docusnap-dude
Goto Top

HP-Switch Konfigurieren inter VLAN Routing

Hallo,

komme aus der Welt von Cisco, bin auch nicht der Netzwerk-DeepDiver.... Und nein, ich muss HP nutzen jetzt (zwangsläufig)

Was ist mein Problem:

Firewall (2 Geräte, Master/Slave-Modus) mit IP 10.110.1.1/24 Soll "der Weg ins Internet sein"

Coreswitch dahinter (HPE ARUBA 2920 neuestes Modell, neueste Firmware
Unten die Config. Ich möchte die VLAN's 11,15,31 untereinander kommunizieren lassen; jedes VLAN hat hinten die IP 10.110.xx.254. Die Clients nutzen als Gateway dieses Adresse des jeweiligen Sitches.

Beispiel: mein Notebook 10.110.11.201 255.255.255.0 GW 10.110.11.254 (ich stecke hierzu am ETH 2)

management VLAN ist 15, Standard VLAN 1

Die VLANS sollen über das VLAN1 zur Firewall verbinden. Soweit so gut.

Ping mein Notebook auf 10.110.15.254 = OK
Ping mein Notebook auf 10.110.15.254 = OK, 10.110.11.254 =OK , 10.110.31.254 = OK
Ping auf 10.110.1.254 = Nicht OK (hmmm)

Sobald ich am Switch das Kommando absetze "(config)#ip routing" (Return=enable) kein Ping mehr möglich auf andere VLAN-IP's wie oben im Beispiel (was vorher ging geht nun nicht mehr). Doppel-Hmmmm

Merkwürdig eh schon, dass die VLAN 1 Adresse 10.110.1.254 nicht pingbar ist (Kopfkratz)

Bitte schaut mal auf die nun folgende Konfig (habe da nur die wichtigen parts reingepackt). Wo liegt mein Bug im Kopf? Und: Bei Cisco kenne ich, dass man Ethernetports mitgeben kann, welche VLAN's erlaubt sind; ich denke das ist dieses tagging bei HP; aber raffen tue ich das nicht wirklich. Könnt ihr mir mal im Zweizeiler evtl. helfen dazu? Merci.

hostname "CoreSwitch-01"  
module 1 type j9726a
console idle-timeout 3600
trunk 21-22 trk1 trunk
trunk 23-24 trk2 trunk
trunk B1-B2 trk11 trunk
gvrp
timesync sntp
telnet-server listen data
web-management listen data
web-management idle-timeout 1200
ip ssh listen data
ip route 0.0.0.0 0.0.0.0 10.110.1.1
interface 2
   name "Admin-MGMT"  
   exit
interface 3
   name "Firewall01-PortE4"  
   exit
interface 4
   name "Firewall02-PortE4"  
   exit
snmp-server community "ReadOnly"  
snmp-server listen data
oobm
   disable
   ip address dhcp-bootp
   exit
vlan 1
   name "VLAN_1"  
   no untagged 1-2,9,11-12
   untagged 3-8,10,13-20,Trk1-Trk2,Trk11
   ip address 10.110.1.254 255.255.255.0
   exit
vlan 11
   name "Servernetz"  
   ip address 10.110.11.254 255.255.255.0
   exit
vlan 15
   name "Management"  
   untagged 1-2,9,11-12
   ip address 10.110.15.254 255.255.255.0
   exit
vlan 31
   name "Clientnetz"  
   ip address 10.110.31.254 255.255.255.0
   exit
management-vlan 15
spanning-tree
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
spanning-tree Trk11 priority 4
no tftp server
tftp server listen data
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
password operator

Hier noch das Ergebnis des "Show ip route"

                                IP Route Entries

  Destination        Gateway         VLAN Type      Sub-Type   Metric     Dist.
  ------------------ --------------- ---- --------- ---------- ---------- -----
  10.110.15.0/24     Management      15   connected            1          0
  127.0.0.0/8        reject               static               0          0
  127.0.0.1/32       lo0                  connected            1          0
  

Content-ID: 348243

Url: https://administrator.de/forum/hp-switch-konfigurieren-inter-vlan-routing-348243.html

Ausgedruckt am: 21.12.2024 um 16:12 Uhr

SlainteMhath
SlainteMhath 05.09.2017 aktualisiert um 15:07:49 Uhr
Goto Top
Moin,

ich denke da fehlt einfach die aktivierung des Routings an sich;

Ein

ip routing


sollte das erledigen

lg,
Slainte

/EDIT: Typo
DocuSnap-Dude
DocuSnap-Dude 05.09.2017 um 16:29:12 Uhr
Goto Top
Hi,

wie oben beschrieben:

"Sobald ich am Switch das Kommando absetze "(config)#ip routing" (Return=enable) kein Ping mehr möglich auf andere VLAN-IP's wie oben im Beispiel (was vorher ging geht nun nicht mehr). Doppel-Hmmmm"

Also wenn ich IP Routing anschalte ist Ruhe im schacht; ich kann nun noch im eigenen VLAN pingen aber nicht in andere
aqui
Lösung aqui 05.09.2017 aktualisiert um 16:47:51 Uhr
Goto Top
Und nein, ich muss HP nutzen jetzt
Oha...du Armer. Welch sozialer Abstieg.... Aber mit deinem Cisco Know How wirst du die HP Billigteile schon allemal bändigen... face-wink
Im Grunde ist es wie beim Cisco:
  • 2 VLANs anlegen
  • IP Interface ins VLAN
  • Fertisch
Im Grunde hast du mit den VLANs 11, 15 und 31 es genau richtig gemacht. Nur zwischen diesen 3 ist Routing möglich da sie ja eine IP Adresse haben.

Das show ip route zeigt das dem Switch die Default Route fehlt ins Internet also die statische Route zur Firewall 10.110.1.1.
Das ist schon mal ungewöhnlich und deutet auf einen Fehler hin.
Ebenso die Segmente 11 und 31. Die fehlen auch vollständig in der Routing Tabelle wo sie eigentlich als "connected" stehen sollten.
Das heisst es besteht keinerlei physische Connectivity in die VLAN IDs 1, 11 und 31.
Allein das VLAN 15 ist online und es ist logisch das du dann da nix pingen kannst.
Irgendwas stimmt also nicht mit diesen VLANs.

Kann es sein das du das nur im Testaufbau hast aktuell und nur dein Test Notebook im VLAN 15 angeschlossen hast aber keinen anderen aktiven Port in den VLANs 1, 11 und 31 hast ??
Dann sind ja logischerweise auch die dazu korrespondierenden VLAN IP Adressen down und aus dem 15er Segment kann nichts mehr angepingt werden.
Ein ganz normales Verhalten eines L3 Switches das du eigentlich aus deinem Cisco Know How kennen solltest, dort ist es auch so.
Ist ja auch klar und logisch, warum sollte ein L3 Switch das VLAN Interface bzw. dessen IP aktivieren wenn es in dem VLAN keinen einzigen aktiven Port gibt. Macht ja keinen Sinn.
Ist das ggf. der Grund ?
DocuSnap-Dude
DocuSnap-Dude 05.09.2017 aktualisiert um 18:38:28 Uhr
Goto Top
Hi,

so langsam dämmert's...

lass uns das mal "auftruseln"

IP-Route: hier habe ich ja gesetzt "ip route 0.0.0.0 0.0.0.0 10.110.1.1" (also alles intern auf die Firewall). Reicht das nicht aus?


