manu87
Goto Top

VLAN über MPLS und Firewall

Hi zusammen,

wir wechseln von Sophos APs auf einen anderen Hersteller wodurch die Nutzung von VLANs erforderlich wird, da wir das Gäste WLAN nicht ins interne Netz führen wollen.
Was ich soweit verstanden habe laut aqui's Tutorial, dass ich auf den betroffenen Switchen das VLAN einrichte und dann entsprechend über den L3 Core Switch (läuft im Stack) route.

Nehmen wir an wir verpassen der Gäste WLAN SSID das VLAN 40 und damit das Netz 10.0.0.0/24 mit dem Standardgateway 10.0.0.1.
Wir haben in unserer Niederlassung keine eigene FW und sind per MPLS an die andere Niederlassung angebunden, in der die FW sitzt.

Muss ich beim MPLS was beachten wegen dem VLAN oder rutscht das quasi einfach durch?
Und auf der Firewall in der anderen Niederlassung muss ich dann das Netz anlegen, müsste so eigentlich funktionieren, oder?

VG manu

Content-ID: 577662

Url: https://administrator.de/contentid/577662

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

certifiedit.net
certifiedit.net 07.06.2020 um 20:21:50 Uhr
Goto Top
Wie habt ihr die sophos Aps den bisher angebunden? Vlan 1? Grundsätzlich geht das sonst wie mit den Aps auch
tech-flare
tech-flare 07.06.2020 um 20:36:40 Uhr
Goto Top
Zitat von @manu87:

Hi zusammen,

wir wechseln von Sophos APs auf einen anderen Hersteller wodurch die Nutzung von VLANs erforderlich wird, da wir das Gäste WLAN nicht ins interne Netz führen wollen.
Das geht auch mit Sophos! Scheinbar habt ihr es dann nicht richtig konfiguriert. Ein Gästenetz sollte nie ins interne Netz führen.
Was ich soweit verstanden habe laut aqui's Tutorial, dass ich auf den betroffenen Switchen das VLAN einrichte und dann entsprechend über den L3 Core Switch (läuft im Stack) route.
Ja.
Nehmen wir an wir verpassen der Gäste WLAN SSID das VLAN 40 und damit das Netz 10.0.0.0/24 mit dem Standardgateway 10.0.0.1.
Wir haben in unserer Niederlassung keine eigene FW und sind per MPLS an die andere Niederlassung angebunden, in der die FW sitzt.

Muss ich beim MPLS was beachten wegen dem VLAN oder rutscht das quasi einfach durch?
Ihr müsst euren MPLS Provider das mitteilen, dass diese auch das VLAN einrichten, denn sonst gibt es nur "1 VLAN" auf der MPLS.

Und auf der Firewall in der anderen Niederlassung muss ich dann das Netz anlegen, müsste so eigentlich funktionieren, oder?
Wenn der Rest stimmt, ja.
Dani
Dani 07.06.2020 aktualisiert um 21:58:10 Uhr
Goto Top
Moin,
Muss ich beim MPLS was beachten wegen dem VLAN oder rutscht das quasi einfach durch?
auf welchen Layern (TCP/IP oder OSI Modell) agieren MPLS und VLAN?

Und auf der Firewall in der anderen Niederlassung muss ich dann das Netz anlegen, müsste so eigentlich funktionieren, oder?
Die Antwort auf die Frage kannst du aus der Antwort meiner Frage ableiten. face-smile


Gruß,
Dani
aqui
aqui 08.06.2020 aktualisiert um 09:08:22 Uhr
Goto Top
da wir das Gäste WLAN nicht ins interne Netz führen wollen.
Sehr vernünftig ! Solche Konzepte predigen wir deshalb aus gutem Grund hier täglich...
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
auf den betroffenen Switchen das VLAN einrichte und dann entsprechend über den L3 Core Switch (läuft im Stack) route.
Richtig, so sähe ein simples und klassisches Standard Netz Design aus ! Hier im Beispiel mit Ausfallredundanz. face-wink

