kroeger02
Goto Top

Zugriff auf Server von verschiedenen VLANs aus

Hallo zusammen,

ich habe folgende Konstellation (Habe sie auf auf das nötigste der zugehörigen Komponenten reduziert).
VLAN1 10.4.0.254 (10.4.0.0/24)
Client 1 10.4.0.5
Server 1 10.4.0.1


VLAN 10 IP: 10.4.10.254 (10.4.10.0/24)
Client 2 10.4.10.1

VLAN 20 - VLAN 50 mit 10.4.x.254/24

Im Seminarraum habe ich verschiedene Arbeitsplätze (pro Arbeitsplatz ein VLAN), diese sollen untereinander keinen Zugriff haben. Der Zugriff von den Arbeitsplätzen auf die Netzwerkfreigabe meines Trainings PC`s soll jedoch funktionieren, genauso wie der Zugriff auf den Server (wo auch der Internetzugang hinter hängt).

Jetzt habe ich folgendes Problem, der Trainings PC im VLAN1 kann auf den Server zugreifen, alle anderen PC`s an den Arbeitsplätzen jedoch nicht. Woran kann das liegen? Das Inter VLAN Routing und die Access Listen scheinen jedoch zu funktionieren, da ich alle anderen Geräte innerhalb des VLAN1 von den Arbeitsplatz PCs erreichen kann.

Im Switch läuft aktuell folgende Konfig:



Running configuration:

; J9148A Configuration Editor; Created on release #W.15.13.0005
; Ver #05:08.63.ff.35.05:a1
hostname "HP-E2910al-48G-PoE"
module 1 type j9148a
module 2 type j9008a
module 3 type j9008a
trunk 31-32 trk1 lacp
power-over-ethernet pre-std-detect ports 1-48
sntp server priority 1 10.4.0.1
ip access-list extended "Platz1"
10 deny ip 10.4.10.0 0.0.0.255 10.4.20.0 0.0.0.255
20 deny ip 10.4.10.0 0.0.0.255 10.4.30.0 0.0.0.255
30 deny ip 10.4.10.0 0.0.0.255 10.4.40.0 0.0.0.255
40 deny ip 10.4.10.0 0.0.0.255 10.4.50.0 0.0.0.255
50 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
ip access-list extended "Platz2"
10 deny ip 10.4.20.0 0.0.0.255 10.4.10.0 0.0.0.255
20 deny ip 10.4.20.0 0.0.0.255 10.4.30.0 0.0.0.255
30 deny ip 10.4.20.0 0.0.0.255 10.4.40.0 0.0.0.255
40 deny ip 10.4.20.0 0.0.0.255 10.4.50.0 0.0.0.255
50 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
ip access-list extended "Platz3"
10 deny ip 10.4.30.0 0.0.0.255 10.4.10.0 0.0.0.255
20 deny ip 10.4.30.0 0.0.0.255 10.4.30.0 0.0.0.255
30 deny ip 10.4.30.0 0.0.0.255 10.4.40.0 0.0.0.255
40 deny ip 10.4.30.0 0.0.0.255 10.4.50.0 0.0.0.255
50 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
ip access-list extended "Platz4"
10 deny ip 10.4.40.0 0.0.0.255 10.4.10.0 0.0.0.255
20 deny ip 10.4.40.0 0.0.0.255 10.4.20.0 0.0.0.255
30 deny ip 10.4.40.0 0.0.0.255 10.4.30.0 0.0.0.255
40 deny ip 10.4.40.0 0.0.0.255 10.4.50.0 0.0.0.255
50 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
ip access-list extended "Platz5"
10 deny ip 10.4.50.0 0.0.0.255 10.4.10.0 0.0.0.255
20 deny ip 10.4.50.0 0.0.0.255 10.4.20.0 0.0.0.255
30 deny ip 10.4.50.0 0.0.0.255 10.4.30.0 0.0.0.255
40 deny ip 10.4.50.0 0.0.0.255 10.4.40.0 0.0.0.255
50 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
ip default-gateway 10.4.0.1
ip routing
interface 20
ip access-group "Platz5" in
name "Platz 5 Uplink"
exit
interface 26
ip access-group "Platz4" in
name "Platz 4 Uplink"
exit
interface 27
ip access-group "Platz3" in
name "Platz 3 Uplink"
exit
interface 38
ip access-group "Platz2" in
name "Platz 2 Uplink"
exit
interface 44
ip access-group "Platz1" in
name "Platz 1 Uplink"
exit
snmp-server community "public" unrestricted
vlan 1
name "DEFAULT_VLAN"
no untagged 2,13,20,26-27,38,44
untagged 1,3-12,14-19,21-25,28-30,33-37,39-43,45-48,A1-A2,B1-B2,Trk1
ip address 10.4.0.254 255.255.255.0
exit
vlan 10
name "Platz1"
untagged 13,44
tagged Trk1
ip address 10.4.10.254 255.255.255.0
exit
vlan 20
name "Platz2"
untagged 2,38
tagged Trk1
ip address 10.4.20.254 255.255.255.0
exit
vlan 30
name "Platz3"
untagged 27
tagged Trk1
ip address 10.4.30.254 255.255.255.0
exit
vlan 40
name "Platz4"
untagged 26
tagged Trk1
ip address 10.4.40.254 255.255.255.0
exit
vlan 50
name "Platz5"
untagged 20
tagged Trk1
ip address 10.4.50.254 255.255.255.0
exit
spanning-tree Trk1 priority 4
no tftp server
no autorun
no dhcp config-file-update
password manager


Ich hoffe ihr habt eine Idee, was das Problem sein könnte. An Port 48 hängt der Server im Switch.

Ich bedanke mich im vorraus.

Content-ID: 322730

Url: https://administrator.de/contentid/322730

Ausgedruckt am: 25.11.2024 um 23:11 Uhr

ukulele-7
ukulele-7 02.12.2016 um 12:53:58 Uhr
Goto Top
Das ist irgendwie fehlerhaft beschrieben:

VLAN 1 (10.4.0.254/24)
10.4.0.0./24 wäre ein Netzwerk, 10.0.4.254/24 ist eine IP in dem Netzwerk. Handelt es sich jetzt um eine bestimmte Adresse oder nur um einen IP-Adressraum den das VLAN nutzt?

VLAN 10 (10.4.10.254/24)
Client 2 10.4.0.1
Siehe Oben und dann hat der Client noch eine IP die nicht im selben Adressraum liegt. Vermutlich Tippfehler.

Der Server muss natürlich von allen Clients aus erreichbar sein, also sowohl im selben Adressraum wie jeder Client liegen oder über ein Gatway / Router für jedes Subnetz kommunizieren können. Außerdem muss er auf dem Port Pakete aller VLANs entgegen nehmen oder mehrere Ports nutzen.
Kroeger02
Kroeger02 02.12.2016 um 13:06:56 Uhr
Goto Top
VLAN1
Hat das Netz 10.4.0.0/24, die zugwiesene IP Adresse des VLAN1 ist die 10.4.0.254 mit 255.255.255.0 als Maske.

VLAN10
Hat das Netz 10.4.10.0/24, die zugewiesene IP Adresse des VLAN10 ist die 10.4.10.254 mit 255.255.255.0 als Maske
Der Cleint hier hat die IP Adresse 10.4.10.1, dort war ein Tippfehler.

So Zieht sich das für die anderen Arbeitsplätze weiter durch.

In allen Cleints ist die jeweilige VLAN IP als Gateway konfiguriert und der Switch (HP2910) hat das routing aktiviert.

Von alle Clients im VLAN 1 erreiche ich den Server, aus den anderen VLANs jedoch nicht. Aus den anderen VLANs (VLAN10 - 50) kann ich sonst aber sämtliche Clients im VLAN1 erreichen, nur den Server erreiche ich nicht.
aqui
Lösung aqui 02.12.2016 aktualisiert um 13:30:50 Uhr
Goto Top
alle anderen PC`s an den Arbeitsplätzen jedoch nicht. Woran kann das liegen?
Wie immer die 2 Klassiker:
  • Die Clients haben das falsche Gateway. das muss logischerweise IMMER die IP Adresse des VLAN Switchinterfaces sein z.B. 10.4.10.254 bei VLAN 10. Das gilt auch fürs VLAN 1 und den Server !!! Der darf NICHT auf einen Internet Router oder sowas zeigen im VLAN 1
  • Die lokale Firewall auf den Rechnern blockiert IP Absender aus anderen Netzen was der Normalfall der Windows Firewall ist z.B..