Das mit der Route der VLANS 11 & 31 verstehe ich auch nicht. Ich würde normalerweise setzen:

IP route 10.110.11.0/24 10.110.1.1 (also quasi Subnetz auf Firewall verweisen). Da kommt dann aber:
CoreSwitch-01(config)# show ip route

                                IP Route Entries

  Destination        Gateway         VLAN Type      Sub-Type   Metric     Dist.
  ------------------ --------------- ---- --------- ---------- ---------- -----
  10.110.15.0/24     Management      15   connected            1          0
  127.0.0.0/8        reject               static               0          0
  127.0.0.1/32       lo0                  connected            1          0
Das raffe ich nicht, hab ich doch gerade gesetzt... Ok, IP routing an...
CoreSwitch-01(config)# show ip route
Nada; die Route wird nicht angezeigt wie oben schon. Ich verstehs nicht mehr....


Pingen wenn nichts anderes im Netz ist: die IP des VLANS sollte doch funzen (also ping auf 10.110.x.254). Oder aber (so bei Cisco soweit ich mich erinnere) kein PortShutdown (no ShutDown); geht das bei HP?

Muss ich dann irgendwelche Ports taggen? Bei Cisco war das doch irgendwie so, dass man virtuelle VLAN-Port definieren konnte --> Muss ich bei HP physische Ports "mißbrauchen" oder sowas?

Mir gehen echt die Ideen aus.
DocuSnap-Dude
DocuSnap-Dude 05.09.2017 aktualisiert um 19:07:14 Uhr
Goto Top
Ah warte...

Idee...

Port 1+2 werden auf meine Firewall verbunden; da dies VLAN1 ist untagged auf VLAN1
ABER dann: Alle anderen VLANS werden auf die beiden Ports getagged, oder? Sozuagen quasi:

ETH 1+2
VLAN 1 untagged
VLAN 11 Tagged
VLAN 15 Tagged
VLAN 31 Tagged

Sinnvoll?

Auf jeden Fall siehst nun so aus:
telnet-server listen data
web-management listen data
web-management idle-timeout 1200
ip ssh listen data
ip route 0.0.0.0 0.0.0.0 10.110.1.1
ip route 10.110.11.0 255.255.255.0 10.110.1.1
ip route 10.110.15.0 255.255.255.0 10.110.1.1
ip route 10.110.31.0 255.255.255.0 10.110.1.1
ip routing

Aber "Show ip routing" liefert immer noch
                                IP Route Entries

  Destination        Gateway         VLAN Type      Sub-Type   Metric     Dist.
  ------------------ --------------- ---- --------- ---------- ---------- -----
  10.110.15.0/24     Management      15   connected            1          0
  127.0.0.0/8        reject               static               0          0
  127.0.0.1/32       lo0                  connected            1          0

BAAAAHNHOF
Dr.EVIL
Dr.EVIL 06.09.2017 um 08:58:57 Uhr
Goto Top
Zitat von @aqui:

Oha...du Armer. Welch sozialer Abstieg.... Aber mit deinem Cisco Know How wirst du die HP Billigteile schon allemal bändigen... face-wink

Stell Dir das nicht so einfach vor!
Das "IP Proletariat" muss schließlich mehrere CLI beherrschen:
Das hier benötigte "Aruba OS" (aka "HP ProVision"), Comware und (demnächst) Arista.
Dagegen ist Cisco "pipifax"! face-wink

Für den "Cisco Fremdsprachler" gibt es aber ein nettes kleines "Wörterbuch":
http://h20564.www2.hpe.com/hpsc/doc/public/display?docId=c04793912
face-smile
aqui
Lösung aqui 06.09.2017 aktualisiert um 11:34:35 Uhr
Goto Top
Das wird ja immer gruseliger mit HP !! Besser die Finger weglassen davon. Mit Netzen haben die das nicht so wirklich. Aber jeder bekommt bekanntlich die Netzhardware die er verdient.. face-smile
Zurück zum Thema...
IP-Route: hier habe ich ja gesetzt "ip route 0.0.0.0 0.0.0.0 10.110.1.1"
Das ist absolut OK und richtig so. Ist ICMP auf der Firewall erlaubt und sie angeschlossen im VLAN müsstest du sie auch vom Switch CLI aus anpingen können ?!
Das raffe ich nicht, hab ich doch gerade gesetzt...
In der Tat ist da nicht normal, aber wenn du die Firewall NICHT angeschlossen hast und sonst auch nix im VLAN 1 aktiv hast am Switch, ist das VLAN 1 IP Interface DOWN und die statische Route wird nicht angezeigt. Dann auch nix Ping und nix Default Route in VLAN 1. Es muss mindestens einen physischen aktiven Port in VLAN 1 geben.
Ist die Firewall denn angeschlossen an einem VLAN 1 untagged Port am Switch und ist dieser Port aktiv (Link LED an) ?
Pingen wenn nichts anderes im Netz ist: die IP des VLANS sollte doch funzen
Nein !
Definitiv dann nicht wenn KEIN Endgerät und damit kein aktiver Port am Switch in diesem VLAN ist. Dann wird wie oben schon mehrfach gebetsmühlenartig gesagt das IP Interface immer auf DOWN gesetzt, ist nicht anpingbar und es werden keine Routen über das IP Netz in der Routing Tabelle aktiviert.
Macht ja auch Sinn wenn nix aktiv ist in dem Netz.
Du musst also irgendwie einen Port wie auch immer aktiv bekommen (Link LED an) in dem VLAN damit die IP Interfaces und Routen aktiviert werden. Sonst nix Ping und nix Routen..!
Muss ich dann irgendwelche Ports taggen?
Nein.
Nicht wenn du normale Endgeräte daran anschliesst.
Taggen musst du nur wenn du an ein Endgerät eine VLAN Information mitgeben musst und dieses Endgerät das auch versteht. Z.B. einen Uplink auf einen anderen Switch um die VLANs dahin zu übertragen.
Endgeräte Ports muss man logischerweise NICHT taggen...weisst du aber auch selber !
Es geht um einen physischen Link der irgendwie aktiv sein muss in dem oder den VLANs damit der Switch sein VLAN IP Interface aktiviert und die Routen in diesem IP Segment.

