fitorfun
Goto Top

Routing von VLANs untereinander und zur Firewall Cisco GS300

Hallo zusammen,

durch einige neue Geräte wegen Hausautomation, gehen mir langsam die IP Adressen in meinem 192.168.1.* er Netz aus.
Von einer Ordnung durch die historisch gewachsene Ip Adressen vergabe gar nicht zu denken.

Ich habe noch eine Cisco SG300-10 welche ich nun als Switch für meine neue Aufteilung in 2-4 VLans verwenden möchte.

Switch auf Layer 3 umgestellt.

Zwei neuen VLAN (10 und 20) eingerichtet. Aber jetzt komme ich nicht weiter.

1) Was muss ich tun damit z.B. das VLAN 10 auch mit dem VLAN1 oder VLAN 30 spricht?

2) Und im 2 Schritt was muss ich noch machen, damit meine Geräte aus dem VLAN 20 auch zur Firewall 192.168.1.2 kommen?

Falls es wichtig ist, ich habe im Moment eine IpCop Firewall laufen Adresse 192.168.1.2 und will alle IPs auf die neue Firewall pfSence 192.168.1.3 umstellen.

Ich probiere schon seit Stunden..

Content-ID: 668115

Url: https://administrator.de/forum/routing-von-vlans-untereinander-und-zur-firewall-cisco-gs300-668115.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

em-pie
em-pie 13.09.2024 aktualisiert um 21:48:32 Uhr
Goto Top
Moin,

Als erstes mal das herausragende Tutorial des Kollegen @aqui durcharbeiten:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Ansonsten:
Wenn die IPCop (derzeit) nichts mit VLANs an der Mütze hat, dann richtest du auf dem Cisco eine statistische Router ein:
0.0.0.0/0 auf 192.168.2.1

Und an der IPcop noch Rückrouten anlegen:
  • 192.168.10.0/ 24 an 192.168.2.2 (sofern der Cisco die 192.168.2.2 hat)
  • 192.168.20.0/ 24 an 192.168.2.2 (sofern der Cisco die 192.168.2.2 hat)
  • 192.168.30.0/ 24 an 192.168.2.2 (sofern der Cisco die 192.168.2.2 hat)

Wenn IPcop mit VLANs umgehen kann, bekommt die FW in jedem VLAN eine IP und du legst einen Uplink zwischen IPCop und Cisco. Alle, bis auf VLAN 1 auf tagged setzen. VLAN 1 ist/ bleibt untagged.

Edit:
Beim Wechsel auf pfSense ist es dann analog.
fitorfun
fitorfun 13.09.2024 um 22:02:55 Uhr
Goto Top
Danke, ich schau mir das o.a. Tutorial an.
Ich hoffe als Netzwerk Newbie komme ich mit dem Tutorial klar.

Mir fehlt als erstes der erste Schritt: Das die Gerät im Vlan 20 mit allen andern IPs im Vlan 1 reden kann.
Hoffe ich finden den Abschnitt in den Dokument :/
em-pie
em-pie 13.09.2024 um 22:15:17 Uhr
Goto Top
Das die Gerät im Vlan 20 mit allen andern IPs im Vlan 1 reden kann.
Ahh, OK
Dann folgende Annahme:
Du hast 3 VLANs
VLAN 1: dein Aktuelles Netz 192.168.2.0/24
VLAN 20: 192.168.20.0/ 24
VLAN 30: 192.168.30.0/ 24

Der Cisco bekommt in jedem VLAN die IP
192.168.x.2

Alles Endgeräte erhalten in ihrem VLAN dann als Default-Gateway 192.168.x.2. DNS wird 192.168.2.1 (IP der Firewall)
Damit sollten alle Geräte dann VLAN übergreifend kommunizieren können, da dein Cisco ja im Layer3 Modus arbeiteit.
Hinweis: wenn du Windows-Systeme im VLAN 1 einsetzt, wird die dortige Windows-Firewall den Traffic aus den anderen VLANs blocken. Da musst du die Firewall auf den Windows-Kisten anpassen.
150631
150631 14.09.2024 um 06:15:24 Uhr
Goto Top
Routing sollte auch im Jahr 2024 effizient designt werden.
Etwas Aufmerksamkeit für Net, Netting und Supernetting schadet nicht.

Vielleicht sich hier noch ein Netzwerker, der helfen kann
aqui
aqui 14.09.2024 aktualisiert um 10:02:12 Uhr
Goto Top
Der TO routet seine VLANs ja auf seinem Cisco SG300 Layer 3 Routing Switch und nicht auf der Firewall versteht man ihn in seiner Beschreibung richtig! Er setzt also ein Layer 3 VLAN Konzept um!
Das o.a. L2 Tutorial ist dann weniger zielführend.
Für ihn gilt dann das Layer 3 VLAN Tutorial mit einem L3 Switch!
Dort ist dann auch der erste Schritt für ihn berücksichtigt. face-wink
Der TO muss sich aber entscheiden WAS er später in einem finalen Design umsetzen will, da oben im Nebensatz auch von einer pfSense die Rede ist?! Hier fehlt also eine klare Designvorgabe vom TO für das am Ende angestrebte Netzwerk Setup. face-sad
Es geht entweder nur L3 Konzept = VLAN Routing auf dem Switch oder L2 Konzept = VLAN Routing auf der Firewall.
Hybride Konzepte sind auch denkbar indem man sicherheitsrelevante VLANs (Accesslisten am L3 Switch sind nicht stateful) bei einem L3 Konzept einfach nur als Layer 2 VLANs am L3 Switch ohne dortige IP Adressierung "durchschleift" und auf der FW routet. Das ist aber eher etwas für Firmennetze und verkompliziert in einfachen Heimnetzen nur unnötig das Setup und Management.

Danach sollte er also strikt vorgehen zumal es auch alle detailierten Setup Schritte für den SG300 zeigt.
Ein L3 Switch routet im Gegensatz zur Firewall immer ohne Regelwerk alles. Es sind also keine weiteren Schritte erforderlich wenn man die VLAN IP Adressen gesetzt hat.
Das das Default Gateway der jeweiligen Endgeräte in diesen VLANs auf diese jeweilige Switch VLAN IP zeigen muss, sollte auch einem Entwickler klar sein. Statische Routen auf der davorgeschalteten Firewall ebenso. Die DNS IP der Clients zeigt auf die Firewall IP. Steht alles im Tutorial... Lesen und verstehen...! 😉
fitorfun
fitorfun 14.09.2024 um 10:36:24 Uhr
Goto Top
Vielen Dank am Euch.

Ich glaube ich schreibe mal kurz was ich machen möchte.

Bisher:
Ein Netz 192.168.1.* /24
ipCop gibt ihnen über ihre MAC Adresse eine feste IP Adresse.
ipCop regelt meist über ihre MAC Adresse den zugriff zum Internet.

Mein Problem jetzt ist.
1) Mir gehen die IP Adressen aus.
2) Alle Geräte sind in einem LAN also auch häufige Gäste denen ich kurzzeitig ein IP gebe, damit sich ins Internet kommen.

Ziel:
1 Schritt: Mehrere IP Adressen zur Verfügung zu haben und die Adressen etwas aufzuräumen.
d.h. alle VLAN können erstmal miteinander sprechen wie in den einen Netz.
2 Schritt: alte IpCop Regeln und DNS Schritt für Schritt auf die neue pfSense übernehmen, egal in welchen VLAN die
Geräte sind.
3 Schritt: Gäste WLAN einrichten, das nicht auf die Geräte kommt. oder nur bestimmte (Drucker und 1 bestimmter Filer)

MEIN PROBLEM:
Ich weiß nicht welche Topologie da für mich die Richtige wäre. L2 oder L3 am Cisco

SPÄTER:
Wenn ich dann etwas mehr Verständnis für die Sache habe, dann will ich den Netzverkehr etwas regeln.
z.B. IP Cameras und Aufzeichengerät in einem eingenen VLAN. HomeAssistat und 1-2 PC sollen aber auch daraufkommen. Oder von Außen auf der HomeAssistant kommen.
fitorfun
fitorfun 14.09.2024 aktualisiert um 10:52:45 Uhr
Goto Top
Was ich bisher gemacht haben
Cisco SG300
screenshot_1
screenshot_2

pfSense
screenshot_3_1
screenshot_3
screenshot_4
screenshot_5

Hatte gehofft das mein Laptop, den ich 192.168.10.100 gegeben habe ins Internet kommt und dann im 2 Schritt auf die Geräte im VLAN 1 kommt.

Internet geht nicht und für den durchgriff zu VLAN 1 muss ich noch eine Route einrichten *help*
fitorfun
fitorfun 14.09.2024 um 12:00:38 Uhr
Goto Top
Ich habe am Laptop
192.168.10.100
255.255.255.0 Standardgateway 192.168.10.1
DNS 192.168.10.5 = (pfSemse)

aber ich kann weder die 192.168.10.1 noch die 192.168.10.5 anpingen face-sad
fitorfun
fitorfun 14.09.2024 um 12:02:38 Uhr
Goto Top
screenshot_6
gibt es bei mir nicht face-sad
Headcrach
Headcrach 14.09.2024 um 12:11:08 Uhr
Goto Top
Moin,
ich habe zwar keine Cisco SG mehr. Aber bei mein CBS Switch muss ich auf erweitere Darstellung gehen. Dann finde ich diesen Punkt.

Gruß
aqui
aqui 14.09.2024 aktualisiert um 13:08:00 Uhr
Goto Top
aber ich kann weder die 192.168.10.1 noch die 192.168.10.5 anpingen
Das das ICMP Protokoll (Ping) bei deinem vermutlich Winblows Laptop per Default deaktiviert ist hast du auf dem Radar?? 🧐
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Wird hier pro Woche gefühlt 10mal vergessen und ist es vermutlich auch bei dir?!
icmp-firewall
Über das Diagnostics Menü der pfSense solltest du mit Ping und DNS nslookup VORHER absolut sicherstellen das diese auch sauber funktioniert und korrekte Regelwerke an den Interfaces gesetzt sind. Achte auf die korrekten Absender IP Adressen!
Bei einem L3 Setup (Switch und NUR der Switch routet die VLANs!!) achte darauf das die pfSense die statische Route zu den VLANs eingetragen hat! (Siehe L3 Tutorial!)