Der Switch sollte natürlich noch ne statische Default Route auf den Internet Router haben und der Internet Router selber statische Routen auf die IP Netze der VLANs. Hier reicht Route Summarization wenn die VLANs alle 10er Netze sind.
Das ist aber einzig nur relevant bei Internet Kommunikation. Natürlich ist das NICHT für die direkte Kommunikation der VLANs untereinander erforderlich. Das funktioniert auch ohne diese Routen logischerweise.
Von alle Clients im VLAN 1 erreiche ich den Server, aus den anderen VLANs jedoch nicht.
Zeigt das irgendwas mit dem Routing nicht stimmt !!
Was sagt ein Ping und Traceroute ??
Achte auch hier darauf das bei Winblows ICMP (Ping, Tracert) deaktiviert ist:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Und.... teste bitte das Routing erstmal OHNE jegliche Port Accesslisten !! Nicht das du dir da Fallstricke selber gebaut hast !!
Die ACL ist syntaktisch auch nicht ganz richtig !
50 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Als letztes Statemen ist ja falsch wenn dan diesem Port niemal anderes als die entsprechend VLAN IP auftauchen kann. Richtig wäre:
50 permit ip 10.4.10.0 0.0.0.255 0.0.0.0 255.255.255.255
Auch das die L3 ACL auf einen dedizierten Port gesetzt ist ist aus syntaktischer Sicht falsch. Normal gehört das unter die VLAN Definition.
Aber gut möglich das das bei den gruseligen HP Switches auch anders gemacht wird als im Rest der Welt ?!
Kroeger02
Kroeger02 02.12.2016 um 13:42:18 Uhr
Goto Top
Vielen Dank schonmal für die schnellen Antworten.

Jedoch habe ich die beiden klassischen Fehler nicht gemacht. Die Clients haben als Gatway die IP Adresse des jeweiligen VLAN Switchinterfaces zu dem sie gehören (Client im VLAN10 z.B 10.4.10.254) und die Firewall habe ich aktuell für testzwecke ausgeschaltet auf den Systemen.

Das Inter VLAN Routing klappt ja auch...kann auch jeden Rechner inerhalb jedes VLANs erreichen (beide Richtungen z.B von VLAN 10 nach 1 und VLAN 1 nach 10), nur den Server von keinem anderen VLAN ausser dem VLAN1.
aqui
aqui 02.12.2016 aktualisiert um 17:33:03 Uhr
Goto Top
Das heisst dann im Umkehrschluss das du auch von allen anderen VLANs die Clients im VLAN 1 erreichen kannst ?!
Was dann ja wiederum bedeutet das da was mit deinem Server oberfault ist !

Wenn die obige Bedingung stimmt, dann fehlt dem Server ein Gateway Eintrag oder die Server Firewall läuft Amok eine andere Erklärung kann es ja nicht mehr geben !
Der Fehler ist dann rein Server bedingt.
Kannst du jegliche Endgeräte im VLAN 1 egal welche nicht erreichen dann hast du ein Problem mit dem Switch bzw. dessen VLAN 1 !!

Außer den syntaktisch etwas falschen ACLs (jeweils Statement 50) hast du auch noch einen weiteren Fehler in der STP Priority.
4 ist ein nicht definierter Wert !!! STP Priorities werden immer Modulo 4096 definiert. Das hat jetzt per se nichts mit deinem Fehler zu tun solltest du aber besser korrigieren um standardkonform zu sein.
Besser ist es auch RSTP als Default zu aktivieren. Das aber nur nebenbei.
Kroeger02
Kroeger02 02.12.2016 um 18:42:43 Uhr
Goto Top
Also ich habe das Problem gelöst, es war auf dem Server das Routing mit den Standard Routen nicht korrekt eingetragen. Nachdem ich die Routen auf dem Server nochmal konfiguriert habe, klappt es jetzt face-smile

Das mit den ACL werde ich am Montag nochmal anpassen und testen. Ich weis, dass die ACLs eigentlich den VLANs zugweisen werden, leider kann der 2910 ACLs nur Port basierend.

RTSP wäre jetzt der nächste Schritt, den ich dann noch aktiviere.

Mann muss leider mit dem arbeiten, was man zur Verfügung hat face-smile

Aber vielen Dank schonmal für die Hilfe face-smile
aqui
aqui 04.12.2016 um 23:28:03 Uhr
Goto Top
R"S"TP ! Soviel Zeit muss sein face-wink