stackdesign
In deinem Falle in der Weitverkehrs "Wolke" dann MPLS statt VPN... face-wink
Muss ich beim MPLS was beachten wegen dem VLAN oder rutscht das quasi einfach durch?
Dazu sind deine Informationen viel zu oberflächlich um eine zielführende Antwort geben zu können. Kollege @Dani hat es oben schon auf den Punkt gebracht mit der Frage nach den Layern eurer MPLS Installation. Grob gesehen gibt es 3 Funktionen, L3 VPN, VPLS und VLL. Leider erwähnst du mit keinem Wort welches Grunddesign euerer MPLS nutzt. Transparente Kopplung der VLANs wäre nur mit VPLS möglich. Die anderen Modi erzwingen ein Routing.
Zum Rest steht oben ja schon alles....
manu87
manu87 12.06.2020 um 16:38:16 Uhr
Goto Top
Hi,

ich habe soweit die VLANs auf den L2 Switchen angelegt und auf dem L3 auch.
Auf dem L3 Switch ist die Router IP Adresse für die einzelnen VLANs angelegt.
Als Default Route ist zudem als Standardgateway die IP Adresse des MPLS Routers hinterlegt.

Leider kann ich nicht den MPLS Router pingen.
Hat jemand eine Idee woran das liegen könnte? Stehe gerade irgendwie auf dem Schlauch.

VG
aqui
aqui 12.06.2020 um 18:05:15 Uhr
Goto Top
Leider kann ich nicht den MPLS Router pingen.
Ist das ein Router in der Hoheit des Providers ? Dort ist sehr oft ICMP (Ping) geblockt. Da solltest du den Provider fragen.
Wenn es das nicht ist, dann hast du einen fehler in der Layer 2 Zuordnung deiner VLANs gemacht zu diesem Netz.
Grundlagen zu VLAN Layer 2 Konfigs findest du wie immer im VLAN Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wie das bei Layer 3 VLANs mit L3 Switches grundlegend aussieht findest du hier:
Verständnissproblem Routing mit SG300-28
Das sollte vermutlich deine Fragen beantworten.
manu87
manu87 12.06.2020 aktualisiert um 19:35:18 Uhr
Goto Top
Ja, ist in der Hoheit der T-Systems...ICMP ist aber definitiv aktiviert.

Ich glaube mir ist eingefallen wieso es nicht ging ;)
Ich habe vergessen das VLAN auch dem Port zuzuordnen wo der MPLS dran hängt - ich sag ja, ich stand auf der Leitung ;)

Danke für die Links, lese ich mir auch nochmal durch.
Ich melde mich am Montag zwecks Feedback.

@aqui: Kennst Dich ja auch mit Brocade aus, soweit ich weiß. Kann es sein, dass in der GUI nicht alle Möglichkeiten angezeigt werden? Habe bspw. keine Möglichkeit gefunden über die GUI die Default Route einzustellen. Hab das dann über das CLI gemacht.

Schönes Wochenende Euch allen!

VG
aqui
aqui 12.06.2020 aktualisiert um 19:28:59 Uhr
Goto Top
Ich habe vergessen das VLAN auch dem Port zuzuordnen
Das ist dann natürlich tödlich.. face-wink
Kann es sein, dass in der GUI nicht alle Möglichkeiten angezeigt werden?
Ja, ist nicht nur bei Brocade/Ruckus so sondern auch bei Cisco und allen anderen Premium Herstellern.
Bei solchen Produkten nutzt man auch immer das CLI und niemals das Web GUI was unter richtigen Netzwerkern eh Igitt ist aus gutem Grund. Real networkers do CLI !! face-wink
Habe bspw. keine Möglichkeit gefunden über die GUI die Default Route einzustellen.
Das sollte aber gehen. Ich checke da smal aber mit dem CLI geht es eh schneller und besser und du bist so auf dem Weg zu einem Real networker !! face-wink
Ich melde mich am Montag zwecks Feedback.
Wir sind gespannt...!
Ebenso ein schönes WE.
manu87
manu87 13.06.2020 aktualisiert um 12:03:41 Uhr
Goto Top
Jetzt muss ich doch nochmal nachfragen...

