Hilfe beim VLAN Routing mit einem HP/3com Switch

berni93

berni93

Enthusiast
Thread Starter
Mitglied seit
15.06.2009
Beiträge
1.148
Ort
Am Bodensee
Hallo zusammen,

ich benötige bitte eure Hilfe beim Routing zwischen unterschiedlichen VLANs.

Ausgangslage:
VLAN 1 - 192.168.2.0/24
VLAN 2 - 192.168.1.0/24
Switch: HP1910-24G (3Com 2928) ist glaube L2+
Beide VLANs (untagged, Port based) besitzen ein eigenes Gateway (inkl. DHCP, DNS) worüber die Clienten ins Internet kommen. Die Trennung der Netze funktioniert ohne Einschränkungen - soweit alles okay.

Zielzustand:
Trennung der VLANs wie oben und ein Gerät in beiden VLANs.
Gerät X besitzt eine IP aus dem Adressraum von VLAN 1 und soll auch von anderen Geräten in VLAN 2 erreicht werden können. Ich habe lange versucht mit dem IPv4 Routing den Zielzustand herzustellen, leider ohne Erfolg. Vermutlich mache ich dabei irgendwas falsch. Der Port an dem Gerät X angeschlossen ist, ist als Hybrid Port (VLAN1 und VLAN2) konfiguriert. Die Thematik mit den VLANs gehört auch nicht so wirklich zu meinen Stärken.

Weiß hier jemand, ob der Zielzustand technisch überhaupt zu erreichen ist und falls ja, wie der Switch konfiguriert werden muss?

Vielen Dank bereis im Voraus,
berni93
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hi berni,

ist der Switch das Gateway, oder ein anderes Gerät/Router im LAN?

Mal am besten mal auf, wie das Netzwerk ausschaut.

Die Kommunikation zwischen den beiden VLANs muss immer über ein routendes Gerät passieren. Das kann entweder ein Router, Firewall oder eben der Switch sein.

Sofern die Verbindung ins Internet schon für beide VLANs funktioniert, kann es ja nur an einer Firewallregel auf dem Router liegen, welcher die Verbindung blockiert.
 
Hi Seratio,
vielen Dank für die schnelle Antwort.

Ich mache morgen gerne eine Zeichnung, ist dann glaube ich besser verständlich.

Aktuell ist der Switch nur ein "einfacher" L2 Switch der die zweit Subnetze über die VLANs trennt. Jedes VLAN besitzt ein eigenes Gateway, das Routing zwischen den VLANs müsste der Switch übernehmen. Wobei ich eigentlich dachte, es müsste auch ohne direktes Routing gehen, aber das zeige ich morgen besser mit der Zeichnung.

Viele Grüße
 
Ich habe das Bild nun mal gezeichnet und hoffe, es ist halbwegs verständlich:



Ziel ist es, dass das Gerät X unter der IP aus dem Adressraum von VLAN1 im VLAN2 erreichbar ist. Hierzu habe ich versucht den Port 16 als Hybrid-Port zu definieren, welcher sich somit in VLAN 1 und 2 befindet. Leider ist das Gerät in VLAN2 nicht zu erreichen. Irgendwas scheint hier nicht korrekt zu sein.
 
VLANs haben nichts mit der IP zu tun....das sind nur virtuelle LAN-Kabel.
Kann das Gerät X tagged VLANs nutzen und zwei IPs vergeben, dann vergib je eine IP für jedes VLAN und noch den Switch auf dem Port für Gerät X auf tagged VLANs umstellen
 
Zuletzt bearbeitet:
Das Gerät X bietet leider keine Möglichkeit für ein tagged VLAN. Das die IPs nichts mit dem VLAN selbst zu tun haben ist mit bekannt. Was mir eben Probleme verursacht ist, dass scheinbar der Port nicht in beiden VLANs ist, obwohl es so konfiguriert ist.
 
Warum sollte er nicht? Wenn die Kiste kein tagged kann, dann sieht die das natürlich nicht. Da wäre die Switch config dann interessant.
 
Wo ist denn jetzt das Problem?

1. Der Switch kann kein Routing.
2. Der Switch wird ein Paket an einem VLAN1 Port immer an einen VLAN1 Port weiteleiten, genauso wie mit VLAN2.
3. Pakete unterschiedlicher VLANs werden sich nie vermischen. Dazu bedarf es Routing, aber auch da vermischen sich VLANs nicht, weil das Routing die VLAN-Struktur unterbricht.

Lösung:
1. einen L3 Switch beschaffen
2. einen Router beschaffen, der VLANs und mehrere log. Interfaces beherrscht und dem die VLANs getagged vom Switch zukommen lassen und dann mit ACLs routen, egal ob ins Internet oder zwischen den VLANs

Denkfehler:
Ein Port ist immer nur in einem VLAN. Ein Port mag in der Lage sein Pakete von mehreren (definierten) VLANs anzunehmen oder rauszublasen, es gibt aber immer nur ein VLAN, welches das sogenannten native VLAN ist. Native VLAN ist das VLAN, wohin ein Paket einsortiert wird, wenn es keinen Tag hat.

EDIT:
Die 1900er können Routing.
In der GUI sollte ein IPv4 Routing-Eintrag sein.
Ggf. nen Firmwareupdate machen.

Allerdings wird das dann mit deiner Config her etwas lustig, da der Switch default gateway sein muss.
Dies wiederum bedeutet auch, dass deine aktuellen Router intern auch wiederum Gateway ansprechen können müssen.
Dein Netzwerkkonzept ist in der aktuellen Form so nicht wirklich durchdacht.
 
Zuletzt bearbeitet:
KurantRubys schrieb:
Warum sollte er nicht? Wenn die Kiste kein tagged kann, dann sieht die das natürlich nicht. Da wäre die Switch config dann interessant.
Zum Vergrößern anklicken....

Ich habe den Port für untagged VLAN 1 und untagged VLAN 2 konfiguriert. Daher ging ich davon aus, dass die Pakete aus beiden VLANs an diesem Port ankommen. Das würde aber bedeuten, dass ein Paket das über den Port raus geht auch in beide VLANs gehen müsste - und ich glaube hier liegt mein Denkfehler. Das geht glaube ich nicht, oder?

underclocker2k4 schrieb:
Wo ist denn jetzt das Problem?

1. Der Switch kann kein Routing.
2. Der Switch wird ein Paket an einem VLAN1 Port immer an einen VLAN1 Port weiteleiten, genauso wie mit VLAN2.
3. Pakete unterschiedlicher VLANs werden sich nie vermischen. Dazu bedarf es Routing, aber auch da vermischen sich VLANs nicht, weil das Routing die VLAN-Struktur unterbricht.

Lösung:
1. einen L3 Switch beschaffen
2. einen Router beschaffen, der VLANs und mehrere log. Interfaces beherrscht und dem die VLANs getagged vom Switch zukommen lassen und dann mit ACLs routen, egal ob ins Internet oder zwischen den VLANs

Denkfehler:
Ein Port ist immer nur in einem VLAN. Ein Port mag in der Lage sein Pakete von mehreren (definierten) VLANs anzunehmen oder rauszublasen, es gibt aber immer nur ein VLAN, welches das sogenannten native VLAN ist. Native VLAN ist das VLAN, wohin ein Paket einsortiert wird, wenn es keinen Tag hat.

EDIT:
Die 1900er können Routing.
In der GUI sollte ein IPv4 Routing-Eintrag sein.
Ggf. nen Firmwareupdate machen.

Allerdings wird das dann mit deiner Config her etwas lustig, da der Switch default gateway sein muss.
Dies wiederum bedeutet auch, dass deine aktuellen Router intern auch wiederum Gateway ansprechen können müssen.
Dein Netzwerkkonzept ist in der aktuellen Form so nicht wirklich durchdacht.
Zum Vergrößern anklicken....

Vielen Dank für deinen ausführlichen Beitrag.

Der Switch kann IPv4 Routing, das ist korrekt. Als default Gateway würde ich den Switch jedoch ungern verwenden. Beide VLANs habe bis auf das Gerät X nichts miteinander zu tun und sollen daher auch getrennt sein. Das Gateway in VLAN1 kann selbst auch mit VLANs arbeiten, hier sehe ich aber das Problem mit der Trennung der Subnetze. Der Aufbau des Netzwerks is leider bedingt durch die Unabhängigkeit beider Netze nicht anders zu machen. Fällt der Switch aus, laufen beide Netze weiter, die gezeigten Netzwerke sind größer wie im Bild dargestellt.

Seht Ihr einen Weg, wie ich in VLAN2 auf das Gerät X zugreifen kann, ohne den gesamten Aufbau zu ändern? Ist das durch ein Routing mit dem Switch machbar?
Wie gesagt, ich bin mit dem VLAN und Routing Thema nicht so vertraut.
 
