Problem mit Vlan auf Cisco 3560G

Hi,

ich habe auf dem oben erwähntem Switch ein neues Vlan eingerichtet. Dieses Vlan sollte nun in ein anderes geroutet werden, an welchem die Firewall hängt.
Das Problem ist nun das ich intern in alle Vlans komme nur nicht in das an welchem die FW hängt.

Die Config sieht in etwa so aus:

Das Probem Vlan
interface Vlan221
description routing-if-221
ip address 192.168.221.2 255.255.255.0
ip helper-address 192.168.100.75
ip helper-address 192.168.100.50
standby 221 ip 192.168.221.1
standby 221 priority 110
standby 221 preempt
standby 221 authentication if-221

Das FW Vlan

interface Vlan230
description Transfernetz Firewall 6MBit
ip address 192.168.230.2 255.255.255.0

Wenn ich nun aus diesem Vlan heraus ein Traceroute auf z.B. administrator.de mache passiert folgendes:

tracert administrator.de

1 1ms 1ms 1ms cs-sw-1.local.netz [192.168.0.1]
2 * * * Zeitüberschreitung der Anforderung.

Hat jemand eine Idee warum das Routing in dieses Vlan nicht geht.

Please also mark the comments that contributed to the solution of the article

Content-Key: 143759

Url: https://administrator.de/contentid/143759

Printed on: April 19, 2024 at 12:04 o'clock

9 Comments

Latest comment

Hallo,

wie hast du den dei Verbindung deinem Switch und deiner Firewall aufgebaut?
Ein Trunk?
Nur ein VLAN?
Routing Ports?

Wenn du nur ein VLAN hast dann wird das so eher nichts.
Poste doch einfach mal die config.

brammer

spanning-tree mode pvst
spanning-tree extend system-id
spanning-tree vlan 1-3,50,60,70,99-100,120,140,150,160,170,180 priority 8192
spanning-tree vlan 190,221 priority 8192
spanning-tree vlan 200,210,220,230 priority 16384
!
vlan internal allocation policy ascending
!
interface Port-channel1
description AS-SW-1
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface Port-channel2
description GEC-to-AS1-GBII
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface Port-channel3
description GEC-to-AS2-GBI
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface Port-channel4
description GEC-to-AS3-GBI
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface Port-channel5
description GEC-to-AS4-GBI
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface Port-channel10
description temp-trk-wo world
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface GigabitEthernet0/1
description sopsun-VLAN-2
switchport access vlan 2
switchport mode access
spanning-tree portfast
!

!
interface GigabitEthernet0/4
description Trunk-Y422241-Swit
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
spanning-tree portfast
!
interface GigabitEthernet0/5
description Firewall-VLAN-250
switchport access vlan 250
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/6
description Firewall-VLAN-230
switchport access vlan 230
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/13
description TRK-to-AS-SW-5
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
channel-group 1 mode active
!
interface GigabitEthernet0/15
description TRK-to-AS-SW-2
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
channel-group 3 mode active
!
interface GigabitEthernet0/16
description TRK-to-AS-SW-1
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
channel-group 2 mode active
!
interface GigabitEthernet0/22
description VLAN_for_WLAN_221
switchport access vlan 221
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/23
description sopsun-VLAN-3
switchport access vlan 3
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/24
description sopsun-VLAN-3
switchport access vlan 3
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/25
description TRK-to-AS-5-TA
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface GigabitEthernet0/26
description TRK-to-AS-7-EG
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
!
interface GigabitEthernet0/27
description TRK-to-AS-8-EG
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface GigabitEthernet0/28
description TRK-PORT
switchport trunk encapsulation dot1q
switchport trunk native vlan 99
switchport mode trunk
!
interface Vlan1
description -nicht_nutzen-
no ip address
shutdown
!
interface Vlan2
description routing-if-2-100
ip address 192.168.100.2 255.255.255.0
standby 2 ip 192.168.100.250
standby 2 priority 110
standby 2 preempt
standby 2 authentication if-2
!
interface Vlan3
description routing-if-3-150
ip address 192.168.150.2 255.255.255.0
ip helper-address 192.168.100.75
ip helper-address 192.168.100.50
ip helper-address 192.168.100.39
standby 3 ip 192.168.150.1
standby 3 priority 110
standby 3 preempt
standby 3 authentication if-3
!
interface Vlan230
description Transfernetz Firewall 6MBit
ip address 192.168.230.2 255.255.255.0
!
interface Vlan250
description Transfernetz Firewall 2MBit
ip address 192.168.250.253 255.255.255.252
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.250.254
ip http server