Um das zu faken kannst du z.B. testweise einen Port taggen mit allen VLANs und dort z.B. blind einen doofen, ungemanagten 5 Port Switch einstecken oder irgendwas mit Ethernet. Es geht darum nur das dieser Port dann einen aktiven Link bekommt egal was da dran ist. Damit aktivieret er dann die IP Adressen in allen VLANs und damit simuliert man dann dem Switch einen aktiven Link in allen VLANs und er aktiviert dann auch alle L3 IP Interfaces, da ja dann alle VLANs mindesten einen aktiven Link haben face-wink Das ist der Trick....
So faked man das in einem Test Setup. Dann kannst du auch alle Switch VLAN IP Adressen pingen.
Ist übrigens beim Cisco und auch allen anderen Herstellern genau so und sollte man wissen als Netzwerker !
Port 1+2 werden auf meine Firewall verbunden; da dies VLAN1 ist
Mit einem Etherchannel, sprich Link Aggregation hoffentlich ???
Wenn nicht, erzeugst du dir einen Loop mit 2 Ports parallel in der gleichen L2 Domain (vlan 1), das sollte dir hoffentlich klar sein ?!
Du kannst das also nur als 802.1q LAG mit LACP beidseitig, Firewall und Switch, konfigurieren wenn du 2 Links zur Bandbreitenerhöhung aggregieren willst !
Sinnvoll?
Ja ist richtig und sinnvoll unter den folgenden Bedingungen:
  • eth 1 und 2 sind als Port Channel sprich LACP LAG konfiguriert !
  • Portchannel, LAG, Teaming oder LAG mit LACP muss zwingend auch auf der Firewall aktiv sein !
  • Firewall braucht auf den 2 Ports dann auch Tagging für diese VLANs
Details dazu erklärt dir das VLAN Tutorial am Beispiel einer tagged Kopplung auf eine pfSense Firewall:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die ToDos sind bei dir identisch.
Diese Vorausetzungen musst du zwingend umsetzen dann ist das eine sinnvolle und auch funktionierende Konfig !
Auf jeden Fall siehst nun so aus:
Ist das die Routing Tabelle des Switches oder der Firewall ??
Die statischen Routen sind ja totaler Schwachsinn (sorry) wenn du auf dem Switch selber routen willst, denn der "kennt" ja die IP Netze .11.0, .15.0 und .31.0 da sie an ihm selbst angeschlossen sind.
In so fern sind dann diese Routen auf dem Switch totaler Quatsch.
Und wenn der Switch routet WARUM musst du die VLANs dann tagged an die FW bringen ? Auch das wäre Unsinn weill du externen Traffic die nicht die Switch VLANs betreffen ja zentral über VLAN 1 an die FW sendest wie es richtig wäre.

Willst du ausschliesslich aus Sicherheitsgründen die VLANs nur über die Firewall routen darf der Switch KEIN IP Routing machen, sprich auch KEINE IP Adressen in den VLANs definiert haben !!!
Logisch, sonst hättest du einen Parallelrouter und ein gravierendes Sicherheitsloch.
Beim FW Routing arbeitet der Switch dann als einfacher, doofer Layer 2 Switch und das Routing macht für alle VLANs zentral die Firewall.
Was willst du denn nun machen ??? Switch oder Firewall routen ???
Eins von beiden geht nur !
DocuSnap-Dude
DocuSnap-Dude 06.09.2017 um 18:46:17 Uhr
Goto Top
Heiliger Bimbam....

Okay, ich versuche mal mein Glück mit dem Wissen und mal sehen was am Ende rauskommt. Poste dann hier mein Ergebnis.
aqui
aqui 07.09.2017 um 11:40:23 Uhr
Goto Top
Wir sind gespannt... face-smile
DocuSnap-Dude
DocuSnap-Dude 08.09.2017 um 19:32:03 Uhr
Goto Top
Status: nachts weiterhin dunkel.

Bevor ich jetzt meine Konfig noch mal anfüge: die Ports für die Anbindung der Firwewall (Sophos UTM9) sind als TRK3 auf Mode LACP sauber gesetzt.
VLAN1 ist TAGGED auf diesen TRK3, denn das schreibt Sophos hier extra: LINK Sophos
Port der Sophos also auch so im Link beschreiben gesetzt, VLAN1. ICMP auf der Sophos erlaubt.

Problem weiterhin: Ping aus der Sophos auf 10.110.1.254 (IP vom VLAN1) nicht machbar; no reply. Auch eine aktive Adresse im VLAN15 nicht machbar (die kann ich vom Switch aus erfolgreich pingen).

Hier erstmal meine IP-Routen aktuell:
                               IP Route Entries

  Destination        Gateway         VLAN Type      Sub-Type   Metric     Dist.
  ------------------ --------------- ---- --------- ---------- ---------- -----
  0.0.0.0/0          10.110.1.1      1    static               1          1
  10.110.1.0/24      VLAN_1          1    connected            1          0
  10.110.15.0/24     Management      15   connected            1          0
  127.0.0.0/8        reject               static               0          0
  127.0.0.1/32       lo0                  connected            1          0

Trunk 3 (also der zur Firewall) ist auf Port 3+4

Hier nun meine aktuelle Config vom Switch:

Running configuration:

; J9726A Configuration Editor; Created on release #WB.16.04.0008
; Ver #11:01.9b.3f.b3.b8.ee.34.79.3c.29.eb.9f.fc.f3.ff.37.ef:55

hostname "CS-01"  
module 1 type j9726a
console idle-timeout 3600
trunk 21-22 trk1 trunk
trunk 23-24 trk2 trunk
trunk 3-4 trk3 lacp
trunk B1-B2 trk11 trunk
gvrp
telnet-server listen data
web-management listen data
web-management idle-timeout 1200
ip default-gateway 10.110.1.254
ip ssh listen data
ip route 0.0.0.0 0.0.0.0 10.110.1.1
ip routing
interface 3
   name "FW-01/1-ETH4 (VLAN1)"  
   exit
interface 4
   name "FW-01/2-ETH4 (VLAN1)"  
   exit
interface 9
   name "iLO-ESX01 (VLAN15)"  
   exit
interface B1
   name "ESX-01 (VLAN11)"  
   exit
interface B2
   name "ESX-01 (VLAN11)"  
   exit
snmp-server community "ReadOnly"  
snmp-server listen data
oobm
   disable
   ip address dhcp-bootp
   exit
vlan 1
   name "VLAN_1"  
   no untagged 1-2,9,11-12
   untagged 5-8,10,13-20,Trk1-Trk2,Trk11
   tagged Trk3
   ip address 10.110.1.254 255.255.255.0
   exit
vlan 11
   name "Servernetz"  
   ip address 10.110.11.254 255.255.255.0
   exit
vlan 15
   name "Management"  
   untagged 1,9,11-12
   ip address 10.110.15.254 255.255.255.0
   exit
vlan 31
   name "Clientnetz"  
   untagged 2
   ip address 10.110.31.254 255.255.255.0
   ip helper-address 10.110.11.101
   ip helper-address 10.110.11.102
   exit
management-vlan 15
spanning-tree
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
spanning-tree Trk3 priority 4
spanning-tree Trk11 priority 4
spanning-tree pathcost mstp 8021d
spanning-tree priority 0 force-version stp-compatible
no tftp server
tftp server listen data
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
password operator

Soweit mein Status. Seht ihr da noch was? Zündende Idee dazu?