Einen groben Kardinalsfehler hat dein gesamtes Setup dennoch!
Du hast das VLAN Routing sowohl auf der Firewall als auch auf der pfSense konfiguriert und damit ein L2 und L3 Konzept parallel aufgesetzt wozu dir oben dringenst abgeraten wurde!!! face-sad
Entscheide dich also:
  • L2 Konzept = Kein VLAN Routing auf dem Switch! = Kein L3 Mode auf dem Switch! (L2 Mode only, Keine VLAN IP Adressen auf dem Switch) = VLAN Setup und Routing NUR auf der Firewall!
  • L3 Konzept = Kein VLAN Setup (und IPs dazu) auf der Firewall! VLAN Routing macht ausschliesslich NUR der Switch = L3 Mode aktiv, VLANs und IPs dazu einzig NUR auf dem Switch!
Das sind deine beiden "entweder oder" die du leider wirr parallel installiert hast was ein Scheitern des Setups wahrscheinlich macht. face-sad
Sortiere also zuallerst einmal für dich WELCHES der zwei VLAN Konzepte du überhaupt umsetzen willst!!! Du solltest schon die Antwort Threads lesen und dann befolgen was man dir hier rät! 🧐
fitorfun
fitorfun 14.09.2024 um 13:20:41 Uhr
Goto Top
Danke, schon mal.
Mein Screenshots waren noch vor dem post, sorry.
Ich bin jetzt heute leider unterwegs, werde mich morgen aber gleich an das L3 Konzept wagen und die Anleitung von deinem Link folgen uns berichten.
Ich denke das ist das bessere Konzept?
Kann ich dann in der pfSense den Geräten per MAC feste IP Adressen in allen VLAN zuordnen, oder macht man sowas dann in der Cisco?
em-pie
em-pie 14.09.2024 aktualisiert um 13:33:37 Uhr
Goto Top
Kann ich dann in der pfSense den Geräten per MAC feste IP Adressen in allen VLAN zuordnen, oder macht man sowas dann in der Cisco?
für geöhnlich bekommen nur Switche, Firewalls, Drucker, AccessPoints, SmartHome-Devices, Drucker, etc. feste IP-Adressen. die werden aber direkt am Gerät eingetragen und nicht via "MAC-Reservierung". Das wäre viel zu aufwändig zum pflegen.
Clients (Laptops, PCs, Handys, Tablets, ...) bekommen eine dynamische IP vom DHCP-Server. Die Lease am DHCP-Server stellt man dann auf z. b. 3 Tage ein. werden die IPs nach 3 Tagen nicht mehr genutzt, gibt der DHCP-Server die für das nächste Gerät frei. Meldet sich der Client innerhalb von 3 Tagen, behält er wiederum die IP
@work haben wir im Gäste-WLAN sogar eine Lease von 12h.

DHCP-Server sollte in deinem Fall am pfiffigsten die pfSense "spielen". sollte der SG300 mal getauscht werden, musst du nicht alles neu einrichten. Es gibt hier aber auch nicht DIE Lösung, sondern (persönliche) Empfehlungen aufgrund von Erfahrungen.
aqui
aqui 14.09.2024 um 19:46:13 Uhr
Goto Top
Kann ich dann in der pfSense den Geräten per MAC feste IP Adressen
Warum siehst du nicht selber einmal ins pfSense GUI?! Dann müsstest du diese Frage gar nicht erst stellen... 🙄
statdhcp
fitorfun
fitorfun 15.09.2024 um 16:11:52 Uhr
Goto Top
Hallo, habe heute morgen die Cisco zurückgesetzt, da dort einiges nicht mehr einzustellen ging.
Habe nach der Anleitung L3 gehandelt.
1) VLAN eingerichtet und die Port den VLANs zugeordnet
VLAN 1 Port 1-4 => port 1-4 auf untagged, port 5-10 tagged
VLAN 10 Port 5-6 => port 5-6 auf untagged, rest tagged
VLAN 20 Port 7-8 => port 7-8 auf untagged, rest tagged
VLAN 30 Port 9-10 => port 9-10 auf untagged, rest tagged

!!! Den Punkt IPv4 Interface => IPv4 Routinfg [ ] Enable habe ich nicht gefunden

2) Eine IP Adresse am Switch in jedes VLAN konfiguriert:
VLAN 1 = 192.168.1.1 VLAN 10 = 192.168.10.1, VLAN 20 = 192.168.20.1 usw.

Ich kann alle IP-Adresse die ich bei 2) angelegt habe anpingen. Von jedem Gerät in jedem Netz.
Zu mindestens die welche einen ping erlauben.

!! Was ich aber nicht schaffe das ich jetzt

"Damit es auch mit dem Internet Router klappt:
Default route ala ip route 0.0.0.0 0.0.0.0 <internet_router_ip> auf dem L3 Switch konfigurieren."


bei mir gibt es wieder keinen Punkt
IP Configuration -> IPv4 Forwarding Tables
screenshot_11
fitorfun
fitorfun 15.09.2024 um 16:15:18 Uhr
Goto Top
so sieht es im Moment aus face-smile
192.168.1.2 wäre meine alte IPCop Firewall

screenshot_13
screenshot_12
screenshot_14
fitorfun
fitorfun 15.09.2024 um 16:20:00 Uhr
Goto Top
für geöhnlich bekommen nur Switche, Firewalls, Drucker, AccessPoints, SmartHome-Devices, Drucker, etc. feste IP-Adressen. die werden aber direkt am Gerät eingetragen und nicht via "MAC-Reservierung". Das wäre viel zu aufwändig zum pflegen.

Wir haben gar nicht soviele PC usw.
Vielmehr sind das viele Homesteuergeräte, die eine feste IP haben müssen.
Ich finde alles an einer Stelle zuhaben, welche MAC welche IP bekommt und was noch frei ist in der Firewall eigentlich gut.
aqui
aqui 15.09.2024 aktualisiert um 17:05:16 Uhr
Goto Top
Den Punkt IPv4 Interface => IPv4 Routinfg [ ] Enable habe ich nicht gefunden
Hast du auch den Display Mode auf "Advanced" gestellt??
advanced
VLAN 1 Port 1-4 => port 1-4 auf untagged, port 5-10 tagged
Das ist FALSCH! face-sad
Das VLAN 1 ist das native VLAN und wird niemals getagged! Das Native oder PVID VLAN wird immer UNtagged übertragen!
Außerdem sind alle deine Ports falsch als Trunk Port Mode (Tagged Uplink) gesetzt. Auf einem L3 Switch ist das völlig sinnfrei, denn dort müssen keine Ports getagged werden und sind immer im Access Mode. Generell sind alle Endgeräte Ports (PCs, Drucker usw.) immer im Access Port Mode und werdenn dann statisch dem VLAN zugewiesen in dem sie arbeiten sollen. Stelle das also zumindestens für ALLE Endgeräte Ports entsprechend um und weise diese Ports fest einem VLAN zu!

so sieht es im Moment aus
Bis auf den falschen Port Mode der Endgeräte Ports (müssen im Access Mode sein!) sieht das soweit schon ganz gut aus.
Fragen die weiter offen sind und du nicht beantwortet hast:
  • Hast du die statische Route auf der IPCop Firewall gesetzt auf deine am Switch eingerichteten VLAN IP Netze?? Dort sollte sowas stehen im Routing wie: Ziel: 192.168.0.0 Maske: 255.255.224.0 Gateway: 192.168.1.1 (Siehe dazu auch HIER!)
  • Passt das Firewall Regelwerk auf der IPCop zu den VLAN IP Netzen?
  • Kannst du...
    • von einem Test PC im .1.0er Netz VLAN-1 (Gateway, Address Check mit ipconfig) die IP des SG300 im VLAN 1 pingen? (192.168.1.1)
    • von einem PC im .1.0er Netz die IP des SG300 im VLAN 10, 20 und 30 pingen?
    • von einem PC im VLAN 10 (Port 5 z.B. und Gateway, Address Check mit ipconfig) die IP des SG300 im VLAN 10 pingen und danach die IPs der VLANs 1, 20 und 30 sowie der Firewall IP .1.2? (Letzteres natürlich nur sofern die Firewall ICMP Zugang (Ping) im Regelwerk erlaubt!
fitorfun
fitorfun 16.09.2024 um 15:56:11 Uhr
Goto Top
screenshot_15

Beim mir gibt es keinen Displaymode zum auswählen

Wegen den Fragen :
Ich kann vom VLAN1 die Gateways der anderen VLANS per ping erreichen.
Ich kann aus dem VLANS 10 die Gateways der anderen VLAN 1,20,30 per ping erreichen.
usw.
Auch kann ich von meine PC im VLAN1 ist, wenn ich das gateway auf den 192.168.1.1 setze die Geräte in den anderen VLANS erreichen.
Soweit war es auch in der Anleitung beschrieben.

Was aber nicht geht, das ich aus den VLAN 10 TestPC 192.168.1.100/24 GW 192.168.1.1
meine Geräte im VLAN 1 erreichen.
z.B. IPCOP 192.168.1.2 oder pfsense 192.168.1.5.

Jetzt versuche ich mal die Änderungen von aqui wegen der Port zu machen und berichte dann nochmal.

INFO:
Vielleicht noch eines zur Erklärung, weil ich nicht weiß ob das später ein Thema werden wird.
Der Cisco soll später als Switch dienen um die anderen Switche auf denen jeweils die Geräte die zu einem VLAN gehören angeschlossen werden.
Selten hängt ein Gerät direkt am Cisco Switch.
Headcrach
Headcrach 16.09.2024 aktualisiert um 16:15:26 Uhr
Goto Top
Moin,

Wegen den Fragen :
Ich kann vom VLAN1 die Gateways der anderen VLANS per ping erreichen.
Ich kann aus dem VLANS 10 die Gateways der anderen VLAN 1,20,30 per ping erreichen.
usw.
Auch kann ich von meine PC im VLAN1 ist, wenn ich das gateway auf den 192.168.1.1 setze die Geräte in den anderen VLANS erreichen.

Ist ja klar. Zur Zeit gibt es bei Dir im Netzwerk keine Regeln und somit ist alles erlaubt.

INFO:
Vielleicht noch eines zur Erklärung, weil ich nicht weiß ob das später ein Thema werden wird.
Der Cisco soll später als Switch dienen um die anderen Switche auf denen jeweils die Geräte die zu einem VLAN gehören angeschlossen werden.
Selten hängt ein Gerät direkt am Cisco Switch.

Also normalerweise gibt es zwei Möglichkeiten:
Der Router übernimmt die Netzwerk-Verwaltung oder Du gibst ein Switch die Aufgabe.
Wobei Du überlegen solltest wie viele Switche Du brauchst. Weil ein Großer kann ob sparsamer sein als 3 kleine.
Aber wie @aqui schon geschrieben hat. Einmal ein Plan für die Struktur machen und dann umsetzen. SO habe ich das auch gemacht. Anders läufst Du sonst immer wieder nach links oder rechts.

Gruß
fitorfun
fitorfun 16.09.2024 aktualisiert um 16:44:11 Uhr
Goto Top
Hallo
Struktur:
Cisco GE300-10 Layer 3 soll die Aufgabe des Routing überhmehmen.
VLAN1 Port 1-4
VLAN10 Port 5-6
VLAN20 Port 7-8
VLAN30 Port 9-10

Habe es geschafft, die Ports auf Access umzustellen.
Jetzt hänge ich an dem MemberschipType
Dachte ich nehmen bei dem Port zu dem VLAN gehört den Port auf untagged,
aber auf was sollen, die anderen eingestellt werden?

screenshot_16
screenshot_17
screenshot_18
screenshot_19
Interessanter weise hat er mein IpV4 Routes in VLAN 20 und 30 entfernt.


screenshot_20
aqui
aqui 16.09.2024 aktualisiert um 17:06:28 Uhr
Goto Top
OK, der Pingcheck zeigt das das Layer 3 Routing auf deinem SG300 Switch fehlerlos funktioniert!
Ebenfalls stimmen die VLAN Zuweisungen der Access Ports. Ein VLAN kann ja immer nur einem Access Port fest zugewiesenen werden. Logisch das er für die anderen dann "Excluded" ist. Also alles richtig gemacht! 👍
Du solltest dir aber dringenst noch einmal ein paar wesentliche Grundlagen zum VLAN Handling durchlesen. Hier hast du noch etliche Defizite im Verständnis! 🧐
Dein Netzwerk sollte dann so aussehen:

fit4

Was aber nicht geht, das ich aus den VLAN 10 TestPC 192.168.1.100/24 GW 192.168.1.1 meine Geräte im VLAN 1 erreichen.
Das kann mehrere Gründe haben...
Dadurch das du von diesem VLAN 10 Test PC alle Gateway IPs auf dem Switch pingen kannst kann man davon ausgehen das die IP Adressierung dieses Test PCs korrekt ist (ipconfig, IP: 192.168.10.x /24, Gateway: 192.168.10.1) Das passt also sehr wahrscheinlich.