Vermutlich fehlen schlicht und einfach auf der Firewall die Routings auf die VLAN Subnetze des Switches !!!

ip route 192.168.100.0 255.255.255.0 192.168.250.253
ip route 192.168.150.0 255.255.255.0 192.168.250.253
ip route 192.168.230.0 255.255.255.0 192.168.250.253

...oder, die Firewall blockt Source IP Adressen aus diesen Netzen, was das Firewall Log ja sofort verrät ?!
Ansonsten sieht die Konfig OK aus !
Sinnvoll wäre noch ein "sh ip route" output ! Denn verwunderlich ist das der erste Hop ein Router mit der IP 192.168.0.1 ist, den es in deinem gesamten Routingpfad eigentlich gar nicht geben kann wenn die FW das Internet Gateway ist ?!
Lässt vermuten das du das Traceroute von einem PC machst der überhaupt gar nicht in diesen VLANs des 35er Switches liegt !!!
Was passiert denn wenn du den Traceroute direkt von der CLI Konsole des 35ers machst ??

@alex-w
Wenn es das jetzt war dann bitte auch
How can I mark a post as solved?
nicht vergessen !!

Hi zusammen.

Leider hat das keinen Fortschritt gebracht. Das Routing auf der Firewall passt. Es muss also noch etwas in der Cisco Config sein. Es ist so kein Routin in die Vlan 192.168.230.0 sowie 192.168.250.0 möglich.

1.) Von WELCHEM VLAN bzw. IP Segment willst du in die Netze .230.0 (Vlan230) und .250.0 (Vlan 250) ??
2.) Was ist bei deinen Endgeräten die sich untereinander in diesen VLANs erreichen sollen für ein Default Gateway angegeben ??
Bzw. 2te Frage: wo bleibt ein Traceroute (tracert) oder Pathping hängen ??

Wenn es Endgeräte in den Vlans 2 (IP Netz .100.0) und Vlan 3 (IP Netz .150.0) sind dann muss dir klar sein das in der Firewall eine statische Route ala
ip route 192.168.100.0 255.255.255.0 192.168.250.253
ip route 192.168.150.0 255.255.255.0 192.168.250.253
ip route 192.168.230.0 255.255.255.0 192.168.250.253
wie oben angeben zwingend konfiguriert sein muss.
Die Route ins .230er IP Netz kann auch entfallen wenn Endgeräte im .230er Netz die Switch IP als Gateway haben.
Wenn du allerdings ALLE Pakete eingehend über das .250er Netz zur Firewall schicken willst und alle Netze sollen nur über das .230er netz ausgehen erreicht werden können müssen die Router auf deiner Firewall natürlich anders lauten und zwar so:
ip route 192.168.100.0 255.255.255.0 192.168.230.2
ip route 192.168.150.0 255.255.255.0 192.168.230.2
Das Problem ist das nicht ganz klar sagst bzw. beschreibst WIE die Firewall in diesem Verbund agieren soll. Es fehlt also eine klare Topologiebeschreibung deinerseits.

Wenn dieser lokale Traffic auch durch die FW soll hast du so oder so einen schweren grundlegenden Fehler begangen in der Konfig, denn dann hat das oder besser die Firewall VLANs niemals eine Layer 3 IP Adresse auf dem Switch !!
Damit ist der Switch dann eine sog. Backdor Bridge die dir die Firewall aushebeln kann. Das wäre ein fatales Fehldesign und deshalb gehören dann keine IP Adressen in den Firewall VLANs auf den Switch, denn für diese VLANs soll ja die Firewall routen und den Traffic kontrollieren.
Da aber diese Topologie bzw. Verkehrsfluss Erklärung von dir vollkommen fehlt ist eine qualifizierte Antwort auf dein Problem vollkommen unmöglich und wir können hier nur lustig weiterraten...