Merci und ruhiges Wochenende!
aqui
Lösung aqui 08.09.2017 aktualisiert um 20:13:33 Uhr
Goto Top
Firwewall (Sophos UTM9) sind als TRK3 auf Mode LACP sauber gesetzt.
Hast du dann auch mal mit show lacp nachgeprüft ob der LACP Trunk aktiv und online ist ??
Port der Sophos also auch so im Link beschreiben gesetzt, VLAN1. ICMP auf der Sophos erlaubt.
Das ist OK wenn Sophos das so verlangt. Ist zwar sehr unüblich das native VLAN zu taggen aber OK wenn die das so wollen...
Dann musst du ja auch vom Switch CLI die Sophos im VLAN 1 anpingen können ?!!
Die Management IP des Switches ist ja auch im VLAN 1 und wenn die Sophos IP im gleichen Netz ist sollte ein Ping sauber durchgehen !! Tut er das ?
Ping aus der Sophos auf 10.110.1.254 (IP vom VLAN1) nicht machbar
Mmmhhh...das kann dann nur sein das VLAN 1 ggf. doch nicht getaggt wird.
Entweder es kommt nicht getagged von der Firewall oder der Switchport will es nicht tagged sondern untagged. Bei einem Tagging Mismatch wird das Paket verworfen.
Hier hilft dir nur ein Wireshark Trace um das ganz sicher zu klären !
Schliesse den Wireshark einmal an die FW an und sende einen Ping ins VLAN 1 und prüfe im Wireshak ob an dem Ping Paket ein 802.1q VLAN Tag mit der ID 1 dranhängt !
Dasgleic he dann vom Switchport.
Stimmt das überein dann sollte der Ping auch durchgehen. Hier hast du zu 98% einen Tagging Mismatch vorliegen.
Auch eine aktive Adresse im VLAN15 nicht machbar
Pings du dann von der Firewall ??
Hat die Firewall dann auch ein VLAN 15 Subinterface konfiguriert auf dem LACP Trunk ?
Fehlt das, kannst du von der Firewall gar nicht pingen.

Das generelle Verständnisproblem ist aber die Frage ob du die Anbindung des Switches nun über einen tagged Uplink machst (Switch darf dann nur L2 machen !) oder....
ob du wie ursprünglich das lokale VLAN Routing auf dem Switch machst und nur den Internet Traffic über VLAN 1 routest.
Genau DAS ist jetzt aus deinen letzten Ausführungen nicht klar geworden und ist essentiell, denn die Konfigs dazu sind vollkommen unterschiedlich !!
Das solltest du also nochmal wasserdicht klären hier damit wir nicht alle aneinander vorbeireden !
die kann ich vom Switch aus erfolgreich pingen
Diese Aussage (und auch die gepostete Konfig) spricht dann eher für Letzteres. Ist dem so ?? Also VLAN Routing macht der Switch und Internet geht über VLAN 1 zur Firewall ?

Die Routing Tabelle sieht jetzt auch korrekt und sauber aus sofern da nur die VLANs 1 und 15 existent sind erstmal.
In der Switchkonfig gibt es aber noch gravierende Konfig Fehler:
1.)
ip default-gateway 10.110.1.254 <-- ???
ip ssh listen data
ip route 0.0.0.0 0.0.0.0 10.110.1.1

Was hat das default Gateway da zu suchen ??
Das ist eine reine L2 Geschichte bzw. ein L2 Kommando. Das muss unbedingt entfernt werden.
Mit der Default Route hast du ja dein Default Gateway eingestellt und im L3 Mode des Switches greift nur die default Route !
Die defailt Gateway Konfig also zwingend mit no p default-gateway 10.110.1.254 entfernen !!!
Abgesehen davon ist die .254 auch völliger Quatsch denn das Default Gateway zeigt ja total sinnfrei auf sich selber.
Den Unsinn muss man wohl auch nicht mehr weiter kommentieren, oder ?! Löschen also...
2.)
Spanning Tree Priority definiert man niemals auf einzelnen Links sondern immer global auf dem Switch.
Zweitens wird die STP Priority immer in Zahlen modulo 4096 definiert. Sowas wie "4" ist kontraproduktiv und birgt die Gefahr das andere Switches das nicht verstehen.
Da du MSTP machst fehlen fast alle wichtigen MSTP Kommandos wie die Instances und Version usw.
MSTP erfordert ein genaues Customizing. Du solltest wenn du es einfacher machen willst besser auf RSTP gehen und wie gesagt dann eine globale Priorioty auf dem Switch setzen.
spanning-tree protocol-version rstp
spanning-tree protocol-version rstp priority 4096
spanning-tree force-version rstp-operation


Der Rest sieht soweit gut und richtig aus.
DocuSnap-Dude
DocuSnap-Dude 09.09.2017 aktualisiert um 09:42:48 Uhr
Goto Top
Moin,

zunächst mal: Danke für Deine Zeit und deine Ausführungen; Toll!

jepp, Gateway war Käse hoch 3; nach langem gefummel doofe Ideen am Abend manchmal face-smile

Spanning-Tree ist bei HP anders. Schau mal hier rein wenn du magst: PDF
Auf Alle Fälle sind die Prios nur 1-15 und nicht darüber hinaus; Commands sind auch anders. Ich habe das mal so gesetzt jetzt (wie im PDF für den CORE empfohlen).

spanning-tree force-version rstp-operation
spanning-tree priority 0

Firewall: die ahte Tools drauf, womit man TraceRT und so machen kann direkt von der Webkonsole aus. Daraus versuche ich PING auf eine meiner Online-Zieladressen in den den VLAN'S. Und da kommt nichts.

LACP sieht gut aus für meine >Begriffe:
CS-01(config)# show lacp

                                    LACP

           LACP      Trunk     Port                LACP      Admin   Oper
   Port    Enabled   Group     Status    Partner   Status    Key     Key
   -----   -------   -------   -------   -------   -------   ------  ------
   3       Active    Trk3      Up        No        Success   0       212
   4       Active    Trk3      Up        No        Success   0       212
   11      Active    11        Up        No        Success   0       0
   12      Active    12        Up        No        Success   0       0

Sophos schreibt in dem Link:
 This requires configuration on the switch(es) that the UTM connects to, and at minimum, the port the UTM is connected must be configured as a trunk port, and it must be a TAGGED member of each VLAN that you want the UTM to use

Also habe ich meinen TRUNK 3 nun mit allen VLAN's getagged. Mal sehen was da nun geht... Mehr Details später dazu...

P.S.: werde mal einen eigenen Thread eröffnen wegen der Sophos --> ich denke der Mode Vlan auf dem Port kann nur ein VLAN machen. Da gibt es noch den Bridge-Mode... mal schauen was die Sophos-Experten meinen (anderer Thread)
aqui
Lösung aqui 09.09.2017 aktualisiert um 11:54:38 Uhr
Goto Top
Spanning-Tree ist bei HP anders.
Eigentlich Unsinn, denn auch Billigheimer HP kann weltweite Standards im Spanning Tree nicht neu definieren.
Es gibt 4 Hauptderivate vom Spanning Tree Protokoll die nicht oder nur bedingt untereinander kompatibel sind:
Billigheimer HP kann nur RSTP also Global STP oder MSTP wenn man Instanzen basiertes STP haben will.
MSTP ist aufwendiger zu konfigurieren. Deshalb der Tip nur RSTP zu nhemen wenn du nur 3 oder 5 VLANs hast.

Was die Sophos anbetrifft musst du hier gewaltig mit der Syntax aufpassen.
Das was Sophos als "Trunk" bezeichnet ist ein tagged Uplink. Das hat NICHTS mit dem zu tun was der Rest der Netzwerkwelt als "Trunk" bezeichnet nämlich eine Link Aggregations (LAG) also das Bündeln von Links.
Du misinterpretierst hier jetzt beides und schmeisst das in einen Topf.
Insofern fatal für dich weil du nun völlig konfuse Sachen machst.
Vergiss also bitte das Tagging (Trunk) auf der Sophos, denn das machst du hier ja gar nicht !!
Was du machst ist stinknormales VLAN Routing auf dem L3 Switch und alles was der Switch nicht routen kann, also in fremde IP Netze muss, routet er über die Default Route via VLAN 1 zur Sophos Firewall.
Die Sophos ist dann also NICHT tagged bzw. mit einem tagged Uplink angeschlossen sondern stinknormal untagged in VLAN 1 wie jedes popelige Endgerät auch.
Die falsche Bezeichnung "Trunk" hat dich hier völlig aus dem Tritt gebracht !
Konfigurier das so, dann funktionieren auch alle deine Pings und alles wie es soll !#
Also habe ich meinen TRUNK 3 nun mit allen VLAN's getagged.
Wie bereits gesagt: Völlig FALSCH !! Bitte wieder rückgängig machen und den Port UNTAGGED an der Sophos einrichten und auch UNTAGGED auf der Switchseite in VLAN 1
DocuSnap-Dude
DocuSnap-Dude 10.09.2017, aktualisiert am 11.09.2017 um 08:06:14 Uhr
Goto Top
Hi,

Gute Nachricht: Sophos pingt jetzt auf VLAN1-Aderessen beidseitig. Was noch nicht geht: Sophos Ping zu anderem VLAN-Client (von 10.110.1.1 zu 10.110.15.51)
Setup des Sophos-Ports: ClientMode (also nichts VLAN) 10.110.1.1/24

Ich Tippe auf irgendwas noch im Switch zu setzen. Daher schau noch mal über die Konfig dazu bitte drüber.

CS-01(config)# show trunk

 Load Balancing Method:  L3-based (default)

  Port   | Name                             Type       | Group Type
  ------ + -------------------------------- ---------- + ----- --------
  21     | MEM-SW01                         100/1000T  | Trk1  Trunk
  22     | MEM-SW01                         100/1000T  | Trk1  Trunk
  23     | MEM-SW-02                        100/1000T  | Trk2  Trunk
  24     | MEM-SW-02                        100/1000T  | Trk2  Trunk
  B1     | MEM-ESX-01 (VLAN11)              SFP+DA3    | Trk11 Trunk
  B2     | MEM-ESX-01 (VLAN11)              SFP+DA3    | Trk11 Trunk
  
CS-01(config)#           sh ip route

                                IP Route Entries

  Destination        Gateway         VLAN Type      Sub-Type   Metric     Dist.
  ------------------ --------------- ---- --------- ---------- ---------- -----
  0.0.0.0/0          10.110.1.1      1    static               1          1
  10.110.1.0/24      VLAN_1          1    connected            1          0
  10.110.15.0/24     Management      15   connected            1          0
  127.0.0.0/8        reject               static               0          0
  127.0.0.1/32       lo0                  connected            1          0
und hier die wichtigen Parts der Switchkonfig:

  
trunk 21-22 trk1 trunk
trunk 23-24 trk2 trunk
trunk B1-B2 trk11 trunk
ip route 0.0.0.0 0.0.0.0 10.110.1.1
ip routing

interface 3
   name "FW-01/1-ETH4 (VLAN1)"  
   exit
interface 4
   name "FW-01/2-ETH4 (VLAN1)"  
   exit
interface 9
   name "iLO-ESX01 (VLAN15)"  
   exit

oobm
   disable
   ip address dhcp-bootp
   exit

vlan 1
   name "VLAN_1"  
   no untagged 1-2,9,11-12
   untagged 3-8,10,13-20,Trk1-Trk2,Trk11
   ip address 10.110.1.254 255.255.255.0
   exit

vlan 15
   name "Management"  
   untagged 1,9,11-12
   ip address 10.110.15.254 255.255.255.0
  exit

management-vlan 15
spanning-tree
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
spanning-tree Trk11 priority 4
spanning-tree pathcost mstp 8021d
spanning-tree mode rapid-pvst
spanning-tree priority 0 force-version rstp-operation

Kleiner Step nur noch denke ich mal. Ich vermute da fehlt noch eine Route vom 10.110.1.0/24 zu den internen Netzen (obwohl der Switch das ja eigentlich wissen sollte).
Dr.EVIL
Dr.EVIL 11.09.2017 um 08:56:57 Uhr
Goto Top
Zitat von @aqui:

Das wird ja immer gruseliger mit HP !! Besser die Finger weglassen davon. Mit Netzen haben die das nicht so wirklich. Aber jeder bekommt bekanntlich die Netzhardware die er verdient.. face-smile


Mach das mal, wenn ein normaler CISCO Backbone Switch teilweise pro Port um ein vielfaches teurer, wie ein von Leistung und Funktionsumfang vergleichbarer "Billigheimer" HP Switch ist!
Es gibt leider viele CTO die diese Preispolitik seitens Cisco nicht mitmachen und "Alternativen" fordern.
...Zumeist auf den Rücken der Netzwerk Admins die plötzlich eine "Multi-Vendor" Umgebung stemmen müssen.

Aber mit einem Opel kommt man auch ans Ziel... face-wink
aqui
Lösung aqui 11.09.2017 aktualisiert um 09:02:40 Uhr
Goto Top
Hier muss man fein definieren damit man nicht Äpfel (Catalysten, IOS) mit Birnen (SG Serie) vergleicht wie es vermutlich bei dir der Fall ist.
Für die Billigecke hat Cisco ja dann seine SG Serie. Im Access Bereich haben die identisches Preis Niveau wie die gruseligen HP Gurken, leisten aber erheblich mehr.
Es muss nicht immer Catalyst sein....es gibt auch noch den "Opel" SG der eine Mercedes Maschine hat... ! face-wink
DocuSnap-Dude
DocuSnap-Dude 11.09.2017 um 15:21:57 Uhr
Goto Top
Sodele, nun hat er es.

