01.06.2018

7891

HP-Aruba Switch und Sophos Firewall

Guten Morgen,

ich habe einen nigelnagelneuen Layer3-HP-Aruba Switch, 2 Sophos UTM's und einen Internetrouter (Marke weiss ich gerade nicht, Providergerät).
Dort ist (neben vielen anderen VLANS) auf den Ports 1-3 ein eigenees VLAN ohne Gateway eingerichtet für Internetleitung (WAN).

Port 1 die Master Sophos UTM, Port 2 die Slave Sophos UTM. Port 3 das Internetmodem connected.

Wenn ich die Master-Sophos abschalte (Fehlertest) baut sich keine Internetleitung auf. Das ist das Problem.

Zum Test habe ich dann ein unmanaged-Miniswitch genommen, die 3 Ports zusammengeführt und siehe da: so klappt es.

Meine Frage: wie kann ich dem ARUBA-Switch beibringen "sei im VLAN3 einfach dumm und mach dein Ding". Also quasi "VLAN3 = dummer unmaneged Switch"

Danke für eure Ideen und Hilfe!

F.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 375735

Url: https://administrator.de/contentid/375735

Ausgedruckt am: 19.11.2024 um 09:11 Uhr

26 Kommentare

Neuester Kommentar

so nach zwei mal Lesen habe ich auch verstanden was dein Problem ist

Ich würde vorschlagen das Du mal die Config von deinem Aruba hier postest. Sonst wissen ja nicht wo das Problem liegen kann. Dran denken ggf. Kennwörter zu schönen.

Moin,

ich würde ja sagen, Ports 1-3 untagged ins VLAN3 und es sollte funktionieren. Notfalls Portsecurity und/oder ACLs abschalten, falls die UTM da mit ihren MACs jongliert.

lg,
Slainte

Stimmt, das kann ich machen. Die "Secure-Bereiche" habe ich mal alle mit x,y,z,v auskommentiert. Alles unwesentlich (die anderen VLAN's etc) rausgenommen. Hoffe das ist aussagekräftig genug.

Running configuration:

console idle-timeout 3600
trunk 21-22 trk1 trunk
trunk 23-24 trk2 trunk
trunk 19 trk3 trunk
trunk 18 trk4 trunk
gvrp
timesync ntp
telnet-server listen data
web-management listen data
web-management idle-timeout 1200
ip default-gateway x.x.x.x
ip ssh listen data
ip timep manual x.x.x.x
ip route 0.0.0.0 0.0.0.0 x.x.x.x
ip routing

interface 2
   name "Provider-WAN"  
   exit
interface 5
   name "SOPHOS-WANport"  
   exit
interface 6
   name "SOPHOS-WANport"  
   exit

snmp-server community "xxxxxx"  
snmp-server listen data
snmp-server contact "xxx@yyy.zz" location "xxx"  
oobm
   disable
   ip address dhcp-bootp
   exit
vlan 1
   name "VLAN_1"  
   no untagged 2,5,7-17,20
   untagged 3-4,6,Trk2-Trk4
   tagged 1,B1-B2,Trk1
   ip address x.x.x.x 255.255.255.0
   ip helper-address z.z.z.z
   ip helper-address v.v.v.v
   exit
vlan 5
   name "Sophos WAN-2-Modem"  
   untagged 2,5,6
   no ip address
   exit

management-vlan 1
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
spanning-tree Trk3 priority 4
spanning-tree Trk4 priority 4
spanning-tree pathcost mstp 8021d
spanning-tree mode rapid-pvst
spanning-tree priority 0 force-version rstp-operation
no tftp server
tftp server listen data
no autorun
no dhcp config-file-update
no dhcp image-file-update

Moin,

und ihr habt nur die beiden WAN-Ports sowie das Modem am aruba in diesem VLAN hängen?
- Edit: OK, durch deinen jümgsten Beitrag dann nun beantwortet

Klappt denn der Schwenk des zweiten Nodes als Master-Node?
Wird der WAN-Port des dann neuen Masters aktiv (am Switch und der UTM), wenn den funktionierenden Master ausschaltest?
Was sagt das Log des Switches? (CLI -> sh log -r)?
Irgendwleche Logs in der UTM aussagefähig?

Gruß
em-pie

Fehler in deiner config:
dein Port 6 steckt untagged im VLAN 1 sowie im VLAN 5....

Normal sollte der HP/ aruba das nicht zulassen...

Port 6 ist untagged in VLAN 1 und 5 - evtl. ist das das Problem?
Setz den im VLAN 1 mal auf no untagged ...

Verflixt! Danke. Jetzt seh ich es auch. Arrgh. Merci!

Et voila. Das wars. oh man, BLINDHEIT lässt grüßen. Danke euch allen!

Sehr gut.

