alex-alex
Goto Top

WakeOnLan Probleme nach Netzwerksegmentierung

Hallo zusammen,

ich muss wohl wieder einmal das Schwarm-Wissen in Anspruch nehmen.
Wir haben vor kurzem angefangen, unser Netzwerk zu segmentieren.
Soweit so gut, leider gibt es mit unserer Homeoffice-Lösung noch kleinere Probleme.

Generell funktioniert es, wenn ein User sich über die Defendo in VLAN1 verbindet. Dort wird der PC, in 99 % der Fälle, auch per WoL hochgefahren und er kann arbeiten.
Im VLAN150 funktioniert es ebenfalls, jedoch, nur wenn der PC erst kürzlich heruntergefahren wurde.
Nach spätestens einem halben Tag ist es nicht mehr möglich.
Wenn der gleiche PC aus VLAN150 in VLAN1 geschoben wird funktioniert es wieder.

Was zu jedem Zeitpunkt funktioniert, ist ein Einschalten über den Baramundi Server (Softwareverteilung), dieser führt auch nachts erfolgreich seine Updatejobs durch.

An den Interfaces der Fortinet ist jeweils das Broadcast Forwarding aktiviert.

Hat jemand eine Idee, wo es hängen könnte?

Mit freundlichen Grüßen
Alex
schema

Content-ID: 52168840755

Url: https://administrator.de/contentid/52168840755

Ausgedruckt am: 07.11.2024 um 13:11 Uhr

kpunkt
kpunkt 19.12.2023 aktualisiert um 09:03:08 Uhr
Goto Top
WoL ist IMHO Layer 2. Bei Vlan hast du da einen Bruch drin. Das Packet muss aus dem gleichen Vlan kommen, oder du hast da einen IP Helper im fraglichen Vlan.
So sagt dass zumindest meine Erinnerung (die auch trügen kann).

UDP-Relay kommt mir da noch in den Sinn.

Sieh an...die Boardsuche:
Wake on Lan funktioniert nicht durch VLANs
commodity
commodity 19.12.2023 um 08:57:00 Uhr
Goto Top
Hallo,
die Antwort hast Du ja im Prinzip schon selbst gegeben:
Wenn der gleiche PC aus VLAN150 in VLAN1 geschoben wird funktioniert es wieder.
VLAN 1 ist Deine Broadcast-Domäne für die Defendo (VLAN250 ist wahrscheinlich ein untagged-Koppelnetz, korrekt?). Dort funktioniert es.

Um von VLAN 1 ins VLAN 150 zu broadcasten musst Du wahrscheinlich mehr tun als set broadcast-forward enable.
Ich kenne die Fortigate nicht, aber vielleicht hilft Dir der Link weiter:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Forwarding-IP- ... oder der
https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-configu ...

Viele Grüße, commodity
chgorges
chgorges 19.12.2023 aktualisiert um 09:21:08 Uhr
Goto Top
WoL läuft über UDP Port 7 oder 9, je nach Anwendung.
Du brauchst auf deiner Fortigate einen UDP-Relay/UDP-Broadcast-Forward, die Bezeichnung ist je nach Hersteller unterschiedlich, haben viele FW-Hersteller aber erst gar nicht (z.B. Securepoint) implementiert.
Bei Aruba L3-Switchen hast du z.B. den Codeschnipsel, wenn man aus VLAN 1 heraus Geräte in zwei anderen Subnetzen (hier 10.1.1.0/24 und 10.2.0.0/16) aufwecken möchte.

ip udp-bcast-forward
vlan 1 ip forward-protocol udp 10.1.1.255 7
vlan 1 ip forward-protocol udp 10.1.1.255 9
vlan 1 ip forward-protocol udp 10.2.255.255 7
vlan 1 ip forward-protocol udp 10.2.255.255 9
Alex-Alex
Alex-Alex 19.12.2023 um 11:19:31 Uhr
Goto Top
Zitat von @kpunkt:

WoL ist IMHO Layer 2. Bei Vlan hast du da einen Bruch drin. Das Packet muss aus dem gleichen Vlan kommen, oder du hast da einen IP Helper im fraglichen Vlan.
So sagt dass zumindest meine Erinnerung (die auch trügen kann).

UDP-Relay kommt mir da noch in den Sinn.

Sieh an...die Boardsuche:
Wake on Lan funktioniert nicht durch VLANs


Hi @kpunkt,

danke für den Tipp.
Meines Wissens nach sind IP Helper nur für den DHCP Verkehr, wie auch von em-pie in dem verlinkten Beitrag beschrieben.

Generell kann ja VLAN1 auch Geräte in VLAN150 aufwecken (siehe Beispiel mit Baramundi) und sporadisch geht es auch über die Defendo.
Stichwort UDP-Relay werde ich mich nochmal auf die Suche machen. Generell sehe ich die UDP/9 Pakete im Log der Firewall.