Sophos-Seitig (Firewall):
  • Virtuelle Ports (Typ ETHERNET-VLAN) für jedes VLAN mit IP erstellen (10.110.x.1/24)
  • Statische Routings (Gateway-Modus) für jedes VLAN-Int auf die IP vom Vlan (also 10.110.x.1 auf 10.110.x.254) erstellen

Switch:
  • Beide Uplink-Ports zur Fiewall NICHT auf Trunk/LACP sondern einfach dummer Port (das ist bissl strange für meine Begrifflichkeit aber gut)
  • Die beiden Ports mit allen VLAN's taggen, welche zur Firewall Verbindung brauchen (also Tagged VLAN1,15,31 in meinem Fall)
  • rest bleibt wie oben in der Config genau so.


et voila!

Nicht ganz so logisch wie erhofft aber funzzt.

Danke an Alle!
aqui
aqui 11.09.2017 aktualisiert um 18:30:26 Uhr
Goto Top
Virtuelle Ports (Typ ETHERNET-VLAN) für jedes VLAN mit IP erstellen (10.110.x.1/24)
FALSCH !!
Das musst du nicht und ist falsch da das lokale VLAN Routing der Switch macht.
Logischerweise muss man dann NICHT auch noch parallel auf der Firewall routen...wozu der Unsinn ?
Statische Routings (Gateway-Modus) für jedes VLAN-Int auf die IP
Noch größerer Blödsinn. Bei lokal angeschlossenen Interfaces sind statische rouzten in diese Netze sinnfrei, denn der Router /Firewall "kennt" logischerweise alle direk an ihn angeschlossenen IP Netze.
Beide Uplink-Ports zur Fiewall NICHT auf Trunk/LACP sondern einfach dummer Port
Richtig !
Deshalb muss auch der Firewall Port auf der anderen Seite eben NICHT tagged sein.
Einen Port der auf der einen Seite tagged ist und auf der anderen untagged wäre ja Blödsinn. (Un)Tagging müsste auf beiden Enden des Drahts natürlch immer gleich sein.
Die beiden Ports mit allen VLAN's taggen, welche zur Firewall Verbindung brauchen
Oh man was denn nun ???
Falsch wenn du die VLANs lokal auf dem Switch routen willst = Performanter
Richtig wenn du alle VLANs über die Firewall routen musst oder willst = sicherer. Damit ENTFÄLLT aber dann logischerweise das Routing und die IP Adressierung auf dem Switch.

Also bitte nochmalig der Appell an dich das du nun endlich mal klar sagst ob du die VLANs auf dem Switch ODER der Firewall routen willst. Eins geht nur !
Ansonsten drehen wir uns hier weiterhin sinnfrei im Kreis weil die Konfigs für beide Designs unterschiedlich sind ! Grrrr... face-sad
Nicht ganz so logisch wie erhofft
Kein Wunder bei dem hin und her...
DocuSnap-Dude
DocuSnap-Dude 13.09.2017 um 06:07:17 Uhr
Goto Top
Moin aqui,

also: Routing aller VLAN's soll der Switch machen wie gesagt. Ich habe jetzt noch mal alles verworfen und Back to the Routs.

Meine absolute Frage daher: ich setze den Uplink zur FW auf untagged, wie einen normalen Client --> an der Firewall auch ganz normal als Clientport (also so, als gäbe es keine VLAN'S dahinter) --> die Route im Switch "ip route 0.0.0.0 0.0.0.0 10.110.1.1" --> die IP der Firewall 1.110.1.1....

WARUM kann ich aus der Firewall heraus nicht eine Adresse im VLAN 15 (10.110.15.51) erreichen...

Meine (mir logische Antwort): weil die Firewall auf dem Clientport keine Definition eines weiteren Gateways ausser dem WAN-Port zulässt. Sozusagen kennt die Firewall "den Rückweg zum Switch" nicht. Meine logische Schlussfolgerung: auf der FW noch ein Statisches Routing auf VLAN1-als Gateway-Route setzen.

Nun Du....
em-pie
em-pie 13.09.2017 aktualisiert um 07:16:57 Uhr
Goto Top
Moin,

Wie in dem anderen Thread schon gesagt:
Dein Switch muss eine IP aus dem gleichen Netz haben, wie auch deine Sophos. Z.B. 10.110.1.2

Dann bleibt der Port am Switch auf untagged im VLAN 1 (Default), gleiches an der Sophos (das LAN-Interface nicht anfassen, ausser für die IP-Settings)
Dann hast du die Route ja oben richtig gesetzt.
Anschließend auf der Sophos statische Routen für jedes VLAN auf der Sophos einrichten:

Netz: 10.110.x.0
Maske: 255.255.255.0
Gateway: 10.110.1.2

x = VLAN

Und du musst natürlich auch passende Firewall-Regeln in der Sophos setzen.

Exakt so läuft es auch bei uns (nur anderen IPs)!
HP E5406 als Core
UTM SG230 als Firewall/ UTM

Hast du eigentlich noch irgendwelche ACLs am HP aktiv?
DocuSnap-Dude
DocuSnap-Dude 13.09.2017 aktualisiert um 08:05:58 Uhr
Goto Top
Wie in dem anderen Thread schon gesagt:
Dein Switch muss eine IP aus dem gleichen Netz haben, wie auch deine Sophos. Z.B. 10.110.1.2

Hat er: 10.110.1.154

Dann bleibt der Port am Switch auf untagged im VLAN 1 (Default), gleiches an der Sophos (das LAN-Interface nicht anfassen, ausser für die IP-Settings)

Hat er er auch. Untagged VLAN1, nicht weioter tagged

Dann hast du die Route ja oben richtig gesetzt.
du meinst die "ip route 0.0.0.0 0.0.0.0 10.110.1." gehe ich von aus

Anschließend auf der Sophos statische Routen für jedes VLAN auf der Sophos einrichten:

Netz: 10.110.x.0
Maske: 255.255.255.0
Gateway: 10.110.1.2

ok; setze ich also z.B für VLAN15 eine Statische Route vom Typ "Gateway" und wähle Netz=halt den range (10.110.15.0/24 und gateway meinen Switch mit der Adresse aus VLAN1 (10.110.*1*.254 --> über die Adresse soll er ja "durchreichen in das dahinter").


x = VLAN

Und du musst natürlich auch passende Firewall-Regeln in der Sophos setzen.

hier habe ich mal eine ANY, ANY zu VLANx regel erstellt zum Test


Exakt so läuft es auch bei uns (nur anderen IPs)!
HP E5406 als Core
UTM SG230 als Firewall/ UTM

Hast du eigentlich noch irgendwelche ACLs am HP aktiv?


