Problem mit Vlan auf Cisco 3560G
Hi,
ich habe auf dem oben erwähntem Switch ein neues Vlan eingerichtet. Dieses Vlan sollte nun in ein anderes geroutet werden, an welchem die Firewall hängt.
Das Problem ist nun das ich intern in alle Vlans komme nur nicht in das an welchem die FW hängt.
Die Config sieht in etwa so aus:
Das Probem Vlan
interface Vlan221
description routing-if-221
ip address 192.168.221.2 255.255.255.0
ip helper-address 192.168.100.75
ip helper-address 192.168.100.50
standby 221 ip 192.168.221.1
standby 221 priority 110
standby 221 preempt
standby 221 authentication if-221
Das FW Vlan
interface Vlan230
description Transfernetz Firewall 6MBit
ip address 192.168.230.2 255.255.255.0
Wenn ich nun aus diesem Vlan heraus ein Traceroute auf z.B. administrator.de mache passiert folgendes:
tracert administrator.de
1 1ms 1ms 1ms cs-sw-1.local.netz [192.168.0.1]
2 * * * Zeitüberschreitung der Anforderung.
Hat jemand eine Idee warum das Routing in dieses Vlan nicht geht.
ich habe auf dem oben erwähntem Switch ein neues Vlan eingerichtet. Dieses Vlan sollte nun in ein anderes geroutet werden, an welchem die Firewall hängt.
Das Problem ist nun das ich intern in alle Vlans komme nur nicht in das an welchem die FW hängt.
Die Config sieht in etwa so aus:
Das Probem Vlan
interface Vlan221
description routing-if-221
ip address 192.168.221.2 255.255.255.0
ip helper-address 192.168.100.75
ip helper-address 192.168.100.50
standby 221 ip 192.168.221.1
standby 221 priority 110
standby 221 preempt
standby 221 authentication if-221
Das FW Vlan
interface Vlan230
description Transfernetz Firewall 6MBit
ip address 192.168.230.2 255.255.255.0
Wenn ich nun aus diesem Vlan heraus ein Traceroute auf z.B. administrator.de mache passiert folgendes:
tracert administrator.de
1 1ms 1ms 1ms cs-sw-1.local.netz [192.168.0.1]
2 * * * Zeitüberschreitung der Anforderung.
Hat jemand eine Idee warum das Routing in dieses Vlan nicht geht.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 143759
Url: https://administrator.de/forum/problem-mit-vlan-auf-cisco-3560g-143759.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
9 Kommentare
Neuester Kommentar
Vermutlich fehlen schlicht und einfach auf der Firewall die Routings auf die VLAN Subnetze des Switches !!!
ip route 192.168.100.0 255.255.255.0 192.168.250.253
ip route 192.168.150.0 255.255.255.0 192.168.250.253
ip route 192.168.230.0 255.255.255.0 192.168.250.253
...oder, die Firewall blockt Source IP Adressen aus diesen Netzen, was das Firewall Log ja sofort verrät ?!
Ansonsten sieht die Konfig OK aus !
Sinnvoll wäre noch ein "sh ip route" output ! Denn verwunderlich ist das der erste Hop ein Router mit der IP 192.168.0.1 ist, den es in deinem gesamten Routingpfad eigentlich gar nicht geben kann wenn die FW das Internet Gateway ist ?!
Lässt vermuten das du das Traceroute von einem PC machst der überhaupt gar nicht in diesen VLANs des 35er Switches liegt !!!
Was passiert denn wenn du den Traceroute direkt von der CLI Konsole des 35ers machst ??
ip route 192.168.100.0 255.255.255.0 192.168.250.253
ip route 192.168.150.0 255.255.255.0 192.168.250.253
ip route 192.168.230.0 255.255.255.0 192.168.250.253
...oder, die Firewall blockt Source IP Adressen aus diesen Netzen, was das Firewall Log ja sofort verrät ?!
Ansonsten sieht die Konfig OK aus !
Sinnvoll wäre noch ein "sh ip route" output ! Denn verwunderlich ist das der erste Hop ein Router mit der IP 192.168.0.1 ist, den es in deinem gesamten Routingpfad eigentlich gar nicht geben kann wenn die FW das Internet Gateway ist ?!
