Routing von VLANs untereinander und zur Firewall Cisco GS300

Ahh, OK
Dann folgende Annahme:
Du hast 3 VLANs
VLAN 1: dein Aktuelles Netz 192.168.2.0/24
VLAN 20: 192.168.20.0/ 24
VLAN 30: 192.168.30.0/ 24

Der Cisco bekommt in jedem VLAN die IP
192.168.x.2

Alles Endgeräte erhalten in ihrem VLAN dann als Default-Gateway 192.168.x.2. DNS wird 192.168.2.1 (IP der Firewall)
Damit sollten alle Geräte dann VLAN übergreifend kommunizieren können, da dein Cisco ja im Layer3 Modus arbeiteit.
Hinweis: wenn du Windows-Systeme im VLAN 1 einsetzt, wird die dortige Windows-Firewall den Traffic aus den anderen VLANs blocken. Da musst du die Firewall auf den Windows-Kisten anpassen.

Routing sollte auch im Jahr 2024 effizient designt werden.
Etwas Aufmerksamkeit für Net, Netting und Supernetting schadet nicht.

Vielleicht sich hier noch ein Netzwerker, der helfen kann

Der TO routet seine VLANs ja auf seinem Cisco SG300 Layer 3 Routing Switch und nicht auf der Firewall versteht man ihn in seiner Beschreibung richtig! Er setzt also ein Layer 3 VLAN Konzept um!
Das o.a. L2 Tutorial ist dann weniger zielführend.
Für ihn gilt dann das Layer 3 VLAN Tutorial mit einem L3 Switch!
Dort ist dann auch der erste Schritt für ihn berücksichtigt.
Der TO muss sich aber entscheiden WAS er später in einem finalen Design umsetzen will, da oben im Nebensatz auch von einer pfSense die Rede ist?! Hier fehlt also eine klare Designvorgabe vom TO für das am Ende angestrebte Netzwerk Setup.
Es geht entweder nur L3 Konzept = VLAN Routing auf dem Switch oder L2 Konzept = VLAN Routing auf der Firewall.
Hybride Konzepte sind auch denkbar indem man sicherheitsrelevante VLANs (Accesslisten am L3 Switch sind nicht stateful) bei einem L3 Konzept einfach nur als Layer 2 VLANs am L3 Switch ohne dortige IP Adressierung "durchschleift" und auf der FW routet. Das ist aber eher etwas für Firmennetze und verkompliziert in einfachen Heimnetzen nur unnötig das Setup und Management.

Danach sollte er also strikt vorgehen zumal es auch alle detailierten Setup Schritte für den SG300 zeigt.
Ein L3 Switch routet im Gegensatz zur Firewall immer ohne Regelwerk alles. Es sind also keine weiteren Schritte erforderlich wenn man die VLAN IP Adressen gesetzt hat.
Das das Default Gateway der jeweiligen Endgeräte in diesen VLANs auf diese jeweilige Switch VLAN IP zeigen muss, sollte auch einem Entwickler klar sein. Statische Routen auf der davorgeschalteten Firewall ebenso. Die DNS IP der Clients zeigt auf die Firewall IP. Steht alles im Tutorial... Lesen und verstehen...! 😉

Moin,
ich habe zwar keine Cisco SG mehr. Aber bei mein CBS Switch muss ich auf erweitere Darstellung gehen. Dann finde ich diesen Punkt.

Gruß

Das das ICMP Protokoll (Ping) bei deinem vermutlich Winblows Laptop per Default deaktiviert ist hast du auf dem Radar?? 🧐
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Wird hier pro Woche gefühlt 10mal vergessen und ist es vermutlich auch bei dir?!
Über das Diagnostics Menü der pfSense solltest du mit Ping und DNS nslookup VORHER absolut sicherstellen das diese auch sauber funktioniert und korrekte Regelwerke an den Interfaces gesetzt sind. Achte auf die korrekten Absender IP Adressen!
Bei einem L3 Setup (Switch und NUR der Switch routet die VLANs!!) achte darauf das die pfSense die statische Route zu den VLANs eingetragen hat! (Siehe L3 Tutorial!)

Einen groben Kardinalsfehler hat dein gesamtes Setup dennoch!
Du hast das VLAN Routing sowohl auf der Firewall als auch auf der pfSense konfiguriert und damit ein L2 und L3 Konzept parallel aufgesetzt wozu dir oben dringenst abgeraten wurde!!!
Entscheide dich also:

• L2 Konzept = Kein VLAN Routing auf dem Switch! = Kein L3 Mode auf dem Switch! (L2 Mode only, Keine VLAN IP Adressen auf dem Switch) = VLAN Setup und Routing NUR auf der Firewall!
• L3 Konzept = Kein VLAN Setup (und IPs dazu) auf der Firewall! VLAN Routing macht ausschliesslich NUR der Switch = L3 Mode aktiv, VLANs und IPs dazu einzig NUR auf dem Switch!

Das sind deine beiden "entweder oder" die du leider wirr parallel installiert hast was ein Scheitern des Setups wahrscheinlich macht.
Sortiere also zuallerst einmal für dich WELCHES der zwei VLAN Konzepte du überhaupt umsetzen willst!!! Du solltest schon die Antwort Threads lesen und dann befolgen was man dir hier rät! 🧐

für geöhnlich bekommen nur Switche, Firewalls, Drucker, AccessPoints, SmartHome-Devices, Drucker, etc. feste IP-Adressen. die werden aber direkt am Gerät eingetragen und nicht via "MAC-Reservierung". Das wäre viel zu aufwändig zum pflegen.
Clients (Laptops, PCs, Handys, Tablets, ...) bekommen eine dynamische IP vom DHCP-Server. Die Lease am DHCP-Server stellt man dann auf z. b. 3 Tage ein. werden die IPs nach 3 Tagen nicht mehr genutzt, gibt der DHCP-Server die für das nächste Gerät frei. Meldet sich der Client innerhalb von 3 Tagen, behält er wiederum die IP
@work haben wir im Gäste-WLAN sogar eine Lease von 12h.

DHCP-Server sollte in deinem Fall am pfiffigsten die pfSense "spielen". sollte der SG300 mal getauscht werden, musst du nicht alles neu einrichten. Es gibt hier aber auch nicht DIE Lösung, sondern (persönliche) Empfehlungen aufgrund von Erfahrungen.

Warum siehst du nicht selber einmal ins pfSense GUI?! Dann müsstest du diese Frage gar nicht erst stellen... 🙄

Hast du auch den Display Mode auf "Advanced" gestellt??
Das ist FALSCH!
Das VLAN 1 ist das native VLAN und wird niemals getagged! Das Native oder PVID VLAN wird immer UNtagged übertragen!
Außerdem sind alle deine Ports falsch als Trunk Port Mode (Tagged Uplink) gesetzt. Auf einem L3 Switch ist das völlig sinnfrei, denn dort müssen keine Ports getagged werden und sind immer im Access Mode. Generell sind alle Endgeräte Ports (PCs, Drucker usw.) immer im Access Port Mode und werdenn dann statisch dem VLAN zugewiesen in dem sie arbeiten sollen. Stelle das also zumindestens für ALLE Endgeräte Ports entsprechend um und weise diese Ports fest einem VLAN zu!

Bis auf den falschen Port Mode der Endgeräte Ports (müssen im Access Mode sein!) sieht das soweit schon ganz gut aus.
Fragen die weiter offen sind und du nicht beantwortet hast:

• Hast du die statische Route auf der IPCop Firewall gesetzt auf deine am Switch eingerichteten VLAN IP Netze?? Dort sollte sowas stehen im Routing wie: Ziel: 192.168.0.0 Maske: 255.255.224.0 Gateway: 192.168.1.1 (Siehe dazu auch HIER!)
• Passt das Firewall Regelwerk auf der IPCop zu den VLAN IP Netzen?
• Kannst du...
• von einem Test PC im .1.0er Netz VLAN-1 (Gateway, Address Check mit ipconfig) die IP des SG300 im VLAN 1 pingen? (192.168.1.1)
• von einem PC im .1.0er Netz die IP des SG300 im VLAN 10, 20 und 30 pingen?
• von einem PC im VLAN 10 (Port 5 z.B. und Gateway, Address Check mit ipconfig) die IP des SG300 im VLAN 10 pingen und danach die IPs der VLANs 1, 20 und 30 sowie der Firewall IP .1.2? (Letzteres natürlich nur sofern die Firewall ICMP Zugang (Ping) im Regelwerk erlaubt!

Moin,


Ist ja klar. Zur Zeit gibt es bei Dir im Netzwerk keine Regeln und somit ist alles erlaubt.


Also normalerweise gibt es zwei Möglichkeiten:
Der Router übernimmt die Netzwerk-Verwaltung oder Du gibst ein Switch die Aufgabe.
Wobei Du überlegen solltest wie viele Switche Du brauchst. Weil ein Großer kann ob sparsamer sein als 3 kleine.
Aber wie @aqui schon geschrieben hat. Einmal ein Plan für die Struktur machen und dann umsetzen. SO habe ich das auch gemacht. Anders läufst Du sonst immer wieder nach links oder rechts.

Gruß

OK, der Pingcheck zeigt das das Layer 3 Routing auf deinem SG300 Switch fehlerlos funktioniert!
Ebenfalls stimmen die VLAN Zuweisungen der Access Ports. Ein VLAN kann ja immer nur einem Access Port fest zugewiesenen werden. Logisch das er für die anderen dann "Excluded" ist. Also alles richtig gemacht! 👍
Du solltest dir aber dringenst noch einmal ein paar wesentliche Grundlagen zum VLAN Handling durchlesen. Hier hast du noch etliche Defizite im Verständnis! 🧐
Dein Netzwerk sollte dann so aussehen:


Das kann mehrere Gründe haben...
Dadurch das du von diesem VLAN 10 Test PC alle Gateway IPs auf dem Switch pingen kannst kann man davon ausgehen das die IP Adressierung dieses Test PCs korrekt ist (ipconfig, IP: 192.168.10.x /24, Gateway: 192.168.10.1) Das passt also sehr wahrscheinlich.

Bleibt als Fehlerquelle also 2 Optionen:

• 1. Fehlende lokale Firewall Einstellungen an den Geräten in VLAN 1
• 2. Fehlende statische Route auf der IPCop Firewall für die 3 VLAN Netze am Switch

Zu 1.:
Wie du aus dem Schaubild oben ja sehen kannst erreichen Pakete vom PC 10 (VLAN 10) den PC 1 (VLAN 1) mit einer .10.x Absender IP. Sofern dieser PC ein Winblows PC ist und die lokale Windows Firewall nicht entsprechend customized wurde wie schon oben beschrieben, dann blockt sie generell ALLES was von fremden IP Netzen bei ihr eingeht. Sie selber sitzt ja im .1.0er Netz und ankommen tut etwas vom .10.0er Netz also Blocking. Dazu kommt noch das ICMP Traffic (Ping) generell geblockt ist wenn es nicht entsprechend angepasst wurde! ⚠️ Beachte das wenn du Winblows Geräte pingst. Natürlich auch wenn du andersrum pingst also ein VLAN 1 Windows auf ein VLAN 10, 20 oder 30 Windows.
Hier ist es immer sinnvoller zuerst andere Geräte wie Drucker usw. in den anderen Netzen zu pingen die keine lokale onboard Firewall haben!

Gleiches gilt für die IP Cop Firewall!! Erlaubt diese mit ihrem Regelwerk am LAN Interface (VLAN 1) lediglich eingehenden Traffic aus dem .1.0er Netz werden ALLE IP Pakete aus deinen neuen VLAN s 10 bis 30 vom IP Cop geblockt! Hier musst du also auch ggf. das IP Cop Regelwerk am LAN Port anpassen!!

Zu 2.:
Sehr wahrscheinlich haben alle Endgeräte wie z.B. der PC 1 im VLAN 1 die IP Adresse der IP Cop Firewall als Default Gateway eingetragen?! Das bewirkt das Traffic von und zu fremden IP Netzen immer an die Firewall geschickt werden.
Fehlt der Firewall die oben angegebene statische Route auf alle deine VLAN IP Netze, dann schickt sie diesen Traffic immer an ihre default Route zum Provider ins Internet und damit dann ins Nirvana. Prüfe alsp das du unbedingt diese statische Route gesetzt hast!! Achte dabei besonders auf die richtige Subnetzmaske von 255.255.224.0 (19 Bit) was alle IP Netze von .0.0 bis .31.0 an den VLAN Switch sendet! (Siehe dazu auch HIER Lesen und verstehen..!!).

Prüfe also diese 2 wichtigen Punkte auf Fehler! In einem oder beiden hast du einen solchen Fehler begangen. Wenn du den eliminierst rennt auch alles wie es soll und das Tutorial es beschreibt!

@fitorfun Kleiner Tip den auch @aqui Dir ganz vorne schon geschrieben hat. Das VLAN1 würde ich nicht als Arbeitsnetzwerk nutzen sondern nur als Management-Netzwerk nutzen.

Gruß

Moin,


Das hat doch @aqui schon in der einen Mail geschrieben.


Kleiner Tip. Schmeiß mal alles raus was stören kann. Also nur Router und Switch. Keine Firewall oder sonst was.

Gruß

Wenn das weiter so ist, dann gibt es dafür nur 2 Gründe:

• 1. Die statische Route am IP-Cop zu den VLAN IP Netzen fehlt!
• 2. Das Firewall Regelwerk am LAN Port verbietet eingehenden Traffic aus den VLAN 10 bis 30 Netzen und lässt nur .1.0er Traffic passieren! Wenn das Gateway der VLAN 1 Geräte auf den IP Cop zeigt geht Return Traffic durch die FW. Ebenso wenn die Endgeräte kein ICMP Redirect supporten.

Diese 2 Punkte musst du checken!
Die pfSense hat dafür übrigens einen sinnvollen Schalter um lokalen Traffic von der Firewall auszunehmen! 😉 Vermutlich hat IP Cop das auch?!

Kollege @Headcrach hat es oben schon geschrieben: Du kannst das testweise einmal umgehen wenn du das Gerät in VLAN 1 was du aus den anderen VLANs erreichen willst einmal temporär die Gateway IP 192.168.1.1 gibst, also den Switch. Damit umgehst du dann erstmal die ggf. fehlende Route und/oder das fehlerhafte Regelwerk in der IP Cop Firewall.
Sollte es dann erwartungsgemäß fehlerfrei klappen, dann bestätigt das den Verdacht das einer der beiden o.a. Punkte oder auch beide in der Firewall falsch oder fehlerhaft konfiguriert sind!

Moin,

Kannst du denn von der IPCop die Devices pingen?
Das muss ja auch klappen.
Alternativ mal das Zielgerät im VLAN1 mal dahingehend ändern, dass es die IP Adresse des Switches (192.168.1.1) als Gateway erhält.
Bei der Gelegenheit: ändere ab, dass deine ganzen Geräte eine IP per DHCP- erhalten. Du wirst Spaß bekommen, wenn du mal einen ungeplanten Stromausfall hast und das Gerät mit dem DHCP-Server als letztes Startet. Bestenfalls holen sich deine ganzen Geräte die IP, sobald wieder ein DHCP-Server gefunden wurde. Schlimmstenfalls musst du dieses Gerät Neustarten. Wenn das bei 150 deiner 200 erforderlich wird: viel Spaß.

Du kannst an den Geräten selbst die IP-Adressen nebst DNS/ GW/ … fix einstellen.
In einer Text-Datei notierst du dann, welches Gerät welche IP hat.