...einen Mini-Router (zB MikroTik hex GR3) an den Switch-Port von Gerät X. Im Switch tagged VLANs und im Mikrotik ebenfalls die VLANs zum Switch taggen.
Gerät X an den Mikrotik und die (Sub-)netze im Mikrotik routen....in der Firewall alle Forwards bis auf Gerät X sperren.
 
Der einfachste Weg wäre, wenn man dem Gerät X eine 2. NIC spendiert. Damit ist man das Problem los.
Dann hängt besagtes Gerät in beiden Subnetzen.

Alles andere bedarf schon einer etwas besserer Planung.

Die Lösung von hominidae wird so auch nicht funktionieren. Es kann in einem Subnetz nur einen Router geben, um es mal einfach zu sagen.
Ob nun der Switch oder der Mikrotik (da nehmen sich beide nichts und der Mikrotik verbraucht nur Platz und Strom) das zusätzliches Routing übernehmen ändert nichts daran, dass die Pakete immer bei den "obrigen" Gateways landen und die das Zeug ins Nirvana schieben.
Abhilfe schafft nur eine Infrastruktur mit Routingconfig/-protokollen, das hängt aber von den Routern ab, über die wir nichts wissen.

Man kann vieles machen, es hängt aber massiv vom Usecase, der vorhandenen Infrastruktur, den Investitionsmitteln und nicht zu letzt von den Fahigkeiten von Layer8 ab.
 
berni93 schrieb:
Ich habe den Port für untagged VLAN 1 und untagged VLAN 2 konfiguriert. Daher ging ich davon aus, dass die Pakete aus beiden VLANs an diesem Port ankommen. Das würde aber bedeuten, dass ein Paket das über den Port raus geht auch in beide VLANs gehen müsste - und ich glaube hier liegt mein Denkfehler. Das geht glaube ich nicht, oder?
Zum Vergrößern anklicken....
Da liegt kein Denkfehler vor.
Die entscheidende Frage ist aber, in welches VLAN kommt das Paket, was auf dem Port reinkommt? Tor 1, 2 oder 3?
PS: untagged bedeutet, dass ein Paket garkein Tag mehr hat, daher auch der Name...
 
Zuletzt bearbeitet:
Was sind denn die beiden Router? Können die VLANs?
Weil die "sinnigste" Version Gerät X in beiden Netzen ansprechbar zu machen wäre, wenn du ein drittes Netz definierst und die beiden Router über ein Transfer Netz miteinander verbindest. Wenn beide Router mit VLANs umgehen können, dann wäre es hier bspw. eine Option, den Uplink Port jeweils zum Switch mit VLAN 1 (bei Router 1) bzw VLAN 2 (bei Router 2) zu taggen und zusatzlich das VLAN 3 bei beiden Ports drauf zu legen.
Den Routern gibst du dann ein IP Interface in VLAN 3 - keine Ahnung, sagen wir 10.0.0.1/30 und 10.0.0.2/30. Auf Router 1 schreibst du dann eine statische Route nach dem Motto 192.168.1.0/24 ist erreichbar via 10.0.0.2. Und auf Router 2 lautet die Route dann 192.168.2.0/24 ist erreichbar über 10.0.0.1. Danach funktioniert der Zugriff zwischen den Netzen!

Wenn du weiterhin den Traffic (bis auf die eine Ausnahme für Gerät X) unterbinden möchtest, dann schreibst du wahlweise noch ne Access Liste auf beiden Routern, die eben nur entsprechende Pakete durchlassen. Je nach dem ob der "Router" vielleicht sogar eher eine Firewall mit Routingfunktionen ist, würde man sowas auch via Firewall Regeln "steuern" können. An Gerät X ist dabei gar nix zu "machen".

Erwähnt sein muss allerdings, dass das schon für die meisten Heimschmetten aus dem Plaste-Regal zu viel ist. Die können zwar "routen", von meist einem Netz, maximal zusätzlich noch einen Gästebereich in Richtung Internet und haben ne rudimentäre Firewall Funktion, aber dann hört es meist schon auf. Normal ist das aber 0815 Standard Kost, wenn es sich um Business Geräte handelt. Hier wäre also gut zu wissen, was die Teile können/wie die Dinger heißen.


Die Alternative dazu wäre, dem Gerät X eine zweite Netzwerkkarte zu geben und jeweils eine Adresse im IP Netz von VLAN 1 und 2. Rein formal ist das aber ein ungünstiger Aufbau mMn, weil du damit die Netztrennung aufhebst und an der eigentlichen Security Instanz vorbei, nämlich am Router/der Firewall vorbei, der die Netztrennung im Zweifel steuert.
 
