Wake on Lan funktioniert nicht durch VLANs
Hi Leute,
Ich versuche derzeit Wake on Lan in unserem Betrieb zu etablieren. Bios Einstellung sind an Rechnern durch ACMP geändert worden, jedoch ist es uns nicht möglich über unseren Layer 3 Switch magic packets in andere VLAN zu verschicken. IP directed broadcast ist ebenso auf dem Layer 3 Switch konfiguriert, was fehlt noch?
Ich versuche derzeit Wake on Lan in unserem Betrieb zu etablieren. Bios Einstellung sind an Rechnern durch ACMP geändert worden, jedoch ist es uns nicht möglich über unseren Layer 3 Switch magic packets in andere VLAN zu verschicken. IP directed broadcast ist ebenso auf dem Layer 3 Switch konfiguriert, was fehlt noch?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 587021
Url: https://administrator.de/contentid/587021
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
14 Kommentare
Neuester Kommentar
WoL ist standardmäßig ein reines Ethernet-Paket auf Layer 2, welches entweder als Broadcast oder (in modernerer Variante) direkt als Unicast an die aufzuweckende MAC-Adresse adressiert wird. Letzteres funktioniert in geswitcheten Umgebungen normalerweise auch, da ein Switch Pakete an ihm unbekannte MAC-Adressen per Broadcast an alle Ports der selben Broadcast-Domain verschickt.
Da durch die VLANs eine Trennung des Layer 2 erfolgt, kann dein Paket das VLAN nicht verlassen und dadurch nicht am avisierten Ziel ankommen - aber da es auch nicht IP ist, kann es auch nicht geroutet werden. Selbst wenn die Pakete per Broadcast geschickt würden, würde dein "directed-broadcast" übrigens auch nicht helfen, da dieser, wie der Name schon sagt, nur "ip"-Broadcasts verarbeitet.
Das Gerät, was die WoL-Pakete verschickt, muss sich also in allen VLANs befinden in denen es Geräte aufwecken soll.
Das bezieht sich auf Standard-Magic-Packets. Es gibt jedoch auch proprietäre Lösungen, die z.B. auf UDP basieren und damit theoretisch geroutet werden könnten. Welche Variante du da hast, kannst du am einfachsten mit Wireshark / tcpdump herausfinden.
Da durch die VLANs eine Trennung des Layer 2 erfolgt, kann dein Paket das VLAN nicht verlassen und dadurch nicht am avisierten Ziel ankommen - aber da es auch nicht IP ist, kann es auch nicht geroutet werden. Selbst wenn die Pakete per Broadcast geschickt würden, würde dein "directed-broadcast" übrigens auch nicht helfen, da dieser, wie der Name schon sagt, nur "ip"-Broadcasts verarbeitet.
Das Gerät, was die WoL-Pakete verschickt, muss sich also in allen VLANs befinden in denen es Geräte aufwecken soll.
Das bezieht sich auf Standard-Magic-Packets. Es gibt jedoch auch proprietäre Lösungen, die z.B. auf UDP basieren und damit theoretisch geroutet werden könnten. Welche Variante du da hast, kannst du am einfachsten mit Wireshark / tcpdump herausfinden.
Moin,
dann ist das einfach.
Angenommen, du willst das WoL-Packet aus dem VLAN 55 (10.20.55.0/24) in das VLAN 11 (10.20.11.0/ 24) senden, dann musst du im VLAN 55 folgendes via CLI eintippen:
Die 9 ist der Port der verwendet werden soll.
Das läuft hier auf einem ProCurve 5406 fehlerfrei.
@LordGurke
dann ist das einfach.
Angenommen, du willst das WoL-Packet aus dem VLAN 55 (10.20.55.0/24) in das VLAN 11 (10.20.11.0/ 24) senden, dann musst du im VLAN 55 folgendes via CLI eintippen:
conf t
VLAN 55
ip forward-protocol udp 10.20.11.255 9
Die 9 ist der Port der verwendet werden soll.
Das läuft hier auf einem ProCurve 5406 fehlerfrei.
@LordGurke
Da durch die VLANs eine Trennung des Layer 2 erfolgt, kann dein Paket das VLAN nicht verlassen und dadurch nicht am avisierten Ziel ankommen - aber da es auch nicht IP ist, kann es auch nicht geroutet werden. Selbst wenn die Pakete per Broadcast geschickt würden, würde dein "directed-broadcast" übrigens auch nicht helfen, da dieser, wie der Name schon sagt, nur "ip"-Broadcasts verarbeitet.
Das Gerät, was die WoL-Pakete verschickt, muss sich also in allen VLANs befinden in denen es Geräte aufwecken soll.
Theoretisch ja, aber alle mir bekannten namhaften Hersteller (selbst HP ) können das trotzdem, dann mit dem von dir angesprochenen "Workaround", s.o.Das Gerät, was die WoL-Pakete verschickt, muss sich also in allen VLANs befinden in denen es Geräte aufwecken soll.
Hi,
Das, was du suchst und brauchst, ist der stinknormale UDP Relay.
Das Konfigschnipsel auf den 5400er sieht so aus:
1) UDP Relay global aktivieren
2) UDP Relay für Subnetze aktivieren:
2.1) VLAN auswählen, aus dem das WOL herkommt
2.2)
In dem Beispiel kommt der WoL-Befehl aus VLAN 20 heraus und wird auf die Subnetze 10.1.1.0/24 (VLAN 21) und 10.2.0.0/16 (VLAN 22) mit jeweils UDP Port 7 und 9 verteilt.
@em-pie
Tippfehler ;)
IP directed broadcast ist ebenso auf dem Layer 3 Switch konfiguriert, was fehlt noch?
Das will ich für dich nicht hoffen, IP directed broadcast ist seit seeehr langer Zeit aus gutem Grund per Default netzwerkseitig deaktiviert und hat auch genau so lange nichts mehr mit Wake On Lan zu tun.Das, was du suchst und brauchst, ist der stinknormale UDP Relay.
Das Konfigschnipsel auf den 5400er sieht so aus:
1) UDP Relay global aktivieren
(config)# ip udp-bcast-forward
2) UDP Relay für Subnetze aktivieren:
2.1) VLAN auswählen, aus dem das WOL herkommt
2.2)
conf t
vlan 20
ip forward-protocol udp 10.1.1.255 7
ip forward-protocol udp 10.1.1.255 9
ip forward-protocol udp 10.2.255.255 7
ip forward-protocol udp 10.2.255.255 9
In dem Beispiel kommt der WoL-Befehl aus VLAN 20 heraus und wird auf die Subnetze 10.1.1.0/24 (VLAN 21) und 10.2.0.0/16 (VLAN 22) mit jeweils UDP Port 7 und 9 verteilt.
@em-pie
Tippfehler ;)
Zitat von @Networkersvenny:
Danke für eure Antworten,
Ich gebe den WoL Server per IP-Helper in den VLANs an, somit spielt er in allen VLANs mit und so kann ich magic packets weiterleiten
Danke für eure Antworten,
Ich gebe den WoL Server per IP-Helper in den VLANs an, somit spielt er in allen VLANs mit und so kann ich magic packets weiterleiten
Nein, dann hast du die Techniken hinter den Befehlen nicht verstanden. Der IP Helper macht was ganz anderes und hat mit WoL genau Null zu tun.
Du meinst die IP? Das hatte ich auch bemerkt. Aber danke fürs Hinweisen
@Networkersvenny
Den IP-Helper benötigst du ja im wesentlichen nur, um DHCP Anfragen VLAN-übergreifend weiter zu reichen, sodass der HP als DHCP-Relay fungiert. Mit WoL hat das nichts zu tun.
Edit: Typo
Das liegt daran das der Helper nur UDP 67 und UDP 68 Pakete forwardet. WoL Magic Pakets auf IP Basis nutzen aber UDP 9 (Discard) in der Regel:
https://www.heise.de/ct/artikel/Wake-on-WAN-221718.html
Das muss man dann natürlich in die Port Auswahl der UDP Helper/Relay Funktion inkludieren damit der Switch es auch forwarden kann.
Bei Cisco Switches macht das z.B. das Kommando ip forward-protocol xyz.
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipapp/command/iap-cr-b ...
Damit klappts dann mit UDP 9 fehlerlos auch über VLAN Grenzen. Weiss man aber auch als Netzwerker...
Wie das Kommando bei deinen Aruba Gurken lautet musst du im Handbuch nachlesen bzw. hat Kollege @chgorges ja oben schon erklärt.
Die HP Billiggurken haben mal wieder bei Cisco abgeschaut !
https://www.heise.de/ct/artikel/Wake-on-WAN-221718.html
Das muss man dann natürlich in die Port Auswahl der UDP Helper/Relay Funktion inkludieren damit der Switch es auch forwarden kann.
Bei Cisco Switches macht das z.B. das Kommando ip forward-protocol xyz.
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipapp/command/iap-cr-b ...
Damit klappts dann mit UDP 9 fehlerlos auch über VLAN Grenzen. Weiss man aber auch als Netzwerker...
Wie das Kommando bei deinen Aruba Gurken lautet musst du im Handbuch nachlesen bzw. hat Kollege @chgorges ja oben schon erklärt.
Die HP Billiggurken haben mal wieder bei Cisco abgeschaut !
Servus Leute,
ich bin mal so frei und schließe mich an dieses Thema mal an.
Zunächst einmal, danke für eure Beiträge. Diese haben mir bis zu einem gewissen Punkt wirklich helfen können.
Problem Beschreibung:
Ich kann aus unserem IT-VLAN alle Rechner aufwecken, so wie es sein sollte.
Jedoch mit dem Problem, dass der Rechner dafür an einem statisch konfiguriertem Port stecken muss(VLAN-1)
Wenn der Rechner sich am radius-server nicht authentifizieren konnte, wird er in VLAN-1 landen.
Wenn der Rechner aus ist, sollte er sich ebenfalls in VLAN-1 befinden, so die Vermutung.
(Etagenswitche HPE 2530)
Was habe ich bis jetzt gemacht?:
Auf dem Core-switch(HPE 5412zl) ist ein ip forward
ip forward-protocol udp (ip-gateway von vlan 1) 7 (eigentlich unnötig)
ip forward-protocol udp (ip-gateway von vlan 1) 9
Konfig des Switches an dem der Rechner steckt(port 7):
aaa authentication port-access chap-radius
aaa port-access authenticator active
aaa port-access mac-based 7-8
Warum geht WOL lediglich dann, wenn ich den Port statisch auf vlan-1 setze?
Danke im voraus für Rückmeldungen.
VG
ich bin mal so frei und schließe mich an dieses Thema mal an.
Zunächst einmal, danke für eure Beiträge. Diese haben mir bis zu einem gewissen Punkt wirklich helfen können.
Problem Beschreibung:
Ich kann aus unserem IT-VLAN alle Rechner aufwecken, so wie es sein sollte.
Jedoch mit dem Problem, dass der Rechner dafür an einem statisch konfiguriertem Port stecken muss(VLAN-1)
Wenn der Rechner sich am radius-server nicht authentifizieren konnte, wird er in VLAN-1 landen.
Wenn der Rechner aus ist, sollte er sich ebenfalls in VLAN-1 befinden, so die Vermutung.
(Etagenswitche HPE 2530)
Was habe ich bis jetzt gemacht?:
Auf dem Core-switch(HPE 5412zl) ist ein ip forward
ip forward-protocol udp (ip-gateway von vlan 1) 7 (eigentlich unnötig)
ip forward-protocol udp (ip-gateway von vlan 1) 9
Konfig des Switches an dem der Rechner steckt(port 7):
aaa authentication port-access chap-radius
aaa port-access authenticator active
aaa port-access mac-based 7-8
Warum geht WOL lediglich dann, wenn ich den Port statisch auf vlan-1 setze?
Danke im voraus für Rückmeldungen.
VG
so die Vermutung.
Eine ziemlich falsche Vermutung:- Nicht authentisierte Ports sind generell im (inbound) Blocking Mode und lassen keinen Traffic durch, egal welches VLAN
- Fehlerhafte Authentisierungen landen nur in einem VLAN wenn du ein sog. Authentication Fail VLAN im Switch Setup definiert hast. Bei Endgeräten ohne 802.1x Client kann man ein sog. Guest VLAN definieren. Letzteres gilt natürlich nur bei 802.1x Authentisierung. Beide Funktionen müssen aber durch die Switch Firmware supportet sein. Ist das nicht der Fall bleibt der Port im (inbound) Blocking Mode.
Warum geht WOL lediglich dann, wenn ich den Port statisch auf vlan-1 setze?
Die HP Gruselgurken brauchen dafür vermutlich ein Auth Fail VLAN ?! Mit Cisco, Ruckus usw. funktioniert das out of the box...ip forward-protocol udp (ip-gateway von vlan 1) 7 (eigentlich unnötig)
Richtig, das ist zumindestens im gleichen VLAN völlig unnötig.Man benötigt es nur beim Routing. Da WoL in der Regel UDP 9 (Discard) verwendet kann man in einem gerouteten, lokalen Umfeld die WoL Pakete mit einem UDP Helper in andere IP Segmente übertragen.
Das geht aber nur wenn der Sender WoL Pakte mit einem IP Header versendet (Wireshark!). Mit nativen Mac basierten WoL ist ein Routing diese Pakete natürlich technisch unmöglich!! Kollege @LordGurke hat es oben ja schon gesagt!