VLAN Einrichtung für W-Lan Router

Moin,

also wenn dein Netz wirklich das 192.168.20.246 ist, wirst du den Router niemals anpingen können, da sich beide in unterschiedlichen Netzen befinden:

und Trunk wäre bei HP nicht ganz korrekt. Bei HP ist ein Trunk eine LinkAggregation(-Group) kurz: LAG.

Dein(e) Problem(e):
Wenn die UTM ihren Port nicht mit VLAN-Tags versieht, musst du am Switch in Werk1 den Port auf untagged setzen. Der Switch erwartet von der Sophos, dass diese ihm mitteilt, welche VLAN-ID mitgesendet wird. Wenn euer Sophos-Partner einfach nur einen "normalo" Port definiert hat, wird das nichts.

Zweitens:
Werden bereits VLANs über die LWL-Strecke transportiert? Wenn ja, einfach auch das neue VLAN auf beiden Seiten des Switches auf tagged setzen. Wenn es ein Port ist, dann den Port auf tagged, wenn es eine LAG ist, dann die gesamte LAG/ den Trunk. Prüfe das mal via SH trunk in einer SSH-Session.

Gruß
em-pie

Das ist kein Netzwerk sondern bezeichnet eine IP Hostadresse ! Das Netzwerk wird immer bezeichnet mit allen Hostbits der Adresse auf 0. Vermutlich verwendest du einen 24 Bit Prefix, dann ist deine IP Netzwerkadresse 192.168.20.0 /24. die .246 ist dann vermutlich die IP Hostadresse des Switches (VLAN Gateway) in dem VLAN oder aber die der Sophos Gurke, richtig ?
Hier noch ein Tip zur Router IP Adressierung:
Router IP Adressen wählt man nie "mittendrin" im Host IP Bereich wie du es gemacht hast, sondern immer an den Rändern. Es macht also Sinn einem Router immer die .1 oder die .254 zu vergeben (bei einer 24 Bit Maske) so kann es (fast) nie zu Kollsisionen oder Überschneidungen mit der wichtigen Router IP kommen !
Wie peinlich !
An so ein wichtiges Gerät, was für eure Sicherheit zuständig ist, lasst ihr Fremde und könnt nichtmal einfachste Konfigs selber machen geschweige denn kontrollieren ?? Na ja...spricht ja nicht gerade für eine kompetente IT bei euch, no comment.

Troubleshooting:
Du hast im Grunde mehrere Fehler hintereinander gemacht, die zu der erwarteten Fehlfunktion führen.
Im Grunde willst du ja nur ein kinderleichtes Szenario realisieren, nämlich ein einfaches VLAN über eure Switch Infrastruktur einfach von der Sophos zu dir an den Arbeitsplatz bringen, richtig ?
Dazu muss man dem Switch keine IP Adresse vergeben (.246), das wäre sogar höchst kontraproduktiv, denn so hättest du über den Switch ja eine Backdoor Route in andere Netze. Wenn du nur auf die Sophos rauf willst, dann sind Routing IPs auf dem Switch NICHT erforderlich.
Dein Szenario sieht ja so aus:

(SophosPort,untagged)---untagged---(untaggedPort-SW1-taggedUplink)---tagged---(taggedPort-SW2-untaggedPort)---(Cisco)

Das VLAN was du eingerichtet hast ist ja an beiden Switches eingerichtet und richtigerweise über einen tagged Uplink verbunden.
Sprich also das VLAN hat Minimum 2 Ports an jedem Switch. Einen Tagged Port (Uplink) über den die Switches miteinander verbunden sind und über den vermutlich auch die anderen VLAN IDs übertragen werden.
Dann je einen untagged Port der auf der einen Seite in die Sophos geht und auf der anderen Seite in den Cisco.
So wird ja quasi dein VLAN über die Switch Infrastruktur verlängert. Ein simpler Klassiker....
Wenn du jetzt mal einen Laptop statt des Ciscos anschliesst mit einer IP im 192.168.20er Netz dann musst du die Sophos IP pingen können !
Voraussetzungen hier sind das der Sophos Dienstleister:

• Eine IP Adresse im 192.168.20.x Bereich vergeben hat mit einer 24 Bit Subnetzmaske (Am besten .1 oder .254) !
• Das der Sophos Port untagged ist !
• Das auf der Sophos Seite entsprechende Firewall Regeln eingerichtet sind die...
• ...ICMP erlauben (Ping)
• ...Inbound 192.168.20.x Pakete zu deinem Ziel erlauben

Diese oben genannten minimalsten Anforderungen auf der Sophos müssen erfüllt sein damit es klappt.
Wer natürlich so einen Unsinn macht und sein Firewall Management in die Hände von Fremdfirmen legt hat natürlich immer den Zweifel das da alles richtig gemacht worden ist. Häufig machen die Einrichtungen Leute mit gefährlichem Halbwissen so das man eine Firewall unter diesen Voraussetzungen auch gleich weglassen kann. Aber egal das ist ein anderes Theam und ihr seit alt genug zu wissen was ihr tut...

Deine Infrastruktur Fehler sind:

• Sophos Port getagged ! Das ist Unsinn, wozu das ? Der Port kann untagged bleiben und geht in einen untagged Port an Switch 1 ! Der atgged zu Switch 2, dort untagged wieder zum Cisco. Klassische VLAN Einrichtung. Siehe Beschreibung oben.
• Keine IP Adressierung in deinem VLAN auf den Switches. Es sei denn du willst aber nicht ersichtlich ist aus deiner Beschreibung !
• Stelle absolut sicher das der Sophos Port wie oben beschrieben eingerichtet ist !

Danach gehst du strategisch vor um die Funktion zu verifizieren:

• Stecke einen Testlaptop mit IP im 192.168.20.0er Netz direkt ohne Switch an die Sophos und pinge die Sophos IP
• Klappt der Ping steckst du den Switch 1 mit einem untagged Port auf die Sophos und generierst dir noch einen 2ten untagged Port darauf für deinen Laptop und pingst wieder.
• Klappt das auch verbindest du den tagged Uplink bzw. das VLAN über den tagged Uplink auf Switch 2 und steckst hier wieder den Testlaptop auf den untagged Port und pingst wieder die Sophos
• Klappt das auch dann kannst du dir ganz sicher sein das das VLAN nun sauber eingerichtet ist und auch der Cisco die Sophos pingen kann.
• Damit ist dann alles up and running !

Schlägt einer der Pings fehl, dann weisst du anhand der einzelnen Abschnitte auch gleich ganz genau WO der Fehler liegt !
Denk dran:
Die Sopos Gurke MUSS das ICMP Protokoll auf ihrem Port erlauben, ansonsten ist kein Ping möglich.
IP Firewall Regeln entsprechend ! Auf einer Firewall ist imemr alles explizit verboten was nicht erlaubt ist. Dein Dienstleister muss hier also auch entsprechende Firewall Regeln definieren !!!
Wenn das alles genau so umgesetzt ist oder wird, dann kommt das auch sofort zum Fliegen.

Der VLAN 20 Tag ist falsch ! Der müsste nicht sein, denn was soll der tiefere Sinn sein einen VLAN Tag mit zu übertragen wenn der Port so oder so dediziert in einem fest definierten VLAN am Switch steckt.
Das wäre überflüssiger Unsinn. Lass das also besser weg und den Sopos Port untagged und definiere auch den Switchport wo die Sopos am Switch angesteckt ist untagged !
Ansonsten ist die IP Definition richtig.
Entscheidend ist aber nicht das, sondern die Firewall Regeln die auf diesem Interface gelten !! Dort muss ICMP erlaubt sein und eine Inbound Regel für das 192.168.20er Netz definiert sein sonst blockt die Firewall eh alles.
Die IP Adressierung ist also hier mehr oder weniger unwichtig ! Und das eigentlich wichtige FW Regelset hat du leider versäumt hier zu posten
Alle ToDos hast du oben beschrieben ! Halte dich daran !

Na das ist ja Blödsinn...

warum soll denn die Sophos getaggte Pakete raushauen?
Das mach nur SInn, wenn ihr über ein und das selbe Interface mehrere NEtze ansprechen wollt/ müsst.

Dort den VLAN-Tag raus und wie aqui (und ich) bereits beschrieben haben, am Switch im Haus 1 den Port auf untagged setzen.

Danach die Strecke Switch Haus 1 <-> Switch Haus2 jeweils auf Tagged, sofern dort nicht ein explizites LWL-Phasernpaar für das VLAN dienen soll. Und vom Switch Haus2 wieder untagged zum Router.
Wie Aqui ebenfalls richtig bemerkt hat: schmeiß die IPs von den Switchen runter. Das macht man nur, wenn der Switch als Router in dem jeweiligen Netzsegment dienen soll (oder er über diese Adresse gemanaged werden soll).

Per Konsolen Kabel dran?!

Lad dir Putty runter, schnapp dir einen Laptop, ein seríelles Kabel und schließ dich einfach am Switch an, bei Putty wählst du Serial aus und deinen entsprechenden COM-Port, wo dein serielles Kabel dranhängt.

Selber Schuld wenn man laienhaft die Management IP ins Default VLAN setzt. Kein Netzwerker macht das, da ja auch unbenutzte Ports an die jeder rankann dann Management Zugriff haben.
Sinnvoll ist ein dediziertes Management VLAN bzw. ein OOB (Out of Band) Management Port.
Aber die Billiggurken von HP können das vermutlich nicht.

Hat der Switch denn nur eine IP konfiguriert ?? Wenn du L3 auf dem Switch machst hast du in jedem VLAN ja eine IP mit der du via PuTTY oder TeraTerm einen telnet oder SSH Session hinbekommst.
Sonst eben serielles Kabel und Konsole...
Oder...sofern du die Konfig noch nicht mit wr mem gesichert hast kannst du den Switch einfach rebotten (Strom aus an) und er kommt dann wieder mit seiner ursprünglichen Konfig und deinem Default_VLAN hoch

Ich bin ja auch nur ein Laie der aber liest und probiert Du bist immerhin in einem Administratorforum und nicht in einem für Laien. Ein bischen Rückgrat und Selbstsicherheit sollte man da schon haben und nicht gleich die Mimose spielen wenn der Ton mal etwas rauher wird. Wir sind ja alle lieb..
Oder wenn nicht bist du ggf. bei www.gutefrage.net besser aufgehoben als hier ?!
Spielt ja keine Rolle hier. Du hast ja Zugriff und verkaufst dich hier als Netzwerk Admin also Augen zu und durch....
Wir sind gespannt...

Da du ja 2x den 5412zl hast, hat der als Anschlussmöglichkeit mit seeeeeehr hoher Wahrscheinlichkeit einen Micro-USB-Port COM-Port an der Front.

Verbinde darüber dein Laptop mit dem Switch und warte etwas ab. Im Gerätemanager siehst du dann einen neuen COM-Port.
Den Port verwendest du, um bei Putty via Console eine Verbindung zum Switch aufzubauen.

Credentials identisch zu denen der WEBGUI.. danach machst du deine Änderung rückgängig (wie auch immer die im Details aussah).

Mit sh run kannst du dir die aktuell laufende config anzeigen lassen.
Mit sh config die Startup config, welche nach einem Reboot hochkommt.

Gleiche das vor dem Neustart ab, nicht dass deine config zu alt ist und am Ende des Tages gar nichts mehr geht. Wobei du dann einen höheren Lerneffekt Erfahrungswert hast.

Ansonsten, wie aqui bereits mitteilte:
Wenn du die IPs der Subnetze (192.168.20.246 und 192.168.20.245) nicht wieder gelöscht hast eigentlich auch noch Zugriff über die IPs.

Was genau klappt da nicht?

Du sollst ja auch nicht über die 10.245 gehen, sondern (wenn noch existent) über die 20.245

Was jedoch nur geht, wenn du im selben Netzsegment/ VLAN agierst, oder du eine Route über deine Sophos einrichtest.
Versuche zuerst aber den Weg über die Console!!!

OK.

Muss meine obige Aussage aber in Teilen revidieren.
Der 5412zl hat (ebenso wie mein 5406zl) keinen Micro-USB-Port. Das haben nur die bei uns eingesetzten 2920-Access-Switche.
Du musst demnach ein seriells Kabel und eine serielle Schnittstelle an einem PC/ Laptop vorhalten/ einsetzen...

wenn du etwas googlen würdest, würde man recht schnell erahnen können, dass man hierdrüber eine FW aktualisieren könnte...