Lässt vermuten das du das Traceroute von einem PC machst der überhaupt gar nicht in diesen VLANs des 35er Switches liegt !!!
Was passiert denn wenn du den Traceroute direkt von der CLI Konsole des 35ers machst ??
@alex-w
Wenn es das jetzt war dann bitte auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Wenn es das jetzt war dann bitte auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
1.) Von WELCHEM VLAN bzw. IP Segment willst du in die Netze .230.0 (Vlan230) und .250.0 (Vlan 250) ??
2.) Was ist bei deinen Endgeräten die sich untereinander in diesen VLANs erreichen sollen für ein Default Gateway angegeben ??
Bzw. 2te Frage: wo bleibt ein Traceroute (tracert) oder Pathping hängen ??
Wenn es Endgeräte in den Vlans 2 (IP Netz .100.0) und Vlan 3 (IP Netz .150.0) sind dann muss dir klar sein das in der Firewall eine statische Route ala
ip route 192.168.100.0 255.255.255.0 192.168.250.253
ip route 192.168.150.0 255.255.255.0 192.168.250.253
ip route 192.168.230.0 255.255.255.0 192.168.250.253
wie oben angeben zwingend konfiguriert sein muss.
Die Route ins .230er IP Netz kann auch entfallen wenn Endgeräte im .230er Netz die Switch IP als Gateway haben.
Wenn du allerdings ALLE Pakete eingehend über das .250er Netz zur Firewall schicken willst und alle Netze sollen nur über das .230er netz ausgehen erreicht werden können müssen die Router auf deiner Firewall natürlich anders lauten und zwar so:
ip route 192.168.100.0 255.255.255.0 192.168.230.2
ip route 192.168.150.0 255.255.255.0 192.168.230.2
Das Problem ist das nicht ganz klar sagst bzw. beschreibst WIE die Firewall in diesem Verbund agieren soll. Es fehlt also eine klare Topologiebeschreibung deinerseits.
Wenn dieser lokale Traffic auch durch die FW soll hast du so oder so einen schweren grundlegenden Fehler begangen in der Konfig, denn dann hat das oder besser die Firewall VLANs niemals eine Layer 3 IP Adresse auf dem Switch !!
Damit ist der Switch dann eine sog. Backdor Bridge die dir die Firewall aushebeln kann. Das wäre ein fatales Fehldesign und deshalb gehören dann keine IP Adressen in den Firewall VLANs auf den Switch, denn für diese VLANs soll ja die Firewall routen und den Traffic kontrollieren.
Da aber diese Topologie bzw. Verkehrsfluss Erklärung von dir vollkommen fehlt ist eine qualifizierte Antwort auf dein Problem vollkommen unmöglich und wir können hier nur lustig weiterraten...
2.) Was ist bei deinen Endgeräten die sich untereinander in diesen VLANs erreichen sollen für ein Default Gateway angegeben ??
Bzw. 2te Frage: wo bleibt ein Traceroute (tracert) oder Pathping hängen ??
Wenn es Endgeräte in den Vlans 2 (IP Netz .100.0) und Vlan 3 (IP Netz .150.0) sind dann muss dir klar sein das in der Firewall eine statische Route ala
ip route 192.168.100.0 255.255.255.0 192.168.250.253
ip route 192.168.150.0 255.255.255.0 192.168.250.253
ip route 192.168.230.0 255.255.255.0 192.168.250.253
wie oben angeben zwingend konfiguriert sein muss.
Die Route ins .230er IP Netz kann auch entfallen wenn Endgeräte im .230er Netz die Switch IP als Gateway haben.
Wenn du allerdings ALLE Pakete eingehend über das .250er Netz zur Firewall schicken willst und alle Netze sollen nur über das .230er netz ausgehen erreicht werden können müssen die Router auf deiner Firewall natürlich anders lauten und zwar so:
ip route 192.168.100.0 255.255.255.0 192.168.230.2
ip route 192.168.150.0 255.255.255.0 192.168.230.2
Das Problem ist das nicht ganz klar sagst bzw. beschreibst WIE die Firewall in diesem Verbund agieren soll. Es fehlt also eine klare Topologiebeschreibung deinerseits.