Bleibt als Fehlerquelle also 2 Optionen:
  • 1. Fehlende lokale Firewall Einstellungen an den Geräten in VLAN 1
  • 2. Fehlende statische Route auf der IPCop Firewall für die 3 VLAN Netze am Switch

Zu 1.:
Wie du aus dem Schaubild oben ja sehen kannst erreichen Pakete vom PC 10 (VLAN 10) den PC 1 (VLAN 1) mit einer .10.x Absender IP. Sofern dieser PC ein Winblows PC ist und die lokale Windows Firewall nicht entsprechend customized wurde wie schon oben beschrieben, dann blockt sie generell ALLES was von fremden IP Netzen bei ihr eingeht. Sie selber sitzt ja im .1.0er Netz und ankommen tut etwas vom .10.0er Netz also Blocking. Dazu kommt noch das ICMP Traffic (Ping) generell geblockt ist wenn es nicht entsprechend angepasst wurde! ⚠️ Beachte das wenn du Winblows Geräte pingst. Natürlich auch wenn du andersrum pingst also ein VLAN 1 Windows auf ein VLAN 10, 20 oder 30 Windows.
Hier ist es immer sinnvoller zuerst andere Geräte wie Drucker usw. in den anderen Netzen zu pingen die keine lokale onboard Firewall haben!

Gleiches gilt für die IP Cop Firewall!! Erlaubt diese mit ihrem Regelwerk am LAN Interface (VLAN 1) lediglich eingehenden Traffic aus dem .1.0er Netz werden ALLE IP Pakete aus deinen neuen VLAN s 10 bis 30 vom IP Cop geblockt! Hier musst du also auch ggf. das IP Cop Regelwerk am LAN Port anpassen!!

Zu 2.:
Sehr wahrscheinlich haben alle Endgeräte wie z.B. der PC 1 im VLAN 1 die IP Adresse der IP Cop Firewall als Default Gateway eingetragen?! Das bewirkt das Traffic von und zu fremden IP Netzen immer an die Firewall geschickt werden.
Fehlt der Firewall die oben angegebene statische Route auf alle deine VLAN IP Netze, dann schickt sie diesen Traffic immer an ihre default Route zum Provider ins Internet und damit dann ins Nirvana. Prüfe alsp das du unbedingt diese statische Route gesetzt hast!! Achte dabei besonders auf die richtige Subnetzmaske von 255.255.224.0 (19 Bit) was alle IP Netze von .0.0 bis .31.0 an den VLAN Switch sendet! (Siehe dazu auch HIER Lesen und verstehen..!!).

Prüfe also diese 2 wichtigen Punkte auf Fehler! In einem oder beiden hast du einen solchen Fehler begangen. Wenn du den eliminierst rennt auch alles wie es soll und das Tutorial es beschreibt!
Headcrach
Headcrach 16.09.2024 um 17:26:57 Uhr
Goto Top
@fitorfun Kleiner Tip den auch @aqui Dir ganz vorne schon geschrieben hat. Das VLAN1 würde ich nicht als Arbeitsnetzwerk nutzen sondern nur als Management-Netzwerk nutzen.

Gruß
fitorfun
fitorfun 16.09.2024 um 17:33:24 Uhr
Goto Top
sorry ich habe mich vertippt :/

Was aber nicht geht, das ich aus den VLAN 10
Laptop IP 192.168.10.100/24 GW 192.168.10.1
Geräte im VLAN 1 erreichen.
Das ich keinen WindowsPC anpingen kann weis ich und nehme immer andere Geräte face-smile
fitorfun
fitorfun 16.09.2024 um 17:37:31 Uhr
Goto Top
Zitat von @Headcrach:

@fitorfun Kleiner Tip den auch @aqui Dir ganz vorne schon geschrieben hat. Das VLAN1 würde ich nicht als Arbeitsnetzwerk nutzen sondern nur als Management-Netzwerk nutzen.

danke mache ich dann, aber im Moment habe ich da gute 200 IP Adressen.
Das haben ich mir vor genommen, wenn das Setup steht
und ich in jedem VLAN ein Gerät habe das sich verhält wie erwartet, dann stelle ich es nach und nach um.
Da sind zum Teil Dinge wir PV, HA, FILER uvm. betroffen.
Headcrach
Headcrach 16.09.2024 um 17:38:42 Uhr
Goto Top
Moin,

Was aber nicht geht, das ich aus den VLAN 10
Laptop IP 192.168.10.100/24 GW 192.168.10.1
Geräte im VLAN 1 erreichen.
Das ich keinen WindowsPC anpingen kann weis ich und nehme immer andere Geräte face-smile

Das hat doch @aqui schon in der einen Mail geschrieben.

Bleibt als Fehlerquelle also 2 Optionen:
1. Fehlende lokale Firewall Einstellungen an den Geräten in VLAN 1
2. Fehlende statische Route auf der IPCop Firewall für die 3 VLAN Netze am Switch

Kleiner Tip. Schmeiß mal alles raus was stören kann. Also nur Router und Switch. Keine Firewall oder sonst was.

Gruß
aqui
aqui 16.09.2024 aktualisiert um 17:52:36 Uhr
Goto Top
Was aber nicht geht...
Wenn das weiter so ist, dann gibt es dafür nur 2 Gründe:
  • 1. Die statische Route am IP-Cop zu den VLAN IP Netzen fehlt!
  • 2. Das Firewall Regelwerk am LAN Port verbietet eingehenden Traffic aus den VLAN 10 bis 30 Netzen und lässt nur .1.0er Traffic passieren! Wenn das Gateway der VLAN 1 Geräte auf den IP Cop zeigt geht Return Traffic durch die FW. Ebenso wenn die Endgeräte kein ICMP Redirect supporten.
Diese 2 Punkte musst du checken!
Die pfSense hat dafür übrigens einen sinnvollen Schalter um lokalen Traffic von der Firewall auszunehmen! 😉 Vermutlich hat IP Cop das auch?!
bypass

Kollege @Headcrach hat es oben schon geschrieben: Du kannst das testweise einmal umgehen wenn du das Gerät in VLAN 1 was du aus den anderen VLANs erreichen willst einmal temporär die Gateway IP 192.168.1.1 gibst, also den Switch. Damit umgehst du dann erstmal die ggf. fehlende Route und/oder das fehlerhafte Regelwerk in der IP Cop Firewall.
Sollte es dann erwartungsgemäß fehlerfrei klappen, dann bestätigt das den Verdacht das einer der beiden o.a. Punkte oder auch beide in der Firewall falsch oder fehlerhaft konfiguriert sind!
em-pie
em-pie 16.09.2024 um 18:09:27 Uhr
Goto Top
Moin,

Kannst du denn von der IPCop die Devices pingen?
Das muss ja auch klappen.
Alternativ mal das Zielgerät im VLAN1 mal dahingehend ändern, dass es die IP Adresse des Switches (192.168.1.1) als Gateway erhält.
Bei der Gelegenheit: ändere ab, dass deine ganzen Geräte eine IP per DHCP- erhalten. Du wirst Spaß bekommen, wenn du mal einen ungeplanten Stromausfall hast und das Gerät mit dem DHCP-Server als letztes Startet. Bestenfalls holen sich deine ganzen Geräte die IP, sobald wieder ein DHCP-Server gefunden wurde. Schlimmstenfalls musst du dieses Gerät Neustarten. Wenn das bei 150 deiner 200 erforderlich wird: viel Spaß.

Du kannst an den Geräten selbst die IP-Adressen nebst DNS/ GW/ … fix einstellen.
In einer Text-Datei notierst du dann, welches Gerät welche IP hat.
Headcrach
Headcrach 16.09.2024 um 19:21:31 Uhr
Goto Top
Moin,

ich würde empfehlen, das Netzwerk komplett parallel neu aufzubauen.
Sprich Router neuer Switch ( Core-Switch ) und dann das Netzwerk mit den VLAN usw. aufbauen. Wenn das steht und sauber läuft dann die Geräte in die VLAN einpflegen und wenn das alles ohne Probleme funktioniert, kann man die Firewall davor bauen.

Oder fängt Ihr beim Hausbau auch mit der Haustür an? Also erst das Grundgerüst und dann alles weiter langsam mit einpflegen.

Gruß
aqui
aqui 17.09.2024 aktualisiert um 17:56:20 Uhr
Goto Top
Das hat der TO ja gemacht.
Der L3 Switch ist ja quasi neu und als Core Switch die "Keimzelle" seines neuen VLAN Netzes.
Er hat ja zu 90% alles richtig gemacht soweit. Nur wenn man die statische Route in der Firewall vergisst oder das Firewall Regelwerk nicht sauber anpasst scheitert es dann an den restlichen 10%... face-sad
fitorfun
fitorfun 17.09.2024 um 21:50:03 Uhr
Goto Top
Hallo zusammen, ihr seid ja wirklich der Hammer, so schnell wie ihr antwortet kann ich gar nicht testen.
Morgen Nachmittag habe ich Zeit weiter zu testen.

ich würde empfehlen, das Netzwerk komplett parallel neu aufzubauen.
Sprich Router neuer Switch ( Core-Switch ) und dann das Netzwerk mit den VLAN usw. aufbauen. Wenn das steht und sauber läuft dann die Geräte in die VLAN einpflegen und wenn das alles ohne Probleme funktioniert, kann man die Firewall davor bauen.

Ich lass die IPCop nun unangetastet und bau es mit einer neunen pfsense auf.

Ich habe den Cisco ja vorher schon freigemacht, die pfsense nun neu installiert um genau das alles,
zu parallel testen und aufzubauen.
Bin jetzt systematisch vorgegangen.
Habe aus dem VLAN 1 mal den Internetzugriff über die pfsense fertig eingerichtet.
Durch einen Tip von oben ist mit ein Fehler aufgefallen, PEINLICH!!.
Ich habe am pfsense Rechner die Lanports durch das probieren vertauscht.

Er hat ja zu 90% alles richtig gemacht soweit. Nur wenn man die statische Route in der Firewall vergisst oder das Firewall Regelwerk nicht sauber anpasst scheitert es dann an den restlichen 10%...

Genau, das glaube ich auch.
Jetzt fehlen mir die besagten Routen, bei denen ich mir nicht sicher bin wo man die beim Cisco genau einstellt.
Meine Menüpunkte an der Cisco ist immer anders als die Beispiele im Netz face-smile

Bei der Gelegenheit: ändere ab, dass deine ganzen Geräte eine IP per DHCP- erhalten.

Ok, verstehe! Machen die anderen das auch so?
aqui
aqui 18.09.2024 aktualisiert um 09:47:07 Uhr
Goto Top
bei denen ich mir nicht sicher bin wo man die beim Cisco genau einstellt.
Du verlierst vermutlich langsam den Überblick!!! face-wink
Bitte nochmals in aller Ruhe das Tutorial lesen und die Schritte die dir oben gepostet wurden richtig umsetzen!!
  • Du musst KEINE weiteren Routen mit Ausnahme der Default Route am Cisco Switch einstellen!! (Hast du mit 0.0.0.0/0 auf die 192.168.1.2 IP der Firewall ja eh schon richtig gemacht!)
  • VLAN Routen zu den Switch VLAN IP Netzen musst du NUR auf der pfSense einstellen!