Hi folgendes zur Topologie:

am 192.168.230.0/30 Netzt hängt eine Firewall
am 192.168.250.0/30 Netz hämgt die andere Firewall

am 192.168.100.0/24 hängen unsere Clients
am 192.168.150.0/24 hängen unsere Server

So das Routing aus den Nezten 192.168.100.0 192.168.150.0 in die Vlans der IP Netze 192.168.230.0
sowie 192.168.250.0 funktioniert bestens.

Nun habe ich ein neues Vlan erzeugt in dem unsere WLAN APs hängen sollen. Hier hängt nun aus irgendeinem mir nicht ersichtlichen
Grund das Routing in die Firewall Vlans.

Traceroute aus dem 100er Netz sieht so aus:

Routenverfolgung zu tralala.de [x.x.x.x] über maximal 30 Abschnitte:

1 <1 ms <1 ms <1 ms 192.168.100.2
2 <1 ms <1 ms <1 ms 192.168.250.254
3 1 ms 1 ms 1 ms ws037.rspandline.da [x.x.x.x]

Traceroute aus dem neuen 221er Netz so:

Routenverfolgung zu tralala.de [x.x.x.x] über maximal 30 Abschnitte:

1 <1 ms <1 ms <1 ms 192.168.221.2
2 * * * * Zeitüberschreitung der Anforderung
3 * * * * Zeitüberschreitung der Anforderung

Ich hoffe das ich das Problem nun etwas deutlicher skizzieren konnte.

OK, das macht die Sache etwas klarer... !!
Dein Problem ist de facto die Firewall !!!
Der Switch hat eine default Route ip route 0.0.0.0 0.0.0.0 192.168.250.254 an die IP der Firewall im .250er Netz. Also sämtlicher Fraffic von allen VLANs am Switch der NICHT lokal vom Switch über dessen IP Netze an den VLAN Interfaces geroutet werden kann wird also zentral an die Firewall mit der 250.254 geschickt !
(Was macht übrigens die FW im .230er Netz ??? Die ist irgendwie außen vor...aber egal)

Genau das siehst du ja auch an den Ping auf tralala.de, denn das geht von den VLANs 100 und 150 auf diese Firewall und ins Internet...wie es sein soll !!
Wenn du statt dessen vom 221er VLAN mal Geräte im 100er oder 150er VLAN pingst wird es vermutlich problemlos klappen, denn das routet der Switch lokal ohne FW !!

Knöpf dir also die Firewall vor !! Hier fehlen mit an Sicherheit grenzender Wahrscheinlichkeit Access Listen für das 192.168.221.0er WLAN Netzwerk das das erlaubt ist am Ingress Port der Firewall (192.168.250.254).
Ein Ping Versuch eines WLAN Cllients aus dem .221er Netz auf die 192.168.250.253 (Switch IP, sollte klappen) oder die 192.168.250.254 (FW IP, sollte fehlschlagen wenn die ACLs nicht stimmen !) sollte dir das schnell zeigen !
Die Firewall Logs sollten das belegen können !
Ein bischen Grundlagen zu so einem Szenario kannst du hier nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Hi,

so ich habe mir zu dem Thema mal einen externen Rat geholt.

Auf dem Catalyst Switch ist es so nicht möglich ein hier angelegtes Vlan auf eine spezielle Route die nicht der Default Route einspricht umzubiegen.
Hierfür wird sogenanntes Policy Based Routing verwendet.

access-list 1 permit 192.168.221.0 0.0.0.255
route-map newFW permit 10
match ip address 1
set ip next-hop 192.168.230.254

Habs hier mal etwas ausführlicher beschrieben.

German solved Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment