Probleme mit VLans

[Haures]

Kann mir jemand helfen beim Einrichten von VLans mit einem HP2915-8G?

Guten Tag, ich habe folgendes Szenario:

Ich habe auf dem Switch Port 1-4 Untagged im Vlan ID100 mit der IP 192.168.1.99 Port 5-8 Untagged im VLan ID200 mit der IP 10.10.10.55 Das Default Vlan hat die IP 172.16.130.230 Port 10 ist Tagged im Vlan ID100, ID200 und Untagged im Default Vlan. Über Port 10 soll jetzt ein Client mit den jeweiligen Netzen VLan 100 und 200 kommunizieren.

Adresse dies Clients welcher an Port 10 angeschlossen ist lautet: 172.16.130.25

Die Vlan IPs 192.168.1.99 und 10.10.10.55 kann ich auch pingen jedoch keinen Rechner welcher sich in einem der Vlans befindet wie z.B. 192.168.2.100 Vom Switch aus ist der Ping jedoch möglich. Weiß einer wo mein Fehler ist?

Solltet Ihr noch weitere Informationen brauchen bitte fragen.

Gruß Haures

[SilentDemise]

Gibt es denn eine passende Route zu den Clients des jeweiligen VLANs?

[Crash2001]

Also wenn ich das richtig sehe also so, oder?

vlan 100 IP 192.168.1.99

vlan 200 IP 10.10.10.55

vlan 1 IP 172.16.130.230

Nur IP-Adressen sagen nichts aus - es wird auch noch die Netzgröße / Subnetmask benötigt.

• Von wo aus kannst du was pingen?
  
• Der Client (Rechner oder was anderes?) wird doch vermutlich nicht per trunk angebunden werden, sondern er wird über das untagged vlan kommunizieren, oder?
  
• Wie sollen die Clients die IP-Adresse 192.168.2.100 erreichen? Liegt diese in der Range von einem der 3 vlans?
  
• Hast du Routing zwischen den Netzen eingerichtet?
  
• Haben die Clients jeweils die IP-Adresse des vlan Interfaces als Default GAteway eingetragen?
  
• ...

[Haures]

Hi also

VLAN 100 IP 192.168.1.99/24

VLAN 200 IP 10.10.10.55/16

VLAN 1 IP 172.16.130.230/16

ich kann vom Switch aus alles pingen

vom Client aus 172.16.130.25 Default Gateway 172.16.130.230 kann ich die 10.10.10.55 und 192.168.1.99 pingen jedoch keinen Client welcher sich in dem VLAN befindet und sorry des zu pingenden Clients lautet nicht 192.168.2.100 sondern 192.168.1.100

Routing ist eingeschaltet und die Routen sehen wie folgt aus

Destination

10.10.0.0/16 Gateway SN (Name des Vlans 200)

127.0.0.0/8 Gateway reject

127.0.0.1/32 Gateway lo0

172.16.0.0/16 Gateway Default_Vlan

192.168.1.0/24 Gateway VN (Name des Vlans 100)

[Crash2001]

[...]

Routing ist eingeschaltet und die Routen sehen wie folgt aus

Destination

10.10.0.0/16 Gateway SN (Name des Vlans 200)

127.0.0.0/8 Gateway reject

127.0.0.1/32 Gateway lo0

172.16.0.0/16 Gateway Default_Vlan

192.168.1.0/24 Gateway VN (Name des Vlans 100)

Was genau soll und das nun sagen? :confused:

Zeig uns mal die Routingtabelle vom Switch.

Ansonsten: Mach mal alle statischen Routen auf dem Switch raus und aktiviere IP Routing. Dann sollte er eigentlich automatisch richtig routen.

[Haures]

Was genau soll und das nun sagen? :confused:

Zeig uns mal die Routingtabelle vom Switch.

Ansonsten: Mach mal alle statischen Routen auf dem Switch raus und aktiviere IP Routing. Dann sollte er eigentlich automatisch richtig routen.

Hier die Routingtabelle

[Crash2001]

Das sind automatisch generierte Routen, oder?

Somit kennt der Switch alle betroffenen Netze.