Zuletzt bearbeitet:
Das mein ich nicht.
Im VLAN1 und im VLAN2 hat man je 1x den Internetrouter als router und 1x den MT als Router für das Sondergerät.
Damit hat man dann im VLAN1 und VLAN2 je 2 router. Nur wie weiß denn ein Device im VLAN1, wann es mit dem MT und nicht mit dem Internetrouter reden soll? IPTables?

Einzige Chance wäre dann noch ein Hardcore NAT.
 
Zunächst möchte ich mir erstmal für die vielen Beiträge bedanken.

Ich bin noch nicht dazu gekommen, alle Vorschläge zu durchdenken oder auszuprobieren. Das werde ich jedenfalls noch im Laufe der Woche machen.
Ein Router ist eine kleine FritzBox und der andere Router ist ein beIP Plus. Der Netzwerkaufbau is etwas kompliziert, da alle drei Geräte an unterschiedlichen Orten stehen.

Aktuell kann ich von beiden Netzen die Geräte pingen. Hierzu route ich die Adresse aus den Subnetzen zum Switch, leider funktioniert aktuell nur der Ping, alle anderen Dienste funktionieren noch nicht.
Wenn alle Dienste funktionieren, müsste ich mich noch um den Zugriffsschutz kümmern. Wie bewertet Ihr den Weg (falls alle Dienste irgendwann laufen)?

Das Gerät X besitzt nur eine NIC und eine beschränkte Software. Sonst hätte ich das Problem einfach mit zwei Netzwerkverbindungen gelöst.
 
...die Fritz kann keine VLANs, der Bintec eigentlich schon.
berni93 schrieb:
Der Netzwerkaufbau is etwas kompliziert, da alle drei Geräte an unterschiedlichen Orten stehen.
Zum Vergrößern anklicken....

...aber mit einem LAN-Kabel direkt verbunden, oder?

berni93 schrieb:
Aktuell kann ich von beiden Netzen die Geräte pingen. Hierzu route ich die Adresse aus den Subnetzen zum Switch, leider funktioniert aktuell nur der Ping, alle anderen Dienste funktionieren noch nicht.
Zum Vergrößern anklicken....

...also, das macht mich jetzt etwas stutzig....was hast Du jetzt auf dem Switch eingestellt?
 
Wenn ein Ping funktioniert, aber andere Dienste nicht, dann deutet meist auf ein asynchrones Routing in Kombination mit einer Statefull Firewall hin, welche die Sessions bricht, bzw nicht korrekt aufbaut, weil sie nur Hin oder Rückweg des Verkehrs sieht.

@berni93 kannst du mal versuchen alles in ein Bild zu gießen, was du jetzt konfiguriert hast? Also welche IP hat welches Gerät, welche statischen Routen sind konfiguriert etc.
 
hominidae schrieb:
...die Fritz kann keine VLANs, der Bintec eigentlich schon.

...aber mit einem LAN-Kabel direkt verbunden, oder?

...also, das macht mich jetzt etwas stutzig....was hast Du jetzt auf dem Switch eingestellt?
Zum Vergrößern anklicken....

Das ist korrekt, der Bintec kann echt sehr viel, die FritzBox hat hier das nachsehen.
Die Verbindung zum Switch erfolgt immer per Ethernet.

Zur Switch Config, siehe bitte unten:

Seratio schrieb:
Wenn ein Ping funktioniert, aber andere Dienste nicht, dann deutet meist auf ein asynchrones Routing in Kombination mit einer Statefull Firewall hin, welche die Sessions bricht, bzw nicht korrekt aufbaut, weil sie nur Hin oder Rückweg des Verkehrs sieht.

@berni93 kannst du mal versuchen alles in ein Bild zu gießen, was du jetzt konfiguriert hast? Also welche IP hat welches Gerät, welche statischen Routen sind konfiguriert etc.
Zum Vergrößern anklicken....

Das mit der Firewall könnte sein, aber eigentlich müsste ja der Hin und Rückweg funktionieren, sonst würde der Ping ja nicht zurück kommen.

Aktuell route ich:
VLAN1: 192.168.1.0/24 zu 192.168.2.254 (VLAN1 Interface IP) - Adressbereich VLAN1: 192.168.2.0/24
VLAN2: 192.168.2.0/24 zu 192.168.1.254 (VLAN2 Interface IP) - Adressbereich VLAN2: 192.168.1.0/24

Die VLANs selbst sind einfach Port-based definiert. So ganz verstehe ich nicht, warum der Switch die Pakete zwischen den VLANs passieren lässt. Habe ich jedenfalls anders erwartet.
Das Routing selbst verläuft direkt, ohne unnötige Zwischenschritte. Warum jedoch die anderen Dienste nicht funktionieren weiß ich aktuell nicht.
 
