pipen1976
Goto Top

VLAN Probleme bitte um Hilfe

Hallo,

ich habe einmal eine kurze Frage zu VLAN.
Ich habe im Netzwerk 4 VLAN´s.
VLAN0001 (Default) 192.168.0.0/24 mit Verbindung ins Internet - Gateway 192.168.0.5
VLAN0002 10.10.10.0/24 mit Verbindung ins Internet - Gateway 10.10.10.1
VLAN0003 192.168.1.0/24
VLAN0004 192.168.2.0/24

Ich habe am Switch eine Default Route zum 10.10.10.1 eingerichtet und den VLAN´s IP Bereiche zugeordnet.

VLAN0002 am Switch 10.10.10.2
VLAN0003 am Switch 192.168.1.254
VLAN0004 am Switch 192.168.2.254

Ich möchte mit den VLAN´s 3 und 4 über das VLAN2 ins Internet. Ich kann vom VLAN 3 + 4 den Router (10.10.10.1) anpingen, andersrum habe ich auch auf den Switch geroutet. Ich kann vom Router die VLAN´s 3 + 4 samt Geräte der VLAN´s anpingen.
Vom VLAN 2 komme ich einwandfrei ins Internet. Mit den beiden anderen nicht. Wo habe ich da einen Fehler drin?
Vielleicht kann mir von Euch jemand einen Tipp geben, ich sitze irgendwie am Schlauch.

Content-ID: 363199

Url: https://administrator.de/contentid/363199

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

em-pie
em-pie 01.02.2018 um 16:41:35 Uhr
Goto Top
Moin,

Hast du in der Firewall auch zugelassen, dass die Netze 192.168.1.0/24 sowie 192.168.2.0/24 ins Internet (HTTP(S)) dürfen?

Klappt die Namensauflösung, spricht kannst du aus den VLANs 3 + 4 8.8.8.8 anpingen bzw. was gibt ein tracert 8.8.8.8 aus?

Gruß
em-pie
chiefteddy
chiefteddy 01.02.2018 um 16:55:20 Uhr
Goto Top
Hallo.

VLAN0001 (Default) 192.168.0.0/24 mit Verbindung ins Internet - Gateway 192.168.0.5

Ganz schlecht! Das VLAN1 ist das Default-VLAN, in dem alle Ports Mitglied sind, es sei denn, sie sind auf andere VLANs konfiguriert. Damit funktioniert ein VLAN-fähiger Switch als "normaler" Switch, auch wenn er nicht konfiguriert ist. Das VLAN1 sollte man nie produktiv nutzen!!

Mit VLANs separiert man ein Netzwerk in einzelne Subnetze. Damit zwischen den Subnetzen Kommuniziert werden kann, müssen sie über einen Router wieder "verbunden" werden. Ist dein Switch ein L3-Switch (Hersteller/Typ??) oder wer routet zwischen deinen VLANs? ist das Routing konfiguriert?

Jürgen
aqui
Lösung aqui 01.02.2018 aktualisiert um 17:06:55 Uhr
Goto Top
Das VLAN1 sollte man nie produktiv nutzen!!
Generell richtig aber es sollte dennoch so funktionieren wie der TO es beschreibt.
Aber die generelle Frage vom Kollegen chiefteddy ob der Switch überhaupt ein L3 fähiger Switch ist, ist natürlich genau die Kardinalsfrage !!
Mit einem reinen L2 VLAN Switch geht da logischerweise natürlich NICHT.
Das müsste der TO aber schon daran sehen das er pro VLAN dann KEINE separaten IP Adressen auf dem Switch konfigurieren kann. (Siehe auch Punkt 1 in den ToDos unten) !
Bei einem reinen L2 Switch brauchst du einen zusätzliche Router:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Leider macht der TO dazu ja keinerlei Angaben face-sad
Das vorweg...

Wo habe ich da einen Fehler drin?
Nirgendwo !
Nach deiner Beschreibung hast du ja alle diese Schritte genau richtig gemacht:
  • Switch hat in jedem VLAN eine gültige IP und die Endgeräte in den VLANs haben diese Switch VLAN IP als Gateway eingetragen.
  • Switch Default Route auf die 10.10.10.1 des Internet Routers.
  • Im Internet Router eine statische Route von deinen 3 VLANs 192.168.0.0, .1.0 und .2.0 auf die 10.10.10.2 des VLAN 2 Swiotch Interfaces.
  • Für das 10er Netz brauchst du logischerweise KEINE Route.
Vermutlich funktioniert bei dir das Internet auch und du hast ein DNS Problem.
Wie Kollege em-pie oben schon sagt: Hast du mal eine nackte IP Adresse wie die 8.8.8.8 aus allen VLANs ins Internet gepingt ? Klappt das ? Wenn nein...
  • Kannst du aus den VLANs 3 und 4 die Router IP 10.10.10.1 anpingen ?? OK, das geht.
  • Kannst du aus den VLANs 3 und 4 auch die öffentliche Router WAN IP am Internet Port anpingen ??
Sollte das gehen hast du generell kein Routing Problem sondern ein DNS Problem wenn du auf Hostnamen pingst statt IPs und das nicht geht.
Der eingestellte DNS Server in den VLANs 3 und 4 muss natürlich auch die 10.10.10.1 sein !
Sollte es dennoch nicht gehen musst du vermutlich wie Kollege em-pie oben schon sagt die beiden VLAN IP Adressen fürs NAT freischalten.
Wäre bei einfachen Consumer Routern wie einer FritzBox recht ungewöhnlich (gibts da nicht) aber da du uns leider nicht mitgeteilt hast WAS da bei dir als Internet Router werkelt können wir diesbezüglich auch nur wild rumraten face-sad
pipen1976
pipen1976 01.02.2018 um 18:05:38 Uhr
Goto Top
Danke für Eure antworten und sorry für die fehlenden Angaben. Also ich habe UBNT EdgeSwitche im Einsatz die Layer3 sind mein Internet Router ist ein Bintec Be.ip Router.
Leider kann ich heute nicht mehr weiter testen. Ich melde mich morgen. Hoffentlich mit positiven Ergebnissen. Zur Info möchte ich noch sagen, das ich vorhabe das Produktivnetz auf ein anderes VLAN zu legen.

Gruß Christian
pipen1976
pipen1976 02.02.2018 um 07:46:44 Uhr
Goto Top
Guten Morgen,
vielen herzlichen Dank für Eure Beiträge. Dank Eurer Hilfe habe ich jetzt meinen Fehler gefunden. Die Route vom Internet Router zu den VLAN´s war nicht richtig konfiguriert. Jetzt klappt das mit den VLAN´s.

Könnt Ihr mir noch sagen wie ihr das mit dem Produktivnetz lösen würdet? Ich würde jetzt mein Produktivnetz auf ein anderes z.B. VLAN5 packen und dem default VLAN1 einen eigenen IP Adressbereich geben.

Gruß Christian
aqui
aqui 02.02.2018 aktualisiert um 09:34:30 Uhr
Goto Top
Indem du ein weiteres VLAN anlegst was NICHT das Default VLAN 1 ist. In dieses neue VLAN migrierst du dann dein Produktivnetz bzw. weist dem alle Ports zu. Welche VLAN ID du dafür nimmst ist Latte. Die Prozeduren zur Installation sind identisch zu den oberen !
VLAN 1 ist dann nur noch fürs Management da, obwohl man das auch besser in ein separates VLAN verlegt sofern deine Switches das supporten.
pipen1976
pipen1976 05.02.2018 aktualisiert um 09:17:35 Uhr
Goto Top
Hallo nochmals,

ok. Dann migriere ich das Produktiv Netz auf VLAN5.
Damit mein DHCP dann auch die einzelnen VLAN´s bedient muss ja der DHCP Relay gesetzt werden. Muss ich den Relay am Internet Router 10.10.10.1 oder am VLAN Switch 10.10.10.2 eintragen?

Gruß Christian
aqui
Lösung aqui 05.02.2018 aktualisiert um 17:36:40 Uhr
Goto Top
ok. Dann migriere ich das Produktiv Netz auf VLAN5.
z.B. ! Das wäre richtig. Du kannst es aber auch z.B. im Default VLAN belassen. Wäre ggf. einfacher als ein neues VLAN anzulegen und alle Ports dahin umzuweisen.
Aber das musst du letztlich entscheiden. Ist eher eine administrative Entscheidung und weniger eine technische !
muss ja der DHCP Relay gesetzt werden.
Ja, unbedingt ! Ansonsten würde ein zentraler DHCP Server prinzipienbedingt keine DHCP Requests aus den einzelnen VLANs bekommen (UDP Broadcasts)
Muss ich den Relay am Internet Router 10.10.10.1 oder am VLAN Switch 10.10.10.2 eintragen?
Denk mal bitte nur ein ganz klein wenig nach und mit hier !!!
Wenn UDP Broadcast NICHT über geroutete Interfaces gelangen ohne Relay wie sollten sie denn jemals an den Internet Router gelangen, der ja (hoffentlich) in einem separaten VLAN hängt bei dir ???
Technisch wäre das unmöglich, da ja eben diese Broadcasts Routerports NICHT überwinden können.
Logische Schlußfolgerung also:
Die Relay IP Einträge müssen auf die Layer 3 VLAN IPs am Switch ! Denn dort tauchen diese DHCP Broadcasts ja logischerweise immer auf.
Der Switch versieht sie dann mit seiner eigenen VLAN IP Adresse als Absender Adresse (der Client hat ja noch keine) und forwardet sie an die IP Adresse des im Relay konfigurierten DHCP Servers. Der vergibt dann die IP und sendet es an den Switch zurück und der forwardet es ins entsprechende VLAN Segment was er sich anhand der Absender Mac Adresse des Clients gemerkt hat.
So einfach ist das ! Also bitte mal nachdenken und nicht im freien Fall einfach rumraten !
pipen1976
pipen1976 05.02.2018 um 11:20:26 Uhr
Goto Top
Danke für deine klare Beschreibung. Ich war mir einfach nicht ganz sicher. Danke für Eure Hilfe.