muss vlan geroutet werden?

[rb84]

Hallo zusammen

Kann mir jemand hier weiterhelfen?

Habe einen Cisco Switch konfiguriert mit 3 vlans. Auf meiner USG40 Firewall habe ich entsprechend genau diese 3 Vlans erstellt und eine DHCP Konfiguration hinterlegt, die automatisch zugewiesen wird (Alle vlans wurden auf dem Lan Interface (Port1-3 = Lan angelegt). Alles gut bis hierher. Wenn ich einen Computer am Switch anstöpsle bekomme ich, je nach Vlan, eine IP von der Zyxel USG Firewall dynamisch zugewiesen, klappt prima (Switch ist via Trunk an Firewall angebunden). Das Intervlan Routing funktioniert ebenfalls via Switch (L3 Switch), sprich ich kann über die Vlans hinweg die Geräte pingen in den anderen Subnetzen.

Nun habe ich meine USG40 Zyxel Firewall mit dem Internet verbunden. Schliesse ich einen PC direkt an die Firewall an, komme ich auch ins Internet. Möchte ich aber mit den Geräten ins Internet, die am Switch hängen, komme ich nicht ins Internet.

Vlans auf Switch und auf Firewall:
Vlan 200 192.168.2.0 /24 und Gateway 192.168.2.254
Vlan 300 192.168.3.0 /24 und Gateway 192.168.3.254
Vlan 400 192.168.4.0 /24 und Gateway 192.168.4.254

Ip des LAN Interface an der Firewall 192.168.1.1 / 24

Ip's die ich via Switch dann zugewiesen bekomme 192.168.X.200 / 24, Standardgateway 192.168.X.254, DNS Sever 192.168.1.1 (LAN Interface USG Firewall).

Nun wenn ich ein Tracert absetze auf www.google.de von einem Client am Switch, dann komme ich bis zum Gateway 192.168.X.254 (vlan Gateway) aber dann nicht zum 192.168.1.1 (Lan Interface FW) und folglich nichts ins Internet. (Komischerweise hat es Mal geklappt, weiss aber nicht wieso, hatte mal eine statische Route hinterlegt vielleicht deswegen?, aber diese wieder gelöscht).

Meine Frage, muss ich die Vlans auf der Firewall irgendwie Routen, dass meine Clients vom vlan-Standardgateway 192.168.X.254 weitergeroutet werden an die IP des Lan Interfaces 192.168.1.1 und dann ins Internet?

Danke für eure Hilfe.

 

[itm]

Bei Drayteks Vigor Routern muss das zu routende vLAN existieren oder in einer All Regel enthalten sein...

 

[conf_t]

Du brauchst ein Routing von jeweiligen VLAN nach 192.168.1.1

 

[Xippe]

Ohne Routen, kein Netz!

VLans sind nichts anderes wie abgetrennte Bereiche. Ohne zusätzliche Route werden alle Anfragen an öffentliche/andere Vlan Netze gedroppt.

 

[snakesh1t]

Hast du die Firewall konfiguriert?
(V)LAN muss auf WAN zugreifen können, vergesse ich auch immer bei den USGs^^

 

[Zero_Official]

hast du auf dem switch default route eingerichtet?

 

[rb84]

So viele Antworten in kurzer Zeit. Vielen Dank euch.
Ja die FW Policy existiert, danke, momentan ist noch alles offen.

Muss ich nun auf dem Switch die Default Route konfigurieren oder auf der FW pro Vlan?

Wie würde die Konfiguration auf der FW dann aussehen?

Ziel-IP?
Gateway IP oder Schnittstelle?

 

[Zero_Official]

normalerweise gehört default route auf den switch mit vlan ip interfaces, wenn bei dir der swich nur vlans bereitstellt(port marking ohne interface) sollte dies von der firewall/router erledigt werden.

 

[emulbetsup]

Vlans auf Switch und auf Firewall:
Vlan 200 192.168.2.0 /24 und Gateway 192.168.2.254
Vlan 300 192.168.3.0 /24 und Gateway 192.168.3.254
Vlan 400 192.168.4.0 /24 und Gateway 192.168.4.254

Ip des LAN Interface an der Firewall 192.168.1.1 / 24

Hat denn dein L3 Switch ein Bein in dem gemeinsamen Netz mit der FW? Ich komme nämlich auf 4 Netze und keine 3. Sobald der L3 Switch ein Bein und damit eine DC Route zum LAN-Interface der FW hat, sollte 192.168.1.1 von allen Clients erreichbar sein.

 

[rb84]

ok.
Was ich nicht verstehe ist - Die Vlans sind ja auf dem LAN Interface (192.168.1.1) der FW erstellt. Also sollten doch die drei Vlans direkt mit dem Interface, auf dem sie liegen, kommunizieren können.
Ok, Xippe schreibt "vlans sind wie abgetrennte Bereiche", aber was ist dann der Next Hop bzw. ich verstehe nicht, wie ich die Route konfigurieren muss? 192.168.3.254 weiss ja anscheinend nicht, wie er die 192.168.1.1 erreichen kann, die mich dann ins Internet führt.

Destination IP 192.168.1.1 /32
Next Hop Router ip???

Ergänzung (23. Januar 2019)

Also die Infrastuktur ist folgendermassen verbunden:

Cisco Switch (L3) mit 3 vlans auf 9 Ports (je 3 Ports ein vlan). Port 10 ist tagged (trunk) und geht auf den Lan Port1 der Zyxel USG. P1-3 der FW sind alle LAN1 (Port-role LAN1 P1-3). Am dem WAN Interface ist dann das Modem angehängt.

 

[emulbetsup]

Die Zugehörigkeit zu einem VLAN sagt nur etwas über die Konnektivität auf L2 Ebene aus. L2 Broad- und Unicast kommen ja auch an, wie dein erfolgreich konfigurierter DHCP-Server beweist.

Was davon aber völlig unberührt ist, ist die Konnektivität auf IP-Ebene und daran happert es ja bei dir auch.

Welche IPs und welche Routen sind denn auf welchem Interface an der Firewall konfiguriert? Die bräuchte nämlich auch ne Route in die drei Clientnetze, wenn Sie dort kein Bein drinnen hat. Nur weil es eine Hinroute gibt, muss keine Route für den Rückweg existieren.

 

[-=Azrael=-]

Schau mal hier rein, da sind auch weitere Links inkl. Cisco 3 Layer switch config.
https://administrator.de/wissen/vla...-mikrotik-dd-wrt-cisco-rv-routern-110259.html

 

[rb84]

Das LAN Interface der FW hat die IP 192.168.1.1 statisch und gilt für Port1-3. Das WAN Interface bezieht per DHCP die IP vom Modem. Routen sind keine konfiguriert, weder auf dem Switch noch auf der FW. Der Trunk des Switches geht auf P1 des LAN Interfaces der FW. Auf der FW habe ich lediglich die 3 Vlans erstellt und die DHCP Konfig für die Vlans gemacht, ansonsten ist die Konfig blank. Bei den Policy Rules ist alles offen. Schliesse ich direkt den PC an den Port2 des LAN Interfaces an, komme ich sofort ins Netz.

 

[emulbetsup]

Gut, neben anderen Fehlern die da mglw. noch verdeckt sind kennt deine Firewall keine Route in die Clientnetze, weil du keine konfiguriert hast und sie kein Bein (IP) in den Clientnetzen hat.

Finde aber das gesamte Konstrukt ziemlich creepy. Drei Ports auf der Firewall und dann die VLANs via Trunk? Auf allen drei Verbindungen?

EDIT: Ahh, der Trunk nur auf den Port 1 FW. Wohin gehen die anderen zwei Ports von FW? Auch zu dem L3 Switch?

Tante Edith meint: Unanständig Quick und Dirty wäre ne /22er Subnetzmaske auf dem 192.168.1.1 Interface der FW. Dann braucht die FW keine Route, weil sie plötzlich zu allen drei Netzen gehört.

Aber auch wenn´s geht, mach das nicht. Solche Sachen sollte man nicht so betreiben

Ediths kleine Schwester: Sorry, meinte /21

 

[-=Azrael=-]

Wie gesagt schau dir mal den Link an, Endgeräte Ports müssen bei Cisco auf access und untagged sein usw..
Der dhcp sollte auf dem switch laufen usw..
https://administrator.de/forum/verständnissproblem-routing-sg300-28-328442.html#comment-1173859

 

[rb84]

Die anderen Ports der FW sind unbesetzt. Es ist nur eine Testumgebung und soll erst in 1 Jahr produktiv gehen, wenns dann laufen würde.
Meine Ports sind auf access und untagged. Nur der Trunk trunk und tagged

Das wegen dem DHCP lese ich gerne jetzt gleich nach. Nur mein Problem, warum ich nicht ins Internet komme, beschäftigt mich weiter.

Ergänzung (23. Januar 2019)

@Azrael
Diese Punkte habe ich alles so konfiguriert. Das intervlan routing geht ohne Probleme. Ips sind vergeben an alle vlans. Ports sind genau so konfiguriert. Windows FW war zu Beginn ein Problem jetzt auch nicht mehr, da deaktiviert. Muss jetzt das mit den Routen noch lesen.

 

[emulbetsup]

InterVLAN Routing geht, weil das der L3-Switch erledigt und der ja in allen Clientnetzen ein Bein hat. Probier doch just4fun mal die /21 Subnetzmaske auf dem FW-Interface aus. Wenn´s mit der geht, dann liegt das Problem an den Routen auf der FW. Die kennt die Clientnetze eben nicht.

BTW: Was ist das für ein Cisco L3 Router?

 

[rb84]

Das werd ich morgen alles mal ausprobieren. Sg350 10port.

 

[-=Azrael=-]

Diese Punkte habe ich alles so konfiguriert. Das intervlan routing geht ohne Probleme. Ips sind vergeben an alle vlans. Ports sind genau so konfiguriert. Windows FW war zu Beginn ein Problem jetzt auch nicht mehr, da deaktiviert. Muss jetzt das mit den Routen noch lesen.

Dann noch der FW sagen welche Netze sich da befinden, eventuell musst du auch mit udp-helpern etc. arbeiten, ka was du da alles vorhast. Default route 0.0.0.0 auf deine FW IP dann sollte es auch mit dem Internetz klappen, die clients müssen immer das switch/statische vlan route als gateway haben(erledigt der dhcp auf dem switch) usw. .
Lies dich ein und mach es direkt ordentlich.

 

[Raijin]

Hm.. So spontan würde ich auch vermuten, dass es schlicht und ergreifend am Routing liegt. Ein L3-Switch macht zwar Inter-VLAN-Routing, aber kein NAT. D.h. wenn ein Endgerät in einem VLAN eine Internetverbindung herstellen will, bleibt die Quell-IP im Subnetz des VLANs. Wenn der Internet-Router nun eben dieses Subnetz nicht kennt, weiß er auch nicht wohin er die Antwort aus dem www schicken sollte.

Ein Endgerät benötigt ein Standard-Gateway wohin es den Internet-Traffic schickt.
Das Standard Gateway benötigt ebenfalls ein Standard Gateway um den Internet-Traffic weiterzuleiten.
Alle Gateways müssen wissen wohin sie die Antwort auf dem Rückweg schicken müssen.

Wenn nun also das Endgerät den Switch als Gateway hat, dann muss der Switch als Gateway den Internet-Router bzw. die Firewall haben. Hat nun die Firewall keine Ahnung von den VLAN-Subnetzen, wird sie sämtliche Antworten aus dem www einfach in die Tonne treten, weil sie gar nicht wüsste, dass sie die Antwort an den Switch zurückgeben muss, der diese dann wiederum ins jeweilige VLAN weitergibt. Ergo braucht die Firewall Routen in die VLAN-Subnetze über den Switch als Gateway.

Solche Probleme sind aus der Ferne nur schwierig zu finden. An deiner Stelle würde ich mittels tcpdump, WireShark und/oder eingebauten Paketsniffern in Firewall/Switch prüfen bis wohin die Pakete gehen bzw. ab wo sie eben nicht mehr zu sehen sind. Wenn man nicht mal sicher ist wo es hängt, kann man auch keine Lösung erarbeiten, weil man überall gleichzeitig rumfummelt.