MetalForLive
Admiral
- Registriert
- Sep. 2011
- Beiträge
- 8.108
Hallo zusammen,
ich habe ein merkwürdiges Problem.
Ausgangssituation ist folgende:
Windows Server 2019 als Hypervisor => per LACP an Ubiquiti Switch angeschlossen => Alle VLANs Tagged, VLAN 10 Untagged.
IP des Servers 172.20.10.254/24 Gateway 172.20.10.1 (Ubiquiti USG).
Auf dem USG sind alle weiteren SVIs angelegt unter anderem VLAN 100 als MGMT Netz (172.20.100.0/24).
Da das USG zu schwachbrüstig ist, wollte ich eine Sophos XG Home Edition aufsetzen um ein Site 2 Site VPN aufzubauen.
Der Sophos habe ich in Hyper-V zwei virtuelle Netzwerkkarten zugewiesen und jeweils das enstprechende VLAN drauf getaggt, siehe Anhang.
NIC1 ist im VLAN 100, dort hat die Sophos die 172.20.100.200.
NIC2 ist im VLAN 245, dieses ist ein /30 Transfer Netz zwischen USG und Sophos, die Sophos hat die 172.20.254.2.
Ich bin aktuell per RDP auf einem Client drauf, welcher ebenfalls auf diesem Hypervisor läuft.
Von diesem aus habe ich die Sophos konfiguriert, hierfür habe ich ihm eine zweite virtuelle NIC gegeben und ins VLAN 100 gepackt.
Das merkwürdige ist, nur wenn der Client diese zweite NIC im VLAN 100 hat komme ich auf die Weboberfläche, von anderen Clients aus welche im normalen Client VLAN 10 sind komme ich nicht auf die Weboberfläche und kann die Sophos auch nicht pingen, weder das Inside noch das Outside Interface.
Das VLAN Routing an sich funktioniert aber, andere Clients in den verschiedenen VLANs sind pingbar.
Das komische ist, wenn ich auf die Console der Sophos gehe, kann ich alle andere Netze pingen und zwar nicht nur das SVI auf dem USG sondern auch Clients die sich dort drinnen befinden.
Als Beispiel, ich kann von der Sophos aus den Hypervisor (172.20.10.254) anpingen aber von diesem aus nicht per Brwoser auf die Weboberfläche oder auch nur anpingen.
Was mich so verwirrt, ist das nur die eine Richtung nicht zu funktionieren scheint die andere hingegen schon.
Hat jemand eine Idee woran das liegen kann ?
Der komplette Traffic läuft halt über das eine NIC Team aber durch das VLAN tagging sollte es an sich ja kein Problem sein.
Ich hab schon versucht extra virtuelle Switches zu konfigurieren und diese mit dem entsprechenden VLAN Tag zu versehen anstatt immer die Physikalische NIC des Hypervisors zu wählen und dort den VLAN Tag zu setzen aber auch das hat nichts gebracht.
ich habe ein merkwürdiges Problem.
Ausgangssituation ist folgende:
Windows Server 2019 als Hypervisor => per LACP an Ubiquiti Switch angeschlossen => Alle VLANs Tagged, VLAN 10 Untagged.
IP des Servers 172.20.10.254/24 Gateway 172.20.10.1 (Ubiquiti USG).
Auf dem USG sind alle weiteren SVIs angelegt unter anderem VLAN 100 als MGMT Netz (172.20.100.0/24).
Da das USG zu schwachbrüstig ist, wollte ich eine Sophos XG Home Edition aufsetzen um ein Site 2 Site VPN aufzubauen.
Der Sophos habe ich in Hyper-V zwei virtuelle Netzwerkkarten zugewiesen und jeweils das enstprechende VLAN drauf getaggt, siehe Anhang.
NIC1 ist im VLAN 100, dort hat die Sophos die 172.20.100.200.
NIC2 ist im VLAN 245, dieses ist ein /30 Transfer Netz zwischen USG und Sophos, die Sophos hat die 172.20.254.2.
Ich bin aktuell per RDP auf einem Client drauf, welcher ebenfalls auf diesem Hypervisor läuft.
Von diesem aus habe ich die Sophos konfiguriert, hierfür habe ich ihm eine zweite virtuelle NIC gegeben und ins VLAN 100 gepackt.
Das merkwürdige ist, nur wenn der Client diese zweite NIC im VLAN 100 hat komme ich auf die Weboberfläche, von anderen Clients aus welche im normalen Client VLAN 10 sind komme ich nicht auf die Weboberfläche und kann die Sophos auch nicht pingen, weder das Inside noch das Outside Interface.
Das VLAN Routing an sich funktioniert aber, andere Clients in den verschiedenen VLANs sind pingbar.
Das komische ist, wenn ich auf die Console der Sophos gehe, kann ich alle andere Netze pingen und zwar nicht nur das SVI auf dem USG sondern auch Clients die sich dort drinnen befinden.
Als Beispiel, ich kann von der Sophos aus den Hypervisor (172.20.10.254) anpingen aber von diesem aus nicht per Brwoser auf die Weboberfläche oder auch nur anpingen.
Was mich so verwirrt, ist das nur die eine Richtung nicht zu funktionieren scheint die andere hingegen schon.
Hat jemand eine Idee woran das liegen kann ?
Der komplette Traffic läuft halt über das eine NIC Team aber durch das VLAN tagging sollte es an sich ja kein Problem sein.
Ich hab schon versucht extra virtuelle Switches zu konfigurieren und diese mit dem entsprechenden VLAN Tag zu versehen anstatt immer die Physikalische NIC des Hypervisors zu wählen und dort den VLAN Tag zu setzen aber auch das hat nichts gebracht.