1. VLAN 20 auf Access Switch konfiguriert.
2. VLAN 20 Auf Core Switch konfiguriert.
3. Router IP für VLAN 20 vergeben
4. Client aus VLAN 20 kann Router IP pingen.
5. Client aus VLAN 20 kann Default Gateway (anderes Netz) nicht pingen
6. Client aus VLAN 1 kann Default Gateway (selbes Netz) pingen

Das Default Gateway ist die IP des MPLS Routers.
Der hängt auf dem Core Switch und der Port ist auf Default-VLAN konfiguriert

Muss ich da noch was konfigurieren?
aqui
aqui 13.06.2020 aktualisiert um 15:27:40 Uhr
Goto Top
5. Client aus VLAN 20 kann Default Gateway (anderes Netz) nicht pingen
Das ist logisch und auch normal wenn auf dem Default Gateway keine statische Route in dein VLAN 20 definiert ist !
Woher soll denn der MPLS Router wissen wie er das VLAN 20 IP Netz erreichen soll für die Rückroute ? Wenn er das VLAN 20 nicht "kennt" über eine statische Route, dann routet er das über sein definiertes Default Gateway und das ist dann sicher der Provider, womit es dann ins Nirwana geht.
6. Client aus VLAN 1 kann Default Gateway (selbes Netz) pingen
Klar, und logisch, denn der sitzt ja im gleichen IP Netz wie der Provider Router. Das das dann pingbar ist weiss jeder Laie !
Du solltest dringenst einmal etwas über IP Routing Grundlagen lesen und vor allem verstehen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Das ist die Crux wenn man sich von einem Provider abhängig macht mit seiner Infrastruktur. Ein NoGo eigentlich.
Du musst also den Provider anrufen und ihn bitten eine statische Route einzutragen dort !!
Mach das aber intelligent indem du ihm dann gleich ein größeres Subnetz vorgibst !!
Z. B. indem du ihm sagst er soll ALLES was 10.0.x.y ist an deinen VLAN Router routen. Dann hast du eine größere Planungs Sicherheit wenn du einmal wachsen willst mit deinen VLANs bzw. Segmentierung was ja generell immer richtig ist.
Die Route bei ihm lautet dann:
ip route 10.0.0.0 255.255.0.0 <ip_vlan_router>
Das routet dann alle 10.0.er Netze auf deinen zentralen VLAN Router bzw. Layer 3 Core Switch !

Es sei denn natürlich der Core Switch routet diese 10er Netze zentral. Dann fehlt ggf. dort die Route. Es ist aber davon auszugehen das sie auf dem Default Router fehlt denn den pingst du ja als Ziel und der hat dann sehr wahrscheinlich keine Rückroute.
Leider machst du ja keinerlei Aussage zu deiner Routing Infrastruktur bzw. IP Adressierung so das man hier auch nur im freien Fall oder mit Kristallkugel raten kann. face-sad
manu87
manu87 13.06.2020 um 17:32:12 Uhr
Goto Top
Danke erstmal.
Ich lese mir später dein Tutorial mal in Ruhe durch.

Genau, das mit der statischen Route habe ich mit fast schon gedacht. Die Frage ist, auf welche IP lass ich das größere Subnetz dann Routen? Macht es am meisten Sinn wenn ich den auf die VLAN 1 Router IP Routen lasse? Oder wie würdest du das machen? Spezielles VLAN für die Verbindung MPLS <> L3 Core?

VG
aqui
aqui 13.06.2020 um 21:17:37 Uhr
Goto Top
Die Frage ist, auf welche IP lass ich das größere Subnetz dann Routen?
Sinnvollerweise immer auf den Router oder Layer 3 Core Switch der ALLE deine lokalen LANs/VLANs routet !
manu87
manu87 13.06.2020 aktualisiert um 22:02:07 Uhr
Goto Top
Ja das ist schon klar.
Der Core Switch hatte alle VLANs.
Aber lass ich den MPLS dann auf die Router IP vom VLAN 1 Routen? Oder wie würdest Du das machen?
aqui
aqui 14.06.2020 aktualisiert um 13:15:05 Uhr
Goto Top
Du solltest dir dringenst noch einmal ein paar Grundlagen zu banalem IP Routing anlesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
wenn es schon an solchen einfachen Fragen scheitert.

Das Next Hop Gateway eines Routers muss immer auf einem IP Adresse eines Routers zeigen der an einem der physisch am Router anliegenden netzwerk Interfaces liegt !
Logisch, denn woher soll ein Router sonst wissen wie er dieses Gateway erreichen soll. Sprich die statische Route der internen VLAN IP Netz auf dem MPLS Router muss als Next Hop also dann immer auf den Layer Core Switch bzw. zeigen über das Inerface wo der Core mit dem MPLS verbunden ist.
Ein Bild sagt mehr als 1000 Worte...:

vlan-allgemein2
manu87
manu87 14.06.2020 aktualisiert um 13:20:41 Uhr
Goto Top
Ja das meinte ich ja.
Nur nochmal zusammenzufassen:

MPLS (172.16.0.1) bekommt statische Route für 172.16.0.0 255.255.0.0 172.16.0.254 eingetragen

Core Switch ist per Patchkabel mit MPLS verbunden (Port 1/1/2).
Port 1/1/2 bekommt VLAN 1 zugewiesen (untagged).
Router IP (VLAN1) L3 Core Switch wird auf 172.16.0.254 gesetzt

Damit könnten die Endgeräte die sich in keinem VLAN befinden (also klar im Default VLAN1) weiterhin auf den MPLS direkt zugreifen und die Geräte die sich in einem anderen VLAN befinden könnten dann auch auf den MPLS zugreifen, sofern diese im selben Subnetz liegen.

Richtig?
aqui
aqui 14.06.2020 um 13:20:20 Uhr
Goto Top
Jedes Endgerät was sich denn in jedem Subnetz im Bereich 172.16.0.0 /16 befindet kann dann auf den MPLS zugreifen.
Ja, das wäre dann so genau richtig !
manu87
manu87 14.06.2020 um 13:23:10 Uhr
Goto Top
Sehr gut. Danke erstmal @aqui!
aqui
aqui 14.06.2020 um 13:23:49 Uhr
Goto Top
Immer gerne ! face-wink
manu87
manu87 14.06.2020 aktualisiert um 13:36:33 Uhr
Goto Top
Eine Nachfrage noch.
Wie würde das dann aussehen wenn ich 2 Netze am MPLS Router habe, aber nur ein Ethernet Port?
Dann würde das mit dem untagged Port am Core Switch nicht mehr funktionieren.

Müsste ich den Port dann tagged machen und mit der T-Systems dann eine VLAN-ID für das jeweilige Netz absprechen?

Sprich:
172.16.0.0 255.255.0.0 172.16.0.254 (/16) --> VLAN 90 --> tagged 1/1/2
172.20.0.0 255.255.255.0 172.20.0.254 (/24) --> VLAN99 --> tagged 1/1/2

VG
aqui
aqui 14.06.2020 aktualisiert um 14:10:42 Uhr
Goto Top
Nein, das ist falsch, denn die 20er Route wäre ja völliger Blödsinn ! Siehst du auch sicher sofort selber ?!
Wozu sollte diese Route Sinn machen wenn das 172.20er Netz direkt an ihm dran ist und er es somit selber kennt. Das wäre ja Quatsch.
Du sagst ihm ja das 20er Netz erreicht er über sein eigenes Interface was Unsinn ist, denn das "weiss" der Router ja da an ihm selbst angeschlossen !
Der MPLS Router hat wenn er Tagging macht über ein einzelnes Ethernet Interface immer virtuelle Subinterfaces je nach VLAN Tag an seinem einzelnen Ethernet Port mit entsprechender IP. Das sieht dann z.B. so aus:
!
interface ethernet 1/1/2.90
description VLAN 90 IP Interface
encapsulation dot1q 90
ip address 172.16.0.1 255.255.255.0
!
interface ethernet 1/1/2.99
description VLAN 99 IP Interface
encapsulation dot1q 99
ip address 172.16.20.1 255.255.255.0
!
ip route 172.16.0.0 255.255.0.0 172.16.0.254
!

Es reicht einfach dann die Route anzugeben, denn welches Interface der MPLS Router dann nimmt ergibt sich dann logischerweise schon aus der eigenen IP Adressierung seiner Interfaces.
Für direkt an ihm angeschlossene IP Netze sind natürlich keine Routen erforderlich.
manu87
manu87 14.06.2020 aktualisiert um 15:26:01 Uhr
Goto Top
Stimmt, das Beispiel von mir machte gerade keinen Sinn.

Heißt aber, sobald ich zwei oder mehr Interfaces habe, müsste ich von der T-Systems wissen, welchen VLAN Tag sie für welche Interfaces verwenden um die entsprechenden VLANs dann auf dem Port am Core als tagged zu hinterlegen, richtig?

Bsp (wirklich nur Beispiele)
Netz 1: 172.16.0.0/16
Netz 2: 172.20.0.0/16
Netz 3: 172.21.0.0/16

Dann bräuchte ich insgesamt 3 statische Routen?

VG
aqui
aqui 14.06.2020 aktualisiert um 15:41:15 Uhr
Goto Top
müsste ich von der T-Systems wissen, welchen VLAN Tag sie für welche Interfaces verwenden
Nein, das müsstest DU selber wissen. Alles was T-Systems in internen, Kunden eigenen Netzwerken etabliert gibt logischerweise immer rein der Kunde vor.
Die T-Systems kann ja nicht über eure interne, eigene und ggf. gewachsene Netzwerk Infrastruktur bzw. IP Adressierung und VLAN IDs frei bestimmen. Die macht immer nur das was die Kunden dort vorgeben.
Das muss also irgendwo bei euch dokumentiert sein. Du solltest da mal euren Netzwerk Admin fragen !
Dann bräuchte ich insgesamt 3 statische Routen?
Jein...
Es ginge auch eine
ip route 172.16.0.0 255.248.0.0 172.16.1.254

Mit einem 13 Bit Prefix (255.248.0.0) würdest du alle IP Netze von 172.16.0.0 bis 172.16.23.0 mit einer einzigen Route "erschlagen". face-wink
manu87
manu87 15.06.2020 um 19:36:21 Uhr
Goto Top
Hi,
haben heute mal folgendes probiert

VLAN 10
Router IP 172.18.20.254
Netz: 172.18.20/24

MPLS
Gateway IP: 172.18.20.1
Port auf dem Core Switch (Core Switch <-> MPLS) auf untagged gesetzt und VLAN 10 zugeordnet.

Ergebnis 172.18.20.1 war pingbar , aber wir kamen nicht weiter. Ins Internet sind wir nicht gekommen. Der MPLS Router bei uns war quasi das Ende...

Ein traceroute ergab den Hop zur VLAN Router Ip und dann kam, zielnetz nicht erreichbar

Eine Idee woran das liegen könnte?
tech-flare
tech-flare 15.06.2020 um 20:12:36 Uhr
Goto Top
Zitat von @manu87:

Hi,
haben heute mal folgendes probiert

VLAN 10
Router IP 172.18.20.254
Netz: 172.18.20/24

MPLS
Gateway IP: 172.18.20.1
Port auf dem Core Switch (Core Switch <-> MPLS) auf untagged gesetzt und VLAN 10 zugeordnet.

Ergebnis 172.18.20.1 war pingbar , aber wir kamen nicht weiter. Ins Internet sind wir nicht gekommen. Der MPLS Router bei uns war quasi das Ende...

Ein traceroute ergab den Hop zur VLAN Router Ip und dann kam, zielnetz nicht erreichbar

Eine Idee woran das liegen könnte?

Die Routen habt ihr auf Beiden Seiten angelegt? Sozusagen das Adresse hinter der MPLS auch den Weg zurück über die MPLS nimmt ?
manu87
manu87 15.06.2020 um 20:20:46 Uhr
Goto Top
Naja ohne VLAN funktioniert das Ganze ja. Also lässt sich Deine Frage mit Ja beantworten.
Nur im VLAN funktioniert es ja nicht
tech-flare
tech-flare 15.06.2020 um 20:31:01 Uhr
Goto Top

Zitat von @manu87:

Naja ohne VLAN funktioniert das Ganze ja. Also lässt sich Deine Frage mit Ja beantworten.
Nur im VLAN funktioniert es ja nicht

Habt ihr sichergestellt, dass das VLAN auch an den Ports anlegt wo der MPLS Router dran steckt?

Habt ihr bereits die Rückmeldung vom Provider das das VLAN komplett eingerichtet ist?
manu87
manu87 15.06.2020 um 21:15:37 Uhr
Goto Top
Zitat von @tech-flare:
Habt ihr sichergestellt, dass das VLAN auch an den Ports anlegt wo der MPLS Router dran steckt?

Ja, ist zugewiesen als untagged

Habt ihr bereits die Rückmeldung vom Provider das das VLAN komplett eingerichtet ist?
wieso Rückmeldung ob das VLAN komplett eingerichtet ist?
aqui
aqui 16.06.2020 aktualisiert um 09:56:10 Uhr
Goto Top
Deinen Antwort oben klingt sehr unlogisch was den MPLS Router betrifft !! Das ist es was der Kollege @wuebra vermutlich zu Recht meint.
Wie dir oben schon beschrieben wurde muss der MPLS Router, sofern er nur ein Ethernet Port hat, ja zwangsweise VLAN TAGGEN um den Traffic beider Interface bzw. IP Netze entsprechend selektieren zu können !! Wie sollte er denn auch sonst die VLAN Information dem Ethernet Paket mitgeben ??
Halte dir nochmal die Konfiguration von oben vor Augen wie das im Router gelöst ist !
!
interface ethernet 1/1/2.90
description VLAN 90 IP Interface
encapsulation dot1q 90
ip address 172.16.0.1 255.255.255.0
!
interface ethernet 1/1/2.99
description VLAN 99 IP Interface
encapsulation dot1q 99
ip address 172.16.20.1 255.255.255.0
!

Auf dem Router Ethernet Interface 1/1/2 kommen die Pakete für das VLAN 90 mit einem 90er VLAN Tag raus und für das VLAN 99 eben mit einem 99er Tag.
Fazit also:
Der Traffic beider Interface ist am Ethernet Port des Routers immer entsprechend VLAN getagged und ein an dem Port angeschlossener Switch muss also auch entsprechend getagged sein für die VLANs 90 und 99 damit er diese Pakete annehmen und verarbeiten kann. Auch andersrum muss er sie so Tagged senden damit der Router sie ebenso wieder den entsprechenden Netzwerk Interfaces sauber zuordnen kann. Simpelste VLAN Logik...
Du antwortest aber:
"Ja, ist zugewiesen als untagged"
Was ja dann völlig sinnfrei wäre und einer richtigen Switch Konfiguration völlig zuwider läuft. Das Warum ist ja oben erklärt.

Man kann daraus nur den Schluss ziehen das du entweder überhaupt nicht verstanden hast wie das mit den VLANs rennt und/oder völlig planlos bist was die Konfiguration des MPLS Switches anbetrifft.
Das man so natürlich nicht weiterkommt zu einer Lösung das weiss auch der IT Azubi im ersten Lehrjahr. face-sad
manu87
manu87 26.06.2020 um 17:33:52 Uhr
Goto Top
Hi!

Also die Config des MPLS Router wurde letzten Samstag angepasst und die VLANs entsprechend hinterlegt.

Allerdings habe ich noch eine Frage zum DHCP.
Ich habe auf dem Core Switch für das VLAN Interface jetzt eine UDP Helper Adresse angelegt. Diese ist die IP Adresse des DHCP Server aus einem anderen Netz.

Dieses andere Netz ist auch als VLAN angelegt aber hat auf dem Core Switch kein Router Interface, da das alte Netz (ohne VLANS) quasi nur in ein VLAN umgezogen ist. Das neue Netz wird dann später mit entsprechender Segmentierung aufgebaut.

Wenn ich dem Client nun eine feste IP verpasse, dann komme ich mit dem ins Internet.
Versuche ich das per DHCP, erhalte ich keine IP.
Woran kann das liegen?
Muss ich auf dem Windows Server auf dem der DHCP läuft noch was konfigurieren? Der Bereich ist dort jedenfalls angelegt

VG
aqui
aqui 26.06.2020 aktualisiert um 18:22:09 Uhr
Goto Top
Diese ist die IP Adresse des DHCP Server aus einem anderen Netz.
Das ist auch genau richtig, das ist ein sog. IP Helper oder DHCP Forwarder oder Relay. Guckst du hier:
https://www.cisco.com/c/en/us/support/docs/ip/dynamic-address-allocation ...
Dieses andere Netz ist auch als VLAN angelegt aber hat auf dem Core Switch kein Router Interface,
Das muss es auch nicht zwingend. Wichtig ist aber das es Routing technisch das IP Netz (VLAN) erreichen kann aus dem der Client Request kommt.
Das Verfahren geht in kurzen Schritten beschrieben so:
  • DHCP Request Broadcast des Clients aus dem serverlosen Segment wird vom L3 Switch (Core) aufgenommen
  • Der Core Switch ersetzt die Absender IP mit der IP seines Layer 3 Interfaces dieses VLANs und die Ziel IP mit der konfigurierten UDP Helper Adresse (DHCP Server)
  • Damit geht das Paket an den DHCP Server und dieser antwortet zurück mit einer entsprechenden Reservierung an die Layer 3 Interface Adresse des Core Switch (die die im Absender war).
  • Dies Paket kommt dann am Switch an, der Switch forwardet das DHCP Reply Paket dann an den Client in seinem VLAN und... et voila...so hat der Client seine gültige IP Adresse im VLAN Segment. Millionenfacher Standard...

Wie du ja selber sehen kannst muss der DHCP Request zum DHCP Server kommen und auch die DHCP Offer Antwort für den Client irgendwie vom DHCP an die L3 IP Adresse des Core Switches gelangen ! Logisch, denn wie sollte sonst auch das DHCP Antwortpaket den Client erreichen !!!
Layer 3 Interface des VLANs und der DHCP Server müssen sich also zwingend IP mässig erreichen können um die DHCP Information für den Client auszutauschen. Ganz einfache Logik also und so funktioniert DHCP.

Du musst also dafür sorgen das das DHCP Paket vom Switch zum DHCP Server und zurück auf den Switch und den wartenden Client kommt.
Wenn ich dem Client nun eine feste IP verpasse, dann komme ich mit dem ins Internet.
Logisch, das weiss auch jeder Azubi im ersten Lehrjahr das das klappt... Ist ja dann auch kein DHCP im Spiel !
Versuche ich das per DHCP, erhalte ich keine IP.
Auch logisch...
Man kann nur vermuten das die Hin- oder Rückroute zum/vom DHCP Server fehlt. Worst Case wäre das noch nicht einmal dein VLAN Interface den DHCP Server pingen kann und es schon gar keine Route dahin gibt.
Ein simpler Ping Check vom L3 Switch mit: ping <ip_dhcp_server> source <vlan-interface> und auch der Rückweg auf dem DHCP Server mit ping <vlan_interface_ip> hätte dir sofort Gewissheit gebracht.
Warum hast du einen so einfachen und banalen Troubleshooting Check nicht gemacht ?? Das wäre doch das Erste was du als Netzwerk Admin tust die IP Connectivity verifizieren.
Das weiss dann auch jeder Dummie das der Client damit dann vollkommen chancenlos ist eine gültige IP Adresse vom DHCP Server zu bekommen. Wenn die DHCP Daten vom Client weder den DHCP Server und dessen Antwort sein Ziel niemals erreichen kann durch fehlende IP Verbindung ist das doch verständlich. Wie sollte das auch gehen ?!
Wenn du nur selber mal ein ganz klein wenig nachdenken würdest wäre dir das auch sofort klar.
Ein ganz simpler Ping Test wie oben hätte dich das sofort erklären lassen können wenn du nur vom DHCP Server mal versucht hättest dein VLAN Interface zu pingen.
Sehr wahrscheinlich scheitert das, richtig ?!
Die Erklärung zum Warum findest du oben !
Simpelstes IP Routing aus der Netzwerk Admin Grundschule, erste Klasse. Bzw. ein klassischer Freitags Thread. face-wink