Das machst du unter System --> Routing!
Hier legst du erstmal den SG300 Routing Switch als Gateway mit seiner IP an, denn der arbeitet ja als VLAN Router.
Da der am LAN Port angeschlossen ist setzt du das Interface auf "LAN"!
Das GW Monitoring lokaler GWs solltest du immer abschalten, das generiert unnötigen Traffic im Netz!
gate1
gate2

Dann legst du auf der Firewall die eigentliche statische Route zu deinen VLAN IP Netzen auf dem L3 Switch an. Mit einem 19 Bit Prefix (255.255.224.0) routest du alle deine VLAN IP Netze von .0.0 bis .31.0 zum SG300 Switch.
Wenn du hier vorausschauend mehr Netze "reservieren" willst (falls du einmal mehr VLANs anlegst) kannst du die Maske auf 18 Bit (255.255.192.0) verkleinern was dann alle IP Netze von .0.0 bis .63.0 an den Switch routet.
route

⚠️ Nicht vergessen das Firewalling für den lokal gerouteten Traffic in den Advanced Options auszuschalten!!
locrou.

Danach funktioniert dann alles wie gewünscht! face-wink
fitorfun
fitorfun 18.09.2024 um 17:06:08 Uhr
Goto Top
Du verlierst vermutlich langsam den Überblick!!!

ich glaube auch face-smile
dachte aber ich muss noch die fehlenden Ipv4 Routes noch eintragen, welche plötzlich verschwunden sind.
Und mit deiner Hilfe fand ich den Weg durch das Dunkle !!

screenshot_23
obwohl ich die VLAN 20 und 30 noch habe.
Und interessanterweise kann ich da nichts ändern -> nur löschen

screenshot_22

Ich habe es genau so gemacht wie du geschrieben hast.
Viele Dank für die ausführlichen Bilder

Genau als ich die letzte Einstellung gemacht habe, konnte der PC im VLAN 10 die pfsense = 192.168.1.5 anpingen.

Da einzige was jetzt noch nicht geht, das ich mit dem diesem Laptop in dem VLAN 10 ins Internet komme.
Ping auf 8.8.8.8 bzw auf ein Geräte im VLAN1 geht nicht.

Wenn ich von dem VLAN 10 die Geräte im VLAN 1 erreichen möchte, dann muss ich das Gateway auf der Cisco 192.168.1.1 eintragen und nicht mehr die 192.168.1.2 vom IPCop.
fitorfun
fitorfun 18.09.2024 aktualisiert um 20:51:19 Uhr
Goto Top
Ein Tipp noch für alle die auch so einen Switch haben wie ich.

Bei dem SG300-10 wählt man die Option

Aministration -> System Settings -> System Mode L3

und bei dem SG300 mit mehr Ports gibt es den

Schalter

ipV4 Routing [x] enable

wie in der Doku beschrieben
Headcrach
Headcrach 18.09.2024 um 21:47:56 Uhr
Goto Top
@fitorfun Wenn ich mich nicht irre gibt es am Switch nur ein Routing. Mehr nicht. Das hatte Dir aber schon @aqui schon weiter oben geschrieben.

Den die Netzwerkregeln wird später die Firewall machen. Und Dein Core Switch die ACL Regeln.

Gruß
aqui
aqui 19.09.2024 aktualisiert um 09:51:04 Uhr
Goto Top
dachte aber ich muss noch die fehlenden Ipv4 Routes noch eintragen
Nicht denken sondern nachdenken!! face-wink
Der VLAN Switch kann ja alles lokal routen, weil alle IP Netze direkt an ihm angeschlossen sind und er diese kennt. Folglich sind statische Routen also de facto nicht erforderlich. Einzig nur für Netze die er nicht kennt (Internet) und das geht dann alles an die Firewall die weiss wohin damit.
Entsprechend reicht auf dem Switch also einzig und allein eine Default Route! Mehr ist routingtechnisch dort nicht erforderlich.

Nur die Firewall muss wissen WIE sie die VLAN IP Netze erreichen kann. Ohne eine solche Route würde sie sonst die VLAN IP Netze zu ihrem Default Gateway, also dem Provider routen und damit dann ins "Nirwana". Hier ist also eine statische Route zwingend erforderlich damit dieser Traffic an den VLAN Switch geht.
Wenn man einmal in Ruhe nachdenkt doch eigentlich eine sehr einfache Logik. Ist so wie die gelben Richtungsschilder an der Landstraße. face-wink
dann muss ich das Gateway auf der Cisco 192.168.1.1 eintragen und nicht mehr die 192.168.1.2 vom IPCop.
Nein, das ist nicht zwingend! Beides geht!
Du hast ja (hoffentlich) auf der pfSense die statische Route zu deinen VLAN IP Netzen eingetragen wie oben im Schaubild und in den Setup Screenshots dir schon gepostet wurde!! Ebenso das Firewall Filtering für lokalen Traffic abgeschaltet!
Wenn das geschehen ist, ist es völlig egal ob im VLAN 1 das Gateway der dortigen Endgeräte auf die Switch IP oder die pfSense IP zeigt.
Die statische VLAN Route brauchst du auf der pfSense in jedem Fall!!

Prüfe auch IMMER vorab auf der pfSense im Diagnostics Menü über die Ping und nslookup (DNS) Funktion das du ins Internet pingen kannst. Einmal mit einer nackten IP wie 8.8.8.8 und einmal mit einem Domain Namen wie www.heise.de o.ä. So kannst du wasserdicht verifizieren das die Firewall Internet Zugang hat und du sie als mögliche Fehlerquelle ausschliessen kannst!
fitorfun
fitorfun 19.09.2024 um 16:30:59 Uhr
Goto Top
Du hast ja (hoffentlich) auf der pfSense die statische Route zu deinen VLAN IP Netzen eingetragen wie oben im Schaubild und in den Setup Screenshots dir schon gepostet wurde!! Ebenso das Firewall Filtering für lokalen Traffic abgeschaltet!
Wenn das geschehen ist, ist es völlig egal ob im VLAN 1 das Gateway der dortigen Endgeräte auf die Switch IP oder die pfSense IP zeigt.
Die statische VLAN Route brauchst du auf der pfSense in jedem Fall!!

Ja natürlich ich habe alles genau so gemacht und es klappt ja auch alles.
Nur eines geht nicht.

Ich glaube ich drück mich nicht ganz richtig aus ;/

Ich komme mit dem den Geräte aus dem VLAN 1 über die pfsense ins Internet. (also Internet klappt)

Aber nicht mit dem Gerät, das im VLAN 10 am Cisco am VLAN Port VLAN 10 hängt.
Das ist der Test Laptop. 192.168.10.100/24 GW 192.168.10.1 DNS 192.168.1.5 oder 8.8.8.8

Won diesen aus habe ich alle pings versucht:
1) Ping zur pfsense 192.168.1.5 geht!!
2) Ping zur ipcop 192.168.1.2 geht nicht!!
3) Ping zu Geräten in VLAN 1 die als GW noch die 192.168.1.2 ipcop eingetragen haben geht nicht!!
4) Ping zu Geräte im VLAN1 die als GW 192.168.1.1 haben kann man pingen. geht!!
5) Ping zu 8.8.8.8 geht nicht !!
aqui
aqui 19.09.2024 aktualisiert um 18:33:42 Uhr
Goto Top
WIE hängen denn jetzt IPCop und die pfSense in deinem Netzwerk??
Bevor man dir jetzt wieder alles einzeln aus der Nase ziehen muss wäre eine kleine Skizze hilfreich für alle.
Das o.a. Setup geht davon aus das die pfSense ALLEIN im VLAN 1 hängt mit ihrem WAN Port!!!

Sollte auch noch der IP-Cop mit seinem LAN Port drin hängen ist es ggf. verständlich das du die nicht pingen kannst sollte hier auch die statische Route zu den Switch VLANs fehlen? In Ruhe nachdenken hilft hier auch wieder! face-sad
Du hast sehr wahrscheinlich vergessen zusätzlich auch am IP-Cop die statische Route zu deinen VLAN IP Netzen einzutragen! Kann das sein?
Wenn du aus dem 10er VLAN den IP-Cop pingst muss der ja auch wissen WIE er das 10er VLAN erreichen kann um seine Antwort dahin zu schicken. Fehlt die Route dort passiert das was oben beschrieben ist und die Ping Antwort wird zum Provider ins Nirwana geroutet! Bitte dazu noch einmal HIER lesen WIE sich gerouteter Traffic im Netz bewegt!
Warum machst du nicht einmal ein Pathping oder Traceroute (tracert bei Winblows) dann kannst du doch genau sehen über welche Hops der Traffic läuft und wo es kneift.
Sehr wahrscheinlich hat die IP-Cop Firewall auch ein Ping Tool und wir wetten mal das du auch von dort die VLAN 10 bis 30 IPs auf dem Switch NICHT pingen kannst, richtig??
Bestätigt dann die fehlende Route.

Was du am IP-Cop zur Sicherheit auch noch prüfen solltest ist ob der lokale Traffic vom Firewalling ausgenommen ist wie oben an der pfSense UND ob dein Regelwerk dort stimmt das Traffic mit Absender IPs von .0.x bis .31.x den LAN Port passieren darf.
⚠️ Gleiches gilt natürlich auch für die pfSense!!
Vermutlich hast du in deinem jugendlichen Leichtsinn vergessen das du es hier mit einer Firewall zu tun hast wo alles VERBOTEN ist was nicht explizit erlaubt wurde! face-big-smile
Auch hier ist natürlich das Ruleset am LAN Port anzupassen, so das die VLAN IP Netze dort nach draussen passieren dürfen. Ansonsten lässt die pfSense mit ihrer Default Regel dort ausschliesslich nur VLAN 1 IP Traffic durch und blockt logischerweise deine VLANs vom SG300! Ein Blick ins Firewall Log hätte dir sofort die Augen geöffnet. Nutze doch einfach einmal sinnvoll die Diagnosetools die dir die FW bietet!! face-sad
lanrule

Idealerweise passt du die eh schon vorhandene Default Rule am LAN Port einfach nur mit einem entsprechenden Alias an den du wie folgt vorher anlegst!
aliasnet
Dann die Absender Adressen in der Default Regel am LAN Port auf diesen Alias setzen!
rule
Fertisch!
Hier fehlen, leider wie immer, hilfreiche Infos dazu in Form von Screenshots usw. um das sicher sagen zu können. face-sad
em-pie
em-pie 19.09.2024 um 17:30:34 Uhr
Goto Top
Das ist der Test Laptop. 192.168.10.100/24 GW 192.168.10.1 DNS 192.168.1.5 oder 8.8.8.8
Won diesen aus habe ich alle pings versucht:
1) Ping zur pfsense 192.168.1.5 geht!!
OK, die pfSense lässt ICMP aus dem IP-Netz 192.168.10.0/24 zu
2) Ping zur ipcop 192.168.1.2 geht nicht!!
OK. der pfSense hast du keine weiteren Firewall-Regeln mitgegeben, sodass diese die ICMP-Pakete verwirft

3) Ping zu Geräten in VLAN 1 die als GW noch die 192.168.1.2 ipcop eingetragen haben geht nicht!!
fehlende Regel in der IPCop
4) Ping zu Geräte im VLAN1 die als GW 192.168.1.1 haben kann man pingen. geht!!
da routet auch der Switch, welcher noch keine ACL kennt
5) Ping zu 8.8.8.8 geht nicht !!
fehlende Firewall-Regel sowie fehlendes NAT an der pfSense für das Netz 192.168.10.0/24

mach alle Tests auch mal mit einem tracert [ZielIP], dann siehst du, wo es hängen bleibt. Alternativ ein pathping [ZielIP]
fitorfun
fitorfun 19.09.2024, aktualisiert am 20.09.2024 um 05:37:45 Uhr
Goto Top
Guten Abend.

ich haben mal ein Bild gemalt, so in etwa sieht das im Moment aus.
Habe die Verkabelung und die Geräte weggelassen.

