2
VLANs mit Aruba Layer3 Switch und IPFire und LTE Router
Hallo an alle Spezialisten,
ich würde eure Hilfe benötigen, bin neu im Forum und möchte hiermit alle begrüßen.
Vorab ich bin ARUBA-5406R Layer 3 Neuling und habe einen Netzwerkplan mit meiner Konfiguration hochgeladen (mit Beispiel IPs).
Es gibt auf Switch Seite vier InterVLANs mit dazugehörigen Gateways - VLAN 10 & 40 sollen/dürfen ins Internet über Port B1.
VLAN10: 10.10.77.0/24 GW: 10.10.77.1 (Ports A1-A6)
VLAN20: 10.20.77.0/24 GW: 10.20.77.1 (Ports A7-A12)
VLAN30: 10.30.77.0/24 GW: 10.30.77.1 (Ports A13-A18)
VLAN40: 10.40.77.0/24 GW: 10.40.77.1 (Ports (A19-A24)
Mit mehreren AccessLists zB:
#VLAN10 darf nicht mit VLAN40 kommunizieren, aber mit allen weiteren Netzen (VLANs und Internet)
ip access-list extended "ACL-10"
10 deny ip 10.10.77.0 0.0.0.255 10.40.77.0 0.0.0.255
40 permit ip 10.10.77.0 0.0.0.255 0.0.0.0 255.255.255.255
exit
LAN seitig habe ich mit div. PINGs die AccessLists getestet und soweit funktioniert alles - komme aber über die IPFire-Firewall und LTE Router nicht ins Internet.
Zwecks Fehlereingrenzung habe ich die IPFire durch eine FritzBox LTE ersetzt und in der FritzBox für VLAN10 u 40 statische Routen gesetzt (10.10.77.0 255.255.255.0 10.100.100.254 und 10.40.77.0 255.255.255.0 10.100.100.254), danach funktioniert alles bestens.
Mit den statischen Routen können VLAN 10 u 40 ins Internet, so weit so gut.
Mein Problem dürfte die IPFire sein - die statischen Routen wie in der FritzBox funktionieren nicht wie gewünscht.
Zur Zeit habe ich in der IPFire keine Firewall Rules und statische Routen konfiguriert, da leider nichts erfolgreich war!
Ich habe ziemlich sicher einen Denk/Konfig Fehler seitens IPFire - da ja die IPFire natet und mein LTE Router-ZTE 3HuiTube ebenfalls natet (Quasi Router hinter Router).
Leider kann ich die LTE-FritzBox nicht dauerhaft verwenden und meine Hardware Aufbau wäre:
LTE Router-ZTE 3HuiTube ----> IPFire ----> ARUBA Switch 5406R (Layer 3) ----> div. Clients/Drucker/NAS
Ich bin dankbar für Tipps und Unterstützung eurerseits
Grüße Arubanewbie
ich würde eure Hilfe benötigen, bin neu im Forum und möchte hiermit alle begrüßen.
Vorab ich bin ARUBA-5406R Layer 3 Neuling und habe einen Netzwerkplan mit meiner Konfiguration hochgeladen (mit Beispiel IPs).
Es gibt auf Switch Seite vier InterVLANs mit dazugehörigen Gateways - VLAN 10 & 40 sollen/dürfen ins Internet über Port B1.
VLAN10: 10.10.77.0/24 GW: 10.10.77.1 (Ports A1-A6)
VLAN20: 10.20.77.0/24 GW: 10.20.77.1 (Ports A7-A12)
VLAN30: 10.30.77.0/24 GW: 10.30.77.1 (Ports A13-A18)
VLAN40: 10.40.77.0/24 GW: 10.40.77.1 (Ports (A19-A24)
Mit mehreren AccessLists zB:
#VLAN10 darf nicht mit VLAN40 kommunizieren, aber mit allen weiteren Netzen (VLANs und Internet)
ip access-list extended "ACL-10"
10 deny ip 10.10.77.0 0.0.0.255 10.40.77.0 0.0.0.255
40 permit ip 10.10.77.0 0.0.0.255 0.0.0.0 255.255.255.255
exit
LAN seitig habe ich mit div. PINGs die AccessLists getestet und soweit funktioniert alles - komme aber über die IPFire-Firewall und LTE Router nicht ins Internet.
Zwecks Fehlereingrenzung habe ich die IPFire durch eine FritzBox LTE ersetzt und in der FritzBox für VLAN10 u 40 statische Routen gesetzt (10.10.77.0 255.255.255.0 10.100.100.254 und 10.40.77.0 255.255.255.0 10.100.100.254), danach funktioniert alles bestens.
Mit den statischen Routen können VLAN 10 u 40 ins Internet, so weit so gut.
Mein Problem dürfte die IPFire sein - die statischen Routen wie in der FritzBox funktionieren nicht wie gewünscht.
Zur Zeit habe ich in der IPFire keine Firewall Rules und statische Routen konfiguriert, da leider nichts erfolgreich war!
Ich habe ziemlich sicher einen Denk/Konfig Fehler seitens IPFire - da ja die IPFire natet und mein LTE Router-ZTE 3HuiTube ebenfalls natet (Quasi Router hinter Router).
Leider kann ich die LTE-FritzBox nicht dauerhaft verwenden und meine Hardware Aufbau wäre:
LTE Router-ZTE 3HuiTube ----> IPFire ----> ARUBA Switch 5406R (Layer 3) ----> div. Clients/Drucker/NAS
Ich bin dankbar für Tipps und Unterstützung eurerseits
Grüße Arubanewbie
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670398
Url: https://administrator.de/forum/vlans-mit-aruba-layer3-switch-und-ipfire-und-lte-router-670398.html
Ausgedruckt am: 29.12.2024 um 13:12 Uhr
2 Kommentare
Neuester Kommentar
Moin,
Folgende Fehlereingrenzung:
Was gibt ein
Wenn du keine Rückinfo (tracert) von der IP-Fire bekommst, prüfe das dortige Routing als auch die FW-Einträge…
Mein Problem dürfte die IPFire sein
Klingt im ersten Moment für mich auch danach.Folgende Fehlereingrenzung:
Was gibt ein
tracert 9.9.9.9? Kommen da Pakete von der IPFire zurück? Falls ja: NAT für alle VLANs richtig gesetzt? Kenne das von der SG/XGS bei Sophos: fehlt das NAT, kommt man logischerweise auch nicht ins Internet (bzw. Keine Pakete zurück). Daher wäre es klug, wenn du eine NAT-Regel für das Netz 10.0.0.0/8 baust. Dann greift das für alle (zukünftigen) Netze innerhalb von 10.0.0.0/8.Wenn du keine Rückinfo (tracert) von der IP-Fire bekommst, prüfe das dortige Routing als auch die FW-Einträge…
Mit den statischen Routen können VLAN 10 u 40 ins Internet, so weit so gut.
Das hast Du gut eingegrenzt und in Verbindung mit Deiner Zeichnung sagt das alles 
Stell Dir ein Datenpaket als Fußgänger vor, der den Weg nicht weiß. An jeder Kreuzung (Router) braucht er einen Wegweiser (Routing), der ihm den Weg zum Ziel oder wenigstens zum nächsten notwendigen Zwischenziel (NAT-Umschreibung) zeigt.
Schaust Du dann nochmal Dein Bild an, siehst Du, dass die "Kreuzungen" LTE-Router und IPFire keine passenden Wegweiser besitzen.
Selbst, wenn Du auf der IPFire ein statisches Routing zum letzten "Wegweiser" (Zielnetz-Router) für 10.100.100.254 einträgst, passiert deshalb nichts, weil Dein Paket, kommend aus dem Internet, bereits an der ersten Kreuzung (LTE-Router) ahnungslos stecken bleibt, denn dort fehlt bislang der Wegweiser zur nächsten NAT-Kreuzung (IPFire). Du brauchst also - neben dem Routing auf der IPFire zum L3-Switch - auf dem LTE-Router ein statisches Routing für 10.10.77.0 255.255.255.0 10.100.100.254 und 10.40.77.0 255.255.255.0 auf diese, also auf 192.168.0.254.
Ich persönlich finde es praktikabler und übersichtlicher, mit einem einzelnen vernünftig angebundenen Router ("on a stick") zu arbeiten. Der Leistungsvorteil des L3-Routings auf dem Switch wird mit komplexerer Konfiguration, eingeschränktem und/oder unübersichtlicherem Firewalling und solchen Routing-Problemen erkauft und wird in normalen kleinen Umgebungen kaum spürbar sein.
Viele Grüße, commodity
