lighningcrow
Goto Top

PBX in VLAN nicht erreichbar

Hallo Leute,
ich hab da mal ein Problem wo ich nicht weiterkomme, bzw. iwie ein Brett vor dem Kopf habe und die Lösung nicht sehe.

Also:

Ich habe einen Server 2016 mit Hyper-V Rolle als Host. Darin 3 Server 2016
1. DC
2. SQL/Applikationen
3. TS

Alle hängen im selben Subnetz (untagged VLAN) ich wollte nun den TS mit der TK-Anlage verbinden welche sich im Tagged VLAN (gleiches Subnetz wie die Server) Befindet.

Ergebnis -> PBX Pingbar, Website der TKA aus den Gastsystemen aber nicht erreichbar.

PBX ist vom Host erreichbar, ich habe mir mal auf die Schnelle einen Virtuellen Win 7 Test PC in den Hyper V Geschmissen.

Im Subnetz der Server -> Keine chance.TKA ist Pingbar website wird nichtangezeigt.
Im Clientsubnetz (Tagged VLAN,anderes Subnetz) -> Tadaaa Website instand erreichbar.
TKA ist von jedem Subnetz erreichbar, ausser aus den Hyper-V Gästen.

Wo sehe ich den Wald vor lauter Bäumen nicht?

LGLC

PS.: Ich hoffe ich hab den richtigen Bereich getroffen.

Content-ID: 382561

Url: https://administrator.de/contentid/382561

Ausgedruckt am: 05.11.2024 um 09:11 Uhr

em-pie
em-pie 07.08.2018 um 10:51:57 Uhr
Goto Top
Moin,

Wer routet zwischen den VLANs?
Wenn es eine Firewall ist, wird vermutlich ICMP auf allowed stehen und alles andere (http/ https) auf deny.

Ggf. Ist auf der TK-Anlage aber auch eingerichtet, dass man nur aus dem gleichen Subnetz auf die Anlage zugreifen darf...

Gruß
em-pie
lighningcrow
lighningcrow 07.08.2018 aktualisiert um 11:01:28 Uhr
Goto Top
Hi @em-pie,
Es ist in der Tat eine Firewall, ABER: TKA und Server liegen alle im selben Subnetz. Und lt. Firewall Logs laufen die Paket nicht über die Firewall (keine Einträge zu sehen). Interessanterweis Kommen die Paket an der TKA an und der GET befehl sendet auch die Korekte Website (Getracet an der TKA)aber kommt nicht am Client (Terminal Server) vollständig an.

Den Virtuellen Switch habe ich bereits komplett neu generiert.

Die TKA is im moment für alles offen. (Test PC in anderem Subnetz erreicht die Anlage, genauso wie mein Notebook im WLAN (wieder anderes Subnetz))

LGLC
laster
laster 07.08.2018 um 11:28:15 Uhr
Goto Top
Hallo,

Aus Deiner Beschreibung entnehme ich:
- Du hast mehrere VLANs
- Server (TS) befindet sich im selben IP-Subnet und VLAN wie die PBX
- Ping von TS zu PBX funktioniert, Webseite wird aber nicht angezeigt

was unklar ist:
Alle hängen im selben Subnetz (untagged VLAN) ich wollte nun den TS mit der TK-Anlage verbinden welche sich im Tagged VLAN (gleiches Subnetz wie die Server) Befindet.
Server im untagget, PBX im tagget (?) - aber alle im selben Subnet ?
Welche VLANs sind denn an der PBX untagget/tagget angebunden?
Wenn TS und PBX im selben IP-Subnet, dann geht der Verkehr NICHT über einen Router/Firewall.
Könnte aber auf dem TS ein Proxy aktiv sein?

vG
LS
certifiedit.net
certifiedit.net 07.08.2018 um 11:32:21 Uhr
Goto Top
Hallo,

was ist es für eine PBX, was sagt der Hersteller dazu? Ist es eine Appliance oder nur installierte Software... Was ist es für eine Firewall, welche Module sind aktiv.

VG
lighningcrow
lighningcrow 07.08.2018 um 11:45:38 Uhr
Goto Top
Hallo:


Zitat von @laster:

Hallo,

Aus Deiner Beschreibung entnehme ich:
- Du hast mehrere VLANs
- Server (TS) befindet sich im selben IP-Subnet und VLAN wie die PBX
- Ping von TS zu PBX funktioniert, Webseite wird aber nicht angezeigt

Korrekt


was unklar ist:
Alle hängen im selben Subnetz (untagged VLAN) ich wollte nun den TS mit der TK-Anlage verbinden welche sich im Tagged VLAN (gleiches Subnetz wie die Server) Befindet.
Server im untagget, PBX im tagget (?) - aber alle im selben Subnet ?
Korrekt

Welche VLANs sind denn an der PBX untagget/tagget angebunden?
Server UND PBX sind im selben Subnetz. Zu testzwecken habe ich den Port am Switch an dem die PBX hängt von untagged auf Tagged gesetzt und die PBX auf die selbe VLANID gesetzt (7).

Die Server Hängen(noch) direkt an einem der Ports der Firewall welche Untagged das VLAN 7 an die Server Weitergeben (bzw. an das Blech) Eine der Netzwerkkarten des Servers ist NUR für den VSwitch.