Da ich sehr viele IP Geräte habe will ich die nach und nach, auf die VLANs verteilen.
Da sind auch viele Zugriffe auf Filer, IPCam, Smarthome Geräte usw.
Das muss ich langsam umstellen. Das ist Wochenlange Arbeit.

Deshalb der Versuchsaufbau mit der Cisco, wenn alles soweit nachvollziehbar klappt, dann ziehe ich ein Gerät nach dem anderen um in die VLANS. Deshalb habe ich die IPCOP und PFSENSE parallel laufen.

Alle Geräte mit neuen IP's sollen schon über die PFSENSE.
Eigentlich würde ich am Ende auch wieder nur den bekannten IP/MAC den Zugang zum Internet erlaben wollen, das kann aber später gemacht werden. Erst ist mal offen, damit es nicht daran scheitert.

screenshot_24

Wenn alles soweit klappt wird der 24er durch eine weite Cisco 24Port L3 ersetzt.

Muss morgen sehr früh raus arbeiten und würde gegen 15 Uhr mit den o.a. Tests beginnen.
Headcrach
Headcrach 19.09.2024 um 21:44:44 Uhr
Goto Top
Moin,

also wenn ich mir Deine Zeichnung so anschauen, frage ich mich ob Du Dein Netzwerk richtig aufgebaut hast.
Weil wenn der Cisco SG-300 hier als Level 3 Switch arbeiten soll, müsste der alle Switche ansteuern oder sehe ich das hier verkehrt?

Gruß
fitorfun
fitorfun 20.09.2024 um 05:36:20 Uhr
Goto Top
frage ich mich ob Du Dein Netzwerk richtig aufgebaut hast

Natürlich noch nicht. Aber es war der Wunsch da, das derzeitige Test Setup zu zeichnen und nicht das Ziel.

Der Cisco war vorher der Mittelpunkt an dem alle andere Switche und Filer hingen.
Habe ihn als zentralen Switch ausgebaut und jetzt auf dem Schreibtisch stehen.
Den im Moment dient er mir nur zum testen der VLans und wir ich gesehen habe um viel zu lernen.

Wenn alles soweit klar ist, wir ein Switch nach dem anderen an der Cisco,
natürlich ins richtigen VLAN gesteckt.
Headcrach
Headcrach 20.09.2024 um 08:01:19 Uhr
Goto Top
Moin,

ich glaube so wie Du jetzt die Switch aufgebaut hast, wird das nicht funktionieren.

Aber da können die Profis mehr zu sagen.

Gruß
aqui
aqui 20.09.2024 aktualisiert um 16:14:01 Uhr
Goto Top
Nur nochmals zur Erinnerung wie dein Testsetup aus Layer 3 (IP Address- und Netzwerk) Sicht auszusehen hat. Dein Testaufbau ist ein simples Router Kaskaden Design.
Beachte das beim pfSense Setup auch das entsprechende o.a. Regelwerk am LAN Port sowie die statische Route entsprechend gesetzt sein muss!
Tips zur Virtualisierung der pfSense unter Proxmox mit VLANs wie immer HIER und HIER!
fitorfun
fitorfun 20.09.2024 um 14:51:00 Uhr
Goto Top
Kaum hatte ich gedacht ich habe es kapiert, ist es wieder nichts face-sad

Was ist bei Dir das Restnetz welches an der Frizbox (Kopplungsnetz) hängt?
Bei mir ist das nicht an der Stelle.

Ich glaube wir reden aneinander vorbei, ODER das was ich vorhabe geht überhaupt nicht.

Natürlich haben die Schnittstellen hinter den Firewalls alle eine 192.168.178.* Adresse.
An der Fritzbox die ins Internet geht, sind auch nur die RED Schnittstellen, der PFSENSE und die RED der IPCOP dran.
und haben auch einzigartige Adressen in 192.168.178 er Netz.

Alle Geräte die an den Netgear hängen haben derzeit ein 192.168.1.x Adressen mit GW 192.168.1.2 und DNS 192.168.1.2 (IPCop)

Ich kann mir doch überlegen, mit welchem Gerät ich aus den LAN Grünen Netz 192.168.1.x Netz ich über welche Firewall gehe? Setzten der richtigen GW 192.168.1.2 oder 192.168.1.5, so mein Plan.

Ich haben mal mein Bild ergänzt und zusätzlich deines so abgeändert damit wir vom gleichen reden.
War wohl gestern zu spät für mich, da waren in meinem Bild noch Fehler drin.
Die GW der Beispiel PC waren im Bild falsch face-sad

screenshot_31

screenshot_30
fitorfun
fitorfun 20.09.2024 um 14:55:31 Uhr
Goto Top
mach alle Tests auch mal mit einem tracert [ZielIP], dann siehst du, wo es hängen bleibt. Alternativ ein pathping [ZielIP]

Wenn ich nachher zuhause bin mache ich die Tests.
aqui
Lösung aqui 20.09.2024 aktualisiert um 16:35:49 Uhr
Goto Top
Was ist bei Dir das Restnetz welches an der Frizbox (Kopplungsnetz) hängt?
Das ist das ganze Geraffel mit den Netgear Switches aus deiner Zeichnung oben. Ich hatte ob der verwinkelten Zeichnung irrigerweise vermutet das das Netz mit auf den NG Switches liegt und völlig übersehen das du das Koppelnetz zur Fritzbox richtigerweise vollkommen isoliert hast. Sorry für die Verwirrung! 🙈

Die korrigierte IP Layer 3 Sicht sähe dann so aus:

fit4
Hierzu ein paar Anmerkungen:
  • Die Endgeräte in VLAN 1 können entweder die pfSense oder den IP-Cop als Gateway haben.
    • Für den Fall das sie den IP Cop als Gateway haben muss der IP-Cop zwingend eine statische Route auf die VLAN IP Netze am SG300 haben analog zur pfSense!
    • Mit dem Gateway Eintrag bestimmst du für die VLAN 1 Endgeräte welchen Weg sie ins Internet nehmen. Entweder pfSense oder IP-Cop.
  • Die Default Route des SG300 zeigt aktuell auf die pfSense. Das bedeutet...
    • Alle Endgeräte in den VLANs 10 bis 30 nutzen IMMER die pfSense für den Internet Zugang
  • Tip: Gateway IPs gehören üblicherweise immer an den Rand einer IP Range und NICHT "mittendrin". Das vermeidet eine Kollision mit ggf. aktiven DHCP Ranges und damit Adresschaos. Mal abgesehen davon das diese Gateway Adressen aus guten Gründen immer statisch sein sollten und nie dynamisch. Ändert sich so eine IP einmal steht dein Netzwerk weil das Routing ins Nirwana geht. Das solltest du also ggf. besser noch anpassen.

Die Kardinalsfrage ist WIE dein Design später im Endausbau aussehen soll??
  • Verschwindet der IP-Cop und wird komplett durch die pfSense ersetzt?
  • Soll beides als Failover laufen, sprich ist die pfSense weg springt der IP-Cop ein und vice versa.
Für den Fall das es Letzteres ist, könntest du am SG300 eine zweite Default Route auf den IP-Cop einrichten. Damit hättest du 2 Default Routen gleicher Metric und der Routing Standard sieht dann vor das der SG300 Switch ein per Session Balancing macht. Neue IP Sessions aus den VLANs 10 bis 30 ins Internet gehen dann wechselseitig über die pfSense und den IP-Cop mit gegenseitigem Failover.
Das erzwingt dann aber auch das du, wie schon an der pfSense, das Ruleset am IP-Cop LAN Port entsprechend auch auf eine größere Maske anpasst so das der IP-Cop auch Traffic aus den VLAN IP Netzen 10 bis 30 passieren lässt.
Sollte der IP-Cop "entsorgt" werden ist das natürlich obsolet.
Derzeit ist nur eine Default Route auf die pfSense aktiv, so das aller Traffic der VLAN IP Netze 10 bis 30 immer fest über die pfSense rausgehen.
fitorfun
fitorfun 20.09.2024 um 18:10:44 Uhr
Goto Top
Sorry für die Verwirrung! 🙈
Die war eher auf meiner Seite, mit den falschen GW Einträgen im Bild.

Für den Fall das sie den IP Cop als Gateway haben muss der IP-Cop zwingend eine statische Route auf die VLAN IP Netze am SG300 haben analog zur pfSense!

Nicht notwendig, denn um gleich die nächste Frage "Kardinalsfrage" zu beantworten:
Die IP Cop kommt weg, oder bekommt eine andere Aufgabe. Oder wird ein Fallback, mit gleichen IPs falls die pfSense in die Wartung muss. (Natürlich nur ein Gerät am Netz)

Ich will ja alle Geräte mit IP's pö a pö auf die VLANS und die pfSense und Cisco umstellen und das alte dabei loswerden.

Die Default Route des SG300 zeigt aktuell auf die pfSense. Das bedeutet...
Alle Endgeräte in den VLANs 10 bis 30 nutzen IMMER die pfSense für den Internet Zugang
auch das passt und ist gewollt face-smile

IPs der Server und Firewalls sind natürlich ohne DHCP.

Das einzige was nicht ging war der Zugiff aus dem VLAN ins Internet.
Was dank deinem Post
Auch hier ist natürlich das Ruleset am LAN Port anzupassen, so das die VLAN IP Netze dort nach draussen passieren dürfen. Ansonsten lässt die pfSense mit ihrer Default Regel dort ausschliesslich nur VLAN 1 IP Traffic durch und blockt

jetzt auch geht ... *applaus* *applaus* *applaus* für deine Hilfe und Gedult.

