Routing von VLANs untereinander und zur Firewall Cisco GS300
Hallo zusammen,
durch einige neue Geräte wegen Hausautomation, gehen mir langsam die IP Adressen in meinem 192.168.1.* er Netz aus.
Von einer Ordnung durch die historisch gewachsene Ip Adressen vergabe gar nicht zu denken.
Ich habe noch eine Cisco SG300-10 welche ich nun als Switch für meine neue Aufteilung in 2-4 VLans verwenden möchte.
Switch auf Layer 3 umgestellt.
Zwei neuen VLAN (10 und 20) eingerichtet. Aber jetzt komme ich nicht weiter.
1) Was muss ich tun damit z.B. das VLAN 10 auch mit dem VLAN1 oder VLAN 30 spricht?
2) Und im 2 Schritt was muss ich noch machen, damit meine Geräte aus dem VLAN 20 auch zur Firewall 192.168.1.2 kommen?
Falls es wichtig ist, ich habe im Moment eine IpCop Firewall laufen Adresse 192.168.1.2 und will alle IPs auf die neue Firewall pfSence 192.168.1.3 umstellen.
Ich probiere schon seit Stunden..
durch einige neue Geräte wegen Hausautomation, gehen mir langsam die IP Adressen in meinem 192.168.1.* er Netz aus.
Von einer Ordnung durch die historisch gewachsene Ip Adressen vergabe gar nicht zu denken.
Ich habe noch eine Cisco SG300-10 welche ich nun als Switch für meine neue Aufteilung in 2-4 VLans verwenden möchte.
Switch auf Layer 3 umgestellt.
Zwei neuen VLAN (10 und 20) eingerichtet. Aber jetzt komme ich nicht weiter.
1) Was muss ich tun damit z.B. das VLAN 10 auch mit dem VLAN1 oder VLAN 30 spricht?
2) Und im 2 Schritt was muss ich noch machen, damit meine Geräte aus dem VLAN 20 auch zur Firewall 192.168.1.2 kommen?
Falls es wichtig ist, ich habe im Moment eine IpCop Firewall laufen Adresse 192.168.1.2 und will alle IPs auf die neue Firewall pfSence 192.168.1.3 umstellen.
Ich probiere schon seit Stunden..
Please also mark the comments that contributed to the solution of the article
Content-ID: 668115
Url: https://administrator.de/contentid/668115
Printed on: September 17, 2024 at 13:09 o'clock
29 Comments
Latest comment
Moin,
Als erstes mal das herausragende Tutorial des Kollegen @aqui durcharbeiten:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ansonsten:
Wenn die IPCop (derzeit) nichts mit VLANs an der Mütze hat, dann richtest du auf dem Cisco eine statistische Router ein:
0.0.0.0/0 auf 192.168.2.1
Und an der IPcop noch Rückrouten anlegen:
Wenn IPcop mit VLANs umgehen kann, bekommt die FW in jedem VLAN eine IP und du legst einen Uplink zwischen IPCop und Cisco. Alle, bis auf VLAN 1 auf tagged setzen. VLAN 1 ist/ bleibt untagged.
Edit:
Beim Wechsel auf pfSense ist es dann analog.
Als erstes mal das herausragende Tutorial des Kollegen @aqui durcharbeiten:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ansonsten:
Wenn die IPCop (derzeit) nichts mit VLANs an der Mütze hat, dann richtest du auf dem Cisco eine statistische Router ein:
0.0.0.0/0 auf 192.168.2.1
Und an der IPcop noch Rückrouten anlegen:
- 192.168.10.0/ 24 an 192.168.2.2 (sofern der Cisco die 192.168.2.2 hat)
- 192.168.20.0/ 24 an 192.168.2.2 (sofern der Cisco die 192.168.2.2 hat)
- 192.168.30.0/ 24 an 192.168.2.2 (sofern der Cisco die 192.168.2.2 hat)
Wenn IPcop mit VLANs umgehen kann, bekommt die FW in jedem VLAN eine IP und du legst einen Uplink zwischen IPCop und Cisco. Alle, bis auf VLAN 1 auf tagged setzen. VLAN 1 ist/ bleibt untagged.
Edit:
Beim Wechsel auf pfSense ist es dann analog.
Das die Gerät im Vlan 20 mit allen andern IPs im Vlan 1 reden kann.
Ahh, OKDann folgende Annahme:
Du hast 3 VLANs
VLAN 1: dein Aktuelles Netz 192.168.2.0/24
VLAN 20: 192.168.20.0/ 24
VLAN 30: 192.168.30.0/ 24
Der Cisco bekommt in jedem VLAN die IP
192.168.x.2
Alles Endgeräte erhalten in ihrem VLAN dann als Default-Gateway 192.168.x.2. DNS wird 192.168.2.1 (IP der Firewall)
Damit sollten alle Geräte dann VLAN übergreifend kommunizieren können, da dein Cisco ja im Layer3 Modus arbeiteit.
Hinweis: wenn du Windows-Systeme im VLAN 1 einsetzt, wird die dortige Windows-Firewall den Traffic aus den anderen VLANs blocken. Da musst du die Firewall auf den Windows-Kisten anpassen.
Der TO routet seine VLANs ja auf seinem Cisco SG300 Layer 3 Routing Switch und nicht auf der Firewall versteht man ihn in seiner Beschreibung richtig! Er setzt also ein Layer 3 VLAN Konzept um!
Das o.a. L2 Tutorial ist dann weniger zielführend.
Für ihn gilt dann das Layer 3 VLAN Tutorial mit einem L3 Switch!
Dort ist dann auch der erste Schritt für ihn berücksichtigt.
Der TO muss sich aber entscheiden WAS er später in einem finalen Design umsetzen will, da oben im Nebensatz auch von einer pfSense die Rede ist?! Hier fehlt also eine klare Designvorgabe vom TO für das am Ende angestrebte Netzwerk Setup.
Es geht entweder nur L3 Konzept = VLAN Routing auf dem Switch oder L2 Konzept = VLAN Routing auf der Firewall.
Hybride Konzepte sind auch denkbar indem man sicherheitsrelevante VLANs (Accesslisten am L3 Switch sind nicht stateful) bei einem L3 Konzept einfach nur als Layer 2 VLANs am L3 Switch ohne dortige IP Adressierung "durchschleift" und auf der FW routet. Das ist aber eher etwas für Firmennetze und verkompliziert in einfachen Heimnetzen nur unnötig das Setup und Management.
Danach sollte er also strikt vorgehen zumal es auch alle detailierten Setup Schritte für den SG300 zeigt.
Ein L3 Switch routet im Gegensatz zur Firewall immer ohne Regelwerk alles. Es sind also keine weiteren Schritte erforderlich wenn man die VLAN IP Adressen gesetzt hat.
Das das Default Gateway der jeweiligen Endgeräte in diesen VLANs auf diese jeweilige Switch VLAN IP zeigen muss, sollte auch einem Entwickler klar sein. Statische Routen auf der davorgeschalteten Firewall ebenso. Die DNS IP der Clients zeigt auf die Firewall IP. Steht alles im Tutorial... Lesen und verstehen...! 😉
Das o.a. L2 Tutorial ist dann weniger zielführend.
Für ihn gilt dann das Layer 3 VLAN Tutorial mit einem L3 Switch!
Dort ist dann auch der erste Schritt für ihn berücksichtigt.
Der TO muss sich aber entscheiden WAS er später in einem finalen Design umsetzen will, da oben im Nebensatz auch von einer pfSense die Rede ist?! Hier fehlt also eine klare Designvorgabe vom TO für das am Ende angestrebte Netzwerk Setup.
Es geht entweder nur L3 Konzept = VLAN Routing auf dem Switch oder L2 Konzept = VLAN Routing auf der Firewall.
Hybride Konzepte sind auch denkbar indem man sicherheitsrelevante VLANs (Accesslisten am L3 Switch sind nicht stateful) bei einem L3 Konzept einfach nur als Layer 2 VLANs am L3 Switch ohne dortige IP Adressierung "durchschleift" und auf der FW routet. Das ist aber eher etwas für Firmennetze und verkompliziert in einfachen Heimnetzen nur unnötig das Setup und Management.
Danach sollte er also strikt vorgehen zumal es auch alle detailierten Setup Schritte für den SG300 zeigt.
Ein L3 Switch routet im Gegensatz zur Firewall immer ohne Regelwerk alles. Es sind also keine weiteren Schritte erforderlich wenn man die VLAN IP Adressen gesetzt hat.
Das das Default Gateway der jeweiligen Endgeräte in diesen VLANs auf diese jeweilige Switch VLAN IP zeigen muss, sollte auch einem Entwickler klar sein. Statische Routen auf der davorgeschalteten Firewall ebenso. Die DNS IP der Clients zeigt auf die Firewall IP. Steht alles im Tutorial... Lesen und verstehen...! 😉
aber ich kann weder die 192.168.10.1 noch die 192.168.10.5 anpingen
Das das ICMP Protokoll (Ping) bei deinem vermutlich Winblows Laptop per Default deaktiviert ist hast du auf dem Radar?? 🧐https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Wird hier pro Woche gefühlt 10mal vergessen und ist es vermutlich auch bei dir?!
Über das Diagnostics Menü der pfSense solltest du mit Ping und DNS nslookup VORHER absolut sicherstellen das diese auch sauber funktioniert und korrekte Regelwerke an den Interfaces gesetzt sind. Achte auf die korrekten Absender IP Adressen!
Bei einem L3 Setup (Switch und NUR der Switch routet die VLANs!!) achte darauf das die pfSense die statische Route zu den VLANs eingetragen hat! (Siehe L3 Tutorial!)
Einen groben Kardinalsfehler hat dein gesamtes Setup dennoch!
Du hast das VLAN Routing sowohl auf der Firewall als auch auf der pfSense konfiguriert und damit ein L2 und L3 Konzept parallel aufgesetzt wozu dir oben dringenst abgeraten wurde!!!
Entscheide dich also:
- L2 Konzept = Kein VLAN Routing auf dem Switch! = Kein L3 Mode auf dem Switch! (L2 Mode only, Keine VLAN IP Adressen auf dem Switch) = VLAN Setup und Routing NUR auf der Firewall!
- L3 Konzept = Kein VLAN Setup (und IPs dazu) auf der Firewall! VLAN Routing macht ausschliesslich NUR der Switch = L3 Mode aktiv, VLANs und IPs dazu einzig NUR auf dem Switch!
Sortiere also zuallerst einmal für dich WELCHES der zwei VLAN Konzepte du überhaupt umsetzen willst!!! Du solltest schon die Antwort Threads lesen und dann befolgen was man dir hier rät! 🧐
Kann ich dann in der pfSense den Geräten per MAC feste IP Adressen in allen VLAN zuordnen, oder macht man sowas dann in der Cisco?
für geöhnlich bekommen nur Switche, Firewalls, Drucker, AccessPoints, SmartHome-Devices, Drucker, etc. feste IP-Adressen. die werden aber direkt am Gerät eingetragen und nicht via "MAC-Reservierung". Das wäre viel zu aufwändig zum pflegen.Clients (Laptops, PCs, Handys, Tablets, ...) bekommen eine dynamische IP vom DHCP-Server. Die Lease am DHCP-Server stellt man dann auf z. b. 3 Tage ein. werden die IPs nach 3 Tagen nicht mehr genutzt, gibt der DHCP-Server die für das nächste Gerät frei. Meldet sich der Client innerhalb von 3 Tagen, behält er wiederum die IP
@work haben wir im Gäste-WLAN sogar eine Lease von 12h.
DHCP-Server sollte in deinem Fall am pfiffigsten die pfSense "spielen". sollte der SG300 mal getauscht werden, musst du nicht alles neu einrichten. Es gibt hier aber auch nicht DIE Lösung, sondern (persönliche) Empfehlungen aufgrund von Erfahrungen.
Den Punkt IPv4 Interface => IPv4 Routinfg [ ] Enable habe ich nicht gefunden
Hast du auch den Display Mode auf "Advanced" gestellt??VLAN 1 Port 1-4 => port 1-4 auf untagged, port 5-10 tagged
Das ist FALSCH! Das VLAN 1 ist das native VLAN und wird niemals getagged! Das Native oder PVID VLAN wird immer UNtagged übertragen!
Außerdem sind alle deine Ports falsch als Trunk Port Mode (Tagged Uplink) gesetzt. Auf einem L3 Switch ist das völlig sinnfrei, denn dort müssen keine Ports getagged werden und sind immer im Access Mode. Generell sind alle Endgeräte Ports (PCs, Drucker usw.) immer im Access Port Mode und werdenn dann statisch dem VLAN zugewiesen in dem sie arbeiten sollen. Stelle das also zumindestens für ALLE Endgeräte Ports entsprechend um und weise diese Ports fest einem VLAN zu!
so sieht es im Moment aus
Bis auf den falschen Port Mode der Endgeräte Ports (müssen im Access Mode sein!) sieht das soweit schon ganz gut aus.Fragen die weiter offen sind und du nicht beantwortet hast:
- Hast du die statische Route auf der IPCop Firewall gesetzt auf deine am Switch eingerichteten VLAN IP Netze?? Dort sollte sowas stehen im Routing wie: Ziel: 192.168.0.0 Maske: 255.255.224.0 Gateway: 192.168.1.1 (Siehe dazu auch HIER!)
- Passt das Firewall Regelwerk auf der IPCop zu den VLAN IP Netzen?
- Kannst du...
- von einem Test PC im .1.0er Netz VLAN-1 (Gateway, Address Check mit ipconfig) die IP des SG300 im VLAN 1 pingen? (192.168.1.1)
- von einem PC im .1.0er Netz die IP des SG300 im VLAN 10, 20 und 30 pingen?
- von einem PC im VLAN 10 (Port 5 z.B. und Gateway, Address Check mit ipconfig) die IP des SG300 im VLAN 10 pingen und danach die IPs der VLANs 1, 20 und 30 sowie der Firewall IP .1.2? (Letzteres natürlich nur sofern die Firewall ICMP Zugang (Ping) im Regelwerk erlaubt!
Moin,
Ist ja klar. Zur Zeit gibt es bei Dir im Netzwerk keine Regeln und somit ist alles erlaubt.
Also normalerweise gibt es zwei Möglichkeiten:
Der Router übernimmt die Netzwerk-Verwaltung oder Du gibst ein Switch die Aufgabe.
Wobei Du überlegen solltest wie viele Switche Du brauchst. Weil ein Großer kann ob sparsamer sein als 3 kleine.
Aber wie @aqui schon geschrieben hat. Einmal ein Plan für die Struktur machen und dann umsetzen. SO habe ich das auch gemacht. Anders läufst Du sonst immer wieder nach links oder rechts.
Gruß
Wegen den Fragen :
Ich kann vom VLAN1 die Gateways der anderen VLANS per ping erreichen.
Ich kann aus dem VLANS 10 die Gateways der anderen VLAN 1,20,30 per ping erreichen.
usw.
Auch kann ich von meine PC im VLAN1 ist, wenn ich das gateway auf den 192.168.1.1 setze die Geräte in den anderen VLANS erreichen.
Ich kann vom VLAN1 die Gateways der anderen VLANS per ping erreichen.
Ich kann aus dem VLANS 10 die Gateways der anderen VLAN 1,20,30 per ping erreichen.
usw.
Auch kann ich von meine PC im VLAN1 ist, wenn ich das gateway auf den 192.168.1.1 setze die Geräte in den anderen VLANS erreichen.
Ist ja klar. Zur Zeit gibt es bei Dir im Netzwerk keine Regeln und somit ist alles erlaubt.
INFO:
Vielleicht noch eines zur Erklärung, weil ich nicht weiß ob das später ein Thema werden wird.
Der Cisco soll später als Switch dienen um die anderen Switche auf denen jeweils die Geräte die zu einem VLAN gehören angeschlossen werden.
Selten hängt ein Gerät direkt am Cisco Switch.
Vielleicht noch eines zur Erklärung, weil ich nicht weiß ob das später ein Thema werden wird.
Der Cisco soll später als Switch dienen um die anderen Switche auf denen jeweils die Geräte die zu einem VLAN gehören angeschlossen werden.
Selten hängt ein Gerät direkt am Cisco Switch.
Also normalerweise gibt es zwei Möglichkeiten:
Der Router übernimmt die Netzwerk-Verwaltung oder Du gibst ein Switch die Aufgabe.
Wobei Du überlegen solltest wie viele Switche Du brauchst. Weil ein Großer kann ob sparsamer sein als 3 kleine.
Aber wie @aqui schon geschrieben hat. Einmal ein Plan für die Struktur machen und dann umsetzen. SO habe ich das auch gemacht. Anders läufst Du sonst immer wieder nach links oder rechts.
Gruß
OK, der Pingcheck zeigt das das Layer 3 Routing auf deinem SG300 Switch fehlerlos funktioniert!
Ebenfalls stimmen die VLAN Zuweisungen der Access Ports. Ein VLAN kann ja immer nur einem Access Port fest zugewiesenen werden. Logisch das er für die anderen dann "Excluded" ist. Also alles richtig gemacht! 👍
Du solltest dir aber dringenst noch einmal ein paar wesentliche Grundlagen zum VLAN Handling durchlesen. Hier hast du noch etliche Defizite im Verständnis! 🧐
Dein Netzwerk sollte dann so aussehen:
Dadurch das du von diesem VLAN 10 Test PC alle Gateway IPs auf dem Switch pingen kannst kann man davon ausgehen das die IP Adressierung dieses Test PCs korrekt ist (ipconfig, IP: 192.168.10.x /24, Gateway: 192.168.10.1) Das passt also sehr wahrscheinlich.
Bleibt als Fehlerquelle also 2 Optionen:
Zu 1.:
Wie du aus dem Schaubild oben ja sehen kannst erreichen Pakete vom PC 10 (VLAN 10) den PC 1 (VLAN 1) mit einer .10.x Absender IP. Sofern dieser PC ein Winblows PC ist und die lokale Windows Firewall nicht entsprechend customized wurde wie schon oben beschrieben, dann blockt sie generell ALLES was von fremden IP Netzen bei ihr eingeht. Sie selber sitzt ja im .1.0er Netz und ankommen tut etwas vom .10.0er Netz also Blocking. Dazu kommt noch das ICMP Traffic (Ping) generell geblockt ist wenn es nicht entsprechend angepasst wurde! ⚠️ Beachte das wenn du Winblows Geräte pingst. Natürlich auch wenn du andersrum pingst also ein VLAN 1 Windows auf ein VLAN 10, 20 oder 30 Windows.
Hier ist es immer sinnvoller zuerst andere Geräte wie Drucker usw. in den anderen Netzen zu pingen die keine lokale onboard Firewall haben!
Gleiches gilt für die IP Cop Firewall!! Erlaubt diese mit ihrem Regelwerk am LAN Interface (VLAN 1) lediglich eingehenden Traffic aus dem .1.0er Netz werden ALLE IP Pakete aus deinen neuen VLAN s 10 bis 30 vom IP Cop geblockt! Hier musst du also auch ggf. das IP Cop Regelwerk am LAN Port anpassen!!
Zu 2.:
Sehr wahrscheinlich haben alle Endgeräte wie z.B. der PC 1 im VLAN 1 die IP Adresse der IP Cop Firewall als Default Gateway eingetragen?! Das bewirkt das Traffic von und zu fremden IP Netzen immer an die Firewall geschickt werden.
Fehlt der Firewall die oben angegebene statische Route auf alle deine VLAN IP Netze, dann schickt sie diesen Traffic immer an ihre default Route zum Provider ins Internet und damit dann ins Nirvana. Prüfe alsp das du unbedingt diese statische Route gesetzt hast!! Achte dabei besonders auf die richtige Subnetzmaske von 255.255.224.0 (19 Bit) was alle IP Netze von .0.0 bis .31.0 an den VLAN Switch sendet! (Siehe dazu auch HIER Lesen und verstehen..!!).
Prüfe also diese 2 wichtigen Punkte auf Fehler! In einem oder beiden hast du einen solchen Fehler begangen. Wenn du den eliminierst rennt auch alles wie es soll und das Tutorial es beschreibt!
Ebenfalls stimmen die VLAN Zuweisungen der Access Ports. Ein VLAN kann ja immer nur einem Access Port fest zugewiesenen werden. Logisch das er für die anderen dann "Excluded" ist. Also alles richtig gemacht! 👍
Du solltest dir aber dringenst noch einmal ein paar wesentliche Grundlagen zum VLAN Handling durchlesen. Hier hast du noch etliche Defizite im Verständnis! 🧐
Dein Netzwerk sollte dann so aussehen:
Was aber nicht geht, das ich aus den VLAN 10 TestPC 192.168.1.100/24 GW 192.168.1.1 meine Geräte im VLAN 1 erreichen.
Das kann mehrere Gründe haben...Dadurch das du von diesem VLAN 10 Test PC alle Gateway IPs auf dem Switch pingen kannst kann man davon ausgehen das die IP Adressierung dieses Test PCs korrekt ist (ipconfig, IP: 192.168.10.x /24, Gateway: 192.168.10.1) Das passt also sehr wahrscheinlich.
Bleibt als Fehlerquelle also 2 Optionen:
- 1. Fehlende lokale Firewall Einstellungen an den Geräten in VLAN 1
- 2. Fehlende statische Route auf der IPCop Firewall für die 3 VLAN Netze am Switch
Zu 1.:
Wie du aus dem Schaubild oben ja sehen kannst erreichen Pakete vom PC 10 (VLAN 10) den PC 1 (VLAN 1) mit einer .10.x Absender IP. Sofern dieser PC ein Winblows PC ist und die lokale Windows Firewall nicht entsprechend customized wurde wie schon oben beschrieben, dann blockt sie generell ALLES was von fremden IP Netzen bei ihr eingeht. Sie selber sitzt ja im .1.0er Netz und ankommen tut etwas vom .10.0er Netz also Blocking. Dazu kommt noch das ICMP Traffic (Ping) generell geblockt ist wenn es nicht entsprechend angepasst wurde! ⚠️ Beachte das wenn du Winblows Geräte pingst. Natürlich auch wenn du andersrum pingst also ein VLAN 1 Windows auf ein VLAN 10, 20 oder 30 Windows.
Hier ist es immer sinnvoller zuerst andere Geräte wie Drucker usw. in den anderen Netzen zu pingen die keine lokale onboard Firewall haben!
Gleiches gilt für die IP Cop Firewall!! Erlaubt diese mit ihrem Regelwerk am LAN Interface (VLAN 1) lediglich eingehenden Traffic aus dem .1.0er Netz werden ALLE IP Pakete aus deinen neuen VLAN s 10 bis 30 vom IP Cop geblockt! Hier musst du also auch ggf. das IP Cop Regelwerk am LAN Port anpassen!!
Zu 2.:
Sehr wahrscheinlich haben alle Endgeräte wie z.B. der PC 1 im VLAN 1 die IP Adresse der IP Cop Firewall als Default Gateway eingetragen?! Das bewirkt das Traffic von und zu fremden IP Netzen immer an die Firewall geschickt werden.
Fehlt der Firewall die oben angegebene statische Route auf alle deine VLAN IP Netze, dann schickt sie diesen Traffic immer an ihre default Route zum Provider ins Internet und damit dann ins Nirvana. Prüfe alsp das du unbedingt diese statische Route gesetzt hast!! Achte dabei besonders auf die richtige Subnetzmaske von 255.255.224.0 (19 Bit) was alle IP Netze von .0.0 bis .31.0 an den VLAN Switch sendet! (Siehe dazu auch HIER Lesen und verstehen..!!).
Prüfe also diese 2 wichtigen Punkte auf Fehler! In einem oder beiden hast du einen solchen Fehler begangen. Wenn du den eliminierst rennt auch alles wie es soll und das Tutorial es beschreibt!
Moin,
Das hat doch @aqui schon in der einen Mail geschrieben.
Kleiner Tip. Schmeiß mal alles raus was stören kann. Also nur Router und Switch. Keine Firewall oder sonst was.
Gruß
Was aber nicht geht, das ich aus den VLAN 10
Laptop IP 192.168.10.100/24 GW 192.168.10.1
Geräte im VLAN 1 erreichen.
Das ich keinen WindowsPC anpingen kann weis ich und nehme immer andere Geräte face-smile
Laptop IP 192.168.10.100/24 GW 192.168.10.1
Geräte im VLAN 1 erreichen.
Das ich keinen WindowsPC anpingen kann weis ich und nehme immer andere Geräte face-smile
Das hat doch @aqui schon in der einen Mail geschrieben.
Bleibt als Fehlerquelle also 2 Optionen:
1. Fehlende lokale Firewall Einstellungen an den Geräten in VLAN 1
2. Fehlende statische Route auf der IPCop Firewall für die 3 VLAN Netze am Switch
1. Fehlende lokale Firewall Einstellungen an den Geräten in VLAN 1
2. Fehlende statische Route auf der IPCop Firewall für die 3 VLAN Netze am Switch
Kleiner Tip. Schmeiß mal alles raus was stören kann. Also nur Router und Switch. Keine Firewall oder sonst was.
Gruß
Was aber nicht geht...