Was mich aber dennoch wundert ist, das HP das zulässt. Ich habe es bislang mit keinem Befehl geschafft, einen Port in zwei VLANs als untagged zu schieben (VLAN 4711 untagged 8, danach VLAN 0815 untagged 8 und der Port ist nur im VLAN 0815)
Oder habt ihr die config orbereitet und dann hochgeladen?

Zitat von @em-pie:
Oder habt ihr die config orbereitet und dann hochgeladen?

Sieht eher nach einem Notepad-Verschreiber aus, meine Arubas lassen das auch nicht zu...

Guten Morgen DocuSnap-Dude,

auch, wenn die Frage geklärt ist, aber welche Logik steckt dahinter, dass man 2 Sophos über einen Switch an einen Router hängt?

Lass den Switch dazwischen komplett Weg und häng die beiden Sophos' an den Router, So senkst du die Knotenausfallwahrscheinlichkeit schonmal um einen Punkt.

Viele Grüße,

Christian

Hm. So stands in unserem Configbackup drin. Ich war jetzt lediglich nochmal remote auf dem Switch, hab den Port 6 im VLAN 1 auf "no tagged" sowie nochmal im VLAN5 auf "unattaged" gesetzt; save config That's it. Damit ging es. Könnte jetzt auch sein, das der im VLAN5 nicht auf untagged war vorher und die Configfile meines Kollegen falsch. Kann ich nicht mehr prüfen. Aber es geht jetzt sauber. Das ist der magic point.

auch, wenn die Frage geklärt ist, aber welche Logik steckt dahinter, dass man 2 Sophos über einen Switch an einen Router hängt?

Lass den Switch dazwischen komplett Weg und häng die beiden Sophos' an den Router, So senkst du die Knotenausfallwahrscheinlichkeit schonmal um einen Punkt.

Ganz einfach: wenn der dämliche Router nur einen WAN-Port hat. Sonst klar.

Zitat von @DocuSnap-Dude:

Ganz einfach: wenn der dämliche Router nur einen WAN-Port hat. Sonst klar.

Der WAN-Port ist hierbei gar nicht von Interesse? Was ist es denn für ein Modell?

Viele Grüße,

Christian

Zitat von @certifiedit.net:

Guten Morgen DocuSnap-Dude,

auch, wenn die Frage geklärt ist, aber welche Logik steckt dahinter, dass man 2 Sophos über einen Switch an einen Router hängt?

Lass den Switch dazwischen komplett Weg und häng die beiden Sophos' an den Router, So senkst du die Knotenausfallwahrscheinlichkeit schonmal um einen Punkt.

Viele Grüße,

Christian
certifiedit.net

Moin Christian,

deinen Aspekt verstehe ich zwar, ist aber nicht immer umsetzbar:
Wenn er nur ein Modem (kein ModemRouter) hat und das Cluster im Active-Passive-Szenario gefahren wird, muss er doch den WAN-Port mit dem einzigen LAN-Port des Modems (ich gehe von diesem konstrukt mal aus) über einen Switch verbinden!?

Wir haben es (aus Platzgründen/ fehlender WAN-Redundanz) ähnlich:
Beide UTMs hängen in einem Schrank. Der HA-Uplink ist - klar - direkt ohne Umwege an beiden UTMs angeschlossen, alles andere hängt aber (via versch. VLANs/ beim Modem ein dusseliger, kleiner dedizierter Switch) an ein und dem selben (gestackten) Switch.
Wären beide Kisten räumlich getrennt, sähe das Setup sicherlich etwas anders aus, wobei das Modem und die beiden WAN-Ports weiterhin via einem gemeinsamen Switch (bzw. in einem VLAN über mehrere Switche) kommunizieren würden...

Gruß
em-pie

Richtig, aber hinterfragen darf man es ja. Ich gehe davon aus, dass, wenn das Geld für eine zweite Sophos HW da ist, dass man sich auch ein Modem mit mehreren LAN-Ports zulegen kann (KP ~150-200€ max). Damit hat man das Problem und den Aufwand nicht mehr.

Bei euch ist das wohl eine gewachsene Umgebung, zu der man bisher noch nicht kam, was?

Viele Grüße,

Christian

Wie gesagt, frag mich nicht nach dem Modell des Routers. Fakt ist: der Router hat nur ein CU-Beinchen in mein internes Netz (insgesamt 2: einer rein, einer raus; mehr ist halt physich nicht auch wenn ich gern hätte

). Und ich werde da keinen zusätzlichen Miniswitch oder sowas reinhängen um noch eine unbekannte einzubauen.
Der Provider ist halt so ein lokaler Anbieter, welcher da irgendwelche Low-Budget-Büchsen abwirft. Will das gar nicht weiter evaluieren. Ist halt so.

Zitat von @certifiedit.net:

Richtig, aber hinterfragen darf man es ja. Ich gehe davon aus, dass, wenn das Geld für eine zweite Sophos HW da ist, dass man sich auch ein Modem mit mehreren LAN-Ports zulegen kann (KP ~150-200€ max). Damit hat man das Problem und den Aufwand nicht mehr.

Recht er hat

Bei euch ist das wohl eine gewachsene Umgebung, zu der man bisher noch nicht kam, was?

Recht er hat, liegt aber auch daran, dass der zweite richtige Raum erst seit wenigen Wochen verfügbar ist und die FW (aufgrund ggf. noch bevorstehender ISP-Umstellungen) noch nicht für ein räumliches Splitting in Angriff genommen wurde.

Aber wollen ja nicht abscheifen

Korrekt, DocuSnap, nur als Anmerkung, vielleicht kommt ihr ja dazu den Providerrouter durch besseres zu ersetzen. Setzt er beispielsweise auf VDSL, lässt sich dies i.d.R einfach durch ein Allnetmodem ersetzen.

Wünsche einen angenehmen Freitag.

Viele Grüße,

Christian

.....vielleicht kommt ihr ja dazu den Providerrouter durch besseres zu ersetzen. Setzt er beispielsweise auf VDSL, lässt sich dies i.d.R einfach durch ein Allnetmodem ersetzen.......

Der Wunsch ist da, der Kunde wünscht sich auch was anderes aber der Standort lässt nur diesen Provider zu und der ist da (nett gesagt) "sehr Strange"

Manchmal ist der Wunsch und die Reality eben eine klaffende blutende Wunde

Kennst du sicher auch.

Euch allen auch ein angenehmes WE!

Sicher, ich leg euch das auch nur nahe, da ich dasselbe Problem hatte; Telekom mit ca 1.5Mbit /ja, in 2018...) oder örtlicher Provider mit 50-100, allerdings einer bis aufs extremste Verbogene Fritzbox - lief nach ein paar Handständen aber trotzdem stabil. Die Sophos imitiert jetzt eben virtuell die MAC der Fritzbox...

dass man 2 Sophos über einen Switch an einen Router hängt?

Vor allen Dingen dann das "Modem" an Port 3 isoliert...??!!
Den Unsinn versteht kein Mensch...
Wobei wir hier mal wieder davon ausgehen das wieder laienhaft die Begriffe "Modem" und "Router" verwechselt wurden...vermutlich.
Aber heute ist ja Freitag

Da muss man ja auch nicht alles verstehen.
Eine vernünftige Skizze wie das Gruseldesign aussieht hätten den Thread vermutlich auf 3 simneple Postings verkleinert

Sinn oder Unsinn liegt mitunter nah beieinander. :P

Aber Modem ist tatsächlich ein Modem (deswegen routed der Switch ja auch). Und Design liegt immer im Auge des Betrachters.

In diesem Sinne eine angenehme Woche.

Ein reines Modem an einem Switch ist aber technischer Blödsinn...
Na gut vielleicht mit einer Ausnahme bei Kabel TV, da braucht es nur eine DHCP Client Funktion am Switchport was jeder bessere Switch ja kann. Vermutlich auch die gruseligen HP Gurken ?! Aber...
Spätestens beim NAT scheitert es dann sofort wenn man nicht gerade einen Cisco Catalyst Switch unter den Fingern hat.

Fazit: Modem am Switchport bleibt Blödsinn.
Vermutlich ist aber, wie leider so oft hier, der Router wieder laienhaft als Modem tituliert worden. Egal...

Hier kann man nachlesen wie man mit einem Layer 3 Switch und VLAN Umfeld die Anbindung an den Internet Router richtig mit korrektem Design löst:
Verständnissproblem Routing mit SG300-28
Case closed !

...laienhaft ist dann wohl auch der Hersteller in seiner Produktbezeichnung (ja das Ding ist Schrott ist aber so und ich kann es leider nun einmal nicht ändern aus diversen Punkten auch wenn ich das gern möchte und mich quängelnd auf den Boden werfen könnte deswegen. Punkt)...

Link zu D-Link

Die Motivation zur Beurteilung deiner Ansicht zu verschiedenen Herstellern tendiert gen null weil nicht Thema hier gerade, auch wenn Cisco der Primus ist.

Dein Link: ok, Danke kann man sich mal abspeichern, tut er auch.

Bis bald denne.

Du hast recht, D-Link ist immer noch allemal besser als HP

Denn wenn man die Internas der verwendeten Chipsätze in diesen Switches kennt und deren Verschaltung dann ist das schon Motivation genug das zu beurteilen...

gelöst Frage Hardware Switche, Hubs

Mehr von DocuSnap-Dude

WMI-Abfrage eines DienstesDocuSnap-Dude - 3 Kommentare

GPO zum kopieren Datei von UNC nach LocalDocuSnap-Dude - 10 Kommentare

Windows-Datensicherung: Auslesen der Jobs per Powershell?DocuSnap-Dude - 3 Kommentare

MS-SQL DATEDIFF in FormatDocuSnap-Dude - 2 Kommentare

Heiß diskutiert