Sollte also keine Accessliste das Routing einschränken, sollte es eigentlich funktionieren, wenn die Clients ihr entsprechendes Gateway richtig eingetragen haben.

Hier noch ein paar weitere Ideen:

Wurde der Switch nach Aktivierung von "ip Routing" neu gestartet? Manche HP-Switche brauchen da wohl noch einen Neustart nach, damit es funktioniert.

Ist "ip Routing" überhaupt aktiviert?

Erlauben die Firewalls auf den Clients ICMP (Ping)?

Du könntest mal versuchen, ein Default Gateway / Null-Route einzutragen.

Versuchst du Gateway-IP-Adressen oder Client-IP-Adresse zu erreichen? Bei HP-Geräten reagieren die Gateways solange nicht auf Pings, solange da kein Client drin ist.

Steht im Logfile irgendetwas?

Was für Debug-Möglichkeiten hast du? (Debug auf dem Switch, Netzwerksniffer, ...)

[Eta_Carinae]

Port 10 ist Tagged im Vlan ID100, ID200 und Untagged im Default Vlan. Über Port 10 soll jetzt ein Client mit den jeweiligen Netzen VLan 100 und 200 kommunizieren.

Also der Client hängt am Port 10. Port 10 ist tagged member von VLAN 100 und 200, sowie untagged member im Default VLAN (wahrscheinlich 1). Damit das funktioniert, muss der Client in der Lage sein Frames mit VLAN Tags für die VLANs 100 und 200 zu empfangen und zu versenden. Wenn er das nicht kann, dann muss der Switch das Inter-VLAN Routing übernehmen.

[Haures]

Morgen zusammen,

habe jetzt mal den Traffic mit Wireshark überwacht und festgestellt das von meinem Client an Port 10 mit der IP 172.16.130.25 der Ping am Ziel Client 10.10.40.4 also VLAN 200 erfolgreich ankommt. Dieser versucht auch eine Antwort zu senden welche jedoch nicht mehr bei 172.16.130.25 ankommt.

[pantsoff]

Dann ist es offensichtlich, dass die Route zurück nicht bekannt ist. Mach auf dem Client Route print und einen tracert zum Ziel, checke ebenfalls nochmal die Routen auf dem Switch, eventuell hat dieser ein Tracert Tool (vllt. direkt ueber Konsole).

[Haures]

Hallo Pantsoff einige Posts weiter oben habe ich meine Routingtabelle des Switches gepostet meiner Ansicht nach stehen dort ja alle Routen drin, die der Switch benötigt um die Vermittlung der Pakete abzuschließen.

Das Traceroute auf dem Switch ist leider Müll, da dieses immer den kürzesten weg geht und somit den Trace aus dem VlanID200 abschickt und dann direkt beim Client 10.10.40.4 ankommt.

Ich habe allerdings auch aktuell keine Idee was in den Vlans 100 und 200 eingerichtet werden muss, das diese eine Rückantwort an die Ports 9 und 10 liefern können.

Zur Erinnerung Port 9 und 10 sind im Vlan 100 und 200 tagged und im DefaultVlan1 Untagged.

[Haures]

Danke für eure Hilfe habe den Fehler gefunden. Das Problem lag nicht am Switch sondern am User der zu doof war die Firewall auch entsprechend zu konfigurieren.

[Crash2001]

Das ist etwas, was man als erstes immer ausschließen sollte.

Firewalls beim testen erst einmal aus schalten und wenn alles funktioniert, nach und nach wieder aktivieren und eventuell benötigte Berechtigungen freigeben.

[Haures]

Die Firewalls der Clients etc. waren ausgeschaltet nur befand sich in dem Netz noch eine Test Firewall welche ich nicht beachtet hatte, da mein Kollege mit dieser am arbeiten war und wir beide nicht dran gedacht haben das diese im selben Netz ist wie die VLans

[Smau]

Salve,

das sollte euch eig. auffallen da:

Entweder die L3-Interfaces der VLANs (auf Switches als SVI bekannt) auf der Firewall liegt oder der Traffic irgendwie über die Firewall gerouted (L3) oder geswitcht (L2 - transparente Firewall) wird damit das Regelwerk der Firewall zum greifen kommt.

