ph0rl2
Goto Top

Keine Verbindung über Monowall VLAN mit Cisco Switch

Hallo zusammen,

also erst einmal vorweg: Dies sind meine ersten Gehversuche mit einem managerbaren Switch und VLANs. Für ein Programm habe ich einen PC als Basisstation, der direkt mit einem Switch verbunden ist, sowie ein WLAN PDA, das über einen AP angeschlossen wird.

Folgende Infrastruktur liegt also zu Grunde

WAN -> Monowall -> Switch -> AP


MONOWALL
LAN(vr0) -> an Switchport 12
b156282bd67119c091e75c2f4afe34ac

VLAN30 mit DHCP
0a85db6cecbf594ed8428d1426c500fe
c2d4adbeb2cb517505cb19d809e4e76a

Firewall Rules (erstmal eine any to any):
523d20fc829a618a47d7cbb501fe99df
3742afe53f4edd61acbaba129f5001e2

AP (Cisco WAP321) -> an Switchport 24
IP: 192.168.200.20
SSID: "Business", VLAN30
Management VLAN: 1, Haken bei "untagged" ist gesetzt.
eadae8f08840d31c7cd9ebf09dd98a03
571477a95e6dc722b0a1c36c22e8bdb9


PC:
IP: per DHCP
an Switchport 2
8319bf07af21a2f1c94b18baccfeadb3

SWITCH:
CISCO SG-300
IP: 192.168.200.10
Port 12/24: Trunk 1UP,30T,...
Port 2: Access untagged 30
21c15afbd47a3944ab6e3f91cf27660e



1.) Bin ich mir nicht ganz sicher, wie ich das Management VLAN richtig konfigurieren muss. Meine Idee war, andere als bisher an den APs nur Tagged 1 einzustellen und bei den Siwtchports 12/24 nur tagged Pakete durchzulassen. Zusätzlich dann an einem anderen Port (zb.1) Access untagged 1 einzustellen. Wie macht mans "richtig".

2) Es funktioniert alles super: Die Devices können sich pingen, bekommen eine IP vom DHCP und die Verbindung ins Internet klappt auch. Allerdings klappt die Verbindung vom PDA zur Datenbank den PC nicht. Dies liegt nicht an den Geräten und irgendwelchen Einstellungen dort. Nehme ich nämlich nen simplen AP und schließe beide Devices dort an, klappt problemlos. Das WLAN Device greift auf den Hostnamen zu. Ein Ping auf dem Hostnamen löst das ganze aber richtig auf. Vermute also, dass ich irgendwas am Switch oder der Monowall verhauen hab.

Wenn noch wichtige Infos fehlen, lasst es mich bitte wissen. Wie gesagt "erste Gehversuche".

Viele Grüße

Content-ID: 284693

Url: https://administrator.de/forum/keine-verbindung-ueber-monowall-vlan-mit-cisco-switch-284693.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

aqui
aqui 05.10.2015 aktualisiert um 20:58:04 Uhr
Goto Top
Hast du das hiesige Tutorial zu dem Thema gelesen ?:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort ist eigentlich alles haarklein erklärt.
Die pfSense Konfig ist dabei mehr oder weniger identisch zur Monowall. Generell solltest du auf pfSense wechseln, da Monowall nicht mehr weiter entwicklet wird.
So oder so funktioniert die VLAN Konfig aber mit beiden Versionen vollkommen fehlerfrei !
Beachte auch die weiterführenden Links die einige Praxisbeispiele enthalten.

Damit solltest du es eigentlich im Handumdrehen zum Fliegen bekommen.

Nebenbei: Deinen Konfig ist eigentlich vollkommen sinnfrei, denn mit dem Cisco SG-300 besitzt du einen Layer 3 Routing Switch, der alles selber kann OHNE die Monowall !!
In sofern ist dein Design vollkomen überflüssig mit einem externen Router die VLANs zu routen.
Wie das genau geht kannst du unter anderem hier nachlesen:
http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-busin ...
ph0rl2
ph0rl2 05.10.2015 um 21:10:03 Uhr
Goto Top
Hallo aqui,

danke schon einmal für deinen Input. Ja, das Tutorial habe ich gelesen - und wie gesagt "soweit" funktioniert ja auch alles wie gedacht. Die Clients bekommen die richtigen IPs vom DHCP zugewiesen, Pings sind auch möglich etc. Das Einzige, was in diesem Szenario nicht klappt ist der Zugriff auf die Datenbank.

Ich hatte die Monowall schon vorher im Einsatz, da sie auch als VPN Server via IPsec gilt (danke für dein Tutorial an dieser Stelle nochmal). Daher habe ich erstmal darauf aufgebaut was ich hatte und kannte.