Hm. Ping geht nicht. TRACERT bricht sich beim ersten HOP die Beine (also FW schon).
em-pie
em-pie 13.09.2017 aktualisiert um 08:15:16 Uhr
Goto Top
Zitat von @DocuSnap-Dude:

Wie in dem anderen Thread schon gesagt:
Dein Switch muss eine IP aus dem gleichen Netz haben, wie auch deine Sophos. Z.B. 10.110.1.2

Hat er: 10.110.1.154
OK
Dann bleibt der Port am Switch auf untagged im VLAN 1 (Default), gleiches an der Sophos (das LAN-Interface nicht anfassen, ausser für die IP-Settings)

Hat er er auch. Untagged VLAN1, nicht weioter tagged
Gut

Dann hast du die Route ja oben richtig gesetzt.
du meinst die "ip route 0.0.0.0 0.0.0.0 10.110.1." gehe ich von aus
Jopp, wobei du sicherlich nur aufgrund eines Tippfehlers das letzte Oktett vergessen hast: 10.110.1.1
Anschließend auf der Sophos statische Routen für jedes VLAN auf der Sophos einrichten:

Netz: 10.110.x.0
Maske: 255.255.255.0
Gateway: 10.110.1.2

ok; setze ich also z.B für VLAN15 eine Statische Route vom Typ "Gateway" und wähle Netz=halt den range (10.110.15.0/24 und gateway meinen Switch mit der Adresse aus VLAN1 (10.110.*1*.254 --> über die Adresse soll er ja "durchreichen in das dahinter").
Ersteres: du musst den Paketen ja sagen "welche Tür (Gateway)" die zum Zielnetz weiterführt. Also an der Sophos als GW immer die IP des Switches eintragen, unter der die Sophos den Switch auch erreichen kann. Bei dir also die 10.110.1.254

Und du musst natürlich auch passende Firewall-Regeln in der Sophos setzen.

hier habe ich mal eine ANY, ANY zu VLANx regel erstellt zum Test
OK. Was sagt das LiveLog?

Hast du eigentlich noch irgendwelche ACLs am HP aktiv?


Hm. Ping geht nicht. TRACERT bricht sich beim ersten HOP die Beine (also FW schon).

Mal ne andere Frage: hast du ICMP an der UTM aktiviert bzw. Deaktiviert? Nicht dass du keine Traceroutes mache kannst, weil die Sophos das nicht zulässt. Prüfe das mal!
DocuSnap-Dude
DocuSnap-Dude 13.09.2017 aktualisiert um 08:59:01 Uhr
Goto Top
Jopp, wobei du sicherlich nur aufgrund eines Tippfehlers das letzte Oktett vergessen hast: 10.110.1.1

Stimmt; ist natürlich "ip route 0.0.0.0 0.0.0.0 10.110.1.1"

Ersteres: du musst den Paketen ja sagen "welche Tür (Gateway)" die zum Zielnetz weiterführt. Also an der Sophos als GW immer die IP des Switches eintragen, unter der die Sophos den Switch auch erreichen kann. Bei dir also die 10.110.1.254
Ok, logisch und so umgesetzt

Und du musst natürlich auch passende Firewall-Regeln in der Sophos setzen.

OK. Was sagt das LiveLog?

Leider nichts im Zeitraum passendes; das ist es was mich echt ratlos macht sonst hätte ich das schon gecheckt glaub ich



Hast du eigentlich noch irgendwelche ACLs am HP aktiv?
Nein.

Hm. Ping geht nicht. TRACERT bricht sich beim ersten HOP die Beine (also FW schon).

Mal ne andere Frage: hast du ICMP an der UTM aktiviert bzw. Deaktiviert? Nicht dass du keine Traceroutes mache kannst, weil die Sophos das nicht zulässt. Prüfe das mal!

Im Punkt "network protection --> Firewall --> ICMP" habe ich sämtliche Haken zum Test gesetzt (außer ICMP-Umletinmgs protok.).

Nada; kein ping auf 10.110.15.51

PING 10.110.15.51 (10.110.15.51) 56(84) bytes of data.

--- 10.110.15.51 ping statistics ---

5 packets transmitted, 0 received, 100% packet loss, time 4032ms

und TRACERT meint dazu:

traceroute to 10.110.15.51 (10.110.15.51), 30 hops max, 40 byte packets using UDP

 1  10.110.1.254 (10.110.1.254)  0.703 ms   0.619 ms   0.546 ms

 2  * * *

 3  * * *

 4  * * *

 5  * * *

 6  * * *

 7  * * *

Und genau hier steh ich auf dem Schlauch. Das sieht mir defintiv und immer noch danach aus, als wenn der Backway vo Switch zur Sophos nicht funzzt.
em-pie
em-pie 13.09.2017 aktualisiert um 09:33:37 Uhr
Goto Top
Falsch, das Paket kommt am Switch an, der 1.254 antwortet ja. Was hängt an der .15.51? Ein Windows? Ist dort die FW aktiv und nicht für fremde Netze angepasst?

Ping mal nen Drucker an, sofern in einem der VLANs >1 vorhanden

Edit: hier mal ein paar Schnipsel unserer Einstellungen:
hp-utm
DocuSnap-Dude
DocuSnap-Dude 13.09.2017 um 12:50:09 Uhr
Goto Top
Hi,

das ist ein iLO-Port (HP-Managementport) mit folgenden Settings (da ist nichts mit Firewall etc.).

IP:_ 10.110.15.51
Sub: 255.255.255.0
GW: 10.110.*15.254* (ist ja so, das im VLAN15 nur /24 gesetzt sein soll und der Switch über seine VLAN-IP umsetzen muss).


Idee??
em-pie
em-pie 13.09.2017 um 12:55:46 Uhr
Goto Top
Jaaa...

Der Switch hat aber selbst in jedem VLAN eine IP, oder?

also wenn der HP im VLAN 1 die IP 10.110.1.254 hat, sollte er für die übrigen VLANs ja auch eine IP haben:
VLAN 15: 10.110.15.254
VLAN 31: 10.110.31.254
...

kannst du denn von einem VLAN in ein anderes Pingen, denn das sollte ja grundsätzlich klappen...
DocuSnap-Dude
DocuSnap-Dude 13.09.2017 aktualisiert um 13:07:58 Uhr
Goto Top
Yes, jedes VLAN hat eine IP...

Also bei mir wie folgt:

VLAN1 --> 10.110.1.254
VLAN11 --> 10.110.11.254
VLAN15 --> 10.110.15.254
VLAN31 --> 10.110.15.254


Per TELNET auf Switch und dort Ping geht überall hin....also zur Firewall, zu den Clients...Super.

Da wird man echt bekloppt. Wäre alles toll wenn das inHouse-Wäre --> ich muss aber am Ende per VPN-Client andocken und auf iLO zugreifen (ist eine Kundenumgebung). Und wenn das läuft kommt am Ende noch das "alte" Netzwerk (192.168.1.0/24) am anderen port der FW anbinden um dann noch obendrein ein Routing alt zu neuem LAN zu setzen (swoeit aber erstmal nicht; zunächst sauber das neue Segment erreichen und alles ist gut).