Die Routen hast du nehm ich an, auf den Servern/Rechnern gesetzt oder? Das wäre dann zumindest richtig und müsste eigtl funktionieren. Sofern nicht anders konfiguriert, sollte der Switch auch nicht firewallen.

Wenn du magst, kannst du gern mal die Config des Switches hier rein pasten. Also "show run" müsste das bei HP sein, wenn der Switch denn ne CLI hat :d
 
Poste doch bitte mal die Config von dem Gerät, von dem du aus pingst.
Poste bitte auch nen Tracert zu Ping-IP.

Ich nehme mal dann, dass die 192.168.x.254 die InterfaceIP des Switches in den jeweiligen VLANs ist?!
 
Seratio schrieb:
Die Routen hast du nehm ich an, auf den Servern/Rechnern gesetzt oder? Das wäre dann zumindest richtig und müsste eigtl funktionieren. Sofern nicht anders konfiguriert, sollte der Switch auch nicht firewallen.

Wenn du magst, kannst du gern mal die Config des Switches hier rein pasten. Also "show run" müsste das bei HP sein, wenn der Switch denn ne CLI hat :d
Zum Vergrößern anklicken....

Die Routen habe ich in den beiden "Routern" gesetzt, an den PCs habe ich nichts verändert. Per Telnet sagt der Switch, dass er "show run" nicht kennt.
Okay, war mir nicht klar, dass der Switch erstmal alles "durchlässt".

underclocker2k4 schrieb:
Poste doch bitte mal die Config von dem Gerät, von dem du aus pingst.
Poste bitte auch nen Tracert zu Ping-IP.

Ich nehme mal dann, dass die 192.168.x.254 die InterfaceIP des Switches in den jeweiligen VLANs ist?!
Zum Vergrößern anklicken....

Was genau meinst du mit der Config des Geräts, von dem ich den Ping absetzt?
Genau, die 192.168.x.254er Adressen sind die Interface IPs im Switch zum jeweiligen VLAN.
 
berni93 schrieb:
Die Routen habe ich in den beiden "Routern" gesetzt, an den PCs habe ich nichts verändert. Per Telnet sagt der Switch, dass er "show run" nicht kennt.
Zum Vergrößern anklicken....

Dann hast du jetzt den Zustand des Asychronen Routings. Dein Client schickt das Hinpaket zu seinem Default Gateway, weil nicht im gleichen Subnetz, der Router kennt die Route, schickt es weiter zum zweiten Router (192.168.1.254) und der schickt es zum Ziel - Während aber das Rückpaket nicht über den ersten Router zurück geht, weil der im selben Netz wie die ursprüngliche Quelle ist. Die 192.168.1.254 erreicht zum übersenden des Rückpakets sein "Ziel" direkt.

Wie oben schon angemerkt wurde verwirft hier im Zweifel einer der Router dann die Pakete, weil nur einseitig...
Asychrones Routing sollte mal definitiv vermeiden!
Deswegen sagte ich oben, nimm ein drittes Netz als Transfernetz zwischen den Routern - das klappt aber mit der FB nicht wirklich, da diese kein zweites Interface intern kann.

Option hässlich wäre, wenn Router 2 (die nicht FB) ein Bein in Netz 1 bekommt - und du NATest den Traffic zu Gerät X auf diese IP. Das müsste dann Router 2 übernehmen.
Du wirst aber dann nur von Netz 2 hinter Router 2 auf Gerät X kommen - nie (ohne noch mehr NAT) von Gerät X zu Netz 2 ;)
 
Sorry, das ich mich so lange nicht zurückgemeldet habe.

Habe das Problem mittlerweile gelöst. Nachdem ich nochmals alle Antworten gelesen hab, war klar, dass es mit den VLANs nicht wie gewünscht klappen wird. Liegt jedoch eher an den Geräten als an der eigentlichen Funktionalität eines VLANs. Gelöst habe ich es über eine Firewall welche nur den Traffic von Gerät X durch lässt. Am HP Switch gibts somit keine Unterteilung in VLANs mehr.

Jedenfalls möchte ich mich nochmals für alle Antworten/Beiträge bedanken.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh