10
WakeOnLan Probleme nach Netzwerksegmentierung
Hallo zusammen,
ich muss wohl wieder einmal das Schwarm-Wissen in Anspruch nehmen.
Wir haben vor kurzem angefangen, unser Netzwerk zu segmentieren.
Soweit so gut, leider gibt es mit unserer Homeoffice-Lösung noch kleinere Probleme.
Generell funktioniert es, wenn ein User sich über die Defendo in VLAN1 verbindet. Dort wird der PC, in 99 % der Fälle, auch per WoL hochgefahren und er kann arbeiten.
Im VLAN150 funktioniert es ebenfalls, jedoch, nur wenn der PC erst kürzlich heruntergefahren wurde.
Nach spätestens einem halben Tag ist es nicht mehr möglich.
Wenn der gleiche PC aus VLAN150 in VLAN1 geschoben wird funktioniert es wieder.
Was zu jedem Zeitpunkt funktioniert, ist ein Einschalten über den Baramundi Server (Softwareverteilung), dieser führt auch nachts erfolgreich seine Updatejobs durch.
An den Interfaces der Fortinet ist jeweils das Broadcast Forwarding aktiviert.
Hat jemand eine Idee, wo es hängen könnte?
Mit freundlichen Grüßen
Alex
ich muss wohl wieder einmal das Schwarm-Wissen in Anspruch nehmen.
Wir haben vor kurzem angefangen, unser Netzwerk zu segmentieren.
Soweit so gut, leider gibt es mit unserer Homeoffice-Lösung noch kleinere Probleme.
Generell funktioniert es, wenn ein User sich über die Defendo in VLAN1 verbindet. Dort wird der PC, in 99 % der Fälle, auch per WoL hochgefahren und er kann arbeiten.
Im VLAN150 funktioniert es ebenfalls, jedoch, nur wenn der PC erst kürzlich heruntergefahren wurde.
Nach spätestens einem halben Tag ist es nicht mehr möglich.
Wenn der gleiche PC aus VLAN150 in VLAN1 geschoben wird funktioniert es wieder.
Was zu jedem Zeitpunkt funktioniert, ist ein Einschalten über den Baramundi Server (Softwareverteilung), dieser führt auch nachts erfolgreich seine Updatejobs durch.
An den Interfaces der Fortinet ist jeweils das Broadcast Forwarding aktiviert.
Hat jemand eine Idee, wo es hängen könnte?
Mit freundlichen Grüßen
Alex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 52168840755
Url: https://administrator.de/contentid/52168840755
Ausgedruckt am: 07.11.2024 um 13:11 Uhr
10 Kommentare
Neuester Kommentar
WoL ist IMHO Layer 2. Bei Vlan hast du da einen Bruch drin. Das Packet muss aus dem gleichen Vlan kommen, oder du hast da einen IP Helper im fraglichen Vlan.
So sagt dass zumindest meine Erinnerung (die auch trügen kann).
UDP-Relay kommt mir da noch in den Sinn.
Sieh an...die Boardsuche:
Wake on Lan funktioniert nicht durch VLANs
So sagt dass zumindest meine Erinnerung (die auch trügen kann).
UDP-Relay kommt mir da noch in den Sinn.
Sieh an...die Boardsuche:
Wake on Lan funktioniert nicht durch VLANs
Hallo,
die Antwort hast Du ja im Prinzip schon selbst gegeben:
Um von VLAN 1 ins VLAN 150 zu broadcasten musst Du wahrscheinlich mehr tun als set broadcast-forward enable.
Ich kenne die Fortigate nicht, aber vielleicht hilft Dir der Link weiter:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Forwarding-IP- ... oder der
https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-configu ...
Viele Grüße, commodity
die Antwort hast Du ja im Prinzip schon selbst gegeben:
Wenn der gleiche PC aus VLAN150 in VLAN1 geschoben wird funktioniert es wieder.
VLAN 1 ist Deine Broadcast-Domäne für die Defendo (VLAN250 ist wahrscheinlich ein untagged-Koppelnetz, korrekt?). Dort funktioniert es.Um von VLAN 1 ins VLAN 150 zu broadcasten musst Du wahrscheinlich mehr tun als set broadcast-forward enable.
Ich kenne die Fortigate nicht, aber vielleicht hilft Dir der Link weiter:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Forwarding-IP- ... oder der
https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-configu ...
Viele Grüße, commodity
WoL läuft über UDP Port 7 oder 9, je nach Anwendung.
Du brauchst auf deiner Fortigate einen UDP-Relay/UDP-Broadcast-Forward, die Bezeichnung ist je nach Hersteller unterschiedlich, haben viele FW-Hersteller aber erst gar nicht (z.B. Securepoint) implementiert.
Bei Aruba L3-Switchen hast du z.B. den Codeschnipsel, wenn man aus VLAN 1 heraus Geräte in zwei anderen Subnetzen (hier 10.1.1.0/24 und 10.2.0.0/16) aufwecken möchte.
Du brauchst auf deiner Fortigate einen UDP-Relay/UDP-Broadcast-Forward, die Bezeichnung ist je nach Hersteller unterschiedlich, haben viele FW-Hersteller aber erst gar nicht (z.B. Securepoint) implementiert.
Bei Aruba L3-Switchen hast du z.B. den Codeschnipsel, wenn man aus VLAN 1 heraus Geräte in zwei anderen Subnetzen (hier 10.1.1.0/24 und 10.2.0.0/16) aufwecken möchte.
ip udp-bcast-forward
vlan 1 ip forward-protocol udp 10.1.1.255 7
vlan 1 ip forward-protocol udp 10.1.1.255 9
vlan 1 ip forward-protocol udp 10.2.255.255 7
vlan 1 ip forward-protocol udp 10.2.255.255 9
1
Zitat von @kpunkt:
WoL ist IMHO Layer 2. Bei Vlan hast du da einen Bruch drin. Das Packet muss aus dem gleichen Vlan kommen, oder du hast da einen IP Helper im fraglichen Vlan.
So sagt dass zumindest meine Erinnerung (die auch trügen kann).
UDP-Relay kommt mir da noch in den Sinn.
Sieh an...die Boardsuche:
Wake on Lan funktioniert nicht durch VLANs
WoL ist IMHO Layer 2. Bei Vlan hast du da einen Bruch drin. Das Packet muss aus dem gleichen Vlan kommen, oder du hast da einen IP Helper im fraglichen Vlan.
So sagt dass zumindest meine Erinnerung (die auch trügen kann).
UDP-Relay kommt mir da noch in den Sinn.
Sieh an...die Boardsuche:
Wake on Lan funktioniert nicht durch VLANs
Hi @kpunkt,
danke für den Tipp.
Meines Wissens nach sind IP Helper nur für den DHCP Verkehr, wie auch von em-pie in dem verlinkten Beitrag beschrieben.
Generell kann ja VLAN1 auch Geräte in VLAN150 aufwecken (siehe Beispiel mit Baramundi) und sporadisch geht es auch über die Defendo.
Stichwort UDP-Relay werde ich mich nochmal auf die Suche machen. Generell sehe ich die UDP/9 Pakete im Log der Firewall.
MfG Alex
Zitat von @commodity:
Hallo,
die Antwort hast Du ja im Prinzip schon selbst gegeben:
Um von VLAN 1 ins VLAN 150 zu broadcasten musst Du wahrscheinlich mehr tun als set broadcast-forward enable.
Ich kenne die Fortigate nicht, aber vielleicht hilft Dir der Link weiter:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Forwarding-IP- ... oder der
https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-configu ...
Viele Grüße, commodity
Hallo,
die Antwort hast Du ja im Prinzip schon selbst gegeben:
Wenn der gleiche PC aus VLAN150 in VLAN1 geschoben wird funktioniert es wieder.
VLAN 1 ist Deine Broadcast-Domäne für die Defendo (VLAN250 ist wahrscheinlich ein untagged-Koppelnetz, korrekt?). Dort funktioniert es.Um von VLAN 1 ins VLAN 150 zu broadcasten musst Du wahrscheinlich mehr tun als set broadcast-forward enable.
Ich kenne die Fortigate nicht, aber vielleicht hilft Dir der Link weiter:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Forwarding-IP- ... oder der
https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-configu ...
Viele Grüße, commodity
Hi @commodity
VLAN250 ist wie du richtig vermutest ein untagged Koppelnetz.
Das mit der Broadcast-Domäne ist ein guter Tipp, dem werde ich auch mal nachgehen.
Die Links von Forti habe ich auch schon durchgeschaut und teilweise umgesetzt. Leider ohne richtigen Erfolg.
MfG Alex
Was zu jedem Zeitpunkt funktioniert, ist ein Einschalten über den Baramundi Server (Softwareverteilung), dieser führt auch nachts erfolgreich seine Updatejobs durch.