Viele Grüße
aqui
aqui 05.10.2015 aktualisiert um 21:42:10 Uhr
Goto Top
Pings sind auch möglich etc. Das Einzige, was in diesem Szenario nicht klappt ist der Zugriff auf die Datenbank.
OK, dann ist das kein Problem des Netzes selber sondern lediglich deiner Datenbank !
Wie immer vermutlich dann kein oder ein falsches Gateway konfiguriert am Datenbank Rechner.

Wie gesagt bei einem SG-300 ist das design eigentlich Unsinn, da der Switch selber ein Routing Switch ist. Es ist sinnvoller das dann über den Switch zu machen es sei denn du willst zwingend die Firewall Funktion der MW.
Dann war es aber Perlen vor die Säue einen SG-300 zu nehmen, ein SG-200 hätte da allemal gereicht...aber egal.

Nochwas wichtiges:
Nach deinen o.a. Screenshots hast du die VLAN Konfig auf der Monowall vollkommen falsch gemacht. Normal musst du erst die VLANs anlegen und den VLANs ein Parent Interface zuweisen. Das ist das tagged Interface was dann auf den Switch tagged Port geht der alle VLANs tagged überträgt.
VLAN 1 ist hier immer untagged auf so einem Uplink. Das ist der Traffic des Parent Interfaces.
All diese Konfig Steps fehlen vollkommen in deinen Monowall Screenshots oben !
Secondary IPs sind was vollkommen anderes die NICHTS mit VLANs zu tun haben ! Das sind Zweit IP Adressen die man auf einem Interface konfigurieren kann.
VLAN Tags werden aber damit nicht übertragen !!!
Irgendwas ist also an der Monowall VLAN Konfig noch ziemlich faul.
Daher habe ich erstmal darauf aufgebaut was ich hatte und kannte.
pfSense und Monowall sind Schwestern. pfSense ist aus dem Monowall Projekt hervorgegangen in so fern sind beide Konfig Steps und Setups vollkommen identisch.
Du kannst also ohne Probleme wechseln und wirst dich sofort wieder heimisch fühlen.
Es wäre fatal bei der Monowall zu bleiben, denn ohne Weiterentwicklung wäre das ein erhebliches Risiko und widerspricht der Firewall Philisophie. Besser also du denkst über ein Update Wechsel nach ?!
ph0rl2
ph0rl2 05.10.2015 aktualisiert um 22:04:07 Uhr
Goto Top
Meinst du das hier?
34850cc0159318a35c5f6356a104e3c8
95b7ec43575d76a2a1c6fe981b9f7919
Secondary IPs sind was vollkommen anderes die NICHTS mit VLANs zu tun haben !
Secondary IPs ist nicht der aktive Tab, sondern Primare configuration


Naja vielleicht wird es das einfachste sein, das Routing vom Switch übernehmen zu lassen und von Monowall auf PFSense zu wechseln... Und dann mal schauen, ob es klappt face-wink Ich dachte nur, dass hier vielleicht irgendwo ein offensichtlicher Fehler ist und das ganze damit ganz einfach gelöst ist - vermutlich ist aber aber auch am ende nur der eine kleine haken ;)
aqui
aqui 06.10.2015 aktualisiert um 20:19:13 Uhr
Goto Top
Jepp, das sieht schon erheblich besser aus. Genau der Screenshot fehlte. Das sieht aber richtig aus... face-big-smile
Wie gesagt soweit hast du alles richtig gemacht und das es zu 99,9% klappt zeigt auch die richtige Konfig.
Das einzig nur der datenbak Server nicht will ist garantiert eine Fehlkonfig des Gateways auf diesem Rechner oder auch der lokalen Firewall.
Da musst du also den "kleinen Haken" suchen...sicher weniger auf deinen Netzkomponenten.

Generell ist der Weg es mit der Firewall zu lösen um verschiedene Segmente zu steuern nicht falsch. Gerade wenn du auch einen Gast Hotspot betreibst der die FW erzwingt und wenn du erhöhte Sicherheit brauchst.
Dann ist die FW sogar eher prädestiniert als mit dem Switch, denn der bietet nur sehr rudimentäre Filteroptionen die nicht stateful sind.
Du bist dann mit deiner Lösung auf dem richtigen Weg, mal abgeshen davon das du wirklich besser eine aktuelle Distro wie die pfSense verwenden solltest..gerade wegen der Sicherheit.
Ein CF Modul ist ja in ein paar Minuten neu geflasht face-wink

P.S.: Solltest du ein sehr altes ALIX Board haben mit nur 256MB RAM, dann behalte die Monowall !! pfSense benötigt mindesten 512 MB RAM in der aktuellen Version !