networkersvenny
Goto Top

Wake on Lan funktioniert nicht durch VLANs

Hi Leute,
Ich versuche derzeit Wake on Lan in unserem Betrieb zu etablieren. Bios Einstellung sind an Rechnern durch ACMP geändert worden, jedoch ist es uns nicht möglich über unseren Layer 3 Switch magic packets in andere VLAN zu verschicken. IP directed broadcast ist ebenso auf dem Layer 3 Switch konfiguriert, was fehlt noch?

Content-ID: 587021

Url: https://administrator.de/contentid/587021

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

em-pie
em-pie 11.07.2020 um 14:03:21 Uhr
Goto Top
Moin,

... was fehlt noch?
die Info, welcher Switch zum Einsatz kommt und mit welchem Befehl du den IP directed broadcast gesetzt hast

Gruß
em-pie
Networkersvenny
Networkersvenny 11.07.2020 um 14:09:16 Uhr
Goto Top
Der Switch ist aus der HP Aruba Serie 5400R.
Hab einfach IP directed broadcast im Configuration mode eingegeben, jedoch wird das Paket nicht an das gewollte VLAN weitergereicht.
Muss ich vielleicht an den VLANs noch was einstellen?
LordGurke
LordGurke 11.07.2020 aktualisiert um 15:02:12 Uhr
Goto Top
WoL ist standardmäßig ein reines Ethernet-Paket auf Layer 2, welches entweder als Broadcast oder (in modernerer Variante) direkt als Unicast an die aufzuweckende MAC-Adresse adressiert wird. Letzteres funktioniert in geswitcheten Umgebungen normalerweise auch, da ein Switch Pakete an ihm unbekannte MAC-Adressen per Broadcast an alle Ports der selben Broadcast-Domain verschickt.

Da durch die VLANs eine Trennung des Layer 2 erfolgt, kann dein Paket das VLAN nicht verlassen und dadurch nicht am avisierten Ziel ankommen - aber da es auch nicht IP ist, kann es auch nicht geroutet werden. Selbst wenn die Pakete per Broadcast geschickt würden, würde dein "directed-broadcast" übrigens auch nicht helfen, da dieser, wie der Name schon sagt, nur "ip"-Broadcasts verarbeitet.
Das Gerät, was die WoL-Pakete verschickt, muss sich also in allen VLANs befinden in denen es Geräte aufwecken soll.

Das bezieht sich auf Standard-Magic-Packets. Es gibt jedoch auch proprietäre Lösungen, die z.B. auf UDP basieren und damit theoretisch geroutet werden könnten. Welche Variante du da hast, kannst du am einfachsten mit Wireshark / tcpdump herausfinden.
em-pie
em-pie 11.07.2020 aktualisiert um 15:10:21 Uhr
Goto Top
Moin,

dann ist das einfach.
Angenommen, du willst das WoL-Packet aus dem VLAN 55 (10.20.55.0/24) in das VLAN 11 (10.20.11.0/ 24) senden, dann musst du im VLAN 55 folgendes via CLI eintippen:
conf t
VLAN 55
ip forward-protocol udp 10.20.11.255 9

Die 9 ist der Port der verwendet werden soll.

Das läuft hier auf einem ProCurve 5406 fehlerfrei.

@LordGurke
Da durch die VLANs eine Trennung des Layer 2 erfolgt, kann dein Paket das VLAN nicht verlassen und dadurch nicht am avisierten Ziel ankommen - aber da es auch nicht IP ist, kann es auch nicht geroutet werden. Selbst wenn die Pakete per Broadcast geschickt würden, würde dein "directed-broadcast" übrigens auch nicht helfen, da dieser, wie der Name schon sagt, nur "ip"-Broadcasts verarbeitet.
Das Gerät, was die WoL-Pakete verschickt, muss sich also in allen VLANs befinden in denen es Geräte aufwecken soll.
Theoretisch ja, aber alle mir bekannten namhaften Hersteller (selbst HP face-smile) können das trotzdem, dann mit dem von dir angesprochenen "Workaround", s.o.
chgorges
Lösung chgorges 11.07.2020 aktualisiert um 15:11:52 Uhr
Goto Top
Zitat von @Networkersvenny:

Hi Leute,
Hi,
IP directed broadcast ist ebenso auf dem Layer 3 Switch konfiguriert, was fehlt noch?
Das will ich für dich nicht hoffen, IP directed broadcast ist seit seeehr langer Zeit aus gutem Grund per Default netzwerkseitig deaktiviert und hat auch genau so lange nichts mehr mit Wake On Lan zu tun.

Das, was du suchst und brauchst, ist der stinknormale UDP Relay.

Das Konfigschnipsel auf den 5400er sieht so aus:

1) UDP Relay global aktivieren
(config)# ip udp-bcast-forward

2) UDP Relay für Subnetze aktivieren:
2.1) VLAN auswählen, aus dem das WOL herkommt
2.2)
   conf t
   vlan 20
   ip forward-protocol udp 10.1.1.255 7
   ip forward-protocol udp 10.1.1.255 9
   ip forward-protocol udp 10.2.255.255 7
   ip forward-protocol udp 10.2.255.255 9


In dem Beispiel kommt der WoL-Befehl aus VLAN 20 heraus und wird auf die Subnetze 10.1.1.0/24 (VLAN 21) und 10.2.0.0/16 (VLAN 22) mit jeweils UDP Port 7 und 9 verteilt.

@em-pie
Tippfehler ;)
Networkersvenny
Networkersvenny 11.07.2020 um 15:12:29 Uhr
Goto Top
Danke für eure Antworten,
Ich gebe den WoL Server per IP-Helper in den VLANs an, somit spielt er in allen VLANs mit und so kann ich magic packets weiterleiten.
Dann müsste es ja eigentlich klappen.
chgorges
chgorges 11.07.2020 aktualisiert um 15:14:28 Uhr
Goto Top
Zitat von @Networkersvenny:

Danke für eure Antworten,
Ich gebe den WoL Server per IP-Helper in den VLANs an, somit spielt er in allen VLANs mit und so kann ich magic packets weiterleiten

Nein, dann hast du die Techniken hinter den Befehlen nicht verstanden. Der IP Helper macht was ganz anderes und hat mit WoL genau Null zu tun.
Networkersvenny
Networkersvenny 11.07.2020 um 15:15:03 Uhr
Goto Top
deinen Kommentar habe ich jetzt erst gelesen! Danke dir! Ich probiere das eben aus und gebe Rückmeldung!
em-pie
em-pie 11.07.2020 aktualisiert um 15:17:47 Uhr
Goto Top
Zitat von @chgorges:
@em-pie
Tippfehler ;)

Du meinst die IP? Das hatte ich auch bemerkt. Aber danke fürs Hinweisen face-smile


@Networkersvenny
Den IP-Helper benötigst du ja im wesentlichen nur, um DHCP Anfragen VLAN-übergreifend weiter zu reichen, sodass der HP als DHCP-Relay fungiert. Mit WoL hat das nichts zu tun.

Edit: Typo
Networkersvenny
Networkersvenny 11.07.2020 um 15:21:00 Uhr
Goto Top
Super danke dir! War tatsächlich genau das - der IP Helper hat nichts gebracht. Hab das so eingetippt und es hat geklappt. Danke nochmal für eure Hilfe !
aqui
aqui 11.07.2020, aktualisiert am 12.07.2020 um 11:21:31 Uhr
Goto Top
Das liegt daran das der Helper nur UDP 67 und UDP 68 Pakete forwardet. WoL Magic Pakets auf IP Basis nutzen aber UDP 9 (Discard) in der Regel:
https://www.heise.de/ct/artikel/Wake-on-WAN-221718.html
Das muss man dann natürlich in die Port Auswahl der UDP Helper/Relay Funktion inkludieren damit der Switch es auch forwarden kann.
Bei Cisco Switches macht das z.B. das Kommando ip forward-protocol xyz.
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipapp/command/iap-cr-b ...
Damit klappts dann mit UDP 9 fehlerlos auch über VLAN Grenzen. Weiss man aber auch als Netzwerker... face-wink
Wie das Kommando bei deinen Aruba Gurken lautet musst du im Handbuch nachlesen bzw. hat Kollege @chgorges ja oben schon erklärt.
Die HP Billiggurken haben mal wieder bei Cisco abgeschaut ! face-wink
pizza-lover
pizza-lover 25.08.2023 um 14:29:12 Uhr
Goto Top
Servus Leute,

ich bin mal so frei und schließe mich an dieses Thema mal an.

Zunächst einmal, danke für eure Beiträge. Diese haben mir bis zu einem gewissen Punkt wirklich helfen können.


Problem Beschreibung:

Ich kann aus unserem IT-VLAN alle Rechner aufwecken, so wie es sein sollte.
Jedoch mit dem Problem, dass der Rechner dafür an einem statisch konfiguriertem Port stecken muss(VLAN-1)
Wenn der Rechner sich am radius-server nicht authentifizieren konnte, wird er in VLAN-1 landen.
Wenn der Rechner aus ist, sollte er sich ebenfalls in VLAN-1 befinden, so die Vermutung.
(Etagenswitche HPE 2530)
Was habe ich bis jetzt gemacht?:

Auf dem Core-switch(HPE 5412zl) ist ein ip forward
ip forward-protocol udp (ip-gateway von vlan 1) 7 (eigentlich unnötig)
ip forward-protocol udp (ip-gateway von vlan 1) 9

Konfig des Switches an dem der Rechner steckt(port 7):

aaa authentication port-access chap-radius
aaa port-access authenticator active
aaa port-access mac-based 7-8

Warum geht WOL lediglich dann, wenn ich den Port statisch auf vlan-1 setze?

Danke im voraus für Rückmeldungen.

VG
aqui
aqui 25.08.2023, aktualisiert am 28.08.2023 um 10:13:26 Uhr
Goto Top
so die Vermutung.
Eine ziemlich falsche Vermutung:
  • Nicht authentisierte Ports sind generell im (inbound) Blocking Mode und lassen keinen Traffic durch, egal welches VLAN
  • Fehlerhafte Authentisierungen landen nur in einem VLAN wenn du ein sog. Authentication Fail VLAN im Switch Setup definiert hast. Bei Endgeräten ohne 802.1x Client kann man ein sog. Guest VLAN definieren. Letzteres gilt natürlich nur bei 802.1x Authentisierung. Beide Funktionen müssen aber durch die Switch Firmware supportet sein. Ist das nicht der Fall bleibt der Port im (inbound) Blocking Mode.
Weitere Infos findest du im Radius Tutorial in den Weiterführenden Links!
Warum geht WOL lediglich dann, wenn ich den Port statisch auf vlan-1 setze?
Die HP Gruselgurken brauchen dafür vermutlich ein Auth Fail VLAN ?! Mit Cisco, Ruckus usw. funktioniert das out of the box...
ip forward-protocol udp (ip-gateway von vlan 1) 7 (eigentlich unnötig)
Richtig, das ist zumindestens im gleichen VLAN völlig unnötig.
Man benötigt es nur beim Routing. Da WoL in der Regel UDP 9 (Discard) verwendet kann man in einem gerouteten, lokalen Umfeld die WoL Pakete mit einem UDP Helper in andere IP Segmente übertragen.
Das geht aber nur wenn der Sender WoL Pakte mit einem IP Header versendet (Wireshark!). Mit nativen Mac basierten WoL ist ein Routing diese Pakete natürlich technisch unmöglich!! Kollege @LordGurke hat es oben ja schon gesagt!
pizza-lover
pizza-lover 28.08.2023 um 09:23:50 Uhr
Goto Top
Ich teste das später gleich mal.

Danke dir auf jeden Fall schon mal. Ich melde mich nochmal was dabei rausgekommen ist.

VG