Wenn das bedeutet, dass es vom Baramundi-Rechner immer geht, was diese Aussage nahe legt,Generell kann ja VLAN1 auch Geräte in VLAN150 aufwecken (siehe Beispiel mit Baramundi) und sporadisch geht es auch über die Defendo.
scheint das Broadcast-Forwarding von VLAN zu VLAN an dieser Stelle (also diesem Teil in der Fortigate) ja zu klappen. Dann kannst Du Dich zunächst IMO auf den Weg zwischen Defendo und Fortigate konzentrieren.Ideal ist, wie immer, an dieser Stelle natürlich ein Wireshark, mit dem man zunächst mal die WOL-Pakete untersucht, die vom Baramundi erfolgreich im VLAN 150 ankommen, um anschließend zu schauen, was bei Paketen von der Defendo vor und (vor allem) hinter der Fortigate anders ist.
Viele Grüße, commodity
Lesenswert zu der Thematik:
https://www.heise.de/ratgeber/Wake-on-WAN-221718.html
Das oben bereits genannte UDP Forwarding (UDP Helper Adresse) für die von WoL in der Regel verwendeten IP Ports (UDP 9 (Discard) usw.) ist aber der richtige Weg das problemlos zu lösen.
Wireshark ist hier, wie immer, dein bester Freund.
https://www.heise.de/ratgeber/Wake-on-WAN-221718.html
Das oben bereits genannte UDP Forwarding (UDP Helper Adresse) für die von WoL in der Regel verwendeten IP Ports (UDP 9 (Discard) usw.) ist aber der richtige Weg das problemlos zu lösen.
Wireshark ist hier, wie immer, dein bester Freund.
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Hi @aqui
noch ein gesundes neues Jahr.
Leider war es das noch nicht. Mittlerweile bin ich aber mit Wireshark und etwas probieren ein Stück weiter gekommen.
Die Defendo hat anscheinend eth0 als festes Interface für Broadcast Verkehr hinterlegt. Hier habe ich aktuell noch den Test offen das Transfer-VLAN darauf umzuziehen.
Ich wollte dazu auch nochmal ein Update schreiben, deshalb noch nicht als gelöst markiert!
MfG Alex
noch ein gesundes neues Jahr.
Leider war es das noch nicht. Mittlerweile bin ich aber mit Wireshark und etwas probieren ein Stück weiter gekommen.
Die Defendo hat anscheinend eth0 als festes Interface für Broadcast Verkehr hinterlegt. Hier habe ich aktuell noch den Test offen das Transfer-VLAN darauf umzuziehen.
Ich wollte dazu auch nochmal ein Update schreiben, deshalb noch nicht als gelöst markiert!
MfG Alex
So, nach sehr langer Zeit mal noch ein Update von meiner Seite um das Thema zu schließen.
Generell sollten laut Doku der Defendo 2 Pakete versendet werden.
• Paket 1 wird direkt an die MAC-Adresse des Zielsystems gesendet, z.B. 00:11:22:33:44:55 mit der
entsprechenden IP des Zielsystems
• Paket 2 wird an die Broadcast-Adresse gesendet, ff:ff:ff:ff:ff:ff.
Wir haben aktuell die hoffentlich temporäre Lösung gewählt, Static ARP Einträge an der Forti zu setzen. Damit kann diese die 1er Pakete routen und WoL funktioniert.
Mit Paketdumps über Wireshark und an der Forti selbst ist aber kein Broadcast Paket von Seiten der Defendo zu erkennen.
Wenn ich Paket 2 über z.B. die WoL.exe erzeuge, mit einem Laptop im Transfer-VLAN 250, funktioniert dies aber.
Hier warte ich auf eine Rückmeldung der Entwicklung.
MfG Alex
Generell sollten laut Doku der Defendo 2 Pakete versendet werden.
• Paket 1 wird direkt an die MAC-Adresse des Zielsystems gesendet, z.B. 00:11:22:33:44:55 mit der
entsprechenden IP des Zielsystems
• Paket 2 wird an die Broadcast-Adresse gesendet, ff:ff:ff:ff:ff:ff.
Wir haben aktuell die hoffentlich temporäre Lösung gewählt, Static ARP Einträge an der Forti zu setzen. Damit kann diese die 1er Pakete routen und WoL funktioniert.
Mit Paketdumps über Wireshark und an der Forti selbst ist aber kein Broadcast Paket von Seiten der Defendo zu erkennen.
Wenn ich Paket 2 über z.B. die WoL.exe erzeuge, mit einem Laptop im Transfer-VLAN 250, funktioniert dies aber.
Hier warte ich auf eine Rückmeldung der Entwicklung.
MfG Alex
1