Wenn das weiter so ist, dann gibt es dafür nur 2 Gründe:- 1. Die statische Route am IP-Cop zu den VLAN IP Netzen fehlt!
- 2. Das Firewall Regelwerk am LAN Port verbietet eingehenden Traffic aus den VLAN 10 bis 30 Netzen und lässt nur .1.0er Traffic passieren! Wenn das Gateway der VLAN 1 Geräte auf den IP Cop zeigt geht Return Traffic durch die FW. Ebenso wenn die Endgeräte kein ICMP Redirect supporten.
Die pfSense hat dafür übrigens einen sinnvollen Schalter um lokalen Traffic von der Firewall auszunehmen! 😉 Vermutlich hat IP Cop das auch?!
Kollege @Headcrach hat es oben schon geschrieben: Du kannst das testweise einmal umgehen wenn du das Gerät in VLAN 1 was du aus den anderen VLANs erreichen willst einmal temporär die Gateway IP 192.168.1.1 gibst, also den Switch. Damit umgehst du dann erstmal die ggf. fehlende Route und/oder das fehlerhafte Regelwerk in der IP Cop Firewall.
Sollte es dann erwartungsgemäß fehlerfrei klappen, dann bestätigt das den Verdacht das einer der beiden o.a. Punkte oder auch beide in der Firewall falsch oder fehlerhaft konfiguriert sind!
Moin,
Kannst du denn von der IPCop die Devices pingen?
Das muss ja auch klappen.
Alternativ mal das Zielgerät im VLAN1 mal dahingehend ändern, dass es die IP Adresse des Switches (192.168.1.1) als Gateway erhält.
Bei der Gelegenheit: ändere ab, dass deine ganzen Geräte eine IP per DHCP- erhalten. Du wirst Spaß bekommen, wenn du mal einen ungeplanten Stromausfall hast und das Gerät mit dem DHCP-Server als letztes Startet. Bestenfalls holen sich deine ganzen Geräte die IP, sobald wieder ein DHCP-Server gefunden wurde. Schlimmstenfalls musst du dieses Gerät Neustarten. Wenn das bei 150 deiner 200 erforderlich wird: viel Spaß.
Du kannst an den Geräten selbst die IP-Adressen nebst DNS/ GW/ … fix einstellen.
In einer Text-Datei notierst du dann, welches Gerät welche IP hat.
Kannst du denn von der IPCop die Devices pingen?
Das muss ja auch klappen.
Alternativ mal das Zielgerät im VLAN1 mal dahingehend ändern, dass es die IP Adresse des Switches (192.168.1.1) als Gateway erhält.
Bei der Gelegenheit: ändere ab, dass deine ganzen Geräte eine IP per DHCP- erhalten. Du wirst Spaß bekommen, wenn du mal einen ungeplanten Stromausfall hast und das Gerät mit dem DHCP-Server als letztes Startet. Bestenfalls holen sich deine ganzen Geräte die IP, sobald wieder ein DHCP-Server gefunden wurde. Schlimmstenfalls musst du dieses Gerät Neustarten. Wenn das bei 150 deiner 200 erforderlich wird: viel Spaß.
Du kannst an den Geräten selbst die IP-Adressen nebst DNS/ GW/ … fix einstellen.
In einer Text-Datei notierst du dann, welches Gerät welche IP hat.
Moin,
ich würde empfehlen, das Netzwerk komplett parallel neu aufzubauen.
Sprich Router neuer Switch ( Core-Switch ) und dann das Netzwerk mit den VLAN usw. aufbauen. Wenn das steht und sauber läuft dann die Geräte in die VLAN einpflegen und wenn das alles ohne Probleme funktioniert, kann man die Firewall davor bauen.
Oder fängt Ihr beim Hausbau auch mit der Haustür an? Also erst das Grundgerüst und dann alles weiter langsam mit einpflegen.
Gruß
ich würde empfehlen, das Netzwerk komplett parallel neu aufzubauen.
Sprich Router neuer Switch ( Core-Switch ) und dann das Netzwerk mit den VLAN usw. aufbauen. Wenn das steht und sauber läuft dann die Geräte in die VLAN einpflegen und wenn das alles ohne Probleme funktioniert, kann man die Firewall davor bauen.
Oder fängt Ihr beim Hausbau auch mit der Haustür an? Also erst das Grundgerüst und dann alles weiter langsam mit einpflegen.
Gruß