Drei Fragen stellen sich mir durch den Verlauf des Beitrag hier.
1) Jemand hat geschrieben man soll das VLAN 1 gar nicht nehmen für Geräte.
2) Und welche DNS IP sollte man eintragen für die Geräte welche über die pfSense ins Internet gehen.
3) Die pfSense scheint keine Regel zu haben anhand der MAC Adresse Geräte ins Internet zu lassen.
Sondern nur über IP Adressen.
Die Reglung über MAC hielt ich immer für sicherer, denn die MAC kann man nicht so einfach am Gerät ändern wie eine IP. Warum ist das so, oder hab ich es nur nicht gefunden?
aqui
aqui 20.09.2024 aktualisiert um 19:35:54 Uhr
Goto Top
mit IP's pö a pö
https://www.duden.de/rechtschreibung/peu_a_peu
https://www.duden.de/suchen/dudenonline/geduld
Wenn schon denn schon... face-wink Ist ja Freitag! 🐟
...jetzt auch geht
Glückwunsch! 🥳 👏
War aber auch ne schwere Geburt mit dir nach sage und schreibe 48 Posts. face-wink
Drei Fragen stellen sich mir durch den Verlauf des Beitrag hier.
Bei 50 Posts wirds dann kostenpflichtig! 🤣
1.)
Warum nicht? Ist doch ein VLAN wie alle anderen zwischen 2 und 4095 auch. Es kommt doch, wie immer, auf DICH als Admin an was du daraus machst.
2.)
Immer die pfSense, denn die ist doch dein nächster Caching DNS Server! Würdest du die Fritte eintragen würde unnötiger DNS Traffic immer über die Firewall gehen. Die Firewall selber referenziert ja im weiteren Verlauf ihr Upstream DNS auf die Fritzbox die den wiederum automatisch vom Provider lernt.
Und...nichtmal mehr Dummies geben hier noch einen Google DNS an der dein Internet Verhalten abschnorchelt und an Dritte vermarktet. face-wink
Idealerweise platziert man einen RasPi (Zero) mit Adguard oder PiHole im VLAN 1 oder dem FB Koppelnetz und nimmt den als Caching DNS, dann ist man gleich Werbe- und Malware frei im gesamten Netzwerk und kann ungeliebte Apps wie Facebook, TiKTok und andere Übeltäter filtern. face-wink Wer das einmal installiert hat will das nie mehr missen und wundert sich wie aufgeräumt Webseiten sein können.
3.)
Die pfSense ist als routende Firewall bekanntlich ein Layer 3 Routing Device, redet also nur mit IP Adressen. Mac Adressen "kennt" sie nicht. Auf den Layer 2 sieht sie deshalb gar nicht. Folglich ist es normal das du dazu auch nichts findest.
Mac Adress Authentisierung macht man deshalb immer immer statisch am Switch entweder mit dem Feature "Port Security" oder klassisch über einen Radius Server (MAB = Mac Authentication Bypass).
Letzteres ist die elegantere und auch klassische Methode, denn dort werden nur einmal alle Macs an einer zentralen Stelle erfasst und die gelten dann für alle deine Switches im Netz. Das erspart dir die üble Frickelei alle diese Mac's umständlich per Hand auf alle Switches zu kopieren und sie dort auch noch einzeln, pro Switch zu pflegen.
Natürlich kann die pfSense auch einen dafür erforderlichen zentralen Radius Server im Netz stellen. Guckst du dazu HIER.
aqui
aqui 24.09.2024 um 09:11:49 Uhr
Goto Top
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!!
Wie kann ich einen Beitrag als gelöst markieren?
fitorfun
fitorfun 24.09.2024 um 15:12:57 Uhr
Goto Top
Vielen Dank Euch allen.
Ich denke ich bekomme mein Vorhaben nun peu à peu lol hin.
Habe den gerade gelieferte den SG Cisco 350-28 angeschlossen und da ist vieles so, wie der eine oder anderen Beschreibung von Euch. Nur der SG300-10 tanzt da manchmal aus der Reihe.
Deshalb ist es vielleicht auch gut wenn der eine oder andere SG300-10 Besitzer diesen Beitrag findet und mit den unterschiedlichen Menüpunkten gleich zurecht kommt.
aqui
aqui 25.09.2024 aktualisiert um 11:17:43 Uhr
Goto Top
Nur der SG300-10 tanzt da manchmal aus der Reihe.
Warum?? Was ist das konkrete Problem mit dem?
Nur soviel...
Wenn du einen anderen Switch, wie jetzt den leistungsstärkeren SG350, als zentralen L3 Core Switch in deinem o.a. Netz einsetzt, dann solltest du den SG300-10 tunlichst besser wieder als reinen Layer 2 Switch betreiben und das IP Routing im Setup abschalten!!
Das 2 parallel routende Switches kontraproduktiv und zudem auch gefährlich sind (Security, Backdoor Route) ist dir ja hoffentlich wohl auch selber klar. 🤔
fitorfun
fitorfun 25.09.2024 um 21:07:15 Uhr
Goto Top
Warum?? Was ist das konkrete Problem mit dem?
Kein Problem!
Nur sind die Menüs oft anders und deshalb hab ich das eine oder andere nicht gefunden.

Wenn du einen anderen Switch, wie jetzt den leistungsstärkeren SG350, als zentralen L3 Core Switch in deinem o.a. Netz einsetzt, dann solltest du den SG300-10 tunlichst besser wieder als reinen Layer 2 Switch betreiben und das IP Routing im Setup abschalten!!
Ja sehr gerne.
Der GS300 war schon da und ich wollte testen ob alles so klappt wie ich mir das vorstelle, bevor ich Geld für einen größeren Cisco investiere.

Irgendwie habe ich noch was vergessen.
Denn wenn ich dem PC 1 welchen du als 192.168.1.2 in deinem Bild hast,
über die pfSense ins Internet gehen lassen will, dann geht das nicht face-sad

PC 1
IP 192.168.1.250 nicht wie im Bild die 192.168.1.2, das da die IP-Cop hat
GW und DNS = 192.168.1.5
geht nicht

Über IP-Cop
IP 192.168.1.250
GW und DNS = 192.168.1.2
geht es
aqui
aqui 26.09.2024 aktualisiert um 09:18:25 Uhr
Goto Top
dann geht das nicht
Dürfte eigentlich nicht sein, denn das ist ja das VLAN-1 am Switch. Leider ist die etwas laienhafte und oberflächliche Beschreibung "ins Internet gehen lassen will" wenig aussagekräftig wie du dir auch selber denken kannst. face-sad
Sinnvoll wäre es gewesen du hättest ein paar mehr Informationen mitgeliefert um klar sagen zu können ob es lediglich ein DNS Problem oder ein Routing Problem ist.

Folgende Infos wären vom .1.2er PC und FW wichtig:
  • ipconfig Output um sehen zu können WIE Gateway und DNS Server eingestellt sind
  • Auf der pfSense im Diagnostics Menü unter Ping einmal einen Ping auf eine Internet IP 8.8.8.8 ausführen und unbedingt als Source Interface das LAN Interface (oben .1.5) setzen!! Das stellt dann sicher das die pfSense LAN basierten Traffic ins Internet routen kann
  • Das gleiche führt man dann mit einen Ping auf einen Hostnamen wie www.heise.de aus. Das stellt dann zusätzlich sicher das die DNS Auflösung auf der pfSense fehlerfrei klappt.
  • Zur Sicherheit führt man ebenfalls im Diagnostics Menü unter DNS/nslookup einen DNS Auflösungscheck durch auf www.heise.de um ebenfalls sicherzustellen das es keinen DNS Fehler auf der Firewall gibt.
  • Als Letztes checkt man noch einmal das Firewall Regelwerk am LAN Port das auch Traffic vom LAN_network (Source) nach ANY (Destination) passieren darf! (Screenshot)
  • Ein Blick ins Firewall Log der pfSense kann auch nicht schaden ob dort relevanter VLAN 1 Traffic zu sehen ist der geblockt wurde.
  • Ist das erledigt kann man sicher sein das zu mindestens die Firewall .1.0er (LAN) Traffic sauber routet und auch die DNS Auflösung ok ist. Die beiden Punkte die Laien oft als "das Internet" bezeichnen...

  • Im nächsten Step gehst du dann zum PC und checkst dessen Adressierung mit ipconfig
  • Dann pingst du einmal das Firewall LAN Interface UND das VLAN 1 Interfaces des Switches. BEIDES sollte klappen!
  • Also nächstens pingst du dann eine nackte IP im Internet wie die übliche 8.8.8.8 von oben.
  • Sofern das geklappt hat dann einen Hostnamen wie www.heise.de pingen. Alternativ ein nslookup www.heise.de oder host www.heise.de ausführen um das DNS Lookup zu testen.
  • Wenn beides geklappt hat dann funktioniert auch "das Internet" von diesem PC.

So sähe eine sinnvolle und strategische Troubleshooting Prozedur aus dessen Ergebnisse du hier hättest posten können, damit man nicht immer und immer wieder diese Dinge einzeln nachfragen muss... 🙄
fitorfun
fitorfun 26.09.2024 um 15:09:57 Uhr
Goto Top
Hallo aqi

ich hab mich ja fast schon nicht mehr getraut zu fragen.

pfSense
screenshot_50
screenshot_52
screenshot_51
screenshot_53

PC VLAN1 hat die IP 192.168.1.250 , da die IP-Cop die 192.168.1.2 hat face-smile

Ethernet-Adapter Ethernet:
Medienstatus. . . . . . . . . . . : Medium getrennt

Ethernet-Adapter Ethernet 2:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) Ethernet Connection (2) I219-V
Physische Adresse . . . . . . . . : 2C-56-DC-xx-xx-xx
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.1.250(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.1.5
DNS-Server . . . . . . . . . . . : 192.168.1.5
NetBIOS über TCP/IP . . . . . . . : Aktiviert

ping 192.168.1.1

Ping wird ausgeführt für 192.168.1.1 mit 32 Bytes Daten:
- Zeitüberschreitung der Anforderung.

komisch, das ist ja der Cisco der im gleichen VLAN hängt.

ping 192.168.1.5
Antwort von 192.168.1.5: Bytes=32 Zeit<1ms TTL=64

ping 192.168.1.2
Antwort von 192.168.1.2: Bytes=32 Zeit<1ms TTL=64

ping 8.8.8.8
Antwort von 8.8.8.8: Bytes=32 Zeit=10ms TTL=115

ping www.heise.de
Ping-Anforderung konnte Host "www.heise.de" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.

nslookup www.heise.de
Server: UnKnown
Address: 192.168.1.5
*** www.heise.de wurde von UnKnown nicht gefunden: Query refused.

DANN DAS GANZE NOCHMAL mit 192.168.1.2 Wo ja die Verbindung nach Aussen über die IP-Cop klappt.

Ethernet-Adapter Ethernet:
Medienstatus. . . . . . . . . . . : Medium getrennt

Ethernet-Adapter Ethernet 2:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) Ethernet Connection (2) I219-V
Physische Adresse . . . . . . . . : 2C-56-DC-xx-xx-xx
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.1.250(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.1.2
DNS-Server . . . . . . . . . . . : 192.168.1.2
NetBIOS über TCP/IP . . . . . . . : Aktiviert

ping 192.168.1.1
Zeitüberschreitung der Anforderung.

ping 192.168.1.2
Antwort von 192.168.1.2: Bytes=32 Zeit<1ms TTL=64

ping 192.168.1.5
Antwort von 192.168.1.5: Bytes=32 Zeit<1ms TTL=64

ping 8.8.8.8
Antwort von 8.8.8.8: Bytes=32 Zeit=10ms TTL=115

ping www.heise.de
Antwort von 193.99.144.85: Bytes=32 Zeit=8ms TTL=248
aqui
aqui 26.09.2024 aktualisiert um 17:08:13 Uhr
Goto Top
Dein Ruleset ist falsch bzw. überflüssig kompliziert! face-sad
Die 3te Regel "IPv4 Source: LAN_subnets... ist völlig sinnfrei und solltest du löschen, da sie ja schon durch die davor liegende Regel "IPv4 Source: 192.168.0.0 /18... vollständig abgedeckt ist.
Dein LAN_subnets ist der Platzhalter für dein LAN IP Netz 192.168.1.0 /24 was ja, wie du sicher auch selber siehst, ebenfalls in der Maske 192.168.0.0 /18 enthalten ist!
Kannst du also ersatzlos löschen

Was du leider vergessen hast ist die Einstellung des DHCP IP Adresspools an der pfSense für das VLAN 1!! face-sad
⚠️ Hier solltest du absolut sicherstellen das die fest vergebenen IP Adressen ausserhalb des Pools liegen um ein mögliches Adresschaos zu vermeiden.
Da die statisch vergebenen IP Adressen idealerweise immer an beiden Enden des Hostadressbereiches liegen solltest du unbedingt darauf achten das diese von der DHCP Vergabe AUSgeschlossen sind ansonsten droht Doppelvergabe!
Unter Service --> DHCP Server also im LAN Interface (VLAN-1) darauf achten das der Pool z.B. auf 192.168..1.20 bis 192.168..1.200 limitiert ist um diese Bereiche sicher auszusparen!
Prüfe das also und passe das ggf. an! 🧐

Wie du an den Ping Checks ja sonst sehen kannst ist an der pfSense Firewall soweit alles in Ordnung. IP Adressierung und Connectivity passt aber leider die DNS Auflösung angeschlossener Clients nicht! face-sad
Hier solltest du an der pfSense prüfen ob dort der DNS Server korrekt eingerichtet wurde wie z.B. HIER beschrieben! Die DNS Auflösung vom PC (nslookup oder host) über die pfSense muss klappen.

