018 um 11:47:23 Uhr
Goto Top
Sinn oder Unsinn liegt mitunter nah beieinander. :P

Aber Modem ist tatsächlich ein Modem (deswegen routed der Switch ja auch). Und Design liegt immer im Auge des Betrachters.

In diesem Sinne eine angenehme Woche.
aqui
aqui 06.06.2018 aktualisiert um 15:41:01 Uhr
Goto Top
Ein reines Modem an einem Switch ist aber technischer Blödsinn...
Na gut vielleicht mit einer Ausnahme bei Kabel TV, da braucht es nur eine DHCP Client Funktion am Switchport was jeder bessere Switch ja kann. Vermutlich auch die gruseligen HP Gurken ?! Aber...
Spätestens beim NAT scheitert es dann sofort wenn man nicht gerade einen Cisco Catalyst Switch unter den Fingern hat. face-wink
Fazit: Modem am Switchport bleibt Blödsinn.
Vermutlich ist aber, wie leider so oft hier, der Router wieder laienhaft als Modem tituliert worden. Egal...

Hier kann man nachlesen wie man mit einem Layer 3 Switch und VLAN Umfeld die Anbindung an den Internet Router richtig mit korrektem Design löst:
Verständnissproblem Routing mit SG300-28
Case closed !
DocuSnap-Dude
DocuSnap-Dude 07.06.2018 um 07:58:52 Uhr
Goto Top
...laienhaft ist dann wohl auch der Hersteller in seiner Produktbezeichnung (ja das Ding ist Schrott ist aber so und ich kann es leider nun einmal nicht ändern aus diversen Punkten auch wenn ich das gern möchte und mich quängelnd auf den Boden werfen könnte deswegen. Punkt)...

Link zu D-Link

Die Motivation zur Beurteilung deiner Ansicht zu verschiedenen Herstellern tendiert gen null weil nicht Thema hier gerade, auch wenn Cisco der Primus ist.

Dein Link: ok, Danke kann man sich mal abspeichern, tut er auch.

Bis bald denne.
aqui
aqui 07.06.2018 um 09:52:56 Uhr
Goto Top
Du hast recht, D-Link ist immer noch allemal besser als HP face-smile
Denn wenn man die Internas der verwendeten Chipsätze in diesen Switches kennt und deren Verschaltung dann ist das schon Motivation genug das zu beurteilen... face-wink