Wenn dieser lokale Traffic auch durch die FW soll hast du so oder so einen schweren grundlegenden Fehler begangen in der Konfig, denn dann hat das oder besser die Firewall VLANs niemals eine Layer 3 IP Adresse auf dem Switch !!
Damit ist der Switch dann eine sog. Backdor Bridge die dir die Firewall aushebeln kann. Das wäre ein fatales Fehldesign und deshalb gehören dann keine IP Adressen in den Firewall VLANs auf den Switch, denn für diese VLANs soll ja die Firewall routen und den Traffic kontrollieren.
Da aber diese Topologie bzw. Verkehrsfluss Erklärung von dir vollkommen fehlt ist eine qualifizierte Antwort auf dein Problem vollkommen unmöglich und wir können hier nur lustig weiterraten...
OK, das macht die Sache etwas klarer... !!
Dein Problem ist de facto die Firewall !!!
Der Switch hat eine default Route ip route 0.0.0.0 0.0.0.0 192.168.250.254 an die IP der Firewall im .250er Netz. Also sämtlicher Fraffic von allen VLANs am Switch der NICHT lokal vom Switch über dessen IP Netze an den VLAN Interfaces geroutet werden kann wird also zentral an die Firewall mit der 250.254 geschickt !
(Was macht übrigens die FW im .230er Netz ??? Die ist irgendwie außen vor...aber egal)
Genau das siehst du ja auch an den Ping auf tralala.de, denn das geht von den VLANs 100 und 150 auf diese Firewall und ins Internet...wie es sein soll !!
Wenn du statt dessen vom 221er VLAN mal Geräte im 100er oder 150er VLAN pingst wird es vermutlich problemlos klappen, denn das routet der Switch lokal ohne FW !!
Knöpf dir also die Firewall vor !! Hier fehlen mit an Sicherheit grenzender Wahrscheinlichkeit Access Listen für das 192.168.221.0er WLAN Netzwerk das das erlaubt ist am Ingress Port der Firewall (192.168.250.254).
Ein Ping Versuch eines WLAN Cllients aus dem .221er Netz auf die 192.168.250.253 (Switch IP, sollte klappen) oder die 192.168.250.254 (FW IP, sollte fehlschlagen wenn die ACLs nicht stimmen !) sollte dir das schnell zeigen !
Die Firewall Logs sollten das belegen können !
Ein bischen Grundlagen zu so einem Szenario kannst du hier nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dein Problem ist de facto die Firewall !!!
Der Switch hat eine default Route ip route 0.0.0.0 0.0.0.0 192.168.250.254 an die IP der Firewall im .250er Netz. Also sämtlicher Fraffic von allen VLANs am Switch der NICHT lokal vom Switch über dessen IP Netze an den VLAN Interfaces geroutet werden kann wird also zentral an die Firewall mit der 250.254 geschickt !
(Was macht übrigens die FW im .230er Netz ??? Die ist irgendwie außen vor...aber egal)
Genau das siehst du ja auch an den Ping auf tralala.de, denn das geht von den VLANs 100 und 150 auf diese Firewall und ins Internet...wie es sein soll !!
Wenn du statt dessen vom 221er VLAN mal Geräte im 100er oder 150er VLAN pingst wird es vermutlich problemlos klappen, denn das routet der Switch lokal ohne FW !!
Knöpf dir also die Firewall vor !! Hier fehlen mit an Sicherheit grenzender Wahrscheinlichkeit Access Listen für das 192.168.221.0er WLAN Netzwerk das das erlaubt ist am Ingress Port der Firewall (192.168.250.254).
Ein Ping Versuch eines WLAN Cllients aus dem .221er Netz auf die 192.168.250.253 (Switch IP, sollte klappen) oder die 192.168.250.254 (FW IP, sollte fehlschlagen wenn die ACLs nicht stimmen !) sollte dir das schnell zeigen !
Die Firewall Logs sollten das belegen können !
Ein bischen Grundlagen zu so einem Szenario kannst du hier nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern