kingsley
Goto Top

Routing bzw. VLAN ROUTING

Hallo liebe Community,

ich hätte ein Anliegen.
Ich würde gerne diesen Netzwerkplan gerne umsetzen. Habe einiges über VLANS gelesen und auch auf einen Layer3, Layer2-Switch auch VLANs konfiguriert.
netzs

Ist-Zustand:
Auf dem V-Host sind zwei virtuelle Server via Hyper-V konfiguriert: 1 DNS/AD-SERVER UND 1 DCHP SERVER

ip scanner

Der DHCP soll sich später um die verteilung der VLANs später kümmern.

client

tracert

ipv4

Fragen:


An welchen Port muss ich meinen Fritz anschließen, damit ich auf dem Management vom Core-Switch komme?
Wie muss ich den Router konfigurieren, damit meine VLANS, die IP-Adressen von meinem DHCP annehmen?

Ich hoffe ihr könnt mir weiterhelfen und bedanke mich für jede Hilfe

Konfig Core:
ip default-gateway 192.168.178.1
ip dns domain-name "XXX.local"
ip dns server-address priority 1 192.168.178.200

ip route 0.0.0.0 0.0.0.0 192.168.178.1
ip routing
interface 1
name "LAYER2-SWITCH"
exit
snmp-server community "public" operator
snmp-server contact "EDV" location "Serverraum"
oobm
ip address dhcp-ootp
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1/1-1/16
no ip address
exit
vlan 10
name "Clients-MM-P"
tagged 1/1-1/3
ip address 10.3.10.1 255.255.255.0
ip helper-address 192.168.178.201
exit
vlan 20
name "WLAN"
tagged 1-3
ip address 10.3.20.1 255.255.255.0
ip helper-address 192.168.178.201
exit
vlan 30
name "Verwaltung"
ip address 10.3.30.1 255.255.255.0
ip helper-address 192.168.178.201
exit
vlan 99
name "MGT"
tagged 1-3
ip address 192.168.178.99 255.255.255.0
ip helper-address 192.168.178.201
exit
vlan 254
name "GATEWAY"
tagged 1
ip address 192.168.178.2 255.255.255.0
exit

Konfig Layer2-Switch:

sntp server priority 1 192.168.178.200
ntp unicast
ntp server 192.168.178.200
time daylight-time-rule western-europe
time timezone 60
ip default-gateway 192.168.178.1
snmp-server community "public"
snmp-server contact "EDV" location "Büro"
vlan 10
name "Client"
untagged 1-30
tagged 49-52
no ip address
exit
vlan 20
name "WLAN"
untagged 31-40
no ip address
exit
vlan 30
name "Verwaltung"
tagged 41-52
no ip address
exit
vlan 99
name "MGT"
untagged 41-48
tagged 49-52
ip address 192.168.178.253 255.255.255.0
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1-52
no ip address
exit
primary-vlan 99

Content-ID: 571038

Url: https://administrator.de/forum/routing-bzw-vlan-routing-571038.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

90948
90948 11.05.2020 aktualisiert um 19:16:40 Uhr
Goto Top
Hi,

erstmal zum Thema VLAN. Da gibt es von @aqui gute Tutorials

VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Zu den Fragen:
1. Du musst Ports für das Management VLAN festlegen, momentan ist kein Port definiert für das DEFAULT_VLAN
2. Die Fritte macht das nicht. Was du in dem fall benötigst ist ein DHCP-Relay. Das kann aber der Layer3 Core-Switch i.d.R. machen. Da hier keine Angaben zu Hersteller/Typ gemacht hast, musst du das im Handbuch nachlesen. Am DHCP-Server legst du die einzelnen DHCP-Bereiche dann für jedes VLAN an.

Gruß
kingsley
kingsley 11.05.2020 aktualisiert um 20:06:30 Uhr
Goto Top
Im Core und im L2-Switch sind doch DEFAULT_VLAN definiert:

L3:
vlan 1
name "DEFAULT_VLAN"
no untagged 1/1-1/16
no ip address
exit

L2:
vlan 1
name "DEFAULT_VLAN"
no untagged 1-52
no ip address


Der L3 ist ein Aruba 3810 M
Und L2 ein Aruba 2540, beide 48 Ports:
90948
90948 11.05.2020 um 20:48:55 Uhr
Goto Top
Sorry hab mich verlesen, dein Management VLAN ist ja VLAN 99 und nicht das Default. Mein Fehler.
Dies hat aber am Core Switch keinen untagged Port. Da musst du einen Festlegen. Dieser darf aber nur in diesem VLAN sein. Dann kannst du deine Fritte an den Port hängen und solltest auf den Switch kommen von diesem Netzwerk aus.

Wenn dein DHCP Server die 192.168.178.201 ist, dann hast du ja schon ein DHCP-Relay am Core Switch. Was funktioniert dann bißher nicht?
kingsley
kingsley 11.05.2020 aktualisiert um 21:17:46 Uhr
Goto Top
Kein Ding face-smile


Zitat von @90948:

Dies hat aber am Core Switch keinen untagged Port. Da musst du einen Festlegen.

Hmm, also müsste ich an den Core-Switch beispielsweise Port 20 taggen und Fritz dranhängen oder wie hab ich es zu verstehen.


Zitat von @90948:

Wenn dein DHCP Server die 192.168.178.201 ist, dann hast du ja schon ein DHCP-Relay am Core Switch. Was funktioniert dann bißher nicht?

Wenn ich an der Fritze meinen Notebook direkt anschließe, erhält er vom DHCP-Server, eine Ip vom Management, heißt 192.168.178.33.
Sobald ich aber die Fritze am Core anstecke, den Core mit den Layer2-Switch verbinde und dann mein Notebook an einem Port vom L2 anstöpsle, hat er gar keine Verbindung und kriegt auch somit nichts vom DHCP.

Könnte es an meinen spanning trees liegen, die ich am L2-Switch habe und am Core nicht?

primary-vlan 99
spanning-tree
spanning-tree 1 admin-edge-port
spanning-tree 1 bpdu-protection
spanning-tree 2 admin-edge-port
spanning-tree 2 bpdu-protection
...
spanning-tree 40 admin-edge-port
spanning-tree 40 bpdu-protection
spanning-tree mode rapid-pvst
spanning-tree bpdu-protection-timeout 30 force-version rstp-operation
no tftp server
loop-protect 1-48
loop-protect disable-timer 30
no autorun
no dhcp config-file-update
no dhcp image-file-update
erikro
erikro 11.05.2020 um 21:34:57 Uhr
Goto Top
Moin,

was ich nicht verstehe: Warum hängst Du da zwei Router hintereinander? Gibt es da noch eine DMZ, die auf dem Plan fehlt? Und warum Fritte und Speedport (brrrrrrr!)?

Liebe Grüße

Erik
90948
90948 11.05.2020 um 21:51:29 Uhr
Goto Top
Ich denke, du solltest dich mit VLAN's nochmal einlesen. Hast du den Link mal angesehen?
Die Konfig von den Switch macht teils für mich gerade keinen Sinn, da du auf dem TRUNK Port nicht alle VLANS z.B. hast (vorausgesetzt Port 52 auf dem 2. Switch ist der Uplink zum Core).

Untagged Port = Endgeräte (Telefone, PC, etc.), die den 802.1Q Standard nicht unterstützen
Tagged Port = Es werden mehrere VLAN's über einen Port zusammengefasst. Beide Seiten müssen Tagged VLANS unterstützen können

Auf beiden Ports (Core und Accesswitch) müssen die VLAN's getagged sein. Die Ports an denen die Endgeräte hängen, sind untagged und dem benötigten VLAN zu zu ordnen. VLAN Routing kann die Fritzbox übrigens auch nicht, das musst du dann über deinen Core Switch machen. Auch würde ich (wenn nicht schon geschehen) den DHCP-Server der Fritzbox deaktivieren und alles nur über den DHCP-Server laufen lassen.

Lese doch nochmal den Link durch, der hat mir am Anfang auch sehr geholfen

http://www.schulnetz.info/2011/04/
kingsley
kingsley 12.05.2020 um 07:50:15 Uhr
Goto Top
Zitat von @erikro:

was ich nicht verstehe: Warum hängst Du da zwei Router hintereinander?


Wollte mal eine Routerkaskade ausprobieren und hab es dann so beibehalten
kingsley
kingsley 12.05.2020 um 08:04:14 Uhr
Goto Top
Zitat von @90948:


Die Konfig von den Switch macht teils für mich gerade keinen Sinn, da du auf dem TRUNK Port nicht alle VLANS z.B. hast (vorausgesetzt Port 52 auf dem 2. Switch ist der Uplink zum Core).

Auf beiden Ports (Core und Accesswitch) müssen die VLAN's getagged sein. Die Ports an denen die Endgeräte hängen, sind untagged und dem benötigten VLAN zu zu ordnen. VLAN Routing kann die Fritzbox übrigens auch nicht, das musst du dann über deinen Core Switch machen. Auch würde ich (wenn nicht schon geschehen) den DHCP-Server der Fritzbox deaktivieren und alles nur über den DHCP-Server laufen lassen.


Auf dem 2. Switch ist Port 52 Uplink zum Core.
Habe dann z.b. wie beim Client VLAN folgendes Konfiguriert

vlan 10
untagged 1-30
tagged 49-52
no ip address
Beim Wlan fängt untagged bei 31-35, tagged 49-52 usw.
(Bei der Verwaltung hatte ich es übersehen)

Fritzbox ist deaktiviert und das Routing habe ich auf den Core aktiviert:
ip route 0.0.0.0 0.0.0.0 192.168.178.1
ip routing

Aber lese nochmal den Link durch, hab glaub ein Denkfehler beim Core.
erikro
erikro 12.05.2020 um 08:33:59 Uhr
Goto Top
Zitat von @kingsley:

Zitat von @erikro:

was ich nicht verstehe: Warum hängst Du da zwei Router hintereinander?


Wollte mal eine Routerkaskade ausprobieren und hab es dann so beibehalten

Warum? Das macht hier so überhaupt keinen Sinn. Schmeiß einen von beiden raus und ersetze den anderen durch HW, die Deinen Ansprüchen genügt und VLAN kann. face-wink
kingsley
kingsley 12.05.2020 um 09:06:32 Uhr
Goto Top
Zitat von @erikro:

Zitat von @kingsley:

Zitat von @erikro:

was ich nicht verstehe: Warum hängst Du da zwei Router hintereinander?


Wollte mal eine Routerkaskade ausprobieren und hab es dann so beibehalten

Warum? Das macht hier so überhaupt keinen Sinn. Schmeiß einen von beiden raus und ersetze den anderen durch HW, die Deinen Ansprüchen genügt und VLAN kann. face-wink

Hab leider keine andere HW
90948
90948 12.05.2020 um 09:13:42 Uhr
Goto Top
Moin,

an deinem Accessswitch fehlt dann schon mal vlan 20 auf dem Uplink Port

vlan 20
name "WLAN"  
untagged 31-40
no ip address
exit

Bei deinem Core Switch
vlan 10
name "Clients-MM-P"  
tagged 1/1-1/3
ip address 10.3.10.1 255.255.255.0
ip helper-address 192.168.178.201
exit
vlan 20
name "WLAN"  
tagged 1-3
ip address 10.3.20.1 255.255.255.0
ip helper-address 192.168.178.201
exit
vlan 30
name "Verwaltung"  
ip address 10.3.30.1 255.255.255.0
ip helper-address 192.168.178.201
exit

VLAN 30 fehlt auf dem Port 1. Was ich nicht weiß bei der Aruba CLI, ist die Angabe der Ports. Du hast einmal
tagged 1/1-1/3
Was meines Wissens nach den Ports auf dem Gerät entspricht. Dann verwendest du
tagged 1-3
Wo ich nicht sicher bin, ob du damit auch die Ports wirklich ansprichst, oder evtl. ein LAG oder Port Gruppe generell. Da kenne ich die Aruba CLI nicht, würde dies aber nochmal prüfen. Definitiv muss aber für das MGM VLan noch ein Port festgelegt werden, z.B.

vlan 99
name "MGT"  
tagged 1-3
untagged 51
ip address 192.168.178.99 255.255.255.0
ip helper-address 192.168.178.201
exit

Dann ist der Port 51 für die Fritte vorgesehen und sollte funktionieren. Von da aus kannst du mal versuchen den Core Switch und den Accesswitch anzupingen. So weißt du, ob deine Konfig für das VLAN 99 korrekt ist und funktioniert. Wenn das steht, dann gehe auf den Accesswitch und versuche wieder zu pingen im VLAN 99. Wenn das funktioniert, dann teste das nächste VLAN. Dabei gehe genau so vor. Ertmal DHCP testen, IP-Adresse prüfen (DHCP-Server, Notebook) und dann pingen.

Gruß
90948
90948 12.05.2020 aktualisiert um 09:19:53 Uhr
Goto Top
Den router kannst ja mit einer pfSense, OPNSense Firewall später mal austauschen. Damit kannst alles abdecken, was so benötigt wird face-smile
aqui
aqui 12.05.2020 aktualisiert um 11:29:11 Uhr
Goto Top
Hmm, also müsste ich an den Core-Switch beispielsweise Port 20 taggen und Fritz dranhängen oder wie hab ich es zu verstehen.
Nein, das ist völliger Quatsch, denn die FritzBox supportet bekanntlich keinerlei VLANs und damit dann auch kein Tagging.
Deine genauen ToDos für dieses Setup beschreibt dieser VLAN Layer 3 Thread im Detail:
Verständnissproblem Routing mit SG300-28

Halte dich genau daran dann kommt das auch sofort zum Fliegen.
Wollte mal eine Routerkaskade ausprobieren und hab es dann so beibehalten
Den Quatsch muss man sicher in einem Administrator Forum nicht weiter kommentieren. Performance und Resourcenverschwendung...aber egal.
Fazit: Schmeiss den Speedport Schrott raus und behalte nur die FritzBox. Must du in einem sinvollen Einzelrouter Setup so oder so, da der Speedport Schrott keinerlei statische Routen supportet, die aber in deinem VLAN Setup zwingend erforderlich sind.
kingsley
kingsley 13.05.2020 um 13:25:37 Uhr
Goto Top
Sorry für die späte Antwort, hatte gestern viel zu tun.

Alles klar, hab Routerkaskade gekickt, pfSense aufgesetzt und am Router angeschlossen.

netz-einfach


Mit dem pfSense kann ich alles anpingen. Nur vom meinem Client erreiche ich nur den pfSense.
PPPoE wäre eingeschaltet und habe zusätzlich als Regel -> [pass] [any] [LAN net] [any]
90948
90948 13.05.2020 um 14:30:56 Uhr
Goto Top
Mahlzeit,

bevor jetzt 2 Baustellen aufmachst, hast du dein Netzwerk am laufen?
pfSense NAT Regeln anschauen und die Firewall Logs kontrollieren.

gruß
aqui
aqui 13.05.2020 aktualisiert um 15:42:32 Uhr
Goto Top
Nur vom meinem Client erreiche ich nur den pfSense. PPPoE wäre eingeschaltet....
PPPoE auf der pfSense WAN Port ???
Das geht dann aber nur wenn du den Speedport zum dummen Modem machst wie z.B. hier:
speedportmodem
speedpomodem
Kopplung von 2 Routern am DSL Port
Einzig nur dann kann der WAN Port der pfSense selber PPPoE machen. Die Provider Zugangsdaten musst du dann natürlich in der pfSense dann eintragen !
Details dazu auch HIER.

Arbeitet das obige Konstrukt mit dem Speedport als Router Kaskade, sprich ist der Speedport also weiter Router statt reines Modem, dann darf der WAN Port der pfSense logischerweise kein PPPoE machen sondern ist stinknormaler DHCP Client.
Details zu Router Kaskaden wie immer hier:
Kopplung von 2 Routern am DSL Port
und hier im Detail:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
In einer Kaskade MUSS die Default Regel der pfSense auf dem WAN Port deaktiviert werden die RFC 1918 IP Netze blockiert !!
pfnat
Wie gesagt: Einzig nur im Router Kaskaden Modus niemals wenn die pfSense direkt per PPPoE (oben) am Internet ist.

Jetzt stellt sich hier die Frage WAS du denn nun genau machst bzw. welches der beiden Designs du umgesetzt hast ?!!
kingsley
kingsley 14.05.2020 aktualisiert um 14:00:13 Uhr
Goto Top
Manchmal sieht man den Wald vor lauter Bäumen nicht. Hab paar Kleinigkeiten übersehen, wie z.B. Gateway einzutragen.

Komme jetzt ins Internet.

Bevor ich mit der deiner Konfig (VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern) weitermache, ich muss auf jeden Fall meine VLANs auf dem pfsense auch eintragen oder?

Besteh die Möglichkeit statt den pfSense DHCP Server, den Microsoft DHCP-Server zu verwenden?

pfsense

unbenannt

Und zu den Konfigurationen der Switche.

Der Core-Swich hat bei mir zwei Uplinks und der L2 Switch einen. Würde es so passen?

Core:
interface 1
name "VLAN tagged Firewall"
exit
interface A1
name "VLAN tagged Client"
exit
vlan 1
name "DEFAULT_VLAN"
untagged 1-16
no ip address
exit
vlan 10
name "Client"
tagged A1
tagged 1
ip address 10.3.10.1 255.255.255.0
ip helper-address 192.168.102.250
exit
vlan 20
name "WLAN"
tagged A1
tagged 1
ip address 10.3.20.1 255.255.255.0
ip helper-address 192.168.102.250
exit
...
vlan 254
name "GATEWAY"
tagged 1
tagged a1
ip address 192.168.102.2 255.255.255.0
exit

(Wobei er mir am GW sagt, dass diese Adresse schon vergeben ist)


L2:
interface 52
name "VLAN tagged zum Core"
exit
vlan 10
name "Client"
untagged 1-30
tagged 52
no ip address
exit
90948
90948 14.05.2020 um 23:38:03 Uhr
Goto Top
Hi,

Kurze Zwischenfrage. Wenn deine pfsense das Routing übernimmt, wozu wird das Gateway VLAN 254 benötigt?
Und wenn dein MGM VLAN 99 für die Switche zum Verwalten ist, warum haben die dann Adressen aus dem VLAN 254?
kingsley
kingsley 15.05.2020 um 11:53:47 Uhr
Goto Top
Hast recht, vlan 254 ist unnötig.

Ich bekomme immer nur vom DHCP-SERVER, die 192.168.102.x, egal an welchem Layer2-Port ich was anschließe. Jemand evtl. eine Idee??
aqui
aqui 15.05.2020, aktualisiert am 16.05.2020 um 18:15:54 Uhr
Goto Top
Dann sind alle Layer 2 Ports Mitglieder des VLANs 254 !!
Das liegt doch auf der Hand wenn sie immer aus dessen Range die IP Adressen bekommen !
Eine kleine Netzwerkskizze wie das VLAN seitig alles verschaltet ist wäre hier sehr hilfreich zum Troubleshooting !
90948
90948 15.05.2020 aktualisiert um 22:07:01 Uhr
Goto Top
Zitat von @aqui:

Dann sind alle Layer 2 Ports Mitglieder des VLANs 254 !!
Das liegt doch auf der hand wenn sie immer aus dessen Range die IP Adressen bekommen !
Ein kleine Netzwerkskizze wie das VLAN seitig alles verschaltet ist wäre hier sehr hilfreich zum Troubleshooting !
Jup, inkl. Konfig beider Switche
Du kannst auch den MS nehmen. Ip helper übernimmt das ja dann, was im core ja schon hast
kingsley
kingsley 17.05.2020 um 19:45:59 Uhr
Goto Top
Netzwerkplan

netzsegmentierung


Core-Konfig:

hostname "CORE"
dhcp-snooping
dhcp-snooping authorized-server 192.168.178.250
no dhcp-snooping option 82
dhcp-snooping vlan 10 20 30 99 254
dhcpv6-snooping
dhcpv6-snooping vlan 10 20 30 99 254
timesync sntp
sntp unicast
sntp 30
sntp server priority 1 192.168.178.200
ntp unicast
ntp server 192.168.178.200
time daylight-time-rule western-europe
time timezone 60
ip authorized-managers 192.168.102.0 255.255.255.0 access manager

ip default-gateway 192.168.102.1
ip dns domain-name "xxx.local"
ip dns server-address priority 1 192.168.102.200

ip route 0.0.0.0 0.0.0.0 192.168.102.1
ip routing
interface 1
name "VLAN tagged zur Firewall"
exit

interface A1
name "VLAN tagged Client"
dhcp-snooping trust
dhcpv6-snooping trust
exit
snmp-server community "public" operator
snmp-server contact "EDV" location "Serverraum"
oobm
ip address dhcp-ootp
exit

vlan 1
name "DEFAULT_VLAN"
untagged 1-16
no ip address
exit

vlan 10
name "Client"
tagged A1
tagged 1
ip address 10.3.10.1 255.255.255.0
exit

...
vlan 30
name "Verwaltung"
tagged A1
tagged 1
ip address 10.3.30.1 255.255.255.0
exit

vlan 99
name "MGT"
tagged A1
tagged 1
untagged 48
ip address 192.168.102.252 255.255.255.0
exit

primary-vlan 99
spanning-tree
spanning-tree mode rapid-pvst
spanning-tree vlan 1 root primary

Layer2-Konfig:

hostname "LAYER2-SWITCH"
timesync sntp
sntp unicast
sntp 30
sntp server priority 1 192.168.102.200
ntp unicast
ntp server 192.168.178.200
time daylight-time-rule western-europe
time timezone 60
ip default-gateway 192.168.102.1
snmp-server community "public"
snmp-server contact "EDV" location "Serverraum"
interface 52
name "VLAN tagged zum Core"
exit
vlan 10
name "Client"
untagged 1-30
tagged 52
no ip address
exit
vlan 20
name "WLAN"
untagged 31-35
tagged 52
no ip address
exit
vlan 30
name "Verwaltung"
untagged 36-40
tagged 52
no ip address
exit
vlan 99
name "MGT"
untagged 41-48
tagged 52
ip address 192.168.102.253 255.255.255.0
exit
vlan 1
name "DEFAULT_VLAN"
untagged 1-52
no ip address
exit
primary-vlan 99
spanning-tree
spanning-tree 1 admin-edge-port
spanning-tree 1 bpdu-protection
...
spanning-tree 40 admin-edge-port
spanning-tree 40 bpdu-protection
spanning-tree mode rapid-pvst
spanning-tree bpdu-protection-timeout 30 force-version rstp-operation
no tftp server
loop-protect 1-48
loop-protect disable-timer 30
no autorun
no dhcp config-file-update
no dhcp image-file-update
90948
90948 18.05.2020 um 08:42:01 Uhr
Goto Top
Moin,

2 Sachen fallen mir mal auf:
  • Wer übernimmt dein DHCP-Relay für die einzelnen VLAN's? Die pfSense oder der Core Switch? Wenn es der Core macht, muss die ip-helper-address für jedes VLAN noch nachgetragen werden
  • Auf dem LAYER2-Switch ist das DEFAULT-VLAN 1 auf allen Ports. Entferne dies von den Ports, da du dieses VLAN sowieso nicht nutzt.


Ansonsten würde mir so auf den ersten Blick kein Fehler auffallen. Teste dies doch mal und berichte, auf welchen Ports du welche Adresse bekommst.
aqui
aqui 18.05.2020 aktualisiert um 13:19:11 Uhr
Goto Top
Ist mir auch aufgefallen... !
  • dhcp-snooping authorized-server 192.168.178.250 ist in jedem Falle erin Fehler wenn der zentrale DHCP Server laut Zeichnung der 192.168.102.250 ist der dann vermutlich im VLAN 102 ?? liegt. Leider ist das VLAN des Servers nicht benannt. face-sad
  • Das .102er Netz ist aber das Koppelnetz vom Core L3 Switch zur Firewall was immer eine reines Punkt zu Punkt Netz sein sollte. Niemals sollten hier zentrale Management Dienste wie z.B. der DHCP und der DNS Server liegen. Das wäre schon mal ein weiterer grober Design Fehler.
Sowas gehört in ein dediziertes Server VLAN oder in kleineren Netzen in das wo auch die Clients liegen.
  • Weiterer Punkt ist die fehlende Spanning Tree Priority des Core L3 Switches. Dieser sollte immer die höchste STP Priority im Netz haben mit z.B. 8192 wenn man Spanning Tree einsetzt wie der TO. Ferner sollte der STP Mode immer auf RSTP gesetzt sein. Fehlt beides auch...
  • Was ebenfalls komplett fehlt ist die DHCP Relay (ip helper address) Konfig auf dem L3 Core Switch auf den zentralen DHCP Server 192.168.102.250. Ohne das DHCP Relay/Helper Kommando ist es unmöglich in dem gerouteten VLAN Umfeld die VLAN Segmente ohne DHCP mit Client DHCP Adressen zu versorgen.

Das wären die gröbsten Fehler dieses Designs.
Der Rest ist soweit OK, was bei der sehr simplen Dimension dieses doch recht banalen Netzwerkes auch nicht weiter verwunderlich ist.
Teste dies doch mal und berichte, auf welchen Ports du welche Adresse bekommst.
Das ist richtig !
Welcher Client an welchem Port in welchem VLAN welche IP bekommt und wo der dazu korrespondierende DHCP Server liegt.
kingsley
kingsley 18.05.2020 um 15:38:20 Uhr
Goto Top
DHCP-Relay soll der Core-Switch übernehmen.
Habe es heute früh im Packet Tracer konfiguriert und da erhält jedes Endgerät die entsprechende IP-Adresse.


* dhcp-snooping authorized-server 192.168.178.250 ist in jedem Falle erin Fehler wenn der zentrale DHCP Server laut Zeichnung der 192.168.102.250 ist der dann vermutlich im VLAN 102 ?? liegt. Leider ist das VLAN des Servers nicht benannt. face-sad
  • Das .102er Netz ist aber das Koppelnetz vom Core L3 Switch zur Firewall was immer eine reines Punkt zu Punkt Netz sein sollte. Niemals sollten hier zentrale Management Dienste wie z.B. der DHCP und der DNS Server liegen. Das wäre schon mal ein weiterer grober Design Fehler.

Der MGT-VLAN soll die Server beinhalten und der DHCP-Server möchte ich im Port 47 vom L3 Switch anschließen.
Habe das GW auf die 192.168.253.1 geändert.

Nun bekomm ich keine Verbindung mehr zum Server.

CORE:

hostname "CORE"
dhcp-snooping
dhcp-snooping authorized-server 192.168.102.250
no dhcp-snooping option 82
dhcp-snooping vlan 10 50 80 99 123
dhcpv6-snooping
dhcpv6-snooping vlan 10 50 80 99 123
timesync sntp
sntp unicast
sntp 30
sntp server priority 1 192.168.102.200
ntp unicast
ntp server 192.168.178.200
time daylight-time-rule western-europe
time timezone 60
ip authorized-managers 192.168.102.0 255.255.255.0 access manager

ip default-gateway 192.168.253.1
ip dns server-address priority 1 192.168.102.200

ip route 0.0.0.0 0.0.0.0 192.168.253.1
ip routing
interface 2
name "VLAN tagged zur Firewall"
exit
interface 47
name "VLAN tagged zum DHCP-Server"
interface A1
name "VLAN tagged Client"
dhcp-snooping trust
dhcpv6-snooping trust
exit

vlan 1
name "DEFAULT_VLAN"
no ip address
exit
vlan 10
name "Client"
tagged A1
tagged 2
ip address 10.3.10.1 255.255.255.0
ip helper-address 192.168.102.250
exit
...
vlan 99
name "MGT"
tagged A1
tagged 2
tagged 47
ip address 192.168.102.1 255.255.255.0
ip helper-address 192.168.102.250
exit
primary-vlan 99
spanning-tree
spanning-tree mode rapid-pvst
spanning-tree vlan 1 root primary
spanning-tree vlan 10 root primary
spanning-tree vlan 50 root primary
spanning-tree vlan 80 root primary
spanning-tree vlan 99 root primary
spanning-tree vlan 123 root primary
spanning-tree priority 1 force-version rstp-operation
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update
dhcp host-name-option

Layer2-Switch:


timesync sntp
sntp unicast
sntp 30
sntp server priority 1 192.168.102.200
ntp unicast
ntp server 192.168.102.200
time daylight-time-rule western-europe
time timezone 60
ip default-gateway 192.168.253.1

interface 52
name "VLAN tagged zum Core"
exit
vlan 10
name "Client"
untagged 1-30
tagged 52
no ip address
exit
...
vlan 99
name "MGT"
untagged 41-44
tagged 52
ip address 192.168.102.253 255.255.255.0
exit
spanning-tree 1 admin-edge-port
spanning-tree 1 bpdu-protection
...
spanning-tree 40 admin-edge-port
spanning-tree 40 bpdu-protection
spanning-tree mode rapid-pvst
spanning-tree bpdu-protection-timeout 30 force-version rstp-operation
no tftp server
loop-protect 1-48
loop-protect disable-timer 30
no autorun
no dhcp config-file-update
no dhcp image-file-update
90948
90948 18.05.2020 aktualisiert um 16:24:09 Uhr
Goto Top
Hi,

du hast dein Gateway geändert auf eine andere IP-Adresse. und in welchem VLAN soll dies liegen? Der Core hat in der obigen Config kein Interface mit einer Adresse aus diesem Bereich. Hoffe nicht, dass du jetzt 2 IP-Adressbereiche in einem VLAN hast?!?
Du hast den Serverport als
tagged 47

angegeben, die Gegenstelle ist dementsprechend eingerichtet, das Sie 801.1q auswerten kann mit dem entsprechenden VLAN?
Was sagt ein Ping und Traceroute vom Client aus?

Auch dein NTP scheint nicht korrekt zu sein (so nebenbei face-smile )
ntp server 192.168.178.200
kingsley
kingsley 19.05.2020 aktualisiert um 11:47:08 Uhr
Goto Top
Hallo Freunde der Sonne face-smile

Habe nun die VLANs reduziert, dass keine leichtsinnsfehler bei der Konfig mehr passieren.
Der DHCP-Server verteilt nun die Adressen wie ich es möchte, nur habe ich keine Verbindung ins Internet.

tracert 8.8.8.8

oder liegt es am pfSense?

netz


Core-Switch:


ip default-gateway 192.168.102.254
ip dns server-address priority 1 10.3.90.200
ip route 0.0.0.0 0.0.0.0 192.168.102.254
ip routing
interface A1
name "Trunk Client-Switch"
exit
interface 1
name "Trunk Firewall"
exit
interface vlan 1
no ip address
exit
vlan 10
name "Client"
interface vlan 10
ip address 10.3.10.254 255.255.255.0
ip helper-address 10.3.90.250
tagged A1
tagged 1
exit
vlan 50
name "WLAN"
interface vlan 50
ip address 10.3.50.254 255.255.255.0
ip helper-address 10.3.90.250
tagged A1
tagged 1
exit
vlan 90
name "Server"
interface vlan 90
ip address 10.3.90.254 255.255.255.0
ip helper-address 10.3.90.250
tagged A1
tagged 1
untagged 47
exit
vlan 99
name "MGT"
interface vlan 99
ip address 192.168.99.254 255.255.255.0
ip helper-address 10.3.90.250
tagged A1
tagged 1
exit
spanning-tree
spanning-tree mode rapid-pvst
spanning-tree vlan 1 root primary
spanning-tree vlan 10 root primary
spanning-tree vlan 50 root primary
spanning-tree vlan 90 root primary
spanning-tree vlan 99 root primary
spanning-tree priority 1 force-version rstp-operation
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update
dhcp host-name-option


Client Switch:

sntp server priority 1 10.3.90.200
ntp unicast
ntp server 10.3.90.200
time daylight-time-rule western-europe
time timezone 60
ip default-gateway 192.168.100.254
interface 52
name "Trunk Core-Switch"
exit
vlan 10
name "Client"
untagged 1-30
tagged 52
no ip address
exit
vlan 50
name "WLAN"
untagged 31-35
tagged 52
no ip address
exit
vlan 99
name "MGT"
untagged 36-40
tagged 52
ip address 192.168.99.200 255.255.255.0
exit
vlan 1
name "DEFAULT_VLAN"
no ip address
exit
spanning-tree
spanning-tree mode rapid-pvst
spanning-tree bpdu-protection-timeout 30 force-version rstp-operation
no tftp server
loop-protect 1-48
loop-protect disable-timer 30
no autorun
no dhcp config-file-update
no dhcp image-file-update
aqui
aqui 19.05.2020 aktualisiert um 18:27:45 Uhr
Goto Top
Der Router 10.3.50.254 hat ja das Problem also da suchen...
Na ja und da wird man auch gleich fündig. Wenn mal wieder im Eifer des Gefechts nicht richtig hinsieht und mit ip route 0.0.0.0 0.0.0.0 192.168.102.254 auch die falsche Default Route auf dem L3 Core konfiguriert muss man sich ja auch nicht groß wundern !
Wenn deine Zeichnung oben stimmt ist das jetzt die 192.168.99.254 nach dem Redesign und nicht die .102 !
Fazit:
🍅 auf den 👀 gehabt ! face-wink
90948
90948 19.05.2020 aktualisiert um 22:08:01 Uhr
Goto Top
Zitat von @aqui:

Der Router 10.3.50.254 hat ja das Problem also da suchen...
Na ja und da wird man auch gleich fündig. Wenn mal wieder im Eifer des Gefechts nicht richtig hinsieht und mit ip route 0.0.0.0 0.0.0.0 192.168.102.254 auch die falsche Default Route auf dem L3 Core konfiguriert muss man sich ja auch nicht groß wundern !
Wenn deine Zeichnung oben stimmt ist das jetzt die 192.168.99.254 nach dem Redesign und nicht die .102 !
Fazit:
🍅 auf den 👀 gehabt ! face-wink

Muss ich ein wenig korrigieren. laut der Zeichnung stimmt die default Route, da die pfsense 192.168.102.254 hat. Nur macht genau das keinen Sinn. Also entweder packst den Core in das .102 Netz oder die pfsense in das .99
Sonst geht da nichts. 2 Adressbereiche in einem vlan ist ein NoGo.

Ach, und im VLAN 90 benötigst du nicht die IP-helper-adress, du bist ja schon im richtigen Netzwerk face-smile
Und im VLAN 99 willst du auch via DHCP Adressen vergeben? Ansonsten muss auch da der Eintrag raus.
kingsley
kingsley 20.05.2020 um 08:26:34 Uhr
Goto Top

Muss ich ein wenig korrigieren. laut der Zeichnung stimmt die default Route, da die pfsense 192.168.102.254 hat. Nur macht genau das keinen Sinn. Also entweder packst den Core in das .102 Netz oder die pfsense in das .99
Sonst geht da nichts. 2 Adressbereiche in einem vlan ist ein NoGo.

Also beispielsweise psSense auf 192.168.99.1

und auf dem core
ip default-gateway 192.168.99.1
ip route 0.0.0.0 0.0.0.0 192.168.99.1
90948
90948 20.05.2020 aktualisiert um 09:41:37 Uhr
Goto Top
Richtig. Router muss immer im gleichen Netz sein. Ansonsten kann keine Kommunikation zu Stande kommen. Und somit landen deine IP Pakete im Nirvana.

Genau das sagt ja dein Bild vom Traceroute.
10.3.50.254 meldet: Zielnetz nicht erreichbar
aqui
aqui 20.05.2020 aktualisiert um 14:57:25 Uhr
Goto Top
Muss ich ein wenig korrigieren. laut der Zeichnung stimmt die default Route, da die pfsense 192.168.102.254 hat.
Mmmhhh... Aber wenn du mal genau hinsiehst und dir die Core Konfig ansiehst dann...
  • Gibt es gar kein VLAN 102 mehr. Insofern ist die Default Route auf dem Core zur .102.254 dann Blödsinn.
  • Der TO hat wie gesagt VLAN 102 komplett gelöscht und die pfSense Firewall in das VLAN 99 verlegt. Das wäre dann noch falscher, denn dann hätte die pfSense eine .102.x IP und der Koppelport im Core eine .99.x IP Adresse. Wäre zudem auch noch in 2 völlig falschen IP Netzen (wenn wir von einem 24 Bit Prefix ausgehen ?!) was das ganze dann noch schlimmer macht da Null Kommunikation möglich.
Da ist das "10.3.50.254 meldet: Zielnetz nicht erreichbar" des Core Switches auch logisch und nur konsequent !

Man kann es drehen oder wenden wie man will, denn der TO hat hier einen fatalen Konfig Fehler gemacht wenn er ins VLAN 99 migriert ist.
Miminum wäre also:
  • Die IP der Firewall LAN Adresse auf die 192.168.99.1 /24 ändern
  • Statische Default Route im Core auf ip route 0.0.0.0 0.0.0.0 192.168.99.1 ändern. (Default Gateway ist Unsinn und kann und sollte man entfernen !)
  • Statische Routen auf der Firewall zwingend anpassen ! Zielnetz: 10.3.0.0, Maske: 255.255.0.0, Gateway: 192.1.68.99.254

Nur dann passt alles routingtechnsich wieder zusammen !!
90948
90948 21.05.2020 um 00:06:14 Uhr
Goto Top
Mmmhhh... Aber wenn du mal genau hinsiehst und dir die Core Konfig ansiehst dann...
  • Gibt es gar kein VLAN 102 mehr. Insofern ist die Default Route auf dem Core zur .102.254 dann Blödsinn.
  • Der TO hat wie gesagt VLAN 102 komplett gelöscht und die pfSense Firewall in das VLAN 99 verlegt. Das wäre dann noch falscher, denn dann hätte die pfSense eine .102.x IP und der Koppelport im Core eine .99.x IP Adresse. Wäre zudem auch noch in 2 völlig falschen IP Netzen (wenn wir von einem 24 Bit Prefix ausgehen ?!)

Das meinte ich damit. face-smile
aqui
aqui 21.05.2020 um 00:42:13 Uhr
Goto Top
👍