90948
Mar 10, 2014, updated at 06:50:14 (UTC)
7899
7
0
Routing zwischen VLAN mit Cisco RV320
Hallo allerseits,
wir haben uns den Cisco RV320 Dual-WAN Router zugelegt damit wir zum einen unsere beiden DSL-Anschlüsse zusammenlegen wollen, zum anderen soll dieser zwischen den VLAN's in unserem Intranet als Router betrieben werden.
WAN ist kein Problem aber das routen zwischen den VLAN's bekomm ich nicht hin. Folgendes hab ich bereits ausprobiert:
- VLAN's angelegt und jeweils einem LAN-Anschluss als UNTAGGED zugewiesen
- Haken gesetzt für InterVLAN Routing gesetzt
- Firewall regeln gesetzt die den Traffic zwischen den Netzen zulassen soll (generell zum testen den gesamten Traffic freigeschalten)
- Ping auf den Cisco, welcher vom jeweiligen Subnetz aus auch erfolgreich ist.
- Ping vom VLAN 1 auf IP-Adresse VLAN 10 des Cisco Routers ist erfolgreich
Scheitern tut:
- Ping von der Weboberfläche des Cisco auf ein anderes Subnetz, welches nicht im VLAN 1 (Default VLAN des Cisco) liegt funktioniert nicht.
- Ping auf einen Rechner im anderen VLAN
Im Systemprotokoll des Cisco werden die jeweiligen Ping's auch angezeigt und als ACCESS Rule markiert.
Kann mir da bitte einer helfen was ich falsch mache?
Gruß Reini
wir haben uns den Cisco RV320 Dual-WAN Router zugelegt damit wir zum einen unsere beiden DSL-Anschlüsse zusammenlegen wollen, zum anderen soll dieser zwischen den VLAN's in unserem Intranet als Router betrieben werden.
WAN ist kein Problem aber das routen zwischen den VLAN's bekomm ich nicht hin. Folgendes hab ich bereits ausprobiert:
- VLAN's angelegt und jeweils einem LAN-Anschluss als UNTAGGED zugewiesen
- Haken gesetzt für InterVLAN Routing gesetzt
- Firewall regeln gesetzt die den Traffic zwischen den Netzen zulassen soll (generell zum testen den gesamten Traffic freigeschalten)
- Ping auf den Cisco, welcher vom jeweiligen Subnetz aus auch erfolgreich ist.
- Ping vom VLAN 1 auf IP-Adresse VLAN 10 des Cisco Routers ist erfolgreich
Scheitern tut:
- Ping von der Weboberfläche des Cisco auf ein anderes Subnetz, welches nicht im VLAN 1 (Default VLAN des Cisco) liegt funktioniert nicht.
- Ping auf einen Rechner im anderen VLAN
Im Systemprotokoll des Cisco werden die jeweiligen Ping's auch angezeigt und als ACCESS Rule markiert.
Kann mir da bitte einer helfen was ich falsch mache?
Gruß Reini
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 232151
Url: https://administrator.de/contentid/232151
Printed on: April 23, 2024 at 16:04 o'clock
7 Comments
Latest comment
Das übliche Problem mit VLAN1 und/oder default VLAN.
Theoretsich gibt es keine Verbindung zwischen den beiden Begriffen.
Ein Default VLAN ist eines, das verwendet wird, wenn auf einem getaggten Port ungetaggte Pakete ankommen. So hat man die Chance Geräte anzuschließen, Erweiterungen vorzuenhemn, Geräte aus zu tauschen, ohne die Verbindng zu verlieren.
Wenn jetzt das VLAN1 als Produktiv-VLAN und als default-VLAN (für die Administration) genutzt wird kommt es zu Ergebnissen, die man bei einer sauberen Implementierung nicht hätte, oder eben zu Missverständnisssen.
Aber mir fällt auf, dass du zwar InterVLAN Routing aktiviert hast, aber keine VLANS angelegt sind. Also gibt es kein InterVLAN.
speziell: http://sbkb.cisco.com/CiscoSB/Loginr.aspx?login=1&pid=2&app=sea ...
Gruß
Netman
Theoretsich gibt es keine Verbindung zwischen den beiden Begriffen.
Ein Default VLAN ist eines, das verwendet wird, wenn auf einem getaggten Port ungetaggte Pakete ankommen. So hat man die Chance Geräte anzuschließen, Erweiterungen vorzuenhemn, Geräte aus zu tauschen, ohne die Verbindng zu verlieren.
Wenn jetzt das VLAN1 als Produktiv-VLAN und als default-VLAN (für die Administration) genutzt wird kommt es zu Ergebnissen, die man bei einer sauberen Implementierung nicht hätte, oder eben zu Missverständnisssen.
Aber mir fällt auf, dass du zwar InterVLAN Routing aktiviert hast, aber keine VLANS angelegt sind. Also gibt es kein InterVLAN.
- Weg 1: VLANs anlegen und die Uplinks getaggt setzen.
- Weg 2: Statisches Routing verwenden.
speziell: http://sbkb.cisco.com/CiscoSB/Loginr.aspx?login=1&pid=2&app=sea ...
Gruß
Netman
Hi,
danke für die schnelle Antwort. VLAN's sind natürlich schon noch angelegt habe ich nur vergessen in der oberen Nachricht zu erwähnen. Dass mit dem Default VLan hatte ich schon in Verdacht jedoch konnte ich bis jetzt diesen nicht bestätigen. Dann muss ich mal schauen dass ich das Default VLAN im Betrieb mal umstelle ist ja zum glück nich viel.
Statisches Routen funktioniert in dem Fall nich ich Probier es mal mit anderen VLAN's und hau VLAN 1 als Produktives vlan raus. Danke für den Link. Ist auch das erste mal dass ich mit Cisco zu tun hab hab davor nur Pfsense verwendet da kann man routen wie man es braucht.
Gruß Reini
danke für die schnelle Antwort. VLAN's sind natürlich schon noch angelegt habe ich nur vergessen in der oberen Nachricht zu erwähnen. Dass mit dem Default VLan hatte ich schon in Verdacht jedoch konnte ich bis jetzt diesen nicht bestätigen. Dann muss ich mal schauen dass ich das Default VLAN im Betrieb mal umstelle ist ja zum glück nich viel.
Statisches Routen funktioniert in dem Fall nich ich Probier es mal mit anderen VLAN's und hau VLAN 1 als Produktives vlan raus. Danke für den Link. Ist auch das erste mal dass ich mit Cisco zu tun hab hab davor nur Pfsense verwendet da kann man routen wie man es braucht.
Gruß Reini
Hi,
also hab noch ein paar Versuche gemacht.
VLAN 10 angelegt und Getagged an LAN Port 1 gesetzt Adresse 162.127.200.250
VLAN 30 angelegt und Getagged an LAN Port 2 gesetzt Adresse 192.168.124.250
InterVLAN Routing für beide aktiviert. Router an den Switch angeschlossen, VLAN's am Switch kontrolliert und VLAN10 und VLAN30 am Switch als getagged eingestellt. Firewall regel erstellt die den gesamten Traffic zwischen den beiden LAN's für Testzwecke durchlassen soll erstellt.
Anschließend den Switch von beiden VLAN's erfolgreich angepingt. Testrechner an VLAN 30 angeschlossen, beide IP-Adressen des Cisco angepingt welches auch funktionierte. Statisches Routing sehe ich bei den Tests jetzt gerade keinen Sinn darin zu setzen.
Was wieder nicht funktionierte ist:
- Ping von der Weboberfläche des Cisco auf ein Gerät im VLAN 10
- Ping vom Testrechner auf einen Gerät im VLAN 10
Habe den Router auch von dem Arbeitsmodus "Gateway" auf "Router" umgestellt was auch nichts half.
Hat jemand Erfahrung mit dem RV320? Habe langsam das Gefühl die Kiste kann gar kein VLAN Routing sondern lediglich als Gateway zu seinen WAN-Schnittstellen.
Gruß Reini
also hab noch ein paar Versuche gemacht.
VLAN 10 angelegt und Getagged an LAN Port 1 gesetzt Adresse 162.127.200.250
VLAN 30 angelegt und Getagged an LAN Port 2 gesetzt Adresse 192.168.124.250
InterVLAN Routing für beide aktiviert. Router an den Switch angeschlossen, VLAN's am Switch kontrolliert und VLAN10 und VLAN30 am Switch als getagged eingestellt. Firewall regel erstellt die den gesamten Traffic zwischen den beiden LAN's für Testzwecke durchlassen soll erstellt.
Anschließend den Switch von beiden VLAN's erfolgreich angepingt. Testrechner an VLAN 30 angeschlossen, beide IP-Adressen des Cisco angepingt welches auch funktionierte. Statisches Routing sehe ich bei den Tests jetzt gerade keinen Sinn darin zu setzen.
Was wieder nicht funktionierte ist:
- Ping von der Weboberfläche des Cisco auf ein Gerät im VLAN 10
- Ping vom Testrechner auf einen Gerät im VLAN 10
Habe den Router auch von dem Arbeitsmodus "Gateway" auf "Router" umgestellt was auch nichts half.
Hat jemand Erfahrung mit dem RV320? Habe langsam das Gefühl die Kiste kann gar kein VLAN Routing sondern lediglich als Gateway zu seinen WAN-Schnittstellen.
Gruß Reini
ja logisch geht das pingen auf ein Gerät im VLAN 10 nicht.
Guck dir bloß den IP-Bereich an!
Den darfst du nicht verwenden. Das ist ein öffentlicher und der wird übers default Gateway ins Internet abgewickelt.
also bei IPv4 schön im privaten Bereich bleiben. Kannst dir viel Ärger ersparen.
Gruß
Netman
Guck dir bloß den IP-Bereich an!
Den darfst du nicht verwenden. Das ist ein öffentlicher und der wird übers default Gateway ins Internet abgewickelt.
also bei IPv4 schön im privaten Bereich bleiben. Kannst dir viel Ärger ersparen.
Gruß
Netman
Das heißt obwohl ich dem VLAN den Range gegeben habe geht der Cisco davon aus dass die Adresse ins Internet raus muss?
Ok dann hab ich ein Problem weil ein drittes VLAN noch dazukommt welches aber auch im öffentlichen Bereich liegt. Dies wurde von einer Firma implementiert und ein ändern des Adressbereichs ist nicht möglich. Dann muss ich den Cisco als reinen Gateway verwenden und das Intranet weiterhin über pfSense routen.
Thx Netman
Ok dann hab ich ein Problem weil ein drittes VLAN noch dazukommt welches aber auch im öffentlichen Bereich liegt. Dies wurde von einer Firma implementiert und ein ändern des Adressbereichs ist nicht möglich. Dann muss ich den Cisco als reinen Gateway verwenden und das Intranet weiterhin über pfSense routen.
Thx Netman
Da würde ich mir aber tierische Gedanken machen.
Die Problem steigen anstatt sich zu verringern.
Stell dir nur vor, dass jemand per DNS auf eine Resource zugfreift, die den doppelten Bereich abdeckt.
Kontrolliere evtl schon mal, wem der Bereich gehört und ob es reale Konflikte gibt.
Vielleicht klappt so eine Konstellation beim RV320 deshalb nicht, da er von Intervlan-Routing ausgeht. Wenn er statisches Routing verwendet, würde es vielleicht gehen. Das kann ich aber nicht vorhersagen.
Die Problem steigen anstatt sich zu verringern.
Stell dir nur vor, dass jemand per DNS auf eine Resource zugfreift, die den doppelten Bereich abdeckt.
Kontrolliere evtl schon mal, wem der Bereich gehört und ob es reale Konflikte gibt.
Vielleicht klappt so eine Konstellation beim RV320 deshalb nicht, da er von Intervlan-Routing ausgeht. Wenn er statisches Routing verwendet, würde es vielleicht gehen. Das kann ich aber nicht vorhersagen.
Gehirn rackert schon...
DNS Probleme gibt es in der hinsicht nicht da die Domain Rechner alle im privaten IP-Bereich liegen. Das dritte VLAN sind die Rechner abgeschottet lediglich ein paar müssen auf einen Router zugreifen. Das könnte ich notfalls mit statischen Routen machen.
Ich überleg aber schon wie ich das Netz ordentlich sortier. Allein der VLAN-Bereich ist ja nicht sauber abgedeckt müssen ein paar Grundlegende Veränderungen gemacht werden nach jetzigem stand.
Danke mal für die Hilfe soweit
DNS Probleme gibt es in der hinsicht nicht da die Domain Rechner alle im privaten IP-Bereich liegen. Das dritte VLAN sind die Rechner abgeschottet lediglich ein paar müssen auf einen Router zugreifen. Das könnte ich notfalls mit statischen Routen machen.
Ich überleg aber schon wie ich das Netz ordentlich sortier. Allein der VLAN-Bereich ist ja nicht sauber abgedeckt müssen ein paar Grundlegende Veränderungen gemacht werden nach jetzigem stand.
Danke mal für die Hilfe soweit