Wenn TS und PBX im selben IP-Subnet, dann geht der Verkehr NICHT über einen Router/Firewall.
Richtig. Und mein Virtueller Test-PC (reingehängt in das Client VLAN (2) und Installiert auf dem selben Hyper-V wie die Server und am selben VSwitch) erreicht die PBX.

Könnte aber auf dem TS ein Proxy aktiv sein?
Wenn ja wo? Ist ein Server 2016 nur mit den RDS Rollen bestückt.

vG
LS

LGLC
lighningcrow
lighningcrow 07.08.2018 um 11:50:19 Uhr
Goto Top
Moin:

Zitat von @certifiedit.net:

Hallo,

was ist es für eine PBX, was sagt der Hersteller dazu?
Ist eine ALU OXO. Und Hersteller sagt -> Liegt nicht an uns. Such mal brav deinen Fehler.

Ist es eine Appliance oder nur installierte Software... Was ist es für eine Firewall, welche Module sind >aktiv.
Firewall ist eine Appliance UTM und es sind intern (zu testzwecken)zwischen den VLANs keinerlei Einschränkungen. (Netzwerkstruktur wird aber noch bereinigt und mal alles in ein Netz zusammengefasst, das ganze VLAN gedöns ist alles noch historisch. Aber "Es war schon immer so.")

LGLC
laster
laster 07.08.2018 um 11:56:22 Uhr
Goto Top
Könnte aber auf dem TS ein Proxy aktiv sein?
Wenn ja wo? Ist ein Server 2016 nur mit den RDS Rollen bestückt.

ein Proxy wird normalerweise im Browser eingetragen. Wenn Du keinen hast, ist er höchstwahrscheinlich auch nicht eingetragen.

Wenn ein Ping geht, dann geht auch die IP-Verbindung.
Warum Du VLANs getaggt hast verstehe ich zwar nicht, aber Du wirst es wissen...

VLAN 7 deutet auf VDSL. Das betrifft aber nur den Router/das Modem und die Firewall. Die VMs haben damit nix zu tun.

Außerdem ist mit Deine Netzwerkstruktur unklar. Am Besten, Du malst Dir mal alles auf und nimmst alles raus (VLAN tgged) was nicht wirklich notwendig ist.

vG
LS
lighningcrow
lighningcrow 07.08.2018 um 12:11:24 Uhr
Goto Top
Das ist hier eh der Plan. Wie gesagt GF vor Ort sagte "das war schon immer so". Es gibt nur 3 Rechner wo das ganze Sinn macht.
aqui
aqui 07.08.2018 aktualisiert um 13:09:03 Uhr
Goto Top
und mal alles in ein Netz zusammengefasst, das ganze VLAN gedöns ist alles noch historisch.
Wie gruselg...!! Zeigt eigentlich das der TO keinerlei Ahnung von Netzwerk Infrastruktur hat.
Sorry, aber jeder verantwortungsvolle Netzwerker segmentiert ein Netzwerk. Ganz besonders sogar wenn das ein Voice Netz ist.
In Firmenumgebungen ist es sogar rechtlich zwingend das abzutrennen. Von der QoS Steuerung mal ganz zu schweigen.
Es ist also durchaus sinnvoll und auch zielführend ein Netzwerk zu segmentieren in VLANs um die L2 Broadcast Domains möglichst klein zu halten. Derjenige der das initiiert hat, hat sich sicher etwas dabei gedacht...
All das sind Binsenweisheiten die mittlerweile jeder Azubi im ersten Lehrjahr kennt.
Sowas dann platt zu machen und auf eine dümmliche, komplett flache Netzwerk Struktur zu migrieren zeugt wie bereits gesagt von wenig Weitsicht und technischem KnowHow. Gerade im Hinblick auf VoIP.
Aber egal...jeder bekommt halt das Netzwerk was er verdient !

Vielleicht hilft als Lektüre zur Lösung ja das hiesige VLAN Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
lighningcrow
lighningcrow 09.08.2018 aktualisiert um 18:24:57 Uhr
Goto Top
Hallo Aqui.

Es gibt kein Voice Vlan, da es kein VoIP vor Ort gibt. Es ist reine Datenkommunikation. Und bei einem Netzwerk mit 6 Clients, finde ich die segmentierung und unterteilung in mehrere Vlans (zumindest in der grössenordnung wie es jetzt ist( ca.9 )) etwas oversized. Es reichen 3 vollkommen aus. 1 für die Firma, 1 für den Privat bereich und 1 für spezielle Anwendungen ggf. 1 für das Gäste Wlan. Aber wie dem auch sei, es scheint irgendwo ein Fehler im Vlanrouting zu sein. Dazu kommt das eine Anwendung namens ASA nicht mit der Vlantrennung klarkommt. Lt. Herstellerangaben ist das dafür auch nicht ausgelegt.

Derjenige der das initiiert hat, hat sich sicher etwas dabei gedacht...
Derjenige war ich selbst, der versucht hat das Chaos was davor bestand etwas logischer aufzubauen.

Btw bei grösseren Netzen segmentiere ich sehr wohl. Und da wird das Voice vom Datennetz getrennt.