Aber für all das muss einfach mal die Firewall die Route zum iLO-Client sauber auflösen. weisst was ich meine?
em-pie
em-pie 13.09.2017 um 13:45:12 Uhr
Goto Top
also irgendwo ist da der Wurm drin...

mal zusammenfassend vom Ablauf her:
Am Switch hast du 4 VLANS mit den passenden IPs aktiv:
  • VLAN 1: 10.110.1.254/ 24
  • VLAN 11 10.110.11.254/ 24
  • VLAN 15 10.110.15.254/ 24
  • VLAN 31 10.110.31.254/ 24

Du hast eine default-Route gesetzt:
  • 0.0.0.0 0.0.0.0 10.110.1.1

ein sh ip route ergibt ein Bild, ähnlich wie bei mir (nur mit weiteren VLANs):
ip-route

Der Port (z.B. 12), an dem das VLAN hängt ist via vlan 15 untagged 12 in das VLAN 15 gesetzt worden!?
Du kannst von z.B. 10.110.11.123 die 10.110.15.51 erfolgreich anpingen!?
Du kannst von einem Client aus dem VLAN<> 15 via HTTP(S) auf 10.110.15.51 zugreifen!?

Am Port 1 (oder an welchem auch immer) des HPs hängt die Sophos, dort ist KEIN LACP, oder Trunked-Port konfiguriert?
Zudem ist dort der Port via vlan 1 untagged 1 der Port im richtigen VLAN (per Default immer so)

Die Sophos hat am LAN-Interface die IP:
  • 10.110.1.1/ 24

Du hast an der Sophos 3 statische Routen aktiv:
  • VLAN 11
      • Destination: 10.110.11.0/ 24
      • Gateway: 10.110.1.254
  • VLAN 15
      • Destination: 10.110.15.0/ 24
      • Gateway: 10.110.1.254
  • VLAN 31
      • Destination: 10.110.31.0/ 24
      • Gateway: 10.110.1.254
die Routen sind auf aktiv gesetzt!?

Auch wenn im Nachhinein zunächst irrelevant:
die Firewall der Sophos ist entsprechend angepasst und auch Aktiv!?

Bitte bis hierher mal alle Steps nochmal einzeln prüfen.
DocuSnap-Dude
DocuSnap-Dude 14.09.2017 aktualisiert um 08:03:11 Uhr
Goto Top
Moin,

bevor ich deine Punkte abklappere: per VPN-Client verbunden --> ping auf Gateway VLAN1 --> sauber durch die FW gegangen. Danach ein TRACERT auf die Online-IP meiner iLO:

Routenverfolgung zu 10.110.15.51 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms fw01.awo-pzh.local [xxx.xxx.xxx.xxx] --> habe ich mal rausgenommen, ist die IP unseres Einwahl-Netzes)
2 3 ms <1 ms <1 ms 10.110.1.254
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.

Das heisst: defintiv Switchseitig das Problem. Auf Switchseite (Telnet direkt auf MGMT-Port) liefert:

CS-01# ping 10.110.15.51 --> iLO
10.110.15.51 is alive, time = 2 ms
CS-01# ping 10.110.1.1 --> Firewall
10.110.1.1 is alive, time = 3 ms


Hier noch mal meine Switchkonfig mit den relevanten Parts. Wo zum Henker liegt der Fehler....

Running configuration:

; J9726A Configuration Editor; Created on release #WB.16.04.0008
; Ver #11:01.9b.3f.b3.b8.ee.34.79.3c.29.eb.9f.fc.f3.ff.37.ef:55

hostname "CS-01"  
module 1 type j9726a
console idle-timeout 3600
trunk 21-22 trk1 trunk
trunk 23-24 trk2 trunk
trunk 11-12 trk9 lacp
trunk B1-B2 trk11 trunk
gvrp
timesync ntp
telnet-server listen data
web-management listen data
web-management idle-timeout 1200
ip ssh listen data
ip timep manual 10.110.1.1
ip route 0.0.0.0 0.0.0.0 10.110.1.1
ip routing

interface 3
   name "FW-01/1-ETH4 (VLAN1)"  
   exit
interface 4
   name "FW-01/2-ETH4 (VLAN1)"  
   exit
interface 9
   name "PZH-iLO-ESX01 (VLAN15)"  
   exit
   
snmp-server community "ReadOnly"  
snmp-server listen data
oobm
   disable
   ip address dhcp-bootp
   exit

vlan 1
   name "VLAN_1"  
   no untagged 2,9,Trk9
   untagged 1,3-8,10,13-20,Trk1-Trk2,Trk11
   ip address 10.110.1.254 255.255.255.0 
   exit
vlan 15
   name "Management"  
   untagged 9,Trk9
   tagged Trk11
   ip address 10.110.15.254 255.255.255.0
   ip helper-address 10.110.11.101
   ip helper-address 10.110.11.102
   exit


management-vlan 15
spanning-tree
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
spanning-tree Trk9 priority 4
spanning-tree Trk11 priority 4
spanning-tree pathcost mstp 8021d
spanning-tree mode rapid-pvst
spanning-tree priority 0 force-version rstp-operation
no tftp server
tftp server listen data
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
password operator

CS-01(config)# sh ip route

                                IP Route Entries

  Destination        Gateway         VLAN Type      Sub-Type   Metric     Dist.
  ------------------ --------------- ---- --------- ---------- ---------- -----
  0.0.0.0/0          10.110.1.1      1    static               1          1
  10.110.1.0/24      VLAN_1          1    connected            1          0
  10.110.15.0/24     Management      15   connected            1          0
  127.0.0.0/8        reject               static               0          0
  127.0.0.1/32       lo0                  connected            1          0

Das kann doch echt nicht sein :-S
em-pie
em-pie 14.09.2017 um 08:09:21 Uhr
Goto Top
Ganz einfach. Bei HP kommst du von extern nicht ins Management-VLAN rein
Den VLAN 15 ist ein Management VLAN... Du musst dafür einen Client einsetzen, der mit einem Bein in einem "Bein" im normalen VlaN hängt und mit einem anderen Bein im VLaN 15. Auf den per RDP und gut...
DocuSnap-Dude
DocuSnap-Dude 14.09.2017 aktualisiert um 08:36:50 Uhr
Goto Top
Hm.

Jetzt hab ich mal versucht; Teilerfolg...

Sagen wir mal die Sophos ist ja auch ein Client.....

Also: "virtuelle Schnittstelle" auf der Sophos als Ethernet-VLAN (tagged VLAN 15) erstellt und Gegenseite auf Switch den Uplinkport tagged mit vlan 15... (Portadresse Firewall 10.110.15.1).

et voila: ich komme auf die MGMT-Konsole (WebGUI) vom Switch jetzt drauf. Schon mal halbe Miete. Wenn ich es jetzt noch schaffe den iLO zu erreichen tanze ich im Kreis. Nur der pingt immer noch nicht zurück.

2ten Client rein aus der ferne nicht machbar. Wäre möglich wenn ich den ESX hoch bekomme und die Ports so konfiguriere. nur dazu brauch ich den iLO (verflixt und zugenäht).

Jetzt habe ich dann zusätzlich mal eine Route auf dem Switch gesetzt 0.0.0.0 0.0.0.0 10.110.15.1 (alöso Route auf die virtuelle ip von der Sophos --> ERFOLG. Rennt.

Somit kann ich erstmal was tun, nachher dann diese option raus und fertig.