4
VLAN via SD-RED 60
Hallo zusammen,
ich habe mich schon viel eingelesen, aber leider hat alles nicht zum gewünschten Erfolg geführt.
Hauptstandort: Sophos XG Firewall (172.16.1.0/24)
Nebenstandort: SD-RED 60 (172.16.2.0/24)
Bisher waren am Nebenstandort keine VLAN's vorhanden. Alles war im Default VLAN 1.
Nun soll hier ein weiteres VLAN für Kameras entstehen.
Vom Hauptstandort aus, soll bei Bedarf auf die Kameras in diesem VLAN zugegriffen werden.
Die Kameras sind dort am POE Switch in VLAN 3 (untagged) angeschlossen.
Auf diesem Switch ist Port1 als Trunk konfiguriert: -> VLAN 1U , 3T
Von diesem Port aus geht ein Netzwerkkabel auf LAN1 der RED 60.
Diese habe ich auf ihrem LAN1 ebenfalls als TRUNK konfiguriert und als VLAN die ID "3" eingetragen.
Auf der XG Firewall habe ich dann ein neues VLAN-Interface angelegt. (172.16.3.1/24, VLAN-ID 3)
Danach geht kein Traffic mehr durch. Auch nicht der Traffic von VLAN1.
Wo ist mein Denkfehler?
Danke für Hinweise.
ich habe mich schon viel eingelesen, aber leider hat alles nicht zum gewünschten Erfolg geführt.
Hauptstandort: Sophos XG Firewall (172.16.1.0/24)
Nebenstandort: SD-RED 60 (172.16.2.0/24)
Bisher waren am Nebenstandort keine VLAN's vorhanden. Alles war im Default VLAN 1.
Nun soll hier ein weiteres VLAN für Kameras entstehen.
Vom Hauptstandort aus, soll bei Bedarf auf die Kameras in diesem VLAN zugegriffen werden.
Die Kameras sind dort am POE Switch in VLAN 3 (untagged) angeschlossen.
Auf diesem Switch ist Port1 als Trunk konfiguriert: -> VLAN 1U , 3T
Von diesem Port aus geht ein Netzwerkkabel auf LAN1 der RED 60.
Diese habe ich auf ihrem LAN1 ebenfalls als TRUNK konfiguriert und als VLAN die ID "3" eingetragen.
Auf der XG Firewall habe ich dann ein neues VLAN-Interface angelegt. (172.16.3.1/24, VLAN-ID 3)
Danach geht kein Traffic mehr durch. Auch nicht der Traffic von VLAN1.
Wo ist mein Denkfehler?
Danke für Hinweise.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 71426031562
Url: https://administrator.de/contentid/71426031562
Printed on: April 27, 2024 at 06:04 o'clock
4 Comments
Latest comment
Kann der Fehler sein, dass du das VLAN-Interface auf der XG Firewall nicht als "WAN" konfiguriert hast.
Wenn du die RED 60 als Router zwischen dem Haupt- und Nebenstandort nutzt, musst du das VLAN-Interface auf der XG Firewall als WAN-Interface konfigurieren. Das VLAN-Interface wird dann als Route für das VLAN 3 in der Routing-Tabelle der XG Firewall eingetragen.
Oder aber dass die RED 60 im VLAN-Modus betrieben wird. In diesem Modus werden alle VLANs als tagged übertragen. Die Kameras sind jedoch in VLAN 3 untagged angeschlossen.
Um den Traffic von VLAN 3 zu den Kameras zu leiten, müssen Sie die RED 60 in den Hybrid-Modus umstellen. In diesem Modus können Sie ein VLAN als untagged übertragen.
Wenn du die RED 60 als Router zwischen dem Haupt- und Nebenstandort nutzt, musst du das VLAN-Interface auf der XG Firewall als WAN-Interface konfigurieren. Das VLAN-Interface wird dann als Route für das VLAN 3 in der Routing-Tabelle der XG Firewall eingetragen.
Oder aber dass die RED 60 im VLAN-Modus betrieben wird. In diesem Modus werden alle VLANs als tagged übertragen. Die Kameras sind jedoch in VLAN 3 untagged angeschlossen.
Um den Traffic von VLAN 3 zu den Kameras zu leiten, müssen Sie die RED 60 in den Hybrid-Modus umstellen. In diesem Modus können Sie ein VLAN als untagged übertragen.
Die Auswahl der Subnetze bereitet mir Unbehagen.
als WAN-Interface konfigurieren.
Sorry, aber das ist doch ziemlicher Unsinn! Das neue VLAN 3 ist ja auch ein lokales LAN das kann doch dann aus logischer Sicht niemals ein WAN Interface sein. 🧐Das Grundprinzip von lokalen VLANs wird hier in einem VLAN Tutorial beschrieben das analog genau so auch für den TO und seinem o.a. Setup gilt!
Der Nebenstandort mit der RED FW hat dann 2 lokale LAN IP Segmente 172.16.2.0 /24 (VLAN1) und 172.16.3.0 /24 (VLAN3). Simples Standard Setup also.
Die ToDos des TO sind damit auch klar:
- VLAN 3 auf Switch und FW anlegen
- Trunkport definieren an Switch und FW mit VLAN1 untagged (PVID1) und VLAN3 tagged und die Komponenten über diesen Trunkport verbinden.
- Auf dem Switch die Kameraports dem VLAN3 untagged zuweisen
- Auf der Firewall die VLAN IP Interfaces entsprechend auf die VLANs mappen und ggf. DHCP Server dort für die VLAN Segmente aktivieren.
- Ein Firewall Regelwerk definieren für das neue VLAN3 IP Interface, da sonst die Firewall alles blockiert an dem Port (Default). Testweise kann das erstmal ein Scheunentor ala "PERMIT vlan3_netz nach any" sein um alles aus dem VLAN3 rauszulassen
Mit dieser entsprechenden Regel und korrekter IP Adressierung als auch DHCP an VLAN3 kann man testweise mal einen Test PC in einen untagged VLAN3 Port am Switch stecken. Dann sollte folgendes möglich sein:
- Test PC bekommt IP vom DHCP aus VLAN3
- Ping auf VLAN3 IP Interface 172.16.3.1 der Firewall klappt
- Ping auf VLAN1 IP Interface 172.16.2.1 der Firewall klappt
Die typischen Fehlerquellen bei sowas sind das die Trunk Ports nicht richtig eingestellt werden!
Auf einem Trunk ist das PVID VLAN (Default VLAN1) immer untagged und die anderen VLANs tagged. Beim TO also 1 untagged, 3 tagged.
Hier wird oft aus Unwissenheit fälschlicherweise das Default bzw. PVID VLAN einseitig getagged was dann zu den o.a. Folgen führt
Das Tagging muss natürlich beidseitig identisch sein sonst scheitert die Verbindung.
Grundlagen zum VLAN Tagging erklärt die VLAN Schnellschulung.
Das stimmt. Ich habe den Hinweis auf WAN gegeben, weil ich davon ausgegangen bin, dass der TO die RED 60 als Router zwischen dem Haupt- und Nebenstandort verwendet. In diesem Fall würde das VLAN-Interface auf der XG Firewall als WAN-Interface konfiguriert werden.
Ich habe mich geirrt, weil der TO in seiner Beschreibung nicht erwähnt hat, dass die RED 60 als Router verwendet wird. In diesem Fall ist der Hinweis auf WAN nicht relevant.
Die Lösung des Problems ist, wie von mir oben und aqui vorgeschlagen, die RED 60 in den Hybrid-Modus umzustellen und den VLAN-Port auf der RED 60 als untagged für VLAN 3 zu konfigurieren.
Ich habe mich geirrt, weil der TO in seiner Beschreibung nicht erwähnt hat, dass die RED 60 als Router verwendet wird. In diesem Fall ist der Hinweis auf WAN nicht relevant.
Die Lösung des Problems ist, wie von mir oben und aqui vorgeschlagen, die RED 60 in den Hybrid-Modus umzustellen und den VLAN-Port auf der RED 60 als untagged für VLAN 3 zu konfigurieren.