2
Routing Problem von VLAN zu Firewall mittels PBR
Liebe Community,
Seit Tagen hänge ich bei der Konfiguration meines privaten Netzwerkes und bin langsam mit meinem Latein am Ende, weshalb ich auf eure Unterstützung hoffe.
Ich habe zur Zeit zwei ISPs, wobei Router 1 (DSL) zeitnah abgebaut werden soll. Als Ersatz ist Router 2 (Fiber) gedacht.
Beide sind momentan am Core-Switch angeschlossen, wobei Router 1 als statische Route eingetragen ist.
Da sich derzeit alle Geräte im Netzwerk 192.168.0.0 / 255.255.255.0 befinden, möchte ich die Gelegenheit nutzen und sie in mehrere VLANs verschieben. Die Migration möchte ich sukzessive machen, wobei ich einmal mit einem einfachen Szenario begonnen habe.
Zum Setup:
-) Router 2: Cisco Firepower 1010
-) Core-Switch: Cisco CBS350
FPR1010 (P2) <---> (P23) CBS350 (P15) <---> PC 2
Ich möchte von PC 2 (VLAN 40) über den Switch zur Firewall gelangen. Mein Plan wäre diese Anforderung mittels ACL und PBR zu realisieren. Leider will das PBR einfach nicht funktionieren...
Der Vollständigkeit halber: PC 1 ist auf P13 angeschlossen und dient zur Konfiguration des Switch.
Konfiguration am Switch
VLAN 40: 192.168.40.1 / 24
DHCP ist aktiviert
IPv4 Routing ist aktiviert
P15: VLAN 40 untagged, access-port
P23: Layer 3 Access-Port, IP 192.168.95.2 / 24
Konfiguration auf der Firewall:
P2: 192.168.95.1 / 24
Route von Firewall zu Switch ist konfiguriert.
Wie ist der Status quo:
Nun habe ich nachfolgende ACL konfiguriert und PBR für VLAN40 aktiviert. Sonderbarer Weise kann dann PC2 nicht mal mehr das Default-Gateway erreichen (?).
Die konfigurierte ACL:
Die konfigurierten Routen:
VLAN Tag
Ich denke ich habe zwei Probleme:
1. Warum "sperrt" mich der Switch aus sobald ich PBR auf VLAN40 aktiviere?
2. Warum wird der "next hop" vom PBR nicht ausgeführt?
Vielen Dank für eure Unterstützung.
Seit Tagen hänge ich bei der Konfiguration meines privaten Netzwerkes und bin langsam mit meinem Latein am Ende, weshalb ich auf eure Unterstützung hoffe.
Ich habe zur Zeit zwei ISPs, wobei Router 1 (DSL) zeitnah abgebaut werden soll. Als Ersatz ist Router 2 (Fiber) gedacht.
Beide sind momentan am Core-Switch angeschlossen, wobei Router 1 als statische Route eingetragen ist.
Da sich derzeit alle Geräte im Netzwerk 192.168.0.0 / 255.255.255.0 befinden, möchte ich die Gelegenheit nutzen und sie in mehrere VLANs verschieben. Die Migration möchte ich sukzessive machen, wobei ich einmal mit einem einfachen Szenario begonnen habe.
Zum Setup:
-) Router 2: Cisco Firepower 1010
-) Core-Switch: Cisco CBS350
FPR1010 (P2) <---> (P23) CBS350 (P15) <---> PC 2
Ich möchte von PC 2 (VLAN 40) über den Switch zur Firewall gelangen. Mein Plan wäre diese Anforderung mittels ACL und PBR zu realisieren. Leider will das PBR einfach nicht funktionieren...
Der Vollständigkeit halber: PC 1 ist auf P13 angeschlossen und dient zur Konfiguration des Switch.
Konfiguration am Switch
VLAN 40: 192.168.40.1 / 24
DHCP ist aktiviert
IPv4 Routing ist aktiviert
P15: VLAN 40 untagged, access-port
P23: Layer 3 Access-Port, IP 192.168.95.2 / 24
Konfiguration auf der Firewall:
P2: 192.168.95.1 / 24
Route von Firewall zu Switch ist konfiguriert.
Wie ist der Status quo:
- Ping von Firewall <-> Switch (P23) funktioniert.
- Solange PBR nicht aktiviert ist, kann ich von PC2 sowohl das Default-Gateway (192.168.40.1) als auch P23 (192.168.95.2) erreichen.
- Bis zur Firewall (192.168.95.1) komme ich von PC2 aus natürlich nicht
- Ausgehend vom VLAN40 am Switch kann ich die Firewall ebenfalls nicht erreichen.
Nun habe ich nachfolgende ACL konfiguriert und PBR für VLAN40 aktiviert. Sonderbarer Weise kann dann PC2 nicht mal mehr das Default-Gateway erreichen (?).
Die konfigurierte ACL:
switch#show access-lists
Extended IP access list VLAN_2_FW
permit ip 192.168.40.0 0.0.0.255 any ace-priority 10Die konfigurierten Routen:
switch#show ip route
Maximum Parallel Paths: 1 (1 after reset)
IP Forwarding: enabled
Codes: > - best, C - connected, S - static,
R - RIP
Policy Routing
vlan 40
Route Map: VLAN_2_FW
Status: Active
ACL Name: VLAN_2_FW
Next Hop: 192.168.95.1
Next Hop Status: Active
S 0.0.0.0/0 [1/4] via 192.168.0.1, 00:27:39, vlan 1
C 192.168.0.0/24 is directly connected, vlan 1
C 192.168.40.0/24 is directly connected, vlan 40
C 192.168.95.0/24 is directly connected, gi23VLAN Tag
switch#show vlan tag 40
Created by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, V-Voice VLAN
Vlan Name Tagged Ports UnTagged Ports Created by
---- ----------------- ------------------ ------------------ ----------------
40 Gäste WLAN gi25 gi15 SIch denke ich habe zwei Probleme:
1. Warum "sperrt" mich der Switch aus sobald ich PBR auf VLAN40 aktiviere?
2. Warum wird der "next hop" vom PBR nicht ausgeführt?
Vielen Dank für eure Unterstützung.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671212
Url: https://administrator.de/forum/routing-problem-von-vlan-zu-firewall-mittels-pbr-671212.html
Ausgedruckt am: 08.02.2025 um 01:02 Uhr
2 Kommentare
Neuester Kommentar
Moin,
stimmt, eigentlich sollte das so funktionieren. Aber eigentlich solltest Du auch bei deaktivierter PBR die FW aus dem VLAN40 heraus erreichen können (das Transit-Netz ist ja directly connected), vorausgesetzt die Rückroute zum Netz 192.168.40.0/24 via 192.168.95.2 ist in der FW korrekt eingetragen.
Zu Deinem PBR-Problem:
In Deinem Post hast Du in der ACL zwischen "permit" und "ip" zwei Leerzeichen. Ist das in der Konfiguration tatsächlich auch so? Da sollte nur ein Leerzeichen sein.
VG,
Torsten
stimmt, eigentlich sollte das so funktionieren. Aber eigentlich solltest Du auch bei deaktivierter PBR die FW aus dem VLAN40 heraus erreichen können (das Transit-Netz ist ja directly connected), vorausgesetzt die Rückroute zum Netz 192.168.40.0/24 via 192.168.95.2 ist in der FW korrekt eingetragen.
Zu Deinem PBR-Problem:
In Deinem Post hast Du in der ACL zwischen "permit" und "ip" zwei Leerzeichen. Ist das in der Konfiguration tatsächlich auch so? Da sollte nur ein Leerzeichen sein.
VG,
Torsten
Bis zur Firewall (192.168.95.1) komme ich von PC2 aus natürlich nicht
Das kämst du nur dann wenn...- Der Switch eine Default Route auf die .95.1 hat oder wie in deinem Falle die aktive Policy Route die alles an externen IP Traffic mit .40.x Absender IPs an die .95.1 forwardet.
- ICMP auf dem LAN P2 Port der FPR im Regelwerk erlaubt ist.
- Die FPR eine statische Route auf das .40.0er Netz mit Gateway .95.2 hat.
Vermutlich wird also 2.) ausgeführt aber wenn die FPR Rückroute fehlt oder ICMP geblockt ist scheitert der Reply. Irgendeiner der 3 o.a. Punkte ist falsch oder fehlerhaft.
Tip:
Im Zweifel mit der Switch Mirror Funktion den Port 23 spiegeln und dort mal einen Wireshark mitlaufen lassen.
