newit1
Goto Top

VLAN via SD-RED 60

Hallo zusammen,

ich habe mich schon viel eingelesen, aber leider hat alles nicht zum gewünschten Erfolg geführt.


Hauptstandort: Sophos XG Firewall (172.16.1.0/24)
Nebenstandort: SD-RED 60 (172.16.2.0/24)


Bisher waren am Nebenstandort keine VLAN's vorhanden. Alles war im Default VLAN 1.

Nun soll hier ein weiteres VLAN für Kameras entstehen.
Vom Hauptstandort aus, soll bei Bedarf auf die Kameras in diesem VLAN zugegriffen werden.
Die Kameras sind dort am POE Switch in VLAN 3 (untagged) angeschlossen.

Auf diesem Switch ist Port1 als Trunk konfiguriert: -> VLAN 1U , 3T
Von diesem Port aus geht ein Netzwerkkabel auf LAN1 der RED 60.
Diese habe ich auf ihrem LAN1 ebenfalls als TRUNK konfiguriert und als VLAN die ID "3" eingetragen.

Auf der XG Firewall habe ich dann ein neues VLAN-Interface angelegt. (172.16.3.1/24, VLAN-ID 3)

Danach geht kein Traffic mehr durch. Auch nicht der Traffic von VLAN1.

Wo ist mein Denkfehler?

Danke für Hinweise.

Content-Key: 71426031562

Url: https://administrator.de/contentid/71426031562

Printed on: September 21, 2023 at 19:09 o'clock

Member: Cleanairs
Cleanairs Sep 15, 2023 updated at 13:31:52 (UTC)
Goto Top
Kann der Fehler sein, dass du das VLAN-Interface auf der XG Firewall nicht als "WAN" konfiguriert hast.

Wenn du die RED 60 als Router zwischen dem Haupt- und Nebenstandort nutzt, musst du das VLAN-Interface auf der XG Firewall als WAN-Interface konfigurieren. Das VLAN-Interface wird dann als Route für das VLAN 3 in der Routing-Tabelle der XG Firewall eingetragen.

Oder aber dass die RED 60 im VLAN-Modus betrieben wird. In diesem Modus werden alle VLANs als tagged übertragen. Die Kameras sind jedoch in VLAN 3 untagged angeschlossen.

Um den Traffic von VLAN 3 zu den Kameras zu leiten, müssen Sie die RED 60 in den Hybrid-Modus umstellen. In diesem Modus können Sie ein VLAN als untagged übertragen.
Member: 400GBit
400GBit Sep 16, 2023 at 05:35:46 (UTC)
Goto Top
Die Auswahl der Subnetze bereitet mir Unbehagen.
Member: aqui
aqui Sep 16, 2023 updated at 06:26:45 (UTC)
Goto Top
als WAN-Interface konfigurieren.
Sorry, aber das ist doch ziemlicher Unsinn! Das neue VLAN 3 ist ja auch ein lokales LAN das kann doch dann aus logischer Sicht niemals ein WAN Interface sein. ­čžÉ
Das Grundprinzip von lokalen VLANs wird hier in einem VLAN Tutorial beschrieben das analog genau so auch für den TO und seinem o.a. Setup gilt!

Der Nebenstandort mit der RED FW hat dann 2 lokale LAN IP Segmente 172.16.2.0 /24 (VLAN1) und 172.16.3.0 /24 (VLAN3). Simples Standard Setup also.
Die ToDos des TO sind damit auch klar:
  • VLAN 3 auf Switch und FW anlegen
  • Trunkport definieren an Switch und FW mit VLAN1 untagged (PVID1) und VLAN3 tagged und die Komponenten über diesen Trunkport verbinden.
  • Auf dem Switch die Kameraports dem VLAN3 untagged zuweisen
  • Auf der Firewall die VLAN IP Interfaces entsprechend auf die VLANs mappen und ggf. DHCP Server dort für die VLAN Segmente aktivieren.
  • Ein Firewall Regelwerk definieren für das neue VLAN3 IP Interface, da sonst die Firewall alles blockiert an dem Port (Default). Testweise kann das erstmal ein Scheunentor ala "PERMIT vlan3_netz nach any" sein um alles aus dem VLAN3 rauszulassen
Prinzipiell hat er oben also alles richtig gemacht.

Mit dieser entsprechenden Regel und korrekter IP Adressierung als auch DHCP an VLAN3 kann man testweise mal einen Test PC in einen untagged VLAN3 Port am Switch stecken. Dann sollte folgendes möglich sein:
  • Test PC bekommt IP vom DHCP aus VLAN3
  • Ping auf VLAN3 IP Interface 172.16.3.1 der Firewall klappt
  • Ping auf VLAN1 IP Interface 172.16.2.1 der Firewall klappt
Für letzteren Ping muss hier natürlich am FW VLAN1 Interface das Regelwerk entsprechend passen das Traffic ins VLAN3 erlaubt ist!!

Die typischen Fehlerquellen bei sowas sind das die Trunk Ports nicht richtig eingestellt werden!
Auf einem Trunk ist das PVID VLAN (Default VLAN1) immer untagged und die anderen VLANs tagged. Beim TO also 1 untagged, 3 tagged.
Hier wird oft aus Unwissenheit fälschlicherweise das Default bzw. PVID VLAN einseitig getagged was dann zu den o.a. Folgen führt
Das Tagging muss natürlich beidseitig identisch sein sonst scheitert die Verbindung.
Grundlagen zum VLAN Tagging erklärt die VLAN Schnellschulung.
Member: Cleanairs
Cleanairs Sep 16, 2023 updated at 10:22:38 (UTC)
Goto Top
Das stimmt. Ich habe den Hinweis auf WAN gegeben, weil ich davon ausgegangen bin, dass der TO die RED 60 als Router zwischen dem Haupt- und Nebenstandort verwendet. In diesem Fall würde das VLAN-Interface auf der XG Firewall als WAN-Interface konfiguriert werden.

Ich habe mich geirrt, weil der TO in seiner Beschreibung nicht erwähnt hat, dass die RED 60 als Router verwendet wird. In diesem Fall ist der Hinweis auf WAN nicht relevant.

Die Lösung des Problems ist, wie von mir oben und aqui vorgeschlagen, die RED 60 in den Hybrid-Modus umzustellen und den VLAN-Port auf der RED 60 als untagged für VLAN 3 zu konfigurieren.