MfG Alex face-smile
Alex-Alex
Alex-Alex 19.12.2023 um 11:21:53 Uhr
Goto Top
Zitat von @commodity:

Hallo,
die Antwort hast Du ja im Prinzip schon selbst gegeben:
Wenn der gleiche PC aus VLAN150 in VLAN1 geschoben wird funktioniert es wieder.
VLAN 1 ist Deine Broadcast-Domäne für die Defendo (VLAN250 ist wahrscheinlich ein untagged-Koppelnetz, korrekt?). Dort funktioniert es.

Um von VLAN 1 ins VLAN 150 zu broadcasten musst Du wahrscheinlich mehr tun als set broadcast-forward enable.
Ich kenne die Fortigate nicht, aber vielleicht hilft Dir der Link weiter:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Forwarding-IP- ... oder der
https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-configu ...

Viele Grüße, commodity

Hi @commodity

VLAN250 ist wie du richtig vermutest ein untagged Koppelnetz.
Das mit der Broadcast-Domäne ist ein guter Tipp, dem werde ich auch mal nachgehen.

Die Links von Forti habe ich auch schon durchgeschaut und teilweise umgesetzt. Leider ohne richtigen Erfolg.

MfG Alex face-smile
commodity
commodity 19.12.2023 aktualisiert um 11:31:36 Uhr
Goto Top
Was zu jedem Zeitpunkt funktioniert, ist ein Einschalten über den Baramundi Server (Softwareverteilung), dieser führt auch nachts erfolgreich seine Updatejobs durch.
Wenn das bedeutet, dass es vom Baramundi-Rechner immer geht, was diese Aussage nahe legt,
Generell kann ja VLAN1 auch Geräte in VLAN150 aufwecken (siehe Beispiel mit Baramundi) und sporadisch geht es auch über die Defendo.
scheint das Broadcast-Forwarding von VLAN zu VLAN an dieser Stelle (also diesem Teil in der Fortigate) ja zu klappen. Dann kannst Du Dich zunächst IMO auf den Weg zwischen Defendo und Fortigate konzentrieren.

Ideal ist, wie immer, an dieser Stelle natürlich ein Wireshark, mit dem man zunächst mal die WOL-Pakete untersucht, die vom Baramundi erfolgreich im VLAN 150 ankommen, um anschließend zu schauen, was bei Paketen von der Defendo vor und (vor allem) hinter der Fortigate anders ist.

Viele Grüße, commodity
aqui
aqui 19.12.2023 aktualisiert um 18:24:54 Uhr
Goto Top
Lesenswert zu der Thematik:
https://www.heise.de/ratgeber/Wake-on-WAN-221718.html
Das oben bereits genannte UDP Forwarding (UDP Helper Adresse) für die von WoL in der Regel verwendeten IP Ports (UDP 9 (Discard) usw.) ist aber der richtige Weg das problemlos zu lösen.
Wireshark ist hier, wie immer, dein bester Freund.
aqui
aqui 30.12.2023 um 12:41:50 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Alex-Alex
Alex-Alex 02.01.2024 um 08:34:34 Uhr
Goto Top
Hi @aqui

noch ein gesundes neues Jahr.
Leider war es das noch nicht. Mittlerweile bin ich aber mit Wireshark und etwas probieren ein Stück weiter gekommen.

Die Defendo hat anscheinend eth0 als festes Interface für Broadcast Verkehr hinterlegt. Hier habe ich aktuell noch den Test offen das Transfer-VLAN darauf umzuziehen.

Ich wollte dazu auch nochmal ein Update schreiben, deshalb noch nicht als gelöst markiert!

MfG Alex
Alex-Alex
Lösung Alex-Alex 08.02.2024 um 08:44:59 Uhr
Goto Top
So, nach sehr langer Zeit mal noch ein Update von meiner Seite um das Thema zu schließen.

Generell sollten laut Doku der Defendo 2 Pakete versendet werden.
• Paket 1 wird direkt an die MAC-Adresse des Zielsystems gesendet, z.B. 00:11:22:33:44:55 mit der
entsprechenden IP des Zielsystems
• Paket 2 wird an die Broadcast-Adresse gesendet, ff:ff:ff:ff:ff:ff.

Wir haben aktuell die hoffentlich temporäre Lösung gewählt, Static ARP Einträge an der Forti zu setzen. Damit kann diese die 1er Pakete routen und WoL funktioniert.
Mit Paketdumps über Wireshark und an der Forti selbst ist aber kein Broadcast Paket von Seiten der Defendo zu erkennen.
Wenn ich Paket 2 über z.B. die WoL.exe erzeuge, mit einem Laptop im Transfer-VLAN 250, funktioniert dies aber.

Hier warte ich auf eine Rückmeldung der Entwicklung.

MfG Alex