10
Routing zwischen VLANs an HPE Aruba 3810M funktioniert nicht - warum?
Ein freundliches Hallo an euch alle!
Etwas überraschend bin ich nach Jahren der Abstinenz wieder in die IT gerutscht. Als eigentlicher Spezialist für Server Hardware, der nie etwas mit Routing zu tun hatte, stelle ich mich gerade wohl etwas dumm an, was die Konfiguration des zukünftigen Core Switches betrifft. Entschuldigt bitte, wenn es ein noob-Problem sein sollte.
Nachdem ich hier bereits ein paar hilfreiche Beiträge gelesen habe (die meine Konfiguration eigentlich bestätigt haben - besonders "VLAN: Routing ins Internet"), stoße ich leider noch immer auf ein kleines Routing-Problem, bei dem ich doch sehr hoffe, dass mir hier jemand sagen kann, was ich vergessen / übersehen / falsch gemacht habe.
Kurze Übersicht über das Netzwerk:
Wir haben einen betagten VPN-Router von Cisco. Unten immer "Cisco Router" genannt. Der ist nun wohl nicht das Problem. Der soll nur die Verbindung zum WAN bereitstellen und tut das auch schon seit Jahren.
Der 3810M soll sich nun unserem internen Netzwerk annehmen. Verschiedene VLANs (Arbeitsplätze, Server, VoIP-Telefone, etc) sollen dafür eingerichtet werden, entsprechendes Routing, damit Clients mit Servern in Verbindung treten können, und die Zugriffe dann über ACLs wieder im Gegenseitigen Zugriff beschnitten werden. Einige VLANs sollen gar nicht auf die anderen zugreifen können (Gäste VLAN).
Keep it simple: Mein Problem fängt bereits an, wenn ich nur ein einziges zusätzliches VLAN einrichte, da ich von dort nicht ins Internet komme. Wenn ich zwei VLANs einrichte, komme ich von Client A in VLAN x nicht auf Client B in VLAN y. Es ist also nicht wichtig alle VLANs zu kennen - der Fehler wird für alle identisch sein.
Das Routing zwischen den einzelnen VLANs auf dem 3810M macht mir also gerade Probleme. Nach diversen Tutorials und Youtube-Videos (auch von HPE!), müsste es kinderleicht sein. Dummerweise bleibt bei mir im letzten Schritt der Erfolg aus: Ich kann nicht von einem VLAN aus einen Rechner in einem anderen VLAN anpingen.
Stand der Dinge
-> Der Switch kann aus seinem Default-VLAN (IP-Zuweisung per DHCP vom Cisco Router; Standardeinstellung) heraus google.de problemlos anpingen. Wenn ich einen PC an das default VLAN hänge, komme ich mit diesem PC problemlos ins Internet.
==> Konfiguration mieserabel, funktioniert jedoch. Es zeigt, dass die Internetverbindung an sich funktioniert und der Switch nicht defekt ist. Außerdem bin ich nicht zu doof, um einen untagged Port zuzuweisen und einen PC anzustecken. Yeah! ;) So kann das allerdings nicht bleiben, da erwarte ich mehr.
-> Ich kann vom Cisco Router den Switch (192.168.245.45) und jedes VLAN (10.0.x.254, Konfiguration siehe unten) anpingen.
==> Routing bis zum Switch funktioniert also offenbar. Route im Cisco: siehe weiter unten.
-> Von VLAN 10 aus kann ich die IP des VLAN 11 anpingen (ping 10.0.1.254 source 10). Den Client in VLAN 11 (10.0.1.1 oder 10.0.1.7) jedoch nicht!
-> Ein Ping kommt weder vom Cisco Router, noch von einem anderen VLAN aus auf einen Client im VLAN.
-> Der Client in VLAN 11 kann nicht ins Internet pingen (ping www.google.de – Fehlermeldung im Fenster der Eingabeaufforderung des Clients lautet „allgemeiner Fehler“ – keine Zeitüberschreitung! Das dürfte ein offensichtlicher Konfigurationsfehler sein, oder nicht?).
Wenn ich am Client im VLAN 11 die IP 10.0.1.254 als Gateway eintrage, kann ich bis zum Cisco-Router pingen --- das verstehe ich irgendwie nicht so recht, denn für mich ist das der DHCP und nicht der Gateway... Gateway sollte doch 192.168.245.45 (Switch-IP) ODER eher 192.168.245.1 sein.
Da Verhalten ändert sich NICHT, egal ob ich ip default-gateway 192.168.245.1 eintrage oder per [no] das wieder rauswerfe.
Ping-Ergebnisse aus der Console vom Switch:
Switch-IP, vom Cisco-Router vergeben
Ping aus VLAN 10 (Server - VLAN):
Ping zu google
Ping zum eigenen VLAN
Ping zum anderen VLAN
Ping zur Switch-IP
Ping aus VLAN 11 (Client - VLAN):
Ping zu Google:
Ping zum anderen VLAN
Ping zur Switch-IP
Ping zur Cisco Router-IP (nicht mehr auf dem Switch!)
==> Die Datenpakete kommen also mindestens bis zum Router.
Jedes VLAN hat einen eigenen IP-Bereich und belegt andere (untagged) Ports. Ansonsten ändert sich nicht so viel. Hier ein Beispiel:
Zuweisung von IPs funktioniert.
Allerdings wird dem PC irgendwie kein Gateway zugewiesen, was mir nicht so recht verständlich ist!
Was habe ich da übersehen oder falsch konfiguriert?
Auszug aus sonstiger Konfiguration:
show ip (eigener DNS-Server ist noch nicht in Betrieb... Server Hardware kommt nächste Woche):
ip routing:
Auf dem Cisco-Router habe hier schon eine Route eingetragen, damit man überhaupt an die VLANs herankommt.
Alles, was zu 10.0.x.y soll, wird zum 3810M weitergeleitet:
Ping vom Cisco zum Switch: Erfolgreich
Ping vom Cisco zur VLAN-IP: Erfolgreich
Ping von einem Client im 192.168.245.x Netz zum Switch und zu VLAN-IPs: Erfolgreich
Ping von einem Client im 192.168.245.x Netz zum Client im VLAN: Geht nicht.
Als Alternative habe ich mal versucht eine Route für ein einzelnes VLAN einzurichten:
10.0.1.0/24 -> 192.168.245.45
Kein Unterschied. Ich kann dann immernoch nur bis zur VLAN-IP pingen, bis zum Client im VLAN komme ich jedoch nicht.
Hilfe, was mache ich falsch? Wo ist mein Denkfehler?
Wenn ich mir die Konfiguration anschaue und das, was ich bereits pingen kann, sollte doch eigentlich alles funktionieren. Doch irgendwie verhungern die Pakete kurz vor dem Ziel.
OSPF:
So wie ich es verstanden habe, benötige ich das nicht, da mein Netzwerk recht primitiv ist. Allerdings habe ich auch - nach Anleitung und nach HPE-Tutorial - versucht OSPF einzurichten. Keine Verbesserung, keine Verschlechterung, kein Unterschied.
OSPF habe ich daher wieder rausgeworfen.
Danke für eure Zeit und alle Antworten. Ich vermute mal, dass an irgendeiner Stelle eine Kleinigkeit falsch eingestellt ist. Ich sehe es nur dummerweise nicht. Hoffentlich sieht es einer von euch!
Gruß...
Etwas überraschend bin ich nach Jahren der Abstinenz wieder in die IT gerutscht. Als eigentlicher Spezialist für Server Hardware, der nie etwas mit Routing zu tun hatte, stelle ich mich gerade wohl etwas dumm an, was die Konfiguration des zukünftigen Core Switches betrifft. Entschuldigt bitte, wenn es ein noob-Problem sein sollte.
Nachdem ich hier bereits ein paar hilfreiche Beiträge gelesen habe (die meine Konfiguration eigentlich bestätigt haben - besonders "VLAN: Routing ins Internet"), stoße ich leider noch immer auf ein kleines Routing-Problem, bei dem ich doch sehr hoffe, dass mir hier jemand sagen kann, was ich vergessen / übersehen / falsch gemacht habe.
Kurze Übersicht über das Netzwerk:
Wir haben einen betagten VPN-Router von Cisco. Unten immer "Cisco Router" genannt. Der ist nun wohl nicht das Problem. Der soll nur die Verbindung zum WAN bereitstellen und tut das auch schon seit Jahren.
Der 3810M soll sich nun unserem internen Netzwerk annehmen. Verschiedene VLANs (Arbeitsplätze, Server, VoIP-Telefone, etc) sollen dafür eingerichtet werden, entsprechendes Routing, damit Clients mit Servern in Verbindung treten können, und die Zugriffe dann über ACLs wieder im Gegenseitigen Zugriff beschnitten werden. Einige VLANs sollen gar nicht auf die anderen zugreifen können (Gäste VLAN).
Keep it simple: Mein Problem fängt bereits an, wenn ich nur ein einziges zusätzliches VLAN einrichte, da ich von dort nicht ins Internet komme. Wenn ich zwei VLANs einrichte, komme ich von Client A in VLAN x nicht auf Client B in VLAN y. Es ist also nicht wichtig alle VLANs zu kennen - der Fehler wird für alle identisch sein.
Das Routing zwischen den einzelnen VLANs auf dem 3810M macht mir also gerade Probleme. Nach diversen Tutorials und Youtube-Videos (auch von HPE!), müsste es kinderleicht sein. Dummerweise bleibt bei mir im letzten Schritt der Erfolg aus: Ich kann nicht von einem VLAN aus einen Rechner in einem anderen VLAN anpingen.
Stand der Dinge
-> Der Switch kann aus seinem Default-VLAN (IP-Zuweisung per DHCP vom Cisco Router; Standardeinstellung) heraus google.de problemlos anpingen. Wenn ich einen PC an das default VLAN hänge, komme ich mit diesem PC problemlos ins Internet.
==> Konfiguration mieserabel, funktioniert jedoch. Es zeigt, dass die Internetverbindung an sich funktioniert und der Switch nicht defekt ist. Außerdem bin ich nicht zu doof, um einen untagged Port zuzuweisen und einen PC anzustecken. Yeah! ;) So kann das allerdings nicht bleiben, da erwarte ich mehr.
-> Ich kann vom Cisco Router den Switch (192.168.245.45) und jedes VLAN (10.0.x.254, Konfiguration siehe unten) anpingen.
==> Routing bis zum Switch funktioniert also offenbar. Route im Cisco: siehe weiter unten.
-> Von VLAN 10 aus kann ich die IP des VLAN 11 anpingen (ping 10.0.1.254 source 10). Den Client in VLAN 11 (10.0.1.1 oder 10.0.1.7) jedoch nicht!
-> Ein Ping kommt weder vom Cisco Router, noch von einem anderen VLAN aus auf einen Client im VLAN.
-> Der Client in VLAN 11 kann nicht ins Internet pingen (ping www.google.de – Fehlermeldung im Fenster der Eingabeaufforderung des Clients lautet „allgemeiner Fehler“ – keine Zeitüberschreitung! Das dürfte ein offensichtlicher Konfigurationsfehler sein, oder nicht?).
Wenn ich am Client im VLAN 11 die IP 10.0.1.254 als Gateway eintrage, kann ich bis zum Cisco-Router pingen --- das verstehe ich irgendwie nicht so recht, denn für mich ist das der DHCP und nicht der Gateway... Gateway sollte doch 192.168.245.45 (Switch-IP) ODER eher 192.168.245.1 sein.
Da Verhalten ändert sich NICHT, egal ob ich ip default-gateway 192.168.245.1 eintrage oder per [no] das wieder rauswerfe.
Ping-Ergebnisse aus der Console vom Switch:
Switch-IP, vom Cisco-Router vergeben
-3810M# ping google.de
google.de is alive, time = 17 msPing aus VLAN 10 (Server - VLAN):
Ping zu google
Ping zum eigenen VLAN
Ping zum anderen VLAN
Ping zur Switch-IP
-3810M# ping google.de source 10
Request timed out.
-3810M# ping 10.0.0.254 source 10
10.0.0.254 is alive, time = 1 ms
-3810M# ping 10.0.1.254 source 10
10.0.1.254 is alive, time = 1 ms
-3810M# ping 192.168.245.45 source 10
192.168.245.45 is alive, time = 1 msPing aus VLAN 11 (Client - VLAN):
Ping zu Google:
Ping zum anderen VLAN
Ping zur Switch-IP
Ping zur Cisco Router-IP (nicht mehr auf dem Switch!)
-3810M# ping google.de source 11
Request timed out.
-3810M# ping 10.0.0.254 source 11
10.0.0.254 is alive, time = 1 ms
-3810M# ping 192.168.245.45 source 11
192.168.245.45 is alive, time = 1 ms
-3810M# ping 192.168.245.1 source 11
192.168.245.1 is alive, time = 1 ms==> Die Datenpakete kommen also mindestens bis zum Router.
Jedes VLAN hat einen eigenen IP-Bereich und belegt andere (untagged) Ports. Ansonsten ändert sich nicht so viel. Hier ein Beispiel:
vlan 11
name "Client"
untagged 1-19
ip address 10.0.1.254 255.255.255.0
dhcp-server
exit
dhcp-server pool "Client"
network 10.0.1.0 255.255.255.0
range 10.0.1.1 10.0.1.200
exitZuweisung von IPs funktioniert.
Allerdings wird dem PC irgendwie kein Gateway zugewiesen, was mir nicht so recht verständlich ist!
Was habe ich da übersehen oder falsch konfiguriert?
Auszug aus sonstiger Konfiguration:
module 1 type jl074x
module 2 type jl074y
flexible-module A type JL083A
timesync ntp
time daylight-time-rule western-europe
time timezone 60
ip authorized-managers 192.168.245.35 255.255.255.255 access manager
ip authorized-managers 10.0.0.100 255.255.255.255 access manager
ip default-gateway 192.168.245.1
ip dns server-address priority 1 8.8.8.8
ip route 0.0.0.0 0.0.0.0 192.168.245.1
ip routing
snmp-server community "public" unrestricted
snmp-server contact "[mein Name]" location "[Standort]" show ip (eigener DNS-Server ist noch nicht in Betrieb... Server Hardware kommt nächste Woche):
-3810M# sh ip
Internet (IP) Service
IP Routing : Enabled
Default TTL : 64
Arp Age : 20
Domain Suffix :
DNS server : 8.8.8.8
| Proxy ARP
VLAN | IP Config IP Address Subnet Mask Std Local
-------------------- + ---------- --------------- --------------- ----------
DEFAULT_VLAN | DHCP/Bootp 192.168.245.45 255.255.255.0 No No
Server | Manual 10.0.0.254 255.255.255.0 No No
Client | Manual 10.0.1.254 255.255.255.0 No Noip routing:
-3810M# sh ip route
IP Route Entries
Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 192.168.245.1 1 static 1 1
10.0.0.0/24 Server 10 connected 1 0
10.0.1.0/24 Client 11 connected 1 0
127.0.0.0/8 reject static 0 0
127.0.0.1/32 lo0 connected 1 0
192.168.245.0/24 DEFAULT_VLAN 1 connected 1 0Auf dem Cisco-Router habe hier schon eine Route eingetragen, damit man überhaupt an die VLANs herankommt.
Alles, was zu 10.0.x.y soll, wird zum 3810M weitergeleitet:
Gateway of last resort is 80.www.xxx.yyy to network 0.0.0.0
C 192.168.245.0 255.255.255.0 is directly connected, inside
S 10.0.0.0 255.255.0.0 [1/0] via 192.168.245.45, inside
S* 0.0.0.0 0.0.0.0 [1/0] via 80.www.xxx.yyy, outsidePing vom Cisco zum Switch: Erfolgreich
Ping vom Cisco zur VLAN-IP: Erfolgreich
Ping von einem Client im 192.168.245.x Netz zum Switch und zu VLAN-IPs: Erfolgreich
Ping von einem Client im 192.168.245.x Netz zum Client im VLAN: Geht nicht.
Als Alternative habe ich mal versucht eine Route für ein einzelnes VLAN einzurichten:
10.0.1.0/24 -> 192.168.245.45
Kein Unterschied. Ich kann dann immernoch nur bis zur VLAN-IP pingen, bis zum Client im VLAN komme ich jedoch nicht.
Hilfe, was mache ich falsch? Wo ist mein Denkfehler?
Wenn ich mir die Konfiguration anschaue und das, was ich bereits pingen kann, sollte doch eigentlich alles funktionieren. Doch irgendwie verhungern die Pakete kurz vor dem Ziel.
OSPF:
So wie ich es verstanden habe, benötige ich das nicht, da mein Netzwerk recht primitiv ist. Allerdings habe ich auch - nach Anleitung und nach HPE-Tutorial - versucht OSPF einzurichten. Keine Verbesserung, keine Verschlechterung, kein Unterschied.
OSPF habe ich daher wieder rausgeworfen.
Danke für eure Zeit und alle Antworten. Ich vermute mal, dass an irgendeiner Stelle eine Kleinigkeit falsch eingestellt ist. Ich sehe es nur dummerweise nicht. Hoffentlich sieht es einer von euch!
Gruß...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 337737
Url: https://administrator.de/contentid/337737
Ausgedruckt am: 19.11.2024 um 04:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
der nie etwas mit Routing zu tun hatte, stelle ich mich gerade wohl etwas dumm an, was die Konfiguration des zukünftigen Core Switches
Nimm ein oder mehr Blatt Paier, einen Bleistrift und Male dein Netzwerk auf. Schreiben an den Schnittstellen jeweils deren IP/SNM/GW usw. Zu den Rpoutern gibst du noch deren evtl. Statischen Routen an. Einscannen, hier ein stellen und warten.
Gruß,
Peter
der nie etwas mit Routing zu tun hatte, stelle ich mich gerade wohl etwas dumm an, was die Konfiguration des zukünftigen Core Switches
Nimm ein oder mehr Blatt Paier, einen Bleistrift und Male dein Netzwerk auf. Schreiben an den Schnittstellen jeweils deren IP/SNM/GW usw. Zu den Rpoutern gibst du noch deren evtl. Statischen Routen an. Einscannen, hier ein stellen und warten.
Gruß,
Peter
Zunächst mal ein Danke für die Antwort.
Das Routing innerhalb des 3810M zwischen den VLANs funktioniert offenbar bereits nicht.
Die Konfiguration der VLANs (IP, mask) ist oben im Beitrag. Konfiguration des Switches ist oben im Beitrag - samt Routen.
Ernst gemeinte Frage: Was soll ich da noch groß malen?
Naja, wenn's hilft, schaue ich gleich nochmal, ob ich ich ein entsprechendes Kunstwerk hinbekomme...
Das Routing innerhalb des 3810M zwischen den VLANs funktioniert offenbar bereits nicht.
Die Konfiguration der VLANs (IP, mask) ist oben im Beitrag. Konfiguration des Switches ist oben im Beitrag - samt Routen.
Ernst gemeinte Frage: Was soll ich da noch groß malen?
Naja, wenn's hilft, schaue ich gleich nochmal, ob ich ich ein entsprechendes Kunstwerk hinbekomme...
Tech,
Du sprichts gelegentlich davon "Ping von einem Client aus VLAN xx zu einem Client aus VLAN YY"
Was sind das für Clients? Windows Clients? Haben die eine Firewall "an Board)? hast du die für die "fremden Netze" entsprechend angepasst?
Hast du die Firewall auf deinem Router (Cisco) angepasst?
Nur weil du Routen dort platziert hast, heißt das nicht, dass die Pakete auch in das jeweilige Netz transportiert werden darf!
Nur weil du deinem Kollegen in der Disco sagst "siehst du davorne die Tür, dahinter sind die ganzen heißen Schnicksen" (das wären die Routen), heißt das nicht, dass der Türsteher an dieser Tür deinen Kumpel auch passieren lässt. erst wenn DU dem Türsteher den Namen deines Kumpels verrätst, mit dem Hinweis, ihn durch zu lassen, wird dein Kumpel auch zu den Mädels gelangen
Dieses Verhalten spricht fast für eine Firewall auf den Clients, die nicht angepasst wurde...
Dein weiteres Problem:
[ftp://ftp.hp.com/pub/networking/software/B-C13-DHCP.pdf Seite 9 (13-9)]
Gruß
em-pie
Das Routing innerhalb des 3810M zwischen den VLANs funktioniert offenbar bereits nicht.
Wieso nicht, du kannst doch von jedem VLAN aus in das andere VLAN pingen:Ping aus VLAN 11 (Client - VLAN):
Ping zu Google:
Ping zum anderen VLAN
Ping zur Switch-IP
Ping zur Cisco Router-IP (nicht mehr auf dem Switch!)
Ping zu Google:
Ping zum anderen VLAN
Ping zur Switch-IP
Ping zur Cisco Router-IP (nicht mehr auf dem Switch!)
-3810M# ping google.de source 11
Request timed out.
-3810M# ping 10.0.0.254 source 11
10.0.0.254 is alive, time = 1 ms
-3810M# ping 192.168.245.45 source 11
192.168.245.45 is alive, time = 1 ms
-3810M# ping 192.168.245.1 source 11
192.168.245.1 is alive, time = 1 msDu sprichts gelegentlich davon "Ping von einem Client aus VLAN xx zu einem Client aus VLAN YY"
Was sind das für Clients? Windows Clients? Haben die eine Firewall "an Board)? hast du die für die "fremden Netze" entsprechend angepasst?
Hast du die Firewall auf deinem Router (Cisco) angepasst?
Nur weil du Routen dort platziert hast, heißt das nicht, dass die Pakete auch in das jeweilige Netz transportiert werden darf!
Nur weil du deinem Kollegen in der Disco sagst "siehst du davorne die Tür, dahinter sind die ganzen heißen Schnicksen" (das wären die Routen), heißt das nicht, dass der Türsteher an dieser Tür deinen Kumpel auch passieren lässt. erst wenn DU dem Türsteher den Namen deines Kumpels verrätst, mit dem Hinweis, ihn durch zu lassen, wird dein Kumpel auch zu den Mädels gelangen
Ping vom Cisco zum Switch: Erfolgreich
Ping vom Cisco zur VLAN-IP: Erfolgreich
Ping von einem Client im 192.168.245.x Netz zum Switch und zu VLAN-IPs: Erfolgreich
Ping von einem Client im 192.168.245.x Netz zum Client im VLAN: Geht nicht.
Ping vom Cisco zur VLAN-IP: Erfolgreich
Ping von einem Client im 192.168.245.x Netz zum Switch und zu VLAN-IPs: Erfolgreich
Ping von einem Client im 192.168.245.x Netz zum Client im VLAN: Geht nicht.
Dieses Verhalten spricht fast für eine Firewall auf den Clients, die nicht angepasst wurde...
Dein weiteres Problem:
Zuweisung von IPs funktioniert.
Allerdings wird dem PC irgendwie kein Gateway zugewiesen, was mir nicht so recht verständlich ist!
Was habe ich da übersehen oder falsch konfiguriert?
Ja, du hast dem DHCP-Scope nicht die Default-gateway-Option mitgegeben:Allerdings wird dem PC irgendwie kein Gateway zugewiesen, was mir nicht so recht verständlich ist!
Was habe ich da übersehen oder falsch konfiguriert?
[ftp://ftp.hp.com/pub/networking/software/B-C13-DHCP.pdf Seite 9 (13-9)]
Gruß
em-pie
1
Guten Abend em-pie!
Daher ging ich davon aus, dass mein Routing bereits im 3810M falsch konfiguriert gewesen wäre.
Firewallregel für fremde Netze... Oh man, daran habe ich überhaupt nicht gedacht: Im gleichen Netz geht es, da habe ich aufgehört weiter nachzudenken. Standard ist für eingehende Anfragen aus fremden Netzen natürlich "alles Blocken".
Montag wird's gleich getestet!
Super Tipp!
*Augenroll* Mit der Konfiguration dieses VPN-Routers hatte ich nichts am Hut. Das war einige Jahre vor meiner Zuständigkeit. Erst seit ein paar Tagen habe ich mir die Zugriffsdaten erstritten und bin da noch nicht so ganz durchgestiegen, wie man das Teil konfiguriert.
Allerdings sind das Ausreden. Auch hier hast Du Recht: Wenn das Teil z.B. 192.168.245.x NATtet, aber alles andere eben nicht, dann ist es kein Wunder, dass ich nicht ins Internet komme. Die Route bis zum Cisco steht und der sagt dann: "Ey Paket, guck Disch an: Adresse arsch. Du kommst hier net rein!" ;)
Ich hoffe sehr, dass es diese Kleinigkeit ist.
Also verstehe ich es richtig, dass ich für jeden dhcp pool das einzeln einstellen kann & muss?
Dann habe ich das nur für das default-vlan eingerichtet und wundere mich, dass es dort wunderbar funktioniert und außerhalb alles auf die Nase fällt.
Naja, ich weiß jetzt nicht so recht, ob ich mich darüber freuen soll, dass ich es nicht prinzipiell FALSCH eingerichtet habe, sondern nur den Gateway in den DHCP pools vergessen habe...
Es ist aber wohl eindeutig, dass es "Anfängerfehler" sind.
Bereits jetzt herzlichen Dank für Dein äußerst hilfreiches Feedback! Es hilft einfach ungemein, wenn sich jemand mit Ahnung äußert und zielführende Hinweise gibt.
Ich melde mich nochmal, wenn ich die Anpassungen vorgenommen habe: Vor allem, wenn es funktioniert.
Zitat von @em-pie:
Tech,
Äh... ja. Eben. Das wundert mich ja auch, dass ich dann trotzdem keinen Client in einem der Netze erreichen kann. DAS verstehe ich einfach nicht.Tech,
Das Routing innerhalb des 3810M zwischen den VLANs funktioniert offenbar bereits nicht.
Wieso nicht, du kannst doch von jedem VLAN aus in das andere VLAN pingen:Daher ging ich davon aus, dass mein Routing bereits im 3810M falsch konfiguriert gewesen wäre.
Du sprichts gelegentlich davon "Ping von einem Client aus VLAN xx zu einem Client aus VLAN YY"
Was sind das für Clients? Windows Clients? Haben die eine Firewall "an Board)? hast du die für die "fremden Netze" entsprechend angepasst?
Ja, Windows Clients.Was sind das für Clients? Windows Clients? Haben die eine Firewall "an Board)? hast du die für die "fremden Netze" entsprechend angepasst?
Firewallregel für fremde Netze... Oh man, daran habe ich überhaupt nicht gedacht: Im gleichen Netz geht es, da habe ich aufgehört weiter nachzudenken. Standard ist für eingehende Anfragen aus fremden Netzen natürlich "alles Blocken".
Montag wird's gleich getestet!
Super Tipp!
Hast du die Firewall auf deinem Router (Cisco) angepasst?
Nur weil du Routen dort platziert hast, heißt das nicht, dass die Pakete auch in das jeweilige Netz transportiert werden darf!
Nur weil du Routen dort platziert hast, heißt das nicht, dass die Pakete auch in das jeweilige Netz transportiert werden darf!
*Augenroll* Mit der Konfiguration dieses VPN-Routers hatte ich nichts am Hut. Das war einige Jahre vor meiner Zuständigkeit. Erst seit ein paar Tagen habe ich mir die Zugriffsdaten erstritten und bin da noch nicht so ganz durchgestiegen, wie man das Teil konfiguriert.
Allerdings sind das Ausreden. Auch hier hast Du Recht: Wenn das Teil z.B. 192.168.245.x NATtet, aber alles andere eben nicht, dann ist es kein Wunder, dass ich nicht ins Internet komme. Die Route bis zum Cisco steht und der sagt dann: "Ey Paket, guck Disch an: Adresse arsch. Du kommst hier net rein!" ;)
Dieses Verhalten spricht fast für eine Firewall auf den Clients, die nicht angepasst wurde...
Jetzt, wo Du es schreibst, erscheint es logisch. ;)Ich hoffe sehr, dass es diese Kleinigkeit ist.
Dein weiteres Problem:
[ftp://ftp.hp.com/pub/networking/software/B-C13-DHCP.pdf Seite 9 (13-9)]
Gruß
em-pie
Grmpf. Ich dachte, dass durch die "default-gateway"-Einstellung nach conf t das erledigt wäre.Zuweisung von IPs funktioniert.
Allerdings wird dem PC irgendwie kein Gateway zugewiesen, was mir nicht so recht verständlich ist!
Was habe ich da übersehen oder falsch konfiguriert?
Ja, du hast dem DHCP-Scope nicht die Default-gateway-Option mitgegeben:Allerdings wird dem PC irgendwie kein Gateway zugewiesen, was mir nicht so recht verständlich ist!
Was habe ich da übersehen oder falsch konfiguriert?
[ftp://ftp.hp.com/pub/networking/software/B-C13-DHCP.pdf Seite 9 (13-9)]
Gruß
em-pie
Also verstehe ich es richtig, dass ich für jeden dhcp pool das einzeln einstellen kann & muss?
Dann habe ich das nur für das default-vlan eingerichtet und wundere mich, dass es dort wunderbar funktioniert und außerhalb alles auf die Nase fällt.
Naja, ich weiß jetzt nicht so recht, ob ich mich darüber freuen soll, dass ich es nicht prinzipiell FALSCH eingerichtet habe, sondern nur den Gateway in den DHCP pools vergessen habe...
Es ist aber wohl eindeutig, dass es "Anfängerfehler" sind.
Bereits jetzt herzlichen Dank für Dein äußerst hilfreiches Feedback! Es hilft einfach ungemein, wenn sich jemand mit Ahnung äußert und zielführende Hinweise gibt.
Ich melde mich nochmal, wenn ich die Anpassungen vorgenommen habe: Vor allem, wenn es funktioniert.
Hallo,
Der Vorschlag mit auf Paier Malen kam nicht von ungefähr. Wenn du dein Netz Bildlich vor dir siehst, welches Gerät welche IP und welche Routen bzw. GW die haben, und du weisst von wo nach wo du willst, kannste mit den Finger aufm Papier jede in frage kommendes Gerät anfassen und dann gar per Wireshark schauen ob es dort das tut was du erwartest. Viele Netzwerke Malen sich das tatsächlich um den Weg der TCP/IP vor sich zu sehen.
Dann kannste auch DHCP und Firewalls nacheinander abhaken. Ein IPConfig /all und Route Print ist dein Freund. Und ein Ping im Wireshark verfolgen ist keine Raketenwissenschaft.
Das war also kein Scherz wie von dir vielleicht gedacht oder die Aufforderung dich Künstlerisch zu betätigen um noch ne Mona Lisa zu erschaffen
Gruß,
Peter
Der Vorschlag mit auf Paier Malen kam nicht von ungefähr. Wenn du dein Netz Bildlich vor dir siehst, welches Gerät welche IP und welche Routen bzw. GW die haben, und du weisst von wo nach wo du willst, kannste mit den Finger aufm Papier jede in frage kommendes Gerät anfassen und dann gar per Wireshark schauen ob es dort das tut was du erwartest. Viele Netzwerke Malen sich das tatsächlich um den Weg der TCP/IP vor sich zu sehen.
Dann kannste auch DHCP und Firewalls nacheinander abhaken. Ein IPConfig /all und Route Print ist dein Freund. Und ein Ping im Wireshark verfolgen ist keine Raketenwissenschaft.
Das war also kein Scherz wie von dir vielleicht gedacht oder die Aufforderung dich Künstlerisch zu betätigen um noch ne Mona Lisa zu erschaffen
Gruß,
Peter
Hier gibt es auch noch ein paar Grundregeln zu dem Thema:
Verständnissproblem Routing mit SG300-28
Verständnissproblem Routing mit SG300-28
1Zitat von @aqui:
Hier gibt es auch noch ein paar Grundregeln zu dem Thema:
Verständnissproblem Routing mit SG300-28
Hätte ich den verlinkten Beitrag mal am Donnerstag gegen Mittag gehabt, wäre ich nicht erst nachts um halb vier aus dem Büro gekrochen, ohne etwas erreicht zu haben.Hier gibt es auch noch ein paar Grundregeln zu dem Thema:
Verständnissproblem Routing mit SG300-28
Eine tolle Anleitung (aus meiner Sicht), die bereits als Punkt 4 einen meiner Fehler auflistet. Vor allem: Das ist alles äußerst präzise und eindeutig formuliert.
Falls das hier mal später jemand lesen sollte, der den anderne Link nicht verfolgt hat: Es ist ein gewaltiger Unterschied, ob man sagt "Gateway muss eingestellt sein." ODER "Gateway IPs der Endgeräte in den jeweiligen VLANs auf die Switch IP (.254) im VLAN einstellen."
Da steht nicht nur was, sondern auch wo und sogar wie.
Gateway hatte ich ja eingestellt - dachte ich zumindest. In irgendeinem Menü stand auch der default gateway... dass default nicht default (für alle) ist, nunja... muss man halt wissen.
Jetzt weiß ich es.Auch das mit den Windows-Firewalls wäre dort genannt gewesen.
Ich bin jetzt schon froh, dass es nun wohl offenbar nur diese Kleinigkeiten waren. Montag weiß ich mehr.
Auch Dir nochmal einen herzlichen Dank für die Bestätigung der Aussagen, die em-pie bereits geliefert hat.
Zitat von @Pjordorf:
Hallo,
Der Vorschlag mit auf Paier Malen kam nicht von ungefähr. Wenn du dein Netz Bildlich vor dir siehst, welches Gerät welche IP und welche Routen bzw. GW die haben, und du weisst von wo nach wo du willst, [..]
Dann kannste auch DHCP und Firewalls nacheinander abhaken. Ein IPConfig /all und Route Print ist dein Freund. Und ein Ping im Wireshark verfolgen ist keine Raketenwissenschaft.
Das war also kein Scherz wie von dir vielleicht gedacht oder die Aufforderung dich Künstlerisch zu betätigen um noch ne Mona Lisa zu erschaffen
Gruß,
Peter
Hallo,
Der Vorschlag mit auf Paier Malen kam nicht von ungefähr. Wenn du dein Netz Bildlich vor dir siehst, welches Gerät welche IP und welche Routen bzw. GW die haben, und du weisst von wo nach wo du willst, [..]
Dann kannste auch DHCP und Firewalls nacheinander abhaken. Ein IPConfig /all und Route Print ist dein Freund. Und ein Ping im Wireshark verfolgen ist keine Raketenwissenschaft.
Das war also kein Scherz wie von dir vielleicht gedacht oder die Aufforderung dich Künstlerisch zu betätigen um noch ne Mona Lisa zu erschaffen
Gruß,
Peter
Danke für den Beitrag.
Das Netz ist so klein und überschaubar, da weiß ich recht gut von wo nach wo ich will - und offenbar war mein Routing sogar passend eingestellt.
Für kompliziertere Netze kann ich mir gut vorstellen, dass man solche Darstellungen oftmals braucht.
Zur Präsentation des Netzes werde ich auch eine entsprechende Darstellung basteln. Dieses Cisco-Tool (Namen vergessen) zum Netzwerk-Simulieren habe ich mir gestern bereits runtergeladen... Das ist gar nicht mal schlecht, um ein Netzwerk darzustellen.
Schade, dass es das nicht von HPE mit den HPE-Geräten und der Syntax gibt.Was mir fehlte, war die Idee auf die Windows-Firewall zu achten (da hilft kein Bild... das war das Brett vor dem Kopf) und das Wissen, dass der in der Switch-Konfiguration angezeigte "default-gateway" eben nicht für alle VLANs gilt, sondern man das in jedem VLAN einzeln einstellen sollte.
Diese Ausgabe der Switch-Konfiguration hat mich glauben lassen, dass als Gateway (für jedes Netz) automatisch der Cisco-Router angegeben würde.
ip default-gateway 192.168.245.1Im Endeffekt werden Firewalleinstellungen das entscheidende gewesen sein: Windows-Firewall an den Clients und Firewallregeln im Cisco-Router.
Ich freue mich jetzt wieder mit neuen Ideen am Montag das ganze erfolgreich einzurichten.
ipconfig ist mir nicht nur bekannt, das habe ich auch benutzt. Nur so konnte ich ja feststellen, ob die DHCP-Zuweisung der IP-Adresse überhaupt funktioniert. Und deswegen wusste ich ja auch, dass der Gateway fehlte, wobei ich nicht nachvollziehen konnte, warum der nicht zugewiesen wird, wenn der "default-gateway" laut "sh run" eingestellt war.
Fehlendes Wissen war da das Problem.
Rückmeldung:
Jo, es war die Windows-Firewall - und im Cisco-Router war es eine fehlende NAT-Regel.
Alles läuft, jetzt kommt der Feinschliff.
Vielen Dank für eure Hilfe!
Gruß
...
Jo, es war die Windows-Firewall - und im Cisco-Router war es eine fehlende NAT-Regel.
Alles läuft, jetzt kommt der Feinschliff.
Vielen Dank für eure Hilfe!
Gruß
...
Wie hier auch mehrfach vermutet
Beim Cisco kann man immer hier querchecken...:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Danke fürs Feedback !
Beim Cisco kann man immer hier querchecken...:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Danke fürs Feedback !