Bleibt also sofern der DHCP Server und DNS korrekt konfiguriert ist, als böser Buhmann nur
  • A. der Switch das du dort den pfSense Firewall Port NICHT dem VLAN-1 als Access Memberport zugewiesen hast oder fälschlicherweise als Trunk Port statt Access gesetzt hast oder vergessen hast die PVID auf 1 zu setzen?!
  • oder B. der PC selber
Da du den Cisco vom PC nicht pingen kannst spricht vieles dafür das mit der VLAN Portzuordnung etwas nicht stimmt bzw. auch der Adresszuordnung der VLAN-1 IP Adresse auf das VLAN 1. Auch hier wären Screenshots hilfreich. Da liegt also de facto noch etwas im Argen am Switch Setup!

Diese 2 Baustellen musst du also noch fixen:
  • Port Zuweisung und Mode auf dem Switch für das VLAN 1 für alle 3 beteiligten Ports 2xFirewall und 1x PC. ALLE müssen sich logischerweise untereinander pingen können.
  • DNS Server Setup auf der Firewall
fitorfun
fitorfun 26.09.2024 aktualisiert um 17:55:18 Uhr
Goto Top
Baustelle Nr. 2
DNS Server Setup auf der Firewall

Ok, das habe ich geschafft face-smile Dank dem Link wie man den DNS konfigurieren muss.
ich komme jetzt mit

Ethernet-Adapter Ethernet 2:
Beschreibung. . . . . . . . . . . : Intel(R) Ethernet Connection (2) I219-V
IPv4-Adresse . . . . . . . . . . : 192.168.1.250(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.1.5
DNS-Server . . . . . . . . . . . : 192.168.1.5
NetBIOS über TCP/IP . . . . . . . : Aktiviert

in das Internet

Frage: Muss ich DHCP Verwenden? Ist derzeit aus !!
Dann ich will alle Adressen entweder fest vergeben, oder über
DHCP Static Mappings der jeweiligen MAC zuweisen lassen.

Ich muss jetzt für 3,5 Stunden arbeiten gehen, dann schaue ich mir nochmal an was da an dem Switch im Argen liegt.
Besser noch, wenn ich es nicht gleich finde, nehme ich gleich den grossen Cisco und konfiguriere den nochmal nach den Anleitungen aus diesem Betrag und wenn es nicht geht schreibe ich wo es hängt und gelobe Besserung was die
Beschreibung für dass Troubleshooting anbelangt.
aqui
aqui 26.09.2024 um 18:14:10 Uhr
Goto Top
Frage: Muss ich DHCP Verwenden? Ist derzeit aus !!
Nein, natürlich nicht! Wenn du dort keine dynamischen IPs vergeben willst (was sogar viel Sinn macht bei einem reinen Koppellink) ist kein DHCP erforderlich.
oder über DHCP Static Mappings der jeweiligen MAC zuweisen lassen.
Dann brauchst du natürlich wieder einen. face-wink
nehme ich gleich den grossen Cisco
Einen Catalysten oder was ist für dich "groß"?? 🤔
und gelobe Besserung
Alles gut!! Aber du siehst das zielgerichtetes Troubleshooting schon viel Erkenntnis bringt. face-wink
fitorfun
fitorfun 27.09.2024 aktualisiert um 21:53:47 Uhr
Goto Top
was ist für dich "groß"?? 🤔

Cisco SG350-28 28-Port

Den habe ich jetzt identisch wie den GS300-10 konfiguriert.

Versuche man eine bessere Lagebild zu posten.

screenshot_1
screenshot_2
screenshot_3
screenshot_4
screenshot_5
screenshot_6
screenshot_7

Auf dem PC1 IP 192.168.1.250 GW 192.168.1.5 DNS 192.168.1.5
habe ich folgendes Bild.

screenshot_8
Klappt alles wie erwartet, bis auf die Verbindung ins VLAN10

Auf dem PC im VLAN 10 an der Cisco Port 6 192.168.10.100 GW 192.168.10.1 DNS 192.168.1.5
screenshot_9

Die Geräte die schon den pfSense 192.168.1.5 als GW haben (192.168.1.190) erreiche ich, die anderen mit IP-Cop 192.168.1.2 (192.168.1.191) nicht.
Besser wäre wenn das auch (übergangsweise) ging, dann muss ich nicht so viel auf einmal umstellen und beachten.
Und der Durchgriff zum WAN über die pfSence geht nicht, welche ich aber per ping erreiche.

Die pfSense ist aufgeräumt, hoffentlich richtig face-smile

screenshot_10
screenshot_11
screenshot_12
em-pie
em-pie 27.09.2024 aktualisiert um 22:07:26 Uhr
Goto Top
die anderen mit IP-Cop 192.168.1.2 (192.168.1.191) nicht.
Du musst der IPCop ja auch mitteilen, wohin die Pakete für die VLANs 10, 20 und 30 müssen.

Deine Geräte aus den VLANs kommen zwar zu IPCop, die IPCop will die Antworten aber ins WAN senden, weil du der Kodte nicht gesagt hast:
192.168.10.0/24 sollen zur IP 192.168.1.1 gesendet werden (gleiches für die anderen beiden VLANs)

Und natürlich noch passende Firewall-Regeln in der IPCop anlegen…
fitorfun
fitorfun 27.09.2024, aktualisiert am 29.09.2024 um 22:45:11 Uhr
Goto Top
Das hab ich befürchtet, das geht nicht mit der GUI face-sad

OK! Das habe jetzt so gemacht in der rc.event.local

# Statische Route zum Cisco
   if [ ${1} == "network" -a ${2} == "up" ]; then  
       /sbin/ip route add 192.168.10.0/24 via 192.168.1.1
   fi

Eine Regel beim IPCop habe nicht erstellt. da ich ja das VLAN 10 über die pfSence ins WAN bringen will un dnicht über IP-Cop.

leider keine Veränderung
em-pie
em-pie 28.09.2024 um 09:24:54 Uhr
Goto Top
Eine Regel beim IPCop habe nicht erstellt. da ich ja das VLAN 10 über die pfSence ins WAN bringen will un dnicht über IP-Cop.
Doch. Du musst eine Regel anlegen, die sagt, dass eingehender Vekehr von 192.168.10.0/24 an 192.168.1.0/24 erlaubt ist.


Stell dir vor, du bist ein Datenpaket mit einer blauen Mütze (VLAN10) und willst deinem Kumpel mit der weißen Mütze (VLAN1) besuchen. Ihr wohnt beide im selben Haus (LAN). Deine Tür ins Treppenhaus (Gateway) ist aber derzeit noch eine andere als die deines Kumpels. Zudem steht an jeder Tür ein Türsteher (Firewall). Du musst erst am Türsteher vorbei, der dich fragt, wohin du willst. Wenn das auf seiner „erlaubt“-Liste steht, geht es durch die Tür zum Wegweiser (Routing-Tabelle)
Wenn jetzt aber der Türsteher an deiner Tür nicht weiß, dass du zu deinem Kumpel darfst, bringt dir der Wegweiser nichts. Wenn du auf der Liste des Türstehers stehst, aber am Wegweiser nicht steht, wo du deinen Kumpel finden kannst, wirst du immer zur Haustür (WAN) geschickt. Und im WAN findest du deinen Kumpel nicht…
aqui
aqui 28.09.2024 aktualisiert um 10:02:05 Uhr
Goto Top
Cisco SG350-28 28-Port
Im Hinblick auf das Cisco Produkt Portfolio ist der SG350-28 28-Port aber ein Fliegengewicht! face-wink

Den habe ich jetzt identisch wie den GS300-10 konfiguriert.
Das hast du dann falsch gemacht! face-sad
Wurde dir oben ja auch schon mehrfach gesagt... Wenn der 350er dein zentraler Layer 3 Core Switch ist, also der der routet, dann muss kein anderer Switch mehr in deinem Netzwerk routen. Folglich sollte man das Setting "IPv4 Routing" deaktivieren damit dieser Switch wie alle anderen auch im Layer 2 arbeitet. Das sichert dein netzwerk und bewahrt dich vor bösen Backdoor Routes. Also auch mal das umsetzen was man dir zur Optimierung rät!

die anderen mit IP-Cop 192.168.1.2 (192.168.1.191) nicht.
Das ist vermutlich erwartbar weil die hier wieder mal 2 Fehler gemacht hast. Kollege @em-pie hat es oben schon alles gesagt.
  • Das Regelwerk am LAN Port des IP-Cop vergessen anzupassen das der Traffic mit Absenderadressen von allen VLANs (192.168.0.0 /18) annimmt!! Fehlt diese Regel blockiert der IP-Cop logischerweise immer Traffic aus diesen VLAN Netzen!!
  • Der IP-Cop hat keine statische Route auf die VLAN IP Netze. Ausserdem ist deine statische Route auch falsch, denn sie deckt nicht alle VLANs ab! Richtig ist: ip route add 192.168.0.0/18 via 192.168.1.1 was dann alle VLANs abdeckt.
Entweder einer oder beide Fehler verhindern das der IP Cop nicht pingbar ist. Wurde oben schon mehrfach genannt. Für den IP-Cop gelten doch gleiche Regeln wie für die pfSense... face-sad

Die pfSense ist aufgeräumt, hoffentlich richtig
Fehlte noch der wichtigste Screeshot: face-wink
localrou1
localrou2
fitorfun
fitorfun 28.09.2024 aktualisiert um 10:35:36 Uhr
Goto Top
Doch. Du musst eine Regel anlegen, die sagt, dass eingehender Vekehr von 192.168.10.0/24 an 192.168.1.0/24 erlaubt ist.

Genau da waren wieder meine Probleme.
Wo in der IPCop kann man das wieder einstellen?
fitorfun
fitorfun 28.09.2024 um 10:48:34 Uhr
Goto Top
dann muss kein anderer Switch mehr in deinem Netzwerk routen

Klar. der andere ist solange ausgesteckt face-smile
fitorfun
fitorfun 28.09.2024 um 10:50:59 Uhr
Goto Top
Im Hinblick auf das Cisco Produkt Portfolio ist der SG350-28 28-Port aber ein Fliegengewicht!

aber besser als der SG300-10?
em-pie
em-pie 28.09.2024 um 11:27:13 Uhr
Goto Top
Zitat von @fitorfun:

Doch. Du musst eine Regel anlegen, die sagt, dass eingehender Vekehr von 192.168.10.0/24 an 192.168.1.0/24 erlaubt ist.

Genau da waren wieder meine Probleme.
Wo in der IPCop kann man das wieder einstellen?
Steht doch alles im Handbuch:

https://www.ipcop.org/2-0-0/de/admin/html/firewall-fwrules.html
fitorfun
fitorfun 28.09.2024 um 11:29:16 Uhr
Goto Top
Fehlte noch der wichtigste Screeshot:

Habe ich natürlich genau so face-smile
aqui
aqui 28.09.2024 aktualisiert um 17:51:19 Uhr
Goto Top
aber besser als der SG300-10?
Ja, aber schlechter als ein Catalyst... face-wink
Wo in der IPCop kann man das wieder einstellen?
Mit solchen wirklich essentiellen Dingen einer Firewall sollte man sich aber schon auskennen. 🧐
Es ist doch ziemlich sinnfrei eine Firewall zu betreiben bei der das Regelwerk an allen Ports auf "Durchzug" steht. Sowas kann man dann auch gleich ganz weglassen und ein Patchkabel nehmen!
IP-Cop Screenshots würden hier helfen. Und... Antwortthreads kann man auch intelligent zusammenfassen. face-wink
Headcrach
Headcrach 28.09.2024 um 16:49:17 Uhr
Goto Top
Moin,

was ich nicht verstehe, das Du nicht Dein Netzwerk einfach neu aufbaust. Sprich Du richtest den Cisco SG350 als Core Switch ein testest ob der Sauber über das Managendnetzwerk sauber ins I-Net arbeitet. Dann ziehst DU Deine Geräte rüber und prüfst ob diese auch sauber arbeiten und zum Schluss machst Du den laden mit der Firewall zu.

Den so wie ich die letzten Beiträge versteh, versuchst Du in deinem laufen Netzwerk das um setzen und es kommt immer wieder zu Fehlern.

Ist aber nur ein Tipp von mir.

Gruß
fitorfun
fitorfun 29.09.2024 aktualisiert um 11:03:32 Uhr
Goto Top
Hallo zusammen,

vielleicht wiederhole ich mal was ich mache und warum.

Ich habe derzeit:

Ein bestehendes Netzwerk im 192.168.1.X
welches über die IP-Cop eine IP Adresse aufgrund ihrer MAC Adresse bekommen.

IP-Cop
Jeder Verkehr vom LAN (Red) zum WAN (Green) ist geblockt.
Jeder Verkehr vom LAN (Green) zum WAN (Red) ist geblockt.
Alle MAC Adressen, welche ins WAN dürfen sind explizit freigegeben.
Gäste die öfter bei uns sind bekommen über den gleichen Weg auf Zugang zum Internet.
WLAN machen ein paar UniFi's

Soweit was alles gut und sicher. (ich denke wieder mal)

Warum ich daran was ändern möchte:
Hauptproblem
Prio 1)
Durch diverse Hausautomationen gehen mir langsam die IP Adressen aus.
Deshalb der Wunsch nach VLAN, damit man den Umstieg langsam machen kann und
weitere IP Adressen zur Verfügung hat.

Prio 2)
Was ich mit einem neuen Aufbau auch gleich ändern würde.
A) Firewall auf neue Beine stellen
B) Geräte welche miteinander kommunizieren, in eigene VLANS.
zB. - IP Cams und Aufzeichnung Filer in eigens VLAN
- Homeautomation in eingenes Vlan
- Gäste in eigens VLAN
Klar ist das man bis auf das Gäste VLAN die Verbindung der VLAN untereinander braucht.
C) Zugriff auf die Home Assistant von unterwegs.
Entweder per Wiregard VPN, oder Regel mit Zugriff auf nur den Home Assistant Server.

Vorgehen:
Deshalb habe ich mir den Cisco Layer3 aus dem Netzwerk genommen zum testen.
Dort stecke ich alle Geräte an welche ich testen möchte.
Er hängt nur mit einem Beinchen im VLAN 1.
Die neue Firewall pfSence ist im Moment noch offen so wie die Standardeinstellung
Soll aber später auch nur noch bestimmte IP's und VLANs nach WAN lassen.

Der Aufbau wie ihn aqui in seinem Bild beschreiben hat, soll laut aussagen hier auch kein Hexenwerk sein.
screenshot_13

Mit solchen wirklich essentiellen Dingen einer Firewall sollte man sich aber schon auskennen.
Was eine Firewall macht und wir ich die alte eingesetzt ist war auch kein Problem.
Aber eine Route von Green 192.168.0.0/18 zu Green 192.168.1.1 lässt sich nicht anlegen.
Die Doku ist mir bekannt, war aber nicht hilfreich in dem Fall.
Habe es mit dem was mir an wahrscheinlichsten erscheint versucht. Interner Traffic.
das snd die möglichekeinten der ip-cop
screenshot_4

Ja, aber schlechter als ein Catalyst...
Und dann werde ich mich wohl diese Woche nochmal schlau machen müssen ob ich vom Preis Leistungsverhältnis den richtigen Cisco gewählt habe, oder ob ich den SG350 wieder zurückschicke und einen Catalyst bestelle.
Headcrach
Headcrach 29.09.2024 aktualisiert um 11:33:54 Uhr
Goto Top
Moin,

Vorgehen:
Deshalb habe ich mir den Cisco Layer3 aus dem Netzwerk genommen zum testen.
Dort stecke ich alle Geräte an welche ich testen möchte.

In meinen Augen richtig. Weil sonst drehst Du Dich in meinen Augen im Kreis.

Er hängt nur mit einem Beinchen im VLAN 1.

Das VLAN1 ist ein reines Management Netzwerk. Sprich von dort kannst Du alle Switche ansprechen und konfigurieren. Da hat sonst nichts anderes zu suchen außer der PC mit dem Du Änderungen im Netzwerk machen möchtest.

Die neue Firewall pfSence ist im Moment noch offen so wie die Standardeinstellung

Die sollte als Letztes kommen. Auch wenn es komisch anhört, nur kannst Du dadurch nicht sehen, ob es ein Fehler in der Config ist oder ob die Firewall Dir in die Suppe spuckt

Soll aber später auch nur noch bestimmte IP's und VLANs nach WAN lassen.

Das ist später dran. Erstmal müssen alle Geräte laufen, weil Du hast sonst drei Baustellen auf einmal.

Der Aufbau wie ihn aqui in seinem Bild beschreiben hat, soll laut aussagen hier auch kein Hexenwerk sein.

Ist es auch nicht. Wenn man strukturiert daran geht.

Ja, aber schlechter als ein Catalyst...
Und dann werde ich mich wohl diese Woche nochmal schlau machen müssen ob ich vom Preis Leistungsverhältnis >den richtigen Cisco gewählt habe, oder ob ich den SG350 wieder zurückschicke und einen Catalyst bestelle.

Dein Cisco SG-350 ist vollkommen ausreichend. Das einzige wo Du Dir Gedanken machen muss ist, ob Du mit den 24 Port auskommst und ob Du noch POE brauchst.

Zudem würde ich den IPCop rauswerfen. Der wird seit Jahren nicht mehr supportet und MAC Zulassungen müssten die PfSense Firewall wohl auch schaffen.

Meine Vorgehensweise als ich mein Netzwerk umgebaut habe.

  • planen wie viele VLAN Du haben möchtest und welche Geräte in dieses VLAN sollen.
  • Prüfen, welche Geräte feste IP-Adresse bekommen sollen, um dann den DHCP Bereich zu bestimmen.
  • Core Switch einrichten (VLAN, DHCP Bereiche, Routing) etc.
  • Testen, ob der Test-PC ins I-Net kommt.
  • VLAN gegenseitig abriegeln, wenn es gewünscht ist über ACL Reglen.
  • Geräte in die VLAN einbinden und prüfen, ob diese dann sauber arbeiten.
  • Firewall aufbauen und einrichten und wieder mit Test-PC prüfen, ob es auch so klappt.

Alles andere ist in meinen Augen nicht effektiv und Du drehst Dich immer wieder im Kreis.

Somit noch ein schönes Wochenende und viel Spaß bei Deinem Projekt.

Gruß
aqui
aqui 29.09.2024 aktualisiert um 19:40:46 Uhr
Goto Top
Jeder Verkehr vom LAN (Red) zum WAN (Green) ist geblockt
Ooops...seit wann ist denn das "gute" LAN nun mit einmal rot und das böse Internet (üblicherweise rot) nun gut und grün?! Verdrehte Welt im Hause @fitorfun.
Entweder per Wiregard VPN
Warum so eine überflüssige Frickelei wenn man es mit den bordeigenen Systemen ALLER Betriebssysteme deutlich sicherer und performanter auf der pfSense machen kann?!
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Aber eine Route von Green 192.168.0.0/18 zu Green 192.168.1.1 lässt sich nicht anlegen.
Das ist Quatsch, denn die Route lässt sich natürlich anlegen. Geht übrigens nur über das CLI und nicht im GUI wie du ja auch selber schon erkannt hast!!
Oben redest du von einer Firewall Regel!! IP Routen und Regeln sind Fisch und Fahrrad. Das weiss sogar jeder Laie. Wenn du also so einen Unsinn verzapfst und versuchst eine Route als Regelwerk anzulegen ist das doch logisch das Murks dabei rauskommt! Du hast es ja nicht einmal geschafft die rote Überschrift des GUIs zu lesen "Neue Regel hinzugfügen"! face-sad
Neue Route hinzufügen steht da de facto nicht. Mal ganz abgesehen das eine Route eben auch nicht über das GUI konfigurierbar ist. Hatten wir oben doch schon alles...
Korrekt lautet die Regel
  • Schnittstelle: Grün
  • Quelle: IP, Netzwerk, 192.168.0.0 /18
  • Ziel: ANY
  • Regelaktion: ACCEPT
Die Doku ist mir bekannt, war aber nicht hilfreich in dem Fall.
Zwischen Regel und Route unterscheidet auch die Doku! face-wink
fitorfun
fitorfun 29.09.2024, aktualisiert am 30.09.2024 um 17:49:01 Uhr
Goto Top
Natürlich wieder mal ein copy paste Fehler von mir.

Dann nochmal:
Jeder Verkehr vom WAN (Red) zum LAN (Green) ist geblockt.
Jeder Verkehr vom LAN (Green) zum WAN (Red) ist geblockt.
Auch im Hause fitorfun ist die Welt normal, wenn auch kurz vor der Aufgabe dieses Projektes.

IPCOP:
Das hatte ich der rc.event.local eingetragen.
Das wäre also die Route.

# Statische Route zum Cisco
   if [ ${1} == "network" -a ${2} == "up" ]; then    
       /sbin/ip route add 192.168.10.0/24 via 192.168.1.1
   fi

Eine Regel beim IPCop hatte aber nicht erstellt.
Das ich trotzdem noch eine Regel brauche hat mir @em-pie weiter oben geschrieben.

Und das,
Aber eine Route von Green 192.168.0.0/18 zu Green 192.168.1.1 lässt sich nicht anlegen.
Was natürlich auch Regel gemeint.

Es tun mir Leid, @aqui
aber ich bin nicht nur zu doof das Richtige anzulegen, mittlerweile auch nicht mehr in der Lage richtig zu schreiben was ich meine.