21
Verständnisfrage zu clients hinter einer Firewall
Hallo Leute,
ich muss an dieser Stelle nochmals um eure Unterstützung bitten.
Mir ist in meinem Netzwerk etwas aufgefallen, was ich mir auf die schnelle noch nicht erklären kann.
Netzaufbau:
Internet -> Fritz 7490 --[VLAN 80]--> Sophos XG --> Clients VLAN 20 / VLAN 50
Vlan 80 hat keinen Zugriff auf VLAN 20 oder 50.
Sofern ich nun alles richtig verstanden habe, sollte doch im "Heimnetzwerk" der Fritzbox (192.168.0.x/24) lediglich die Firewall, also ein client angezeigt werden. Oder irre ich mich an dieser Stelle schon?
Nun kommen wir zu dem "seltsamen". Wenn ich in den Heimnetzbereich der Fritzbox reinschaue, so sehe ich genau ein client, welcher mit dem Internet verbunden ist. - Die Firewall.
Aber, aus einem unbekannten Grund sehe ich noch weitere Teilnehmer im Netzwerk, welche laut der Fritzbox aktiv (ohne Internetzugriff) sind. Diesen wurde auch aus dem IP Pool der Fritzbox eine Adresse zugewiesen.
=> Die zugewiesen Adressen funktionieren jedoch nicht und führen ins "Leere".
Schaue ich nun in mein "Richtiges" Netzwek VLAN 20, sind die gleichen Geräte ebenfalls aufgeführt, aber mit einer Adresse aus dem VLAN 20. Über diese kann ich die Geräte nun auch ansprechen.
Habt ihr eine Idee was das sein könnte?
Danke schon einmal im Voraus.
ich muss an dieser Stelle nochmals um eure Unterstützung bitten.
Mir ist in meinem Netzwerk etwas aufgefallen, was ich mir auf die schnelle noch nicht erklären kann.
Netzaufbau:
Internet -> Fritz 7490 --[VLAN 80]--> Sophos XG --> Clients VLAN 20 / VLAN 50
Vlan 80 hat keinen Zugriff auf VLAN 20 oder 50.
Sofern ich nun alles richtig verstanden habe, sollte doch im "Heimnetzwerk" der Fritzbox (192.168.0.x/24) lediglich die Firewall, also ein client angezeigt werden. Oder irre ich mich an dieser Stelle schon?
Nun kommen wir zu dem "seltsamen". Wenn ich in den Heimnetzbereich der Fritzbox reinschaue, so sehe ich genau ein client, welcher mit dem Internet verbunden ist. - Die Firewall.
Aber, aus einem unbekannten Grund sehe ich noch weitere Teilnehmer im Netzwerk, welche laut der Fritzbox aktiv (ohne Internetzugriff) sind. Diesen wurde auch aus dem IP Pool der Fritzbox eine Adresse zugewiesen.
=> Die zugewiesen Adressen funktionieren jedoch nicht und führen ins "Leere".
Schaue ich nun in mein "Richtiges" Netzwek VLAN 20, sind die gleichen Geräte ebenfalls aufgeführt, aber mit einer Adresse aus dem VLAN 20. Über diese kann ich die Geräte nun auch ansprechen.
Habt ihr eine Idee was das sein könnte?
Danke schon einmal im Voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 389311
Url: https://administrator.de/contentid/389311
Ausgedruckt am: 25.11.2024 um 07:11 Uhr
21 Kommentare
Neuester Kommentar
Hallo,
das ist entweder ein Masquerading, oder ein Anzeigefehler in der Fritzbox.
VG
certifiedit.net
das ist entweder ein Masquerading, oder ein Anzeigefehler in der Fritzbox.
VG
certifiedit.net
Hallo, danke für die Rückmeldung.
Das mit dem Heimnetz war von meiner seite aus falsch ausgedrückt. Hatte die Bezeichnung von der Fritzbox übernommen.
In dem IP Bereich der Fritzbox hängt nur die Sophos. Danach beginnt erst das richtige "Heimnetz".
Das mit dem Heimnetz war von meiner seite aus falsch ausgedrückt. Hatte die Bezeichnung von der Fritzbox übernommen.
In dem IP Bereich der Fritzbox hängt nur die Sophos. Danach beginnt erst das richtige "Heimnetz".
Moin,
Ja.
Die Fritzbiüx zeigt alles an, was sie in ihrem internen Netz sieht, auch was "hinter" Nat und Firewalls ist.
lks
Zitat von @mario89:
Sofern ich nun alles richtig verstanden habe, sollte doch im "Heimnetzwerk" der Fritzbox (192.168.0.x/24) lediglich die Firewall, also ein client angezeigt werden. Oder irre ich mich an dieser Stelle schon?
Sofern ich nun alles richtig verstanden habe, sollte doch im "Heimnetzwerk" der Fritzbox (192.168.0.x/24) lediglich die Firewall, also ein client angezeigt werden. Oder irre ich mich an dieser Stelle schon?
Ja.
Die Fritzbiüx zeigt alles an, was sie in ihrem internen Netz sieht, auch was "hinter" Nat und Firewalls ist.
lks
im "Heimnetzwerk" der Fritzbox (192.168.0.x/24) lediglich die Firewall, also ein client angezeigt werden.
Ja, wenn du dort das WLAN abgeschaltet hast und es nicht aktiv ist !Alle übers WLAN eingebuchten Geräte wären dort auch angezeigt.
WLAN gehört dann also AUS.
Dies ist auch so realisiert. Das WLAN wird von einen Unifi AP übernommen. Dieser hängt folglich hinter der Fritte.
Die Fritzbiüx zeigt alles an, was sie in ihrem internen Netz sieht, auch was "hinter" Nat und Firewalls ist.
lks
Danke für eure Unterstützung
Dieser hängt folglich hinter der Fritte.
Aber dann hoffentlich nicht in VLAN 80 ??Richtig müsste er hinter der Firewall hängen aber NICHT hinter der Fritte !
Die Fritzbiüx zeigt alles an, was sie in ihrem internen Netz sieht, auch was "hinter" Nat und Firewalls ist.
Das kann eigentlich nicht so sein, denn durch das NAT (Adress Translation) an der Firewall "sieht" die FB rein gar nichts von Netzen und IP Adressen hinter dem NAT Router bzw. Firewall.Sie "denkt" das alles von dieser einzigen IP Adresse des Firewall WAN Ports kommt.
Wie Kollege @certifiedit.net schon bemerkt kann man dann nur vermuten das das ein Anzeigefehler in der Fritzbox ist.
Interessant wäre mal zu wissen WELCHE Mac Adressen die FB anzeigt für diese "Geisterstationen" um mal zu checken was sich wirklich physisch dahinter verbirgt !!
Gravierend auch die Tatsache das IP Adressen aus dem FritzBox Pool zugewiesen wurden. Das allein wäre schon extrem ungewöhnlich und zeugt eher davon das sich auch physisch weiterhin andere Geräte im FritzBox LAN befinden.
Als Schluss lasst das dann nur zu das der TO sehr wahrscheinlich die VLANs an der Firewall FALSCH konfiguriert hat und das vermutlich das VLAN 80 nicht exklusiv und abgesichert am Firewall Port anliegt wo die FritzBox verbunden ist.
Irgendwie sind hier vermutlich via Bridging noch andere Segmente dran.
Gruselig...und sollte dir in einem Firewall Umfeld doch eher schwer zu denken geben und solltest du dringenst überprüfen.
Normal liegt ein Internet / WAN Port niemals an einem virtuellen VLAN Interface einer Firewall sondern immer an einem dedizierten physischen Port.
Allein das zeigt schon den grundsätzlichen Denkfehler dieses falschen Designs !
Das hiesige VLAN Tutorial beschreibt wie so etwas designtechnisch richtig zu lösen ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Zitat von @aqui:
Als Schluss lasst das dann nur zu das der TO sehr wahrscheinlich die VLANs an der Firewall FALSCH konfiguriert hat und das vermutlich das VLAN 80 nicht exklusiv und abgesichert am Firewall Port anliegt wo die FritzBox verbunden ist.
Irgendwie sind hier vermutlich via Bridging noch andere Segmente dran.
Gruselig...und sollte dir in einem Firewall Umfeld doch eher schwer zu denken geben und solltest du dringenst überprüfen.
Ja genau das ist ja der Punkt, wieso ich hier schreibe. Es ist halt für mich ziemlich schwer sich mit dem Thema zu beschäftigen wenn man keine direkte hilfe hat. Aber wie ich schon erwähnt handelt es sich um ein Heimnetzwerk, mit dem ich versuche die Sachen mir etwas besser anzueignen.Als Schluss lasst das dann nur zu das der TO sehr wahrscheinlich die VLANs an der Firewall FALSCH konfiguriert hat und das vermutlich das VLAN 80 nicht exklusiv und abgesichert am Firewall Port anliegt wo die FritzBox verbunden ist.
Irgendwie sind hier vermutlich via Bridging noch andere Segmente dran.
Gruselig...und sollte dir in einem Firewall Umfeld doch eher schwer zu denken geben und solltest du dringenst überprüfen.
Normal liegt ein Internet / WAN Port niemals an einem virtuellen VLAN Interface einer Firewall sondern immer an einem dedizierten physischen Port.
Allein das zeigt schon den grundsätzlichen Denkfehler dieses falschen Designs !
Allein das zeigt schon den grundsätzlichen Denkfehler dieses falschen Designs !
Hier bin ich voll auf deiner Seite, jedoch kann ich aufgrund der Räumlichen Gegebenheiten kein Kabel direkt vom Keller zu dem Server Rechner ziehen.
Da erschien mir die Variante mit den VLANs eine sehr gute Idee.
Auch zu dem Thema, dass eine Firewall nicht Virtualisiert werden sollte sehe ich ein. Dennoch muss ich für den Heimgebrauch immer die Stromrechnung im Hinterkopf behalten.
Das hiesige VLAN Tutorial beschreibt wie so etwas designtechnisch richtig zu lösen ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das werde ich mir nochmal durchlesen.
Jedoch muss ich dir recht geben, ich hatte die einstellung am Switch nochmal überprüft und abgeändert. Hier waren tatsächlich noch andere Ports im VLAN 80 auf "getaggt". Diese habe ich nun auf Ausgeschlossen umgeändert.
=> Folglich haben in der Fritte einige Clients direkt auf "offline" gewechselt.
Nun sehe ich hier deutlich weniger Clients als vorher. Und die Clients die angezeigt werden, denen wird auch keine IP Adresse mehr zugeweisen. Es steht lediglich noch der Hostname da.
Kann dies vielleicht etwas damit zu tun haben, dass bei dem ein oder anderen Gerät noch Portweiterleitungen exsistieren? Also z.B. für die Dienste der Synology ?
Danke für die Unterstützung.
wenn man keine direkte hilfe hat.
Aber die hast du doch hier im Forum !!handelt es sich um ein Heimnetzwerk, mit dem ich versuche die Sachen mir etwas besser anzueignen.
Vielleicht dann auch mal einen Blick ins hiesige VLAN Tutorial riskieren:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
oder vielleicht in ein VLAN Router spezifisches Tutorial:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Dort findest du viele Grundlagen wie man es richtig macht
jedoch kann ich aufgrund der Räumlichen Gegebenheiten kein Kabel direkt vom Keller zu dem Server Rechner ziehen.
Dann vielleicht Power LAN (D-LAN) das geht eigentlich immer !!Da erschien mir die Variante mit den VLANs eine sehr gute Idee.
Mmmhhh, jetzt widersprichst du dir aber selber...?! Ein VLAN Link mit Tagging der VLANs erfordert aber zwingend einen direkten Link sprich Kabel.Oder meinst du das jetzt so das du einen Tagged Uplink mit mehreren Hops nutzt um in den Keller zu kommen also z.B. Keller - Erdgeschoss - 1.OG - Server ??
Dann müssen sich im Erdgeschoss und 1.OG dann aber zwingend VLAN fähige Switches befinden, ist das der Fall ?
Dennoch muss ich für den Heimgebrauch immer die Stromrechnung im Hinterkopf behalten.
Deshalb installiert man die Firewall ja auch auf einem strompsparenden Mini Mainboard:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das isnd dann Stromkosten von ca. 20 Euro im Jahr. Sollte einem die Sicherheit ja wert sein, oder hast du dort etwa einen 100 Watt Intel Rechner mit VmWare usw. am "glühen" ?
Hier waren tatsächlich noch andere Ports im VLAN 80 auf "getaggt".
Wie immer...klassischer Fehler !Sowas ist in deinem Firewall Umfeld natürlich tödlich aus Sicherheits Sicht !!
Es steht lediglich noch der Hostname da.
Was ja auch noch falsch ist !! Es zeigt das dort immer nich ein Bridging in fremde, nicht autorisierte Netzsegemente gibt, sprich immer noch irgendwo eine Fehlkonfig.Dein Netzwerk von der Firewall ist ein reines Punkt zu Punkt Transfer Netzwerk ! Dort gibt es maximal 2 Host IP Adressen, nämlich ein,al die des WAN Ports deiner Firewall und die der FritzBox, sonst NIX !
Dafür reicht sogar ein /30er Netzwerk aus !!
Alle anderen Adressen und Hosts gehören da nicht hin !
Kann dies vielleicht etwas damit zu tun haben, dass bei dem ein oder anderen Gerät noch Portweiterleitungen exsistieren?
Nein, denn das ist ja rein nur Port bezogener Traffic.
Hallo,
Fritz --VLAN80-->
Netgear GS116G (Smart managed // Untergeschoss) --TRUNK-->
Cisco SG300-28 (Obergeschoss)-->
von hier aus läuft alles Zentral in die VLANS.
Der Cisco läuft aktuell noch als Layer3, wird jedoch nicht für das Routing genutzt. Kann es sein, dass dadurch noch ein Fehler kommt? Aber hatte eigentlich alles Kontrolliert und bei VLAN 80 waren nun alle anderen Ports auf "Ausgeschlossen"
Aber andererseits. Ich habe noch ein ASrock J3455 zuhause. wäre es denkbar. dieses umzufunktionieren.
Zitat von @aqui:
Dann müssen sich im Erdgeschoss und 1.OG dann aber zwingend VLAN fähige Switches befinden, ist das der Fall ?
Sorry vergessen zu schreiben aufbau ist wie folgt:Dann müssen sich im Erdgeschoss und 1.OG dann aber zwingend VLAN fähige Switches befinden, ist das der Fall ?
Fritz --VLAN80-->
Netgear GS116G (Smart managed // Untergeschoss) --TRUNK-->
Cisco SG300-28 (Obergeschoss)-->
von hier aus läuft alles Zentral in die VLANS.
Das isnd dann Stromkosten von ca. 20 Euro im Jahr. Sollte einem die Sicherheit ja wert sein, oder hast du dort etwa einen 100 Watt Intel Rechner mit VmWare usw. am "glühen" ?
Fast ;) habe eine ESXI am laufen. Hier ist auch der DC etc. drauf.Hier waren tatsächlich noch andere Ports im VLAN 80 auf "getaggt".
Wie immer...klassischer Fehler !Aber andererseits. Ich habe noch ein ASrock J3455 zuhause. wäre es denkbar. dieses umzufunktionieren.
Der GS116GE ist ein ungemanagter Switch.
https://www.netgear.com/images/datasheet/switches/GS105v5_GS108v4_GS116v ...
Einen VLAN "Trunk" kannst du also damit unmöglich zum Cisco SG-300 konfigurieren !
Das ist technisch damit NICHT möglich.
Erschwerend kommt hier noch dazu was du genau mit "Trunk" meinst, denn leider ist das Wort doppeldeutig in der Netzwerkwelt und führt deshalb leider immer wieder zu Mißverständnissen !
Trunk bei Cisco = Ein 802.1q VLAN getaggter Uplink. (LAG nennt Cisco "Etherchannel")
Trunk beim Rest der Netzwerk Welt = Ein aggregierter LACP Link (LAG) mit 2 oder mehr Links (Link Aggregation)
So oder so wirst du mit der NICHT managebaren NetGear Gurke weder einen Tagged Uplink noch einen LAG auf den Cisco konfigurieren können, weil der NG eben gar nicht konfigurierbar ist.
Fragt sich also WAS du denn wirklich gemacht hast ??
Fakt ist das der Port der zum NetGear geht ein Access Port (Untagged) sein muss der Member im VLAN 80 ist.
Am NetGear darf dann NICHTS weiter angeschlossen sein, denn da dieser Switch ungemanaged ist sind somit ALLE Ports dann im VLAN 80 wo nichts weiter rein soll außer Firewall WAN Port und FritzBox.
Im Grunde ist dann dieser Switch eigentlich überflüssig und du kannst den VLAN 90 Access port der vom SG-300 kommt dann eigentlich DIREKT in die FritzBox stecken !!
Dann wäre es richtig, wenigstens die Seite zur FritzBox.
Die andere Seite hängt davon ab wie du die Firewall auf dem ESXi angebunden hast an den SG-300.
Normalerweise macht man das mit einem vSwitch in der VMWare, der einen Tagged Uplink auf den Cisco bekommt, wo man die ganzen ESXi internen VLANs dann auf den physischen Switch nach außen führt.
Die VMs bzw. deren Ports hängt man dann entsprechend am vSwitch ein.
So sähe die andere Seite aus ! Wenn man es richtig macht....
https://www.netgear.com/images/datasheet/switches/GS105v5_GS108v4_GS116v ...
Einen VLAN "Trunk" kannst du also damit unmöglich zum Cisco SG-300 konfigurieren !
Das ist technisch damit NICHT möglich.
Erschwerend kommt hier noch dazu was du genau mit "Trunk" meinst, denn leider ist das Wort doppeldeutig in der Netzwerkwelt und führt deshalb leider immer wieder zu Mißverständnissen !
Trunk bei Cisco = Ein 802.1q VLAN getaggter Uplink. (LAG nennt Cisco "Etherchannel")
Trunk beim Rest der Netzwerk Welt = Ein aggregierter LACP Link (LAG) mit 2 oder mehr Links (Link Aggregation)
So oder so wirst du mit der NICHT managebaren NetGear Gurke weder einen Tagged Uplink noch einen LAG auf den Cisco konfigurieren können, weil der NG eben gar nicht konfigurierbar ist.
Fragt sich also WAS du denn wirklich gemacht hast ??
habe eine ESXI am laufen.
Gruselig ! Un du redest dann von Stromkosten ?? Nicht dein Ernst, oder ? Aber egal..ist hier ja nicht das Problem...Der Cisco läuft aktuell noch als Layer3, wird jedoch nicht für das Routing genutzt.
Das ist ja auch OK und stört nicht weiter... Solange du keine IP Adressen in den VLANs konfiguriert hast routet er nicht.Kann es sein, dass dadurch noch ein Fehler kommt?
Dazu müsstest du mal deine Cisco VLAN Switchkonfig hier posten (Screenshot).Fakt ist das der Port der zum NetGear geht ein Access Port (Untagged) sein muss der Member im VLAN 80 ist.
Am NetGear darf dann NICHTS weiter angeschlossen sein, denn da dieser Switch ungemanaged ist sind somit ALLE Ports dann im VLAN 80 wo nichts weiter rein soll außer Firewall WAN Port und FritzBox.
Im Grunde ist dann dieser Switch eigentlich überflüssig und du kannst den VLAN 90 Access port der vom SG-300 kommt dann eigentlich DIREKT in die FritzBox stecken !!
Dann wäre es richtig, wenigstens die Seite zur FritzBox.
Die andere Seite hängt davon ab wie du die Firewall auf dem ESXi angebunden hast an den SG-300.
Normalerweise macht man das mit einem vSwitch in der VMWare, der einen Tagged Uplink auf den Cisco bekommt, wo man die ganzen ESXi internen VLANs dann auf den physischen Switch nach außen führt.
Die VMs bzw. deren Ports hängt man dann entsprechend am vSwitch ein.
So sähe die andere Seite aus ! Wenn man es richtig macht....
1
Hey sorry für das Missverständnis haben den Netgear GS116E-200PES. Hatte mich vertippt.
Dieser ist smart managed und kann die unterschiedlichen Vlans auf die einzelnen Ports aufteilen.
Bezüglich des Trunk Port. Hier habe ich selbst scheinbar einen falschen Begriff im Hinterkopf gehabt.
Meinen tat ich damit einen Port, der alle vlans überträgt. Dachte immer das würde man Trunk nennen.
Dieser ist smart managed und kann die unterschiedlichen Vlans auf die einzelnen Ports aufteilen.
Bezüglich des Trunk Port. Hier habe ich selbst scheinbar einen falschen Begriff im Hinterkopf gehabt.
Meinen tat ich damit einen Port, der alle vlans überträgt. Dachte immer das würde man Trunk nennen.
haben den Netgear GS116E-200PES.
OK, mit dem klappt das natürlich sofern man dessen verwartes VLAN Handling dann durchschaut hat:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hier habe ich selbst scheinbar einen falschen Begriff im Hinterkopf gehabt.
Das passiert, denn "Trunk" ist durch die Doppeldeutigkeit leider missverständlich.Dachte immer das würde man Trunk nennen.
Leider nein !Cisco hat da eine andere Vorstellung als der Rest der Welt was das ist
Zitat von @aqui:
Ist ein relativ kleiner Rechner. In Kombination mit der Firewall schien mir das als eine der besten Lösungen. Hintergrund war, dass ich gerne den DC und ein Test Windows Server erstellen kann. Sofern du hier eine andere möglichkeit hast, bin ich gerne offen ^^habe eine ESXI am laufen.
Gruselig ! Un du redest dann von Stromkosten ?? Nicht dein Ernst, oder ? Aber egal..ist hier ja nicht das Problem...Der Cisco läuft aktuell noch als Layer3, wird jedoch nicht für das Routing genutzt.
Das ist ja auch OK und stört nicht weiter... Solange du keine IP Adressen in den VLANs konfiguriert hast routet er nicht.Dazu müsstest du mal deine Cisco VLAN Switchkonfig hier posten (Screenshot).
Die andere Seite hängt davon ab wie du die Firewall auf dem ESXi angebunden hast an den SG-300.
Der ESXI hängt an Port GE25 und GE28.->GE12 ist der Uplink zu dem Netgear Switch
->GE2 und GE27 sind die anbindung an meine Unifi APs.
Im ESXI selbst wurden 2 VSwitche erstellt, welche wie folgt aufgeteilt sind:
-> GE25 -> Vswitch1 -> Eine Portgruppe in VLAN70
-> GE28 -> Vswitch2 -> 2 Portgruppen VLAN 20 + VLAN 50
Zuvor hatte ich immer von VLAN 80 gesprochen. Hatte jedoch immer 70 gemeint ;) wollte das nur nicht korrigieren, da es sonst ggf. zu Verwirrung geführt hätte.
Danke für die Unterstützung
dass ich ihm lediglich im VLAN20 - also meinem Internen Lan eine IP adresse vergebe ?
Ja, richtig. Im Setup dann unter Administration die VLAN ID auf 20 setzen. Hast du sicher auch so gemacht ?!Cisco VLAN Switchkonfig hier posten
Ggrrr... deutsch, wie gruselg.Wenn man jetzt wüsste was dort "OP" und "M" wohl bedeutet ?? Im Englsichen steht dort U = Untagged und T = Tagged was man sofort versteht.
Setzt man jetzt mal voraus das OP=Untagged ist und M=Tagged würde es soweit stimmen. Aber meint das deutsche GUI das auch so ???
Der ESXI hängt an Port GE25 und GE28.
Die Frage ist WIE ??So wäre es tödlich, denn nicht nur das dort asymetrische VLAN Konfigs auf den Ports wären, das ist auch kein LACP LAG Port.
Damit würde die Gefahr eines Loops bestehen. Aus reiner Cisco Switch Sicht wäre diese Anbindung falsch.
Möglich aber das du den als Active Standby geschaltet hast. Fällt 25 aus dann geht alles über 28 usw.
Oder du nutzt getrennte vSwitches intern, was ja laut unten der Fall ist.
Das würde dann wieder gehen, allerdings fällt dann wie gesagt die nicht konsistente VLAN Konfig auf !!
GE12 ist der Uplink zu dem Netgear Switch
Wäre soweit richtig. VLAN 20 ist dann untagged (native VLAN) und 50 und 70 tagged.Auf NetGear Seite musst du aber aufpassen !
Am Link vom Cisco kommen die untagged Pakete aus VLAN 20. Wenn du am NG kein VLAN 20 eingerichtet hast und die PVID nicht auf 20 gelegt hast am NG, dann landen diese Pakete dort im VLAN 1 (PVID 1) !
GE2 und GE27 sind die anbindung an meine Unifi APs.
Soweit auch ok. VLAN 20 ist native und VLAN 50 tagged.Im ESXI selbst wurden 2 VSwitche erstellt, welche wie folgt aufgeteilt sind:
OK, hier ist es jetzt aber wichtig zu wissen:- Sind diese vSwitches aus Layer 2 Sicht vollkommen getrennt oder intern verbunden ? Müssten getrennt sein !
- WIE sind diese vSwitches an den externen Switch angeschlossen ?
Klar, dann ist Port 25 z.B. an vSwitch 1
Hier ist dann das Default VLAN 1 des Cisco (untagged) drauf und die VLANs 20, 50 und 70 tagged !
Port 28 dann an vSwitch 2 außer das hier VLAN 70 fehlt.
Wie gesagt: Die vSwitches müssen getrennt sein dafür !
Bedenke hier aber das die PVID also das native VLAN (untagged) dieser vSwitches im Cisco Default VLAN 1 liegt !
Ggf. wäre es hier besser nur einen vSwitch zu verwenden und den dann mit einem LACP LAG anzubinden.
Das hängt aber letztlich von deinem Umfeld ab und was du machen willst.
Was die APs betrifft liegt vermutlich deren Management IP in deren Default VLAN 1 was dann untagged an deren Port rausgeht und folglich dann bei dir im VLAN 20 liegt.
Managementmäßig solltest du also die APs aus dem VLAN 20 problemlos erreichen, oder ?
Soweit sieht von der Switchkonfig gesehen alles ok aus !
Hatte das mal irgenwann umgestellt und seit dem nicht mehr geändert ^^
Aber du hast die Sachen richtig gedeutet:
O = untagged
P = PVID
M = Managed sprich Tagged
Einen Screenshot der Netzwerkkonfig vom ESXI reiche ich noch nach.
Der ESXI hat 2 Netzwerkkarten. Welche in der Grundkonfiguration in das VLAN 4095 gelegt wurden. Meine das damals so gelesen zu haben, dass dadurch alle VLANs auf den Karten abgerufen werden.
Somit also
NIC 1 -> Port 25
NIC 2 -> Port 28
Danach habe ich in der config diese Switch aufgeteilt.
Hier habe ich dann ein VLAN 20 // 50 etc erstellt und diese dann den einzelnen Virtuellen Maschinen zugeteilt.
(Leider kann ich dir aus dem Kopf heraus nicht mehr die genaue Bezeichnung nennen - glaub dies heiß Portgruppe. )
Somit waren meine VMs dann in dem besagten Netzwerk aktiv.
Also ums "bildlich" darzustellen.
GE25 --[VLAN 4095] --> NIC 1 ---->
--> ESXI Vswitch1
>VLAN 70 (meine dieser Punkt heißt Portgruppe)
> Clients ("intern" mit dem Switch verbunden)
In diesem Fall nur die Sophos NIC
GE28 --[VLAN 4095] --> NIC 2 ---->
--> ESXI Vswitch2
>VLAN 20 (meine dieser Punkt heißt Portgruppe)
> Clients ("intern" mit dem Switch verbunden)
>VLAN 50 (meine dieser Punkt heißt Portgruppe)
> Clients ("intern" mit dem Switch verbunden)
Aber du hast die Sachen richtig gedeutet:
O = untagged
P = PVID
M = Managed sprich Tagged
Der ESXI hängt an Port GE25 und GE28.
Die Frage ist WIE ??Der ESXI hat 2 Netzwerkkarten. Welche in der Grundkonfiguration in das VLAN 4095 gelegt wurden. Meine das damals so gelesen zu haben, dass dadurch alle VLANs auf den Karten abgerufen werden.
Somit also
NIC 1 -> Port 25
NIC 2 -> Port 28
Danach habe ich in der config diese Switch aufgeteilt.
Hier habe ich dann ein VLAN 20 // 50 etc erstellt und diese dann den einzelnen Virtuellen Maschinen zugeteilt.
(Leider kann ich dir aus dem Kopf heraus nicht mehr die genaue Bezeichnung nennen - glaub dies heiß Portgruppe. )
Somit waren meine VMs dann in dem besagten Netzwerk aktiv.
Also ums "bildlich" darzustellen.
GE25 --[VLAN 4095] --> NIC 1 ---->
--> ESXI Vswitch1
>VLAN 70 (meine dieser Punkt heißt Portgruppe)
> Clients ("intern" mit dem Switch verbunden)
In diesem Fall nur die Sophos NIC
GE28 --[VLAN 4095] --> NIC 2 ---->
--> ESXI Vswitch2
>VLAN 20 (meine dieser Punkt heißt Portgruppe)
> Clients ("intern" mit dem Switch verbunden)
>VLAN 50 (meine dieser Punkt heißt Portgruppe)
> Clients ("intern" mit dem Switch verbunden)
Am Link vom Cisco kommen die untagged Pakete aus VLAN 20. Wenn du am NG kein VLAN 20 eingerichtet hast und die PVID nicht auf 20 gelegt hast am NG, dann landen diese Pakete dort im VLAN 1 (PVID 1) !
Werde ich später nochmal genau nachschauen. Zumindest bekommen die angeschlossenen Clients die IP Adresse aus dem VLAN20.Was die APs betrifft liegt vermutlich deren Management IP in deren Default VLAN 1 was dann untagged an deren Port rausgeht und folglich dann bei dir im VLAN 20 liegt.
Managementmäßig solltest du also die APs aus dem VLAN 20 problemlos erreichen, oder ?
Ja genau. Diese werde ohne Probleme im VLAN 20 erkannt und sind auch managebar.Managementmäßig solltest du also die APs aus dem VLAN 20 problemlos erreichen, oder ?
Soweit sieht von der Switchkonfig gesehen alles ok aus !
Danke :DWelche in der Grundkonfiguration in das VLAN 4095 gelegt wurden.
Das ist tödlich und solltest du NIEMALS machen !Die VLAN ID 4095 ist generell NICHT supportet !!! Siehe dazu:
https://de.wikipedia.org/wiki/IEEE_802.1Q#Funktionsweise_nach_IEEE_802.1 ...
(die VLAN-IDs "0" und "4095" sind reserviert und nicht zulässig) !
Die oberen VLANs werden generell von allen Herstellern proprietär verwendet für interne Management Funktionen wie z.B. bei MSTP usw.
Generell gilt: man sollte sicherheitshalber ALLE VLAN IDs über 4000 besser wenn möglich meiden !!!
Lösche also diese VLAN ID (deine ist eh nicht supportet) und wähle eine andere wie 3999 oder sowas wenn du eine Dummy ID nutzen willst.
Gut möglich das das dein Problem ist.
Hey,
Also habe bei mir nun nochmal nachgeschaut.
Die VLAN ID 4095 hatte ich mal in ESXI gesetzt, da in der ESXI Maske gesagt wird, dass diese ID für alle VLAN tags gilt.
Aber später hatte ich die Sachen dann etwas anders aufgebaut.
Siehe Bilder.
Und so sieht dann z.B. die "Anbindung der Sophos aus.
Oder meinst du es macht mehr Sinn, wenn wenn ich auf einen VSwitch beide Netzwerkadapter lege?
Danke für die Hilfe
Also habe bei mir nun nochmal nachgeschaut.
Die VLAN ID 4095 hatte ich mal in ESXI gesetzt, da in der ESXI Maske gesagt wird, dass diese ID für alle VLAN tags gilt.
Aber später hatte ich die Sachen dann etwas anders aufgebaut.
Siehe Bilder.
Und so sieht dann z.B. die "Anbindung der Sophos aus.
Oder meinst du es macht mehr Sinn, wenn wenn ich auf einen VSwitch beide Netzwerkadapter lege?
Danke für die Hilfe
Die VLAN ID 4095 hatte ich mal in ESXI gesetzt,
Wie gesagt: Vergessen ! Ist nicht supportet !Zur Sophos:
Kannst du das VLAN 20 und das VLAN 50 Interface dort pingen aus diesen VLANs ?
Voraussetzung natürlich das du ICMP in der Firewall auf beiden Interfaces erlaubt hast !
ja, ich kann jeweils alles anpingen.
Lediglich alle Verbindungen von VLAN 50 --> VLAN 20 wurden durch eine DROP ANY Regel unterbunden.
Voraussetzung natürlich das du ICMP in der Firewall auf beiden Interfaces erlaubt hast !
ICMP ist aktiviert, da ich dieses nutze um zu schauen, ob Clients vorhanden sind.
Was geht denn genau jetzt nicht...?
Sorry wegen der späten Rückmeldung.
War anfangs sehr irritiert durch die VLAN 4095 Geschichte. Jedoch hatte sich das alles geklärt und habe es nun so angepasst wie du es vorgeschlagen hattest.
Aktuell funktioniert alles - ;)
Danke nochmals an dieser Stelle.
Nur mit dem Vigor 130, welchen ich neu habe gibt es noch ein kleines "Problemlchen"
=> Vigor 130 Web Interface
