10
VLAN Verständnisproblem und Konfigurationsprobleme Netzwerk EdgeRouter
Hallo zusammen,
Ich hab ein bisschen Probleme mit meinem Heimnetzwerk. Die aktuelle Konfiguration funktioniert nicht so wie ich erwarten würde, jedoch müsste sie nach meinem aktuellen Verständnis korrekt sein. Zunächst vorab zu der Konfiguration, ergänzend zu dem Screenshot unten, ein paar Informationen:
Netzwerke:
VLAN 10: 192.168.0.0/24
VLAN 20: 192.168.1.0/24
VLAN 21: 192.168.10.0/25
VLAN 1000: 10.255.255.0/28
EdgeRouter ER-X-SFP
switch0.10 -> 192.168.0.1/24
switch0.20 -> 192.168.1.1/24
switch0.21 -> 192.168.10.1/24
switch0.1000 -> 10.255.255.1/28
EdgeRouter ER-X
switch0.10 -> 192.168.0.254/24
switch0.1000 -> 10.255.255.14/28
Die Konfiguration der Ports, sowie es nicht funktioniert, ist unten in dem Screenshot zu sehen.
Das Hauptproblem ist, dass von meinem Laptop (VLAN 20) aus über WLAN die Geräte in VLAN 10 (welche an dem Switch hängen) nicht erreichbar sind, solange ich die PVID von eth0 auf EdgeRouter ER-X-SFP leer lasse. Sobald ich als PVID 10 eintrage funktioniert es wie zu erwarten wäre. Der AccessPoint unterstützt entsprechen VLAN Tagging.
Ein traceroute von dem Laptop (VLAN 20) bleibt auf dem Router bei dessen VLAN 20 IP (192.168.1.1/24) stecken. Ich hatte auch schon nach Inter-VLAN Routing geguckt, konnte hierzu in Bezug auf meine Geräte aber nichts finden.
Aktuell wäre ich der Meinung, dass sich das Packet, bei einer Anfrage und entsprechender Antwort, wie folgt verhält:
Ich gehe davon aus, dass ich am Router keine PVID‘s brauche, da die Frames immer getagged an diesem (via Switch oder AP), ankommen sollten.
Aktuell sehe ich zwei Möglichkeiten, warum es nicht funktioniert, wobei ersteres wahrscheinlicher ist:
Sofern etwas in der Erklärung undeutlich / unverständlich ist werde ich es gerne genauer ausführen
Ich freue mich schon auf eure Antworten!
Ich hab ein bisschen Probleme mit meinem Heimnetzwerk. Die aktuelle Konfiguration funktioniert nicht so wie ich erwarten würde, jedoch müsste sie nach meinem aktuellen Verständnis korrekt sein. Zunächst vorab zu der Konfiguration, ergänzend zu dem Screenshot unten, ein paar Informationen:
Netzwerke:
VLAN 10: 192.168.0.0/24
VLAN 20: 192.168.1.0/24
VLAN 21: 192.168.10.0/25
VLAN 1000: 10.255.255.0/28
EdgeRouter ER-X-SFP
switch0.10 -> 192.168.0.1/24
switch0.20 -> 192.168.1.1/24
switch0.21 -> 192.168.10.1/24
switch0.1000 -> 10.255.255.1/28
EdgeRouter ER-X
switch0.10 -> 192.168.0.254/24
switch0.1000 -> 10.255.255.14/28
Die Konfiguration der Ports, sowie es nicht funktioniert, ist unten in dem Screenshot zu sehen.
Das Hauptproblem ist, dass von meinem Laptop (VLAN 20) aus über WLAN die Geräte in VLAN 10 (welche an dem Switch hängen) nicht erreichbar sind, solange ich die PVID von eth0 auf EdgeRouter ER-X-SFP leer lasse. Sobald ich als PVID 10 eintrage funktioniert es wie zu erwarten wäre. Der AccessPoint unterstützt entsprechen VLAN Tagging.
Ein traceroute von dem Laptop (VLAN 20) bleibt auf dem Router bei dessen VLAN 20 IP (192.168.1.1/24) stecken. Ich hatte auch schon nach Inter-VLAN Routing geguckt, konnte hierzu in Bezug auf meine Geräte aber nichts finden.
Aktuell wäre ich der Meinung, dass sich das Packet, bei einer Anfrage und entsprechender Antwort, wie folgt verhält:
- Von Laptop an AP (untagged)
- AP baut neuen Ethernet Frame mit VLAN-Tag 20
- Router erhält Ethernet Frame & entfernt Tag
- Ziel liegt in anderem Netz, Ethernet Frame wir über switch0.10 versendet & erhält somit VLAN-Tag 10
- Ethernet Frame kommt auf Trunk Port am Switch an
- Ethernet Frame wir auf untagged Port (Switch Port eth1) zu Ziel Gerät gesendet & der VLAN-Tag vor versenden entfernt
- Antwort wird untagged an den Switch Port eth1 gesendet
- Antwort erhält VLAN-Tag 10 (wegen PVID)
- Antwort wird an Router gesendet (mit VLAN-Tag 10) über Trunk Port eth0
- Antwort kommt bei Router an (auf switch0.10) & VLAN-Tag wir entfernt
- Ziel liegt in anderem Netz, Ethernet Frame wir über switch0.20 versendet & erhält somit VLAN-Tag 20
Ich gehe davon aus, dass ich am Router keine PVID‘s brauche, da die Frames immer getagged an diesem (via Switch oder AP), ankommen sollten.
Aktuell sehe ich zwei Möglichkeiten, warum es nicht funktioniert, wobei ersteres wahrscheinlicher ist:
- Ich habe ein Denkfehler / Verständnisproblem
- Eines der Geräte hat eine Eigenart die ich noch nicht kenne
Sofern etwas in der Erklärung undeutlich / unverständlich ist werde ich es gerne genauer ausführen
Ich freue mich schon auf eure Antworten!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 588527
Url: https://administrator.de/contentid/588527
Ausgedruckt am: 13.11.2024 um 22:11 Uhr
10 Kommentare
Neuester Kommentar
Ich hatte auch schon nach Inter-VLAN Routing geguckt,
Das hiesige VLAN Tutorial erklärt alle Punkte zu diesem Thema:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Laut Skizze hast du alles richtig gemacht.
Zum speziellen Thema PVID findest du hier eine detailierte Erklärung:
Warum gibt es PVID bei VLANs?
Die PVID bestimmt immer in welches VLAN Untagged Pakete an dem jeweiligen Port geforwardet werden. Untagged Paketen fehlt ja jegliche VLAN Information und der Switchport muss dann wissen in welches VLAN er diese untagged Pakete forwarden soll. Nennt man auch Native VLAN oder Default VLAN.
Etwas unverständlich ist dein Design. Speziell der Frage was der ER-X dort soll ? Deine zentrale Routing Instanz im Netzwerk ist ja der ER-X-SFP wenn man das richtig aus der Skizze versteht. Wozu also noch ein paralleler Router ? Wäre jetzt erstmal aus dem geschilderten Design ja völlig sinnfrei.
Zudem ist dein Paket Walk auch technisch nicht ganz richtig. Z.B. ein Ping von WLAN2 auf ein VLAN 10 Endgerät am NG Switch:
- Von Laptop an AP (untagged)
- AP hängt einen 802.1q VLAN Tag an den bestehenden Laptop Ethernet Frame mit VLAN-Tag 20 an und sendet ihn am Kupfer Port raus
- Router erhält Ethernet Frame, liest den Tag und forwardet ihn auf sein internes virtuelles VLAN 20 IP Interface
- Ziel liegt in anderem Netz (10), Router sieht in Routing Tabelle und Ethernet Frame wir über das virtuelle Router IP VLAN 10 Interface versendet & erhält nur an tagged Ports ein VLAN-Tag 10
- Ethernet Frame kommt auf Trunk Port am Switch mit VLAN 10 Tag an
- Ethernet Frame wir auf untagged Port (Switch Port eth1) zu Ziel Gerät gesendet & der VLAN-Tag vor Versenden entfernt
- Antwort vom VLAN 10 Endgerät wird untagged an den Switch Port eth1 gesendet
- Antwort erhält intern im Switch VLAN-Tag 10 (wegen PVID)
- Antwort wird VLAN 10 getagged via Trunk Port eth0 an Router gesendet
- Antwort kommt bei Router an (durch VLAN 10 Tag auf dem internen Router IP VLAN 10 Interface) & VLAN-Tag wir entfernt
- Router sieht in Routing Tabelle und Ziel liegt in anderem Netz (20), Ethernet Frame wir über VLAN 20 IP Interface versendet & erhält nur an getaggten Ports einen VLAN-Tag 20
- Frame gelangt via eth4 und VLAN 20 getagged an den AP, AP erkennt am Tag das der Frame zu WLAN 2 gehört
- AP forwardet Antwort Frame an Laptop via WLAN 2
Fakt ist das der ER-X-SFP Router als zentrale Layer 3 Instanz nicht routet zwischen den VLANs. Man kann hier nur vermuten das du entweder generell vergessen hast virtuelle Router IP Interfaces in deine VLANs am Router zu hängen oder der Router hat aktive Access Listen die ein Forwarding verhindern.
Da solltest du also mal genauer hinsehen !
Unklar bleibt weiter der tiefere Sinn des 2ten, eigentlich völlig überflüssigen Routers ER-X.
P.S. in der Überschrift fehlt ein "k" und wenn du bei eingebetteten Bildern an der richtigen Stelle das "+" klickst, dann erscheinen die Bilder auch in der richtigen Stelle im Kontext !
FAQs lesen hilft also wirklich und mit der "Bearbeiten" Taste (unten rechts unter "Mehr") kannst du diese beiden Fauxpas auch immer noch nachträglich korrigieren.
Danke für die ausführliche Antwort und die Anmerkungen! Habe es angepasst. Die Links führe ich mir nach Feierabend noch in Ruhe zu Gemüte.
Der 2. Router (ER-X) ist als „Switch“ konfiguriert und kommt in Keller, ich hatte das Gerät genommen, weil ich es noch rumfliegen hatte, ggf. ist das ja auch schon ein Problem.
In der Routing Tabelle sind als jeweilige Next-Hops die „Virtuellen“ Schnittstellen (switch0.10, etc.) eingetragen. Somit würde ich, auch aufgrund deiner Erklärung, davon ausgehen das es so richtig sein müsste -> aber leider funktioniert es nicht.
Das Thema brennt mir ein bisschen unter den Nägeln, möglicherweise ergibt sich die Schlüsselinformation aus den genannten Links. Sollte dem nicht so sein würde ich mich über einen weiteren Wissenaustausch freuen!
Der 2. Router (ER-X) ist als „Switch“ konfiguriert und kommt in Keller, ich hatte das Gerät genommen, weil ich es noch rumfliegen hatte, ggf. ist das ja auch schon ein Problem.
Zitat von @aqui:
Fakt ist das der ER-X-SFP Router als zentrale Layer 3 Instanz nicht routet zwischen den VLANs.
Fakt ist das der ER-X-SFP Router als zentrale Layer 3 Instanz nicht routet zwischen den VLANs.
In der Routing Tabelle sind als jeweilige Next-Hops die „Virtuellen“ Schnittstellen (switch0.10, etc.) eingetragen. Somit würde ich, auch aufgrund deiner Erklärung, davon ausgehen das es so richtig sein müsste -> aber leider funktioniert es nicht.
Das Thema brennt mir ein bisschen unter den Nägeln, möglicherweise ergibt sich die Schlüsselinformation aus den genannten Links. Sollte dem nicht so sein würde ich mich über einen weiteren Wissenaustausch freuen!
Der 2. Router (ER-X) ist als „Switch“ konfiguriert
OK, das ist dann OK. Sinniger wäre allerdings immer ein einfacher Layer 2 VLAN Switch statt dort einen Router zu "verbraten"...https://www.amazon.de/TP-Link-TL-SG105E-Unmanaged-Metallgehäuse-Lif ...
oder
https://www.amazon.de/5-Port-Gigabit-Managed-Switch-GS1200-5/dp/B0798PVT ...
aber leider funktioniert es nicht.
Da musst du dann wohl nochmal dein ER Handbuch im Kapitel VLAN Routing konsultieren ?!Generell hast du am VLAN Design alles richtig gemacht. Das o.a. VLAN Tutorial beschreibt genau so ein Design ja auch.
Fakt ist ja das am ER was falsch konfiguriert wurde, denn der routet ja nicht !
Auf den ersten Blick wirkst Du so, als hättest du genug Ahnung, um diese Konfiguration herzustellen.
Manchmal sieht man aber den Wald vor lauter Bäumen nicht.
Hast du mal geguckt ob UNMS dir weiterhilft? Du musst das ja nicht dauerhaft einsetzen, weil die ER auch ohne konfiguriert und betrieben werden können. Vielleicht bietet die Software dir aber eine Diagnosemöglichkeit.
Manchmal sieht man aber den Wald vor lauter Bäumen nicht.
Hast du mal geguckt ob UNMS dir weiterhilft? Du musst das ja nicht dauerhaft einsetzen, weil die ER auch ohne konfiguriert und betrieben werden können. Vielleicht bietet die Software dir aber eine Diagnosemöglichkeit.
Sorry! Das war vlt. missverständlich, auch Geräte in VLAN 10, welche an dem NG Switch hängen, sind nicht erreichbar. Erst wenn der ER-X-SFP an seinem Uplinkport zu dem NG Switch die PVID 10 konfiguriert hat, was aber aus meiner Sicht nicht notwendig sein sollte.
In den Handbücher zu den EdgeRouter hatte ich zu VLAN Routing leider nichts gefunden. Vermutlich suche / google ich falsch oder es ist nicht beschrieben.
Ich gucke mir am Wochenende nochmal die Doku von VyattaOS an, da EdgeMax (OS von Ubiquiti) soweit ich weis ein Fork ist. Ggf. steht da was.