D.h. irgendwo muss manuell der Fluss des Netzes über oder auf die Firewall geleitet werden.

[Haures]

Salve,

das sollte euch eig. auffallen da:

Entweder die L3-Interfaces der VLANs (auf Switches als SVI bekannt) auf der Firewall liegt oder der Traffic irgendwie über die Firewall gerouted (L3) oder geswitcht (L2 - transparente Firewall) wird damit das Regelwerk der Firewall zum greifen kommt.

D.h. irgendwo muss manuell der Fluss des Netzes über oder auf die Firewall geleitet werden.

Wow was für ein nutzloser Kommentar

[SilentDemise]

Wenn ich so wenig Ahnung von der Thematik hätte, würde ich Leuten die das seit Jahren machen nicht so unfreundlichen Kram um die Ohren hauen.

[Smau]

"Nutzlosigkeit" liegt im Auge des Betrachters.

Ich gebe nur Hinweise auf was das nächste mal evtl. im Bezug auf Firewalls beachtet werden soll.

Wenn du meinst das sei nutzlos für dich - ist das vollkommen in Ordnung.

Ich hoffe du verhälst dich in deinem Arbeitsverhältnis nicht auch so... plump.

[Haures]

Okay ich korrigiere meine Aussage dein Post war für mich einfach nicht hilfreich. Da erstens das Problem schön gelöst war und zweitens die Firewall nicht direkt an den Switch sondern erst über mehrere andere Switche mit meinem verbunden war (also nicht direkt ersichtlich das diese im meinem Netz ist) und zweitens auch keine Route auf meinem Switch zu dieser Firewall geführt hat.

Und du hast recht liegt im Auge des Betrachters und ist meine Meinung. Die Aussage mit dem plump lasse ich mal so stehen ich sage halt was ich denke.

@SilentDemise du kennst mich nicht, hast demnach keine Ahnung, wie viel Ahnung und Erfahrung ich habe und jeder der behauptet ihm wäre nicht schon mal ein ähnlicher "einfach bzw. dummer Fehler" unterlaufen lügt. Also muss ich sagen der Kommentar von Smau war für mich Nutzlos hatte aber was mit der Thematik zu tun dein Kommentar ist einfach Thema verfehlt aber ich mische mich gerne ein.

So und mit diesem Post sollte das Thema geschlossen sein.

Danke an alle die sich damit befasst haben auch an Smau und Entschuldige meine Plumpe art.

Bearbeitet 16. Juli 2015 von Haures

[eneR]

@SilentDemise du kennst mich nicht, hast demnach keine Ahnung, wie viel Ahnung und Erfahrung ich habe und jeder der behauptet ihm wäre nicht schon mal ein ähnlicher "einfach bzw. dummer Fehler" unterlaufen lügt.

Dafür muss man ja nicht zwingend jemanden kennen. Manchmal reicht es für eine Einschätzung auch aus, wie sich ein anderer gibt und in welcher Form gewisse Fragen gestellt oder Aussagen getätigt werden.

[Haures]

Dafür muss man ja nicht zwingend jemanden kennen. Manchmal reicht es für eine Einschätzung auch aus, wie sich ein anderer gibt und in welcher Form gewisse Fragen gestellt oder Aussagen getätigt werden.

Okay also meine Einschätzung über dich (anhand deiner Aussage) würde lauten:

Die bist anscheinend minder Intelligent und kannst schlecht lesen oder verstehst einigen Aussagen einfach nicht.

Denn erstens haben ich dieses Thema mit meinem Post als beendet erklärt und offene Themen abschließend angesprochen. Dein Post hingegen ist jedoch einfach wieder ein Beweis dafür das es manche Menschen gibt die einfach blödsinnige Bemerkungen von sich geben müssen aus welchen Gründen auch immer.

Wenn du hierzu eine Stellungnahme abgeben möchtest kannst du dies gerne tun dann aber bitte via PN damit dieses Thema als beendet gewertet werden kann und nicht Leute immer wieder hier reingucken die etwas konstruktives lesen wollen und dann nur einen so destruktiven ****** sehen.

[Thanks-and-Goodbye]

OK... offensichtlich geht es nicht mehr um die Ausgangsfrage.