slaxxx
Goto Top

VMWare VLANs Kommunkationsproblem

Hallo liebe Schwarmintelligenz,
ich beschäftige mich aktuell mit dem Aufbau eines Netzwerkes, keine Produktivumgebung aber vielleicht wird es eine.

Ich muss dazu sagen, ich komme nicht aus der IT aber habe große Interesse daran, allerdings ist das einige Jahrzehnte her, dass ich damit tiefe Berührungspunkte hatte.

Als kurze Info, weil sonst alle schreien werden - Dienstleister holen, es kostet kein Geld das ich mich damit "Monate" beschäftigen kann in meiner Freizeit, da meine Familie eine bereits funktionierende IT Struktur laufen hat. Es hat sich nur ergeben, dass wir aus einer Übernahme "Hardware" mitgekauft haben und meine Idee war, dass wir es ein wenig anders gestalten können da das Gebäude Privat und 2 Geschäfte enthält.

Zu meinem Thema:

Ich habe einen Server bekommen, eine Firewall und einige Switches. Des Weiteren eine VMWare 8 Lizenz. Damit wollte ich jetzt eine kleine Umgebung bauen und die Geschäfte und Privat separieren.

Firewall: Fortigate 100F
Server: Dell PowerEdge 740
Switch: FS 3900
Switch: FS 5800

Firewall habe ich eingerichtet:

2 SFP+ Ports als LACP zusammengeführt.
VLAN 10,20 unter dem LACP als Interface erstellt.
IP: 10.10.10.251

Verbunden ist das ganze auf den FS 5800, natürlich ebenfalls LACP Trunkport.
VLAN 1,10,20 sind ebenfalls auf dem Switch erstellt.

Von da aus geht es ebenfalls per SFP+ auf den FS 3900. Es endet wieder in einem Trunkport Port 25.
Port 1 und Port 2 sind Access Ports im VLAN10 mit der PVID 10 untagged.

An Port 1 und Port 2 hängt je ein Endgerät 10.10.10.23 und 10.10.10.53.

Der Server, auf dem ESXi betrieben wird, ist ebenfalls per Fiber via Link Aggression an den FS 5800 angebunden.
Da ich keine Lizenz für einen dVS habe, betreibe ich einfach NIC Teaming.

Konfiguration vom ESXi sieht wie folgt aus.

Nur das Management Networt ist eingerichtet, auf VLAN10 und mit den 2 Uplinks verbunden. IP ist 10.10.10.1 Gateway: 10.10.10.251.

Folgenden Fehler habe ich nun:

Ich kann von PC1, PC2 und das Gateway (Firewall) pingen, ebenfalls in beide Richtungen. Von PC2 auch.
Des Weiteren kann ich von PC1 und PC2 die Weboberfläche von dem ESXi aufrufen.
Ich kann aber nicht die Remote Konsole VMRC benutzen, da sie keine Verbindung zum Guest herstellen kann. Ebenso kann ich den ESXi Server nicht pingen. Es sieht aus als wenn die Verbindungen geblockt werden.

Vom ESXi Server kann ich nur das Gateway pingen. PC1 und PC2 sind nicht erreichbar.

Ich habe zuerst gedacht das die Firewall die Verbindung blockt, was der Grund war warum ich PC2 angeschlossen habe, aber dort funktioniert die Kommunikation untereinander. Leider bin ich etwas ratlos, vielleicht habt ihr eine Idee.

Hier noch einige Bilder:

Umgebung:
umgebung

Fortigate:
forti2
forti1

FS 5800:
core3
core1
core2

FS 3900:
accessswitch2
accessswitch1

ESXi:
esxi1
esxi2


Ich danke Euch face-smile.

Content-Key: 8180414113

Url: https://administrator.de/contentid/8180414113

Printed on: March 1, 2024 at 01:03 o'clock

Member: aqui
aqui Aug 17, 2023 updated at 17:05:19 (UTC)
Goto Top
Vielleicht hilft das etwas zum Verständnis:
VLAN mit Cisco SG220, ESXIund Pfsense
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
Wenn du tagged Traffic innerhalb des vSwitches durchreichen willst geht das nur über das reservierte ESXi VLAN 4095
Member: Slaxxx
Slaxxx Aug 17, 2023 updated at 20:02:50 (UTC)
Goto Top
Guten Abend,
dass war einer der Artikel, mit denen ich in der letzten Woche angefangen habe, mich mit dem Thema zu beschäftigen.

Leider ist das nicht die Antwort, da es sich dabei nicht um das weiterreichen des Vlan Tags an ein Guest System handelt.

Oder muss ich das auch für die Portgruppe im Management Network machen ­čĄö

Macht eigentlich keinen Sinn da ich explizit nur vlan10 anspreche.

Aktuell geht es mir nur darum das Management Network im Vlan10 zu betreiben. Es kommt ja etwas durch, da ich den WebClient öffnen kann jedoch kann ich den Server nicht pingen und die Remote Console auf Port 443 kann auch keine Verbindung aufbauen.

Die Webrowser Remote funktioniert interessanterweise aber alles außerhalb des Browsers nicht, deswegen ist meine Vermutung Firewall. Die These wird aber zerstört da PC1 mit PC2 kommunizieren kann, imcp usw.

Danke aber für deinen Input.
Member: clSchak
clSchak Aug 17, 2023 at 20:10:14 (UTC)
Goto Top
Hast du die Ports für RMC freigeschaltet? Das sieht da nicht nach aus

https://docs.vmware.com/de/VMware-vSphere/7.0/com.vmware.vsphere.securit ...
Member: em-pie
em-pie Aug 17, 2023 at 20:26:06 (UTC)
Goto Top
Moin,

Hab vor der 8er Version noch nicht gesessen, aber mir scheint in dem einen Screenshot eine falsche IP zu stehen.


Die .251 ist doch dein Router/ deine Firewall….
Member: Slaxxx
Slaxxx Aug 18, 2023 at 05:47:57 (UTC)
Goto Top
Zitat von @clSchak:

Hast du die Ports für RMC freigeschaltet? Das sieht da nicht nach aus

https://docs.vmware.com/de/VMware-vSphere/7.0/com.vmware.vsphere.securit ...

Hallo vielen Dank für deinen Beitrag, daher habe ich bereits die Informationen gezogen und wusste das der Port 443 blockiert wird.

Auf der Firewall Fortigate besteht eine IPv4 Policy die besagt, dass innerhalb des VLANs alle Services uneingeschränkt benutzt werden dürfen.


Zitat von @em-pie:

Moin,

Hab vor der 8er Version noch nicht gesessen, aber mir scheint in dem einen Screenshot eine falsche IP zu stehen.


Die .251 ist doch dein Router/ deine Firewall….

Auch dir vielen Dank für deinen Beitrag, ich glaube da herrschte etwas Verwirrung weil die Bilder wild angehangen waren, ich habe Sie der Übersicht wegen nochmals an die richtige Stelle kopiert. Die IPs sollten eigentlich richtig konfiguriert sein, ansonsten kannst du mir gerne sagen auf welchen Bild du den Fehler entdeckt hast.

Ich werde jetzt einen weiteren Test machen, ein weiteres VLAN einrichten und schauen ob PC1 und PC2 auch über das VLAN hinaus kommunizieren können, so muss die Verbindung definitiv zum Router.
Member: Slaxxx
Slaxxx Aug 18, 2023 at 07:48:51 (UTC)
Goto Top
Hallo kleiner Nachtrag:

Die VLANs und die Regeln in der Firewall funktionieren.

Ich habe nun den Fehler gefunden, weiß allerdings nicht wie ich den beheben kann.
Es liegt am NIC Teaming. Habe ich beide Uplinks aktiv und im Switch als Link Aggression eingerichtet, kann ich den Server weder pingen, noch beachtet er irgendwelche Firewall Regeln. Entferne ich die Link Aggression im Switch aber lasse das NIC Teamin an, funktioniert ebenfalls kein Ping und die Remote Console.

Ziehe ich einen Uplink raus, mit Nic Teaming und Link Aggression am Switch und ohne diese Optionen, funktioniert alles wie gewollt.

Jetzt ist die Frage, wie kann ich dieses Feature nutzen, ich kann kein richtiges LACP machen weil mir scheinbar die Lizenz für dVS fehlt.

Hat jemand eine Idee ?
Member: aqui
aqui Aug 18, 2023 updated at 08:01:43 (UTC)
Goto Top
Aktuell geht es mir nur darum das Management Network im Vlan10 zu betreiben.
Das ist ja kein Problem. Das Management liegt ja normalerweise untagged an an der Hypervisor NIC. Wenn du an dem Switch, an dem dieser NIC Port jetzt angeschlossen ist, die PVID VLAN (native VLAN) jetzt auf die ID 10 setzt, hast du doch genau das was du willst.
Thema Teaming. Normal macht ESXi ein eigenes Teaming und verteilt die VMs über einen Mac Adress Filter. Hier darfst (und solltest) du keinerlei LACP LAG auf dem Switch definieren! Es reicht wenn du die ESXi NICs einfach auf den Switch ohne LAG Konfig aufsteckst. ESXi hat, wie bereits gesagt, eine eigene Loop Prevention durch Mac Filtering.
Member: Slaxxx
Slaxxx Aug 18, 2023 at 08:37:19 (UTC)
Goto Top
Hallo,
hat funktioniert, danke dir sehr.

Mir war nicht klar, dass NIC Teaming kein LAG ist.
Ich bekomme richtig Bock auf das ganze, ich glaube ich schule doch noch einmal um face-smile.

LÖSUNG:

Wenn NIC Teaming eingerichtet ist darf die Gegenstelle kein LAG/ LACP für diese Ports aktiviert haben. Die Ports sind in meinem Fall einzeln zu betrachten und als Trunk Ports konfiguriert.