In den Handbücher zu den EdgeRouter hatte ich zu VLAN Routing leider nichts gefunden. Vermutlich suche / google ich falsch oder es ist nicht beschrieben.
Ich gucke mir am Wochenende nochmal die Doku von VyattaOS an, da EdgeMax (OS von Ubiquiti) soweit ich weis ein Fork ist. Ggf. steht da was.
Hallo 8Layer,
warum hast du am Port 0 des Switches eine PVID 10 konfiguriert? Die VLAN 10 pakete sollten hier ja Tagged ein und ausgehen. Daher sollte keine PVID10 nötig sein.
Wenn es funktioniert nachdem du die PVID10 auf dem Router-port aktivierst, scheint der Switch die Pakete ja ohne VLAN-ID zu verschicken? (Wodurch der Router ihnen dann ID_10 zuordnet wegen der PVID10.)
Ggf. nochmal die VLAN Konfiguration am Switch prüfen, ob der Port 0 wirklich VLAN 10 als Tagged trägt und generell ob das VLAN auf dem Switch bekannt ist. (Manche Switche erlauben das Zuordnen eines VLANS auf einen Port, auch wenn das VLAN selbst noch nicht angelegt ist, können damit aber dann nichts anfangen.)
Möglicherweise weigert sich der Switch die ID-10 an ausgehende Pakete zu hängen, da der Port die PVID 10 hat, welche ja eigentlich für untagged gedacht ist.
Generell sollten zwischen Router und Switch ja Tagged pakete laufen. Also wie du schon richtig festgestellt hast, muss die PVID am Router nicht auf 10 gestellt sein. Am Switch aber ebenso nicht.
warum hast du am Port 0 des Switches eine PVID 10 konfiguriert? Die VLAN 10 pakete sollten hier ja Tagged ein und ausgehen. Daher sollte keine PVID10 nötig sein.
Wenn es funktioniert nachdem du die PVID10 auf dem Router-port aktivierst, scheint der Switch die Pakete ja ohne VLAN-ID zu verschicken? (Wodurch der Router ihnen dann ID_10 zuordnet wegen der PVID10.)
Ggf. nochmal die VLAN Konfiguration am Switch prüfen, ob der Port 0 wirklich VLAN 10 als Tagged trägt und generell ob das VLAN auf dem Switch bekannt ist. (Manche Switche erlauben das Zuordnen eines VLANS auf einen Port, auch wenn das VLAN selbst noch nicht angelegt ist, können damit aber dann nichts anfangen.)
Möglicherweise weigert sich der Switch die ID-10 an ausgehende Pakete zu hängen, da der Port die PVID 10 hat, welche ja eigentlich für untagged gedacht ist.
Generell sollten zwischen Router und Switch ja Tagged pakete laufen. Also wie du schon richtig festgestellt hast, muss die PVID am Router nicht auf 10 gestellt sein. Am Switch aber ebenso nicht.
Danke für den Hinweis! Bei der aktuellen VLAN Einstellung auf dem Netgear Switch (802.1q Advanced) muss ich eine PVID eingeben. Soweit ich weiß, damit der Switch bei ausgehenden Paketen such Taggen kann, sofern noch nicht gesehen. Ich guck mir das aber auch nochmal an. Der Switch ist ein GS108e
Wir haben für ein paar sonderlösungen GS105PE im Einsatz.
Wir arbeiten dort mit 3 VLANS. Die PVID von Port 5 ist auf einem VLAN, über welches der Switch auch gemanaged wird. Die beiden anderen VLANs sind auf Port 5 nur als Tagged und dann an den entsprechenden "geräte-Ports" untagged + jeweilige PVID.
Ebenso über 802.1Q
Funktioniert bis jetzt Problemlos.
Wir arbeiten dort mit 3 VLANS. Die PVID von Port 5 ist auf einem VLAN, über welches der Switch auch gemanaged wird. Die beiden anderen VLANs sind auf Port 5 nur als Tagged und dann an den entsprechenden "geräte-Ports" untagged + jeweilige PVID.
Ebenso über 802.1Q
Funktioniert bis jetzt Problemlos.
Vielen Dank für die Zahlreiche Teilnahme von allen. Manchmal tut ein Reboot gut und auch der Uplinkport zum Switch war ausgefallen. Viele Faktoren die zu dem Problem beigetragen haben. Letztendlich musste ich auch dem Router für den Uplink Port noch eine PVID konfigurieren, da der Netger Switch (GS108e) kein VLAN für das Management Interface unterstützt.
da der Netger Switch (GS108e) kein VLAN für das Management Interface unterstützt.
Typisch NG... Mit einem Cisco SG250-8 wäre das NICHT passiert, der kann das ! Gut wenns nun klappt wie es soll.
