15
Verständnissproblem Routing mit SG300-28
Hallo Leute,
leider komme ich mit meinem neuen Cisco Switch noch nicht ganz klar und würde euch deshalb gerne einmal um Hilfe bitten.
Ich habe meinen alten noname Switch durch einen SG300-28 der Marke Cisco ersetzt. Beim Kauf war mir eigentlich schon bewusst, dass es für den Homegebrauch etwas übertrieben ist. Hintergrund war jedoch der sehr niedrige Preis und das vorhandene Interesse an Netzwerktechnik.
Leider aber komme ich aktuell nicht mehr weiter und wollte euch fragen, ob nachfolgende Lösung mit dem "Stand alone" Switch überhaupt machbar ist.
Mein Netzwerkaufbau sieht wie folgt aus:
Internet ==> Modem ==> Sophos XG Firewall (192.168.2.1) => SG300-28 (192.168.2.4 192.168.3.1) ==> Diverse clients über WLAN und LAN
Nun würde ich gerne einmal versuchen mein "Heimnetz" in 2 Subnetmasken aufzuteilen.
z.B.: dass die TV's im Bereich von 192.168.3.0/24 und die PCs in 192.168.2.0/24 aufzufinden sind.
Ist generell so ein Setup möglich ?
Was habe ich bis jetzt gemacht ? (der SG 300 läuft im Layer 3 Modus)
- > unter IP Konfiguration 2 IP Adressen vergeben 192.168.2.4 und 192.168.3.1
-> unter IP Routen folgende Routen ergänzt:
- Ziel IP Präfix Präfixlänge RoutentypRouterIP
0.0.0.0 0 Standard 192.168.2.1
192.168.2.0 24 Lokal
192.168.3.0 24 // Lokal
Aber irgendwie sind die Netzte nicht miteinander Verbunden.
Vielen Dank im Voraus
leider komme ich mit meinem neuen Cisco Switch noch nicht ganz klar und würde euch deshalb gerne einmal um Hilfe bitten.
Ich habe meinen alten noname Switch durch einen SG300-28 der Marke Cisco ersetzt. Beim Kauf war mir eigentlich schon bewusst, dass es für den Homegebrauch etwas übertrieben ist. Hintergrund war jedoch der sehr niedrige Preis und das vorhandene Interesse an Netzwerktechnik.
Leider aber komme ich aktuell nicht mehr weiter und wollte euch fragen, ob nachfolgende Lösung mit dem "Stand alone" Switch überhaupt machbar ist.
Mein Netzwerkaufbau sieht wie folgt aus:
Internet ==> Modem ==> Sophos XG Firewall (192.168.2.1) => SG300-28 (192.168.2.4 192.168.3.1) ==> Diverse clients über WLAN und LAN
Nun würde ich gerne einmal versuchen mein "Heimnetz" in 2 Subnetmasken aufzuteilen.
z.B.: dass die TV's im Bereich von 192.168.3.0/24 und die PCs in 192.168.2.0/24 aufzufinden sind.
Ist generell so ein Setup möglich ?
Was habe ich bis jetzt gemacht ? (der SG 300 läuft im Layer 3 Modus)
- > unter IP Konfiguration 2 IP Adressen vergeben 192.168.2.4 und 192.168.3.1
-> unter IP Routen folgende Routen ergänzt:
- Ziel IP Präfix Präfixlänge RoutentypRouterIP
0.0.0.0 0 Standard 192.168.2.1
192.168.2.0 24 Lokal
192.168.3.0 24 // Lokal
Aber irgendwie sind die Netzte nicht miteinander Verbunden.
Vielen Dank im Voraus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 328442
Url: https://administrator.de/contentid/328442
Ausgedruckt am: 23.11.2024 um 08:11 Uhr
15 Kommentare
Neuester Kommentar
Moin,
grundsätzlich vom Aufbau her ideal, also den Switch routen zu lassen, statt der UTM.
Noch bessr wäre es, die Sophos in ein drittes VLAN zu verfrachten, z.B. 192.168.1.0/ 24.
Dann hast du ein VLAN welches NUR für Internet-Verkehr ist. Solltest du später mal noch ein Gäste-WLAN haben wollen, müssen die ja nicht in dein privates-WLAN reingrätschen, um ins Internet zu kommen....
Weiterer Tipp am Rande:
Setze die Switche in beiden Netzen auf eine der ersten oder letzten IP-Adressen in einem VLAN. Das ist immer besser, als so mittendrin.
Also in beiden Fällen besser 192.168.3.254 und 192.168.2.254. Das macht es immer übersichtlicher und verhindert, dass man versehentlich eine IP doppelt zuweist.
Dann vermute ich, liegt der Fehler an zwei Dingen:
a) kennen deine Clients das neue Gateway, also hast du denen mitgeteilt, wer das Default-Gateway ist!?Du musst denen dann nämlich die 192.168.x.254 mitgeben.
b) auf der Sophos musst du noch Rückrouten einrichten. Denn die Sophos weiss ja sonst nicht,wohin Sie die Pakete für die Netze 192.168.2.0/ 24 bzw. 192.168.3.0/ 24 senden soll...
Noch weitere Anmerkungen:
Wer macht DHCP? Die Sophos oder der Switch.
Wenn es die SOPHOS macht, musst du am Switch noch die ip-adress helper einrichten und zuvor auf der SOPHOS passende DHCP-Scopes einrichten. Der Switch nimmt dann die DHCP-Anfragen entgegen, leitet diese an die SOPHOS weiter, welche die Requests dann dem Switch gegenüber beantwortet, welcher diese dann wieder zurück zu den Clients sendet...
Gruß
em-pie
grundsätzlich vom Aufbau her ideal, also den Switch routen zu lassen, statt der UTM.
Noch bessr wäre es, die Sophos in ein drittes VLAN zu verfrachten, z.B. 192.168.1.0/ 24.
Dann hast du ein VLAN welches NUR für Internet-Verkehr ist. Solltest du später mal noch ein Gäste-WLAN haben wollen, müssen die ja nicht in dein privates-WLAN reingrätschen, um ins Internet zu kommen....
Weiterer Tipp am Rande:
Setze die Switche in beiden Netzen auf eine der ersten oder letzten IP-Adressen in einem VLAN. Das ist immer besser, als so mittendrin.
Also in beiden Fällen besser 192.168.3.254 und 192.168.2.254. Das macht es immer übersichtlicher und verhindert, dass man versehentlich eine IP doppelt zuweist.
Dann vermute ich, liegt der Fehler an zwei Dingen:
a) kennen deine Clients das neue Gateway, also hast du denen mitgeteilt, wer das Default-Gateway ist!?Du musst denen dann nämlich die 192.168.x.254 mitgeben.
b) auf der Sophos musst du noch Rückrouten einrichten. Denn die Sophos weiss ja sonst nicht,wohin Sie die Pakete für die Netze 192.168.2.0/ 24 bzw. 192.168.3.0/ 24 senden soll...
Noch weitere Anmerkungen:
Wer macht DHCP? Die Sophos oder der Switch.
Wenn es die SOPHOS macht, musst du am Switch noch die ip-adress helper einrichten und zuvor auf der SOPHOS passende DHCP-Scopes einrichten. Der Switch nimmt dann die DHCP-Anfragen entgegen, leitet diese an die SOPHOS weiter, welche die Requests dann dem Switch gegenüber beantwortet, welcher diese dann wieder zurück zu den Clients sendet...
Gruß
em-pie
Hallo,
vielen dank für die schnelle Antwort. -> Soweit hatte ich bis jetzt noch nicht gedacht. ;)
Aktuell macht das noch meine Diskstation von Synology, welche ich oben vergessen hatte zu erwähnen, sorry. Hatte es in der vergangenheit einmal über den Switch versucht, jedoch konnten manche Geräte dann keine "Ip Adresse" beziehen und meldeten immer keine Internetverbindung.
- Es handelte sich dabei um ein Internetradio..
Leider kann ich mir das "Phänomen" nicht immer noch nicht erklären.
Ich glaube hier liegt schon mein Problem. Ich hatte bei den Clients als Gateway weiterhin die 192.168.2.1 eingetragen, also die IP der Sophos.
Werde das gleich einmal testen :D
Oder muss ich "Statische Routen" bei der Sophos eintragen ?
Weiterhin hattest du noch VLANS erwähnt, da ich aktuell bei den Routen noch keinen erfolg hatte, hatte ich bis jetzt alle Geräte im VLAN 1 (also die Standard Konfiguration des Switches)
- Müssen zwingend schon VLANs angelegt werden ?
- In den ganzen Tutorials im Internet ist immernoch die Rede davon, dass ein Port "getaggt" sein muss - muss ich hier auch noch was ändern ? Oder kommt das nur zum Tragen, wenn VLANs benutzt werden ?
Danke schon einmal
vielen dank für die schnelle Antwort. -> Soweit hatte ich bis jetzt noch nicht gedacht. ;)
Noch weitere Anmerkungen:
Wer macht DHCP? Die Sophos oder der Switch.
Wer macht DHCP? Die Sophos oder der Switch.
Aktuell macht das noch meine Diskstation von Synology, welche ich oben vergessen hatte zu erwähnen, sorry. Hatte es in der vergangenheit einmal über den Switch versucht, jedoch konnten manche Geräte dann keine "Ip Adresse" beziehen und meldeten immer keine Internetverbindung.
- Es handelte sich dabei um ein Internetradio..
Leider kann ich mir das "Phänomen" nicht immer noch nicht erklären.
Dann vermute ich, liegt der Fehler an zwei Dingen:
a) kennen deine Clients das neue Gateway, also hast du denen mitgeteilt, wer das Default-Gateway ist!?Du musst denen dann nämlich die 192.168.x.254 mitgeben.
a) kennen deine Clients das neue Gateway, also hast du denen mitgeteilt, wer das Default-Gateway ist!?Du musst denen dann nämlich die 192.168.x.254 mitgeben.
Ich glaube hier liegt schon mein Problem. Ich hatte bei den Clients als Gateway weiterhin die 192.168.2.1 eingetragen, also die IP der Sophos.
Werde das gleich einmal testen :D
b) auf der Sophos musst du noch Rückrouten einrichten. Denn die Sophos weiss ja sonst nicht,wohin Sie die Pakete für die Netze 192.168.2.0/ 24 bzw. 192.168.3.0/ 24 senden soll...
Bitte entschuldige jetzt die blöde Fragen, aber mit Rückrouten meinst du dass diese eine weitere IP Adresse benötigt ?Oder muss ich "Statische Routen" bei der Sophos eintragen ?
Weiterhin hattest du noch VLANS erwähnt, da ich aktuell bei den Routen noch keinen erfolg hatte, hatte ich bis jetzt alle Geräte im VLAN 1 (also die Standard Konfiguration des Switches)
- Müssen zwingend schon VLANs angelegt werden ?
- In den ganzen Tutorials im Internet ist immernoch die Rede davon, dass ein Port "getaggt" sein muss - muss ich hier auch noch was ändern ? Oder kommt das nur zum Tragen, wenn VLANs benutzt werden ?
Danke schon einmal
Eijeijei 
Also:
wenn du zwei verschiedene IP-Adresskreise verwenden willst, ist ein VLAN eigentlich unumgänglich (es geht auch ohne, aber dann ist es halt sch...)
Unser aqui hier hat seinerzeit mal ein Tutorial hier verfasst, welche auch die Grundlagen beschreibt.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das solltest du dir zunächst mal durchlesen/ durcharbeiten
Zu deinem Aufbau:
Du musst/ solltest für jedes IP-Netz ein eigenes VLAN vorsehen.
Anbieten würde sich
VLAN1 mit dem Netz 192.168.1.0/24 (hier könntest du die SOPHOS "einsperren")
VLAN2 mit dem Netz 192.168.2.0/24 (hier könntest du die WLANs "einsperren")
VLAN3 mit dem Netz 192.168.3.0/24 (hier könntest du die übrigen Devices "einsperren")
VLAN4 mit dem Netz 192.168.4.0/24 (hier könntest du die Gäste später "einsperren")
Unterschied tagged und untagged:
Ports mit dem Status tagged sind alle diejenigen, an denen ein Endgerät angeschlossen wird, welches auch mit VLANs umgehen kann.
Das sind i.d.R. Synology-NAS-Systeme, (andere) Router, MultiSSID-fähige AccessPoints und auch andere manaagebare Layer2 und mehr Switche. Der Switch heftet an diese Ports nicht selbst eine VLAN-ID an die Datenpakete an,sondern übernimmt die, die vom Gerät gegenüber mitkommen.
untagged sind dann alle diejenigen Ports, die nichts mit VLAN am Hut haben. Dazu zählen in aller Regel normale Clients, Drucker, TVs, Receiver, Drucker, Spielekonsolen etc.
Nachtrag: Das VLAN1 belässt man eigentlich immer auf allen Ports als untagged, eben weil es ein Default-VLAN ist.
Da du die Sophos in ein eigenes VLAN packst und das Routing der Switch übernimmt, wird die Sophos an einem untagged Port an den Switch angeschlossen.
Mit Rückrouten meinte ich in der tat statische Routen, die auf der Sophos eingetragen werden müssen.
Warum? Naja, der Switch weiss zwar, wohin er alle Pakete schicken soll, aber die Sophos weiss ja nicht, welche Netze (außer dem 192.168.1.0/24er) noch hinter dem Switch liegen. Daher musst du der Sophos mitteilen "Wenn du Pakete für die o.g. Netze hast, schicke Sie soch bitte an den Switch, der macht den Rest"
Und den DHCP-Server könntest du auf der Synology belassen, würde ich persönlich dort aber dann abziehen und das die Sophos oder ggf. noch besser den Switch machen lassen. Letzteres macht es nicht erforderlich, dass du mit DHCP-Relay-Features auf dem Switch arbeiten musst (s.o. Stichwort ip-adress helper)
Also:
wenn du zwei verschiedene IP-Adresskreise verwenden willst, ist ein VLAN eigentlich unumgänglich (es geht auch ohne, aber dann ist es halt sch...)
Unser aqui hier hat seinerzeit mal ein Tutorial hier verfasst, welche auch die Grundlagen beschreibt.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das solltest du dir zunächst mal durchlesen/ durcharbeiten
Zu deinem Aufbau:
Du musst/ solltest für jedes IP-Netz ein eigenes VLAN vorsehen.
Anbieten würde sich
VLAN1 mit dem Netz 192.168.1.0/24 (hier könntest du die SOPHOS "einsperren")
VLAN2 mit dem Netz 192.168.2.0/24 (hier könntest du die WLANs "einsperren")
VLAN3 mit dem Netz 192.168.3.0/24 (hier könntest du die übrigen Devices "einsperren")
VLAN4 mit dem Netz 192.168.4.0/24 (hier könntest du die Gäste später "einsperren")
Unterschied tagged und untagged:
Ports mit dem Status tagged sind alle diejenigen, an denen ein Endgerät angeschlossen wird, welches auch mit VLANs umgehen kann.
Das sind i.d.R. Synology-NAS-Systeme, (andere) Router, MultiSSID-fähige AccessPoints und auch andere manaagebare Layer2 und mehr Switche. Der Switch heftet an diese Ports nicht selbst eine VLAN-ID an die Datenpakete an,sondern übernimmt die, die vom Gerät gegenüber mitkommen.
untagged sind dann alle diejenigen Ports, die nichts mit VLAN am Hut haben. Dazu zählen in aller Regel normale Clients, Drucker, TVs, Receiver, Drucker, Spielekonsolen etc.
Nachtrag: Das VLAN1 belässt man eigentlich immer auf allen Ports als untagged, eben weil es ein Default-VLAN ist.
Da du die Sophos in ein eigenes VLAN packst und das Routing der Switch übernimmt, wird die Sophos an einem untagged Port an den Switch angeschlossen.
Mit Rückrouten meinte ich in der tat statische Routen, die auf der Sophos eingetragen werden müssen.
Warum? Naja, der Switch weiss zwar, wohin er alle Pakete schicken soll, aber die Sophos weiss ja nicht, welche Netze (außer dem 192.168.1.0/24er) noch hinter dem Switch liegen. Daher musst du der Sophos mitteilen "Wenn du Pakete für die o.g. Netze hast, schicke Sie soch bitte an den Switch, der macht den Rest"
Und den DHCP-Server könntest du auf der Synology belassen, würde ich persönlich dort aber dann abziehen und das die Sophos oder ggf. noch besser den Switch machen lassen. Letzteres macht es nicht erforderlich, dass du mit DHCP-Relay-Features auf dem Switch arbeiten musst (s.o. Stichwort ip-adress helper)
leider komme ich mit meinem neuen Cisco Switch noch nicht ganz klar
Die entsprechenden Tutorial gelesen: ??:http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-busin ...
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
(Bei Letzterem denkst du dir den Router im Switch)
Hier findest du die grundlegenden ToDo Schritte die du mit deiner Sophos für so ein Design machen musst wenn der Switch routet. Betrachte die Sophos als "Internet Router":
Bestehendes Netzwerk in VLANs trennen, Einkaufsberatung
Dein Problem ist aber das du zuallererst mal grundsätzlich klären musst WIE die deine einzelnen VLAN Segmente sicherheitstechnisch abfrühstücken willst.
Soll das zentral über die Sophos Firewall gehen brauchst du einen tagged Uplink auf die Sophos und diese muss natürlich dann auch Tagged Ports supporten so wie es im o.a. Tutorial für die dortige pfSense Firewall beschrieben ist.
Die ToDos sind für dich identisch.
Willst du es so lösen darf der Cisco 300er NICHT routen !!!
Sprich du darfst keine IP Interfaces auf dem Router als Gateways konfigurieren. Klar, denn das Routing soll ja über die Sophos FW gehen !
Das Szenario ost sicherer, da die Sophos eine stateful Firewall ist.
Dann hättest du aber auch Geld zum Fenster rausgeschmissen, denn dann hätte ein Layer 2 Cisco (SG-200) vollends genügt.
Die andere Option ist den Cisco 300er routen zu lassen. Dann wie im obigen Thread beschrieben.Vlans einrichten, Switch IPs pro VLAN, ein separates VLAN für die Sohos, default Route auf dem Switch an die Sopos und VLAN Routen auf der Sophos an den Switch. Fertisch.
Etwas einfacher einzurichten und zu managen aber weniger sicher, da du ja nun auf dem Switch filtern musst mit IP Accesslisten die nicht stateful sind. Aber für den heimgebrauch recht es auch.
Nun musst du dich entscheiden sonst drehen wir uns hier im Kreis um dir alles zu beschreiben
Hallo vielen Dank.
Um erste Schritte Richtung VLAN zu machen, wollte ich es aktuell erst einmal schaffen, dass der Switch routet. (Sind ja die Anfangsschritte ^^)
Also dass folgende Aufgaben vom SG 300 übernommen werden.
DHCP Server im Bereich 192.168.2.xxx
Eventuell für Testzwecke IP Adressbereich 192.168.30.xxx mit Zugriff auf die 192.168.1.XX
Routing nach 192.168.1.XXX -> Sohos bereich
Im Anschluss soll der Sophos der Weg nach "draußen" sein.
Leider aber komme ich immer nur soweit, dass ich den Switch in den unterschiedlichen VLANs ansprechen kann .
Jedoch kann ich kein einzelnes Gerät erreichen.
Z.B.: Ping von:
-> meinem Rechner 192.168.2.10 auf 192.168.2.254 -> Antwort von 192.168.2.254: Bytes=32 Zeit=1ms TTL=64
-> meinem Rechner 192.168.2.10 auf 192.168.1.254 -> Antwort von 192.168.1.254: Bytes=32 Zeit=1ms TTL=64
-> meinem Rechner 192.168.2.10 auf 192.168.1.xxx -> Zeitüberschreitung der Anforderungen...
Als Routen sind im SG300
Destination Route Type Next Hop Router Route Owner
0.0.0.0 Default 192.168.1.1 (IP Sophos) Default
192.168.1.0 Local (leer) Directly Connected
192.168.2.0 Local (leer) Directly Connected
Als GW ist bei den Clients der SG 300 eingestellt -> Client 192.168.2.20 GW 192.168.2.254
Hat der Switch vielleicht noch eine art "Firewall" wo ich noch die Netzwerke freigeben muss ? (ähnlich wie bei Side to Side VPN Verbindungen ?)
Bei den Porteinstellungen "Port VLAN Membership" habe ich die VLANS hinzugefügt und als Mode "Trunk" eingestellt.
Danke
Um erste Schritte Richtung VLAN zu machen, wollte ich es aktuell erst einmal schaffen, dass der Switch routet. (Sind ja die Anfangsschritte ^^)
Also dass folgende Aufgaben vom SG 300 übernommen werden.
DHCP Server im Bereich 192.168.2.xxx
Eventuell für Testzwecke IP Adressbereich 192.168.30.xxx mit Zugriff auf die 192.168.1.XX
Routing nach 192.168.1.XXX -> Sohos bereich
Im Anschluss soll der Sophos der Weg nach "draußen" sein.
Leider aber komme ich immer nur soweit, dass ich den Switch in den unterschiedlichen VLANs ansprechen kann .
Jedoch kann ich kein einzelnes Gerät erreichen.
Z.B.: Ping von:
-> meinem Rechner 192.168.2.10 auf 192.168.2.254 -> Antwort von 192.168.2.254: Bytes=32 Zeit=1ms TTL=64
-> meinem Rechner 192.168.2.10 auf 192.168.1.254 -> Antwort von 192.168.1.254: Bytes=32 Zeit=1ms TTL=64
-> meinem Rechner 192.168.2.10 auf 192.168.1.xxx -> Zeitüberschreitung der Anforderungen...
Als Routen sind im SG300
Destination Route Type Next Hop Router Route Owner
0.0.0.0 Default 192.168.1.1 (IP Sophos) Default
192.168.1.0 Local (leer) Directly Connected
192.168.2.0 Local (leer) Directly Connected
Als GW ist bei den Clients der SG 300 eingestellt -> Client 192.168.2.20 GW 192.168.2.254
Hat der Switch vielleicht noch eine art "Firewall" wo ich noch die Netzwerke freigeben muss ? (ähnlich wie bei Side to Side VPN Verbindungen ?)
Bei den Porteinstellungen "Port VLAN Membership" habe ich die VLANS hinzugefügt und als Mode "Trunk" eingestellt.
Danke
Um erste Schritte Richtung VLAN zu machen, wollte ich es aktuell erst einmal schaffen, dass der Switch routet. (Sind ja die Anfangsschritte ^^)
Das macht aber nur Sinn, wenn es auch etwas sinnvolles zu routen gibt.Und sinnvoll ist es dann nur, wenn die IP-Kreise in unterschiedlichen VLANs liegen.
Was der Switch direkt kann, wenn er als Layer3-Mode aktiv ist: zwischen den Netzen routen, wenn er selbst in jedem VLAN eine IP hat
Baue also VLANs, gebe dem Switch in jedem VLAN eine IP und du kannst erstmal routen.
Also dass folgende Aufgaben vom SG 300 übernommen werden.
DHCP Server im Bereich 192.168.2.xxx
Eventuell für Testzwecke IP Adressbereich 192.168.30.xxx mit Zugriff auf die 192.168.1.XX
OK, das sollte ja kein Problem darstellen. Kannst du ja alles in der GUI einstellen.DHCP Server im Bereich 192.168.2.xxx
Eventuell für Testzwecke IP Adressbereich 192.168.30.xxx mit Zugriff auf die 192.168.1.XX
Routing nach 192.168.1.XXX -> Sohos bereich
Im Anschluss soll der Sophos der Weg nach "draußen" sein.
Auch klar, das wäre ja dann der Fall, wenn du zwischen SOPHOS und SG300 ein eigenes VLAN kreirst (Transfernetz).Im Anschluss soll der Sophos der Weg nach "draußen" sein.
Leider aber komme ich immer nur soweit, dass ich den Switch in den unterschiedlichen VLANs ansprechen kann .
Jedoch kann ich kein einzelnes Gerät erreichen.
Z.B.: Ping von:
-> meinem Rechner 192.168.2.10 auf 192.168.2.254 -> Antwort von 192.168.2.254: Bytes=32 Zeit=1ms TTL=64
-> meinem Rechner 192.168.2.10 auf 192.168.1.254 -> Antwort von 192.168.1.254: Bytes=32 Zeit=1ms TTL=64
OK, das ist schon mal gutJedoch kann ich kein einzelnes Gerät erreichen.
Z.B.: Ping von:
-> meinem Rechner 192.168.2.10 auf 192.168.2.254 -> Antwort von 192.168.2.254: Bytes=32 Zeit=1ms TTL=64
-> meinem Rechner 192.168.2.10 auf 192.168.1.254 -> Antwort von 192.168.1.254: Bytes=32 Zeit=1ms TTL=64
-> meinem Rechner 192.168.2.10 auf 192.168.1.xxx -> Zeitüberschreitung der Anforderungen...
Wäre denkbar, dass der Client nicht weiss, wohin er das Paket zurückschicken soll (falsche GW-IP)Des Weiteren: Was für Clients? Nicht, dass dort die (Windows-) Firewall aktiv ist und Pakete der netzfremden Absender/ Empfänger blockt.
Passe also, sofern vorhanden, die Firewall des Clients an; zur Not: mal kurzfristig in Gänze abschalten
Als Routen sind im SG300
Destination Route Type Next Hop Router Route Owner
0.0.0.0 Default 192.168.1.1 (IP Sophos) Default
192.168.1.0 Local (leer) Directly Connected
192.168.2.0 Local (leer) Directly Connected
Sieht, wenn ich das richtig sehe, gut ausDestination Route Type Next Hop Router Route Owner
0.0.0.0 Default 192.168.1.1 (IP Sophos) Default
192.168.1.0 Local (leer) Directly Connected
192.168.2.0 Local (leer) Directly Connected
Als GW ist bei den Clients der SG 300 eingestellt -> Client 192.168.2.20 GW 192.168.2.254
Sehr gut. Und die Clients aus dem VLAN1 und dem NETZ 192.168.1.0/24 haben als GW dann analog dazu die 192.168.1.254 eingetragen, richtig?Hat der Switch vielleicht noch eine art "Firewall" wo ich noch die Netzwerke freigeben muss ? (ähnlich wie bei Side to Side VPN Verbindungen ?)
Nepp, erstmal ist alles offen, sofern du noch nicht mit AccessListen gearbeitet hast.Bei den Porteinstellungen "Port VLAN Membership" habe ich die VLANS hinzugefügt und als Mode "Trunk" eingestellt.
In der Cisco-Terminologie (und ich glaube auch nur hier) ist ein Trunk ein Port, der mehrere VLANs überträgt. Alle anderen Hersteller definieren den Begriff Trunk als eine Bündelung mehrerer physikalischer Ports zu einem logischen (Stichwort: Link Aggregation Group / Kurz LAG)Setze die Ports der Clients mal auf ACCESS und als untagged in das richtige LAN
Inhaltsverzeichnis
Basisdesign für VLANs mit einem Layer 3 (Routing) VLAN Switch
Als Übersicht vorab sähe ein fertiges L3 Netzwerk Design dann so aus (IP Adressierung deiner anpassen !):
(VLAN 99 ist ein reines Koppelnetz um das Internet anzubinden. Man sollte sinnvollerweise KEIN produktives VLAN nutzen um damit die Internet Daten zum Router zu bringen (Sicherheit))
Der VLAN L3 Switch agiert intern wie ein Router. Die VLAN IP Interfaces sind quasi als Routingbeine des internen Routers zu sehen und die Ports werden dann im Layer 2 einem VLAN zugeordnet.
Switch Gundkonfiguration
So gehst du vor um diese Schritte funktionsfähig auf dem L3 Switch umzusetzen:- Routing auf dem SG-250, SG-300, SG-350 usw. VORHER aktivieren wie oben beschrieben !
- Deine 3 VLANs erzeugen und untagged Endgeräteports in diese VLANs zuweisen ! Das ist wichtig und MUSS stimmen. Wenn du eine falsche IP im VLAN benutzt ist's aus mit Routing.
- Eine IP Adresse am Switch in jedes VLAN konfigurieren: VLAN 1 = 192.168.1.254, VLAN 10 = 192.168.10.254, VLAN 20 = 192.168.20.254, usw.
- Gateway IPs der Endgeräte in den jeweiligen VLANs auf die Switch IP (.254) im VLAN einstellen.
Endgeräte in unterschiedlichen VLANs sollten sich spätestens hier fehlerlos anpingen lassen.
Was zu beachten ist !:
- Gib auf dem Endgerät (Windows z.B.) immer ein ipconfig ein um die IP Adressierung zu checken und das die pro VLAN korrekt ist ! Das ist ganz wichtig wenn du mit DHCP arbeitest um die richtige IP Adressvergabe auf dem Client im VLAN zu verifizieren !
- Pinge von so einem Endgerät z.B. mit 192.168.1.100 in VLAN 1 immer erstmal das lokale Switchgateway bzw. Switch IP im VLAN 192.168.1.254. Das sollte immer klappen !
- Wenn ja, dann pinge von dem Endgerät einmal die Switchgateway IP in einem anderen VLAN, z.B. VLAN 10 mit der 192.168.10.254. Auch das muss auf Anhieb klappen !
Damit es auch mit dem Internet Router klappt:
- Default route ala ip route 0.0.0.0 0.0.0.0 <internet_router_ip> auf dem L3 Switch konfigurieren.
- Auf dem Internet Router eine statische Route für die VLANs auf dem Switch konfigurieren z.B. Zielnetz: 192.168.0.0, Maske: 255.255.224.0 <switch_vlan_ip> route z.B. alle Netze von 192.168.0.0 bis 192.168.31.0 auf den Switch !
Finaler Ping Check aus allen VLANs auf eine nackte Internet IP wie z.B. 8.8.8.8 sollte dann fehlerlos klappen. Genau wie ein Ping auf Hostnamen wie z.B. www.administrator.de
Switch VLAN IP Interface Setup
WICHTIG:Die Layer 3 VLAN IP Adressen des Switches werden immer auf dem VLAN Interface !! konfiguriert:
Hat der Switch vielleicht noch eine Art "Firewall" wo ich noch die Netzwerke freigeben muss ?
Nein, das ist Unsinn, vergiss das ! Er hat ACLs aber die müsstest du explizit konfigurieren. Im Default ist alles erlaubt.Aber ACHTUNG !:
Gut möglich das die Windows Firewall dir einen Streich spielt. Ping (ICMP) ist IMMER deaktiviert ab Win 7 das musst du also erst aktivieren damit es klappt !:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Auch blockt per Default die Windows Firewall alles was aus fremden IP Netzen hereinkommt !
Bei dir ist jedes VLAN ein fremdes Netz, beachte das. Hier musst du die FW ggf. anpassen oder sie testweise mal deaktivieren !
meinem Rechner 192.168.2.10 auf 192.168.1.254 -> Antwort von 192.168.1.254: Bytes=32 Zeit=1ms TTL=64
DAS zeigt eigentlich das dein Routing auf dem Switch sauber funktioniert !meinem Rechner 192.168.2.10 auf 192.168.1.xxx -> Zeitüberschreitung der Anforderungen...
Wenn .1.xxx eine Endgeräte IP ist im VLAN 1 und zudem noch ein Windows Rechner, sieht das dann sehr verdächtig nach dem o.a. Windows Firewall Problem aus. Prüfe das !Was noch möglich ist:
- .1.xxx hat KEINE Gateway IP konfiguriert
- .1.xxx ist in einem falschen VLAN
Setze die Ports der Clients mal auf ACCESS und als untagged in das richtige LAN
Das ist absolut richtig !Trunk ist natürlich FALSCH wenn das ein Endgeräte Port ist. Der darf logischerweise nur ACCESS (untagged) sein und im entsprechenden VLAN sein. (Endgeräte verstehen in der Regel kein Tagging)
Eigentlich ist das ein Kinderspiel wenn man diese Schritte alle der Reihe nach beachtet.
Bei Gast VLANs muss man übrigens aufpassen das man diesen keine IP Adressen auf dem routenden Switch verpasst. Das wäre eine fatale Sicherheitslücke. Besser ist es da diese VLANs nur im Layer 2 "durchzuschleifen" auf die Firewall und sie da wasserdicht abzusichern. Siehe dazu auch HIER.
Erweiterung mit weiteren Layer 2 VLAN Switches
Dehnt man das ganze Design z.B. auf ein größeres Netzwerk mit weiteren L2 VLAN Switches in der Fläche aus sieht dieses einfache VLAN Grundprinzip mit einem Layer 3 Core Switch immer gleich aus wie hier z.B. an den Beispiel VLANs 1, 10 und 20:
(Für die Netgear Fetischisten erklärt es HIER noch einmal ein weiterer Thread in Netgear Farben.)
Redundanz
Nachteil des o.a. Designs ist natürlich die fehlende Redundanz wenn man entsprechende Verfügbarkeits Anforderungen an ein solches Campus Netz hat.Das löst man mit einem entsprechenden Core in Full Stack Technologie oder mit VRRP bei Core Einzelswitches.
Design mit Link Aggregation
Behandelt ein separates Tutorial im Forum.
1
Hallo
Vielen Dank für eure Unterstützung, nun scheint es zu gehen
Nachdem ich jedem Port die PVID zugewiesen hatte und alles auf access gestellt hatte lief es.
Im nachhinein, war mir dann auch aufgefallen, dass ich gestern alle Adressbereiche ins VLAN1 gelegt hatte, somit konnte ich die einzelnen Geräte erreichen.
Die Tutorials hatte ich mir auch immer durchgelesen, jedoch war ich immer von dem Router sehr verwirrt. Es hieß dort immer, dasss man einen weiteren Router benötigt um die VLANs zu verbinden... Aber nun weis ich zum Glück dass der Switch das auch kann ^^
Nun klappt es aber mit VLAN 10 / 20 / 30 :D
Aber zwei Fragen hätte ich noch, wenn ich mein NAS via LAG anbinden möchte, kann ich dann auch die VLANs nutzen? Oder geht das in Zusammenhang mit LAG nicht ?
Die zweite Frage hängt mit meinem Internetradio zusammen. Alle Geräte Im LAN können problemlos via DHCP eine IP Adresse beziehen und sind alle Online. Lediglich bei meinem Internetradio bekomme ich die Fehlermeldung, dass es keine IP Adresse beziehen kann.
==> An den Porteinstellungen kann es vermutlich nicht liegen, da der Aufbau wie folgt ist:
SG300 -->1Gbit --> GS115 --> Internetradio, Drucker, PC, Sat Reciever.
Danke nochmals
Vielen Dank für eure Unterstützung, nun scheint es zu gehen
Nachdem ich jedem Port die PVID zugewiesen hatte und alles auf access gestellt hatte lief es.
Im nachhinein, war mir dann auch aufgefallen, dass ich gestern alle Adressbereiche ins VLAN1 gelegt hatte, somit konnte ich die einzelnen Geräte erreichen.
Die Tutorials hatte ich mir auch immer durchgelesen, jedoch war ich immer von dem Router sehr verwirrt. Es hieß dort immer, dasss man einen weiteren Router benötigt um die VLANs zu verbinden... Aber nun weis ich zum Glück dass der Switch das auch kann ^^
Nun klappt es aber mit VLAN 10 / 20 / 30 :D
Aber zwei Fragen hätte ich noch, wenn ich mein NAS via LAG anbinden möchte, kann ich dann auch die VLANs nutzen? Oder geht das in Zusammenhang mit LAG nicht ?
Die zweite Frage hängt mit meinem Internetradio zusammen. Alle Geräte Im LAN können problemlos via DHCP eine IP Adresse beziehen und sind alle Online. Lediglich bei meinem Internetradio bekomme ich die Fehlermeldung, dass es keine IP Adresse beziehen kann.
==> An den Porteinstellungen kann es vermutlich nicht liegen, da der Aufbau wie folgt ist:
SG300 -->1Gbit --> GS115 --> Internetradio, Drucker, PC, Sat Reciever.
Danke nochmals
dasss man einen weiteren Router benötigt um die VLANs zu verbinden...
Du hast Recht, das sollte ich nochmal im Tutorial anpassen. Das gilt natürlich nur für VLAN Switches die KEINE interne Routing Option haben !Nun klappt es aber mit VLAN 10 / 20 / 30
Klasse... ! wenn ich mein NAS via LAG anbinden möchte, kann ich dann auch die VLANs nutzen?
Natürlich. Ein LAG ist einen Layer 2 Funktion und hat mit dem Routen nichts zu tun.Hier findest du die Infos dazu:
Netzwerk Management Server mit Raspberry Pi
Denk dir den RasPi dort einfach als dein NAS
Lediglich bei meinem Internetradio bekomme ich die Fehlermeldung, dass es keine IP Adresse beziehen kann.
Mmmhhh...recht ungewöhnlich. Hast du das Internetradio mal abgezogen und am exakt gleichen Port einen PC oder Laptop angeschlossen ??Bekommt der eine IP ? (Check mit ipconfig -all (Winblows) oder ifconfig bei unixoiden OS)
"GS115" was ist das ?? Ein Switch ? Ungemanaged ? Router ?
Mmmhhh...recht ungewöhnlich. Hast du das Internetradio mal abgezogen und am exakt gleichen Port einen PC oder Laptop angeschlossen ??
Bekommt der eine IP ? (Check mit ipconfig -all (Winblows) oder ifconfig bei unixoiden OS)
"GS115" was ist das ?? Ein Switch ? Ungemanaged ? Router ?
Bekommt der eine IP ? (Check mit ipconfig -all (Winblows) oder ifconfig bei unixoiden OS)
"GS115" was ist das ?? Ein Switch ? Ungemanaged ? Router ?
Sorry war mein Fehler - War zu Voreilig ;) Ich meinte ein Switch der Firma Netgear leider hatte ich den Namen vertauscht der richtige Name lautet: GS105Ev2.
An dem gleichen Switch hängt auch ein PC dran, welcher problemlos funktioniert. Alle Einstellungen werden richtig übertragen.
Das ding war auch damals der Grund warum ich den DHCP Server von Switch nicht genutzt habe. Sobald ich als DHCP Server die Sophos oder meine Diskstation benutze bezieht das Internetradio eine IP Adresse und funktioniert tadellos...
Kann es sein, dass man noch eine Zusatzoption setzen muss ?
Danke für eure Unterstützung ^^
Na klingt vom Grundsatz ja alles nun schon mal hervorragend
Zu deinem DHCP-Internetradio-Problem:
Zu deinem DHCP-Internetradio-Problem:
- In welchem VLAN steckt das Radio denn aktuell?
- Der Netgear-Switch, wurde der von dir konfiguriert oder hast du den ausgepackt und angeschlossen?
- Liegen PC und Internetradio im selben VLAN?
- hast du am Switch für jedes Netz einen eigenen DHCP-Bereich definiert?
- zieht das Radio eine IP, wenn du es direkt am SG300 (und den auch als DHCP-Server konfiguriert) anschließt?
Zitat von @em-pie:
Na klingt vom Grundsatz ja alles nun schon mal hervorragend
Zu deinem DHCP-Internetradio-Problem:
Na klingt vom Grundsatz ja alles nun schon mal hervorragend
Zu deinem DHCP-Internetradio-Problem:
* In welchem VLAN steckt das Radio denn aktuell?
Das Radio Steckt aktuell im VLAN20 - IP Adressbereich 192.168.2.XXX* Der Netgear-Switch, wurde der von dir konfiguriert oder hast du den ausgepackt und angeschlossen?
Da dieser schon etwas älter ist, hatte ich ihn "damals" nur ausgepackt und angeschlossen - es wurden keine weiteren Einstellungen Vorgenommen.* Liegen PC und Internetradio im selben VLAN?
Korrekt - am geleichen Switch ist noch ein PC angeschlossen, welcher ebenfalls im VLAN20 ist.=> Dieser kann problemlos eine IP Adresse beziehen
* hast du am Switch für jedes Netz einen eigenen DHCP-Bereich definiert?
Ich hatte lediglich einen DHCP client für das VLAN deklariert, da dieses für mich aktuell das wichtigste ist, welches laufen muss ^^* zieht das Radio eine IP, wenn du es direkt am SG300 (und den auch als DHCP-Server konfiguriert) anschließt?
-> So war es mal vor meinem VLAN versuchen - hat auch keine bezogen.Was seltsam ist, wenn die Diskstation oder die Sophos das DHCP macht, funktioniert alles Problemlos... Deshalb bin ich so verwundert.
Du musst natürlich drauf achten das du keine parallelen DHCP Server hast sonst gint es Chaos.
Wenn das Endgerät keine IP per DHCP bekommt "sieht" es den DHCP Server nicht. Sprich dieser hat keine Verbindung zu dem VLAN oder wenn du mit DHCP Relay arbeitest keine Relay IP Definiert.
Wenn das Endgerät keine IP per DHCP bekommt "sieht" es den DHCP Server nicht. Sprich dieser hat keine Verbindung zu dem VLAN oder wenn du mit DHCP Relay arbeitest keine Relay IP Definiert.
Hallo,
irgendwie kann ich mir nicht vorstellen, dass das Radio den DHCP Server nicht sieht.
- Hintergrund ist folgender, sofern ich nichts an der Verkabelung ändere und nur den DHCP Server ändere (also weg vom Sg300 auf z.B. die Diskstation) kann das Radio plötzlich eine IP Adresse beziehen.
Da an diesem Switch auch noch mehr Endgeräte hängen, welche problemlos eine IP beziehen, schließe ich den Switch als Fehlerquelle ebenfalls aus.
Gibt es vielleicht unterschiedliche "Versionen oder Standards" eines DHCP Servers, die vielleicht nicht auf- bzw abwärtskompatibel sind?
irgendwie kann ich mir nicht vorstellen, dass das Radio den DHCP Server nicht sieht.
- Hintergrund ist folgender, sofern ich nichts an der Verkabelung ändere und nur den DHCP Server ändere (also weg vom Sg300 auf z.B. die Diskstation) kann das Radio plötzlich eine IP Adresse beziehen.
Da an diesem Switch auch noch mehr Endgeräte hängen, welche problemlos eine IP beziehen, schließe ich den Switch als Fehlerquelle ebenfalls aus.
Gibt es vielleicht unterschiedliche "Versionen oder Standards" eines DHCP Servers, die vielleicht nicht auf- bzw abwärtskompatibel sind?
irgendwie kann ich mir nicht vorstellen, dass das Radio den DHCP Server nicht sieht.
Das musst du dir auch nicht vorstellen sondern kannst es ganz knallhart verifizieren.Stecke einfach mal einen Laptop genau an den Port wo das Radio dranhängt. Wenn der Laptop einen korrekte IP per DHCP bekommt kann es nur noch einzig und allein am Radio liegen.
So einfach ist das...!
Gibt es vielleicht unterschiedliche "Versionen oder Standards" eines DHCP Servers
Nein das ist Quatsch. DHCP Protokoll ist ein weltweiter Standard:https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
Wenn du es ganz richtig machen willst zum Troubleshooting richtest du einen Mirror Port ein am Switch um den Radio Port und seinen Traffic zu spiegeln.
An diesem Mirror Port schliesst du einen Wireshark Sniffer an um zu sehen was genau bei der DHCP Adressvergabe passiert.
