Problem Inter VLAN Routing

[Gast runtimerror]

Hallo zusammen,

 

bei einem Kunden haben wir HP-Switches im Einsatz und auf dem Core-Switch ist ip routing aktiv und auch eine entsprechende Default-Route in Richtung Firewall gesetzt. Mit einem VLAN (ID 20) für ein spezielles System gibt es jedoch Probleme, da das Inter VLAN Routing nicht funktioniert. Aktuell kann ich mir darauf keinen Reim machen, ich vermute das die Default-Route greift die aber hier gar nicht greifen soll. Im Segment des VLAN 20 gibt es aber kein  Layer 3 Gerät, sodass es mir nicht möglich ist eine Route für dieses zu setzen.

 

Die Konfig sieht in etwa so aus:

ip routing

ip route 192.168.99.1 255.255.255.0 (Default Route zur Firewall)

VLAN 1

name "Default"

exit

VLAN 2

name "LAN"

ip address 192.168.100.1 255.255.255.0

untagged A1-A24,

tagged Trk1-Trk7 (Uplinks Access Switches)

exit

VLAN 3

name "VOIP"

ip address 192.168.110.1 255.255.255.0

tagged A1-A24, B1-B24, Trk1-Trk7

voip

dhcp-server

exit

VLAN 10

name "MGMT"

ip address 192.168.99.5 255.255.255.0

untagged E10 (Uplink Firewall)

tagged Trk1-Trk7

exit

VLAN 20

name "Transponder"

untagged C20

exit

 

Vom Core-Switch aus ist ein Ping in das Netz 192.168.10.0 /24 möglich, Broadcast klappt und im ARPCache sehe ich die gelernten MAC-Adressen auf C20 mit IP. Wähle ich als Source aber das VOIP oder LAN-Netz ist dies nicht möglich, folglich auch von einem Client aus.

Vom Client klappt nur der Ping der IP-Adresse 192.168.10.1. Daher vermute ich das Problem auf dem Core-Switch, ich finde meinen Denkfehler aktuell nicht. Habt ihr noch eine Idee?

[eneR]

VLAN 20 hat kein Layer 3 Interface konfiguriert.

[Gast runtimerror]

vor 4 Minuten schrieb eneR:

VLAN 20 hat kein Layer 3 Interface konfiguriert.

Das hatte ich vergessen, ist aber eingetragen als IP-Adresse 192.168.10.1 die ich ja von einem Client auch per Ping erreiche

 

VLAN 20

name "Transponder"

ip address 192.168.10.1 255.255.255.0

untagged C20

exit

[Ma Lte]

vor 30 Minuten schrieb Crash2001:

Die Null-Route sollte aber ja eigentlich eh nicht greifen, da das Netz dem Router ja bekannt ist und IP-Routing greift.

Ist doch mehr so ein "Notfallplan", falls das reguläre Routing aus irgendeinem Grund nicht funktioniert, oder?

[Ma Lte]

vor 4 Minuten schrieb Crash2001:

Nicht wirklich.
Die Nullroute / Defaultroute ist für alle Netze zuständig, die weder direkt auf dem Router direkt bekannt sind (directly connected), noch eine genauere Route existiert (statisch konfiguriert oder per irgendeinem Routingprotokoll gelernt). 

Ok, danke.

[eneR]

vor 1 Stunde schrieb Crash2001:

Nicht wirklich.
Die Nullroute / Defaultroute ist für alle Netze zuständig, die weder direkt auf dem Router direkt bekannt sind (directly connected), noch eine genauere Route existiert (statisch konfiguriert oder per irgendeinem Routingprotokoll gelernt). 

Wobei die Nullroute nicht das gleiche ist wie die Defaultroute.

[eneR]

vor 5 Stunden schrieb Crash2001:

Was soll sie denn sonst sein?
Default-Route ist genau das Selbe wie Null-Route.

Was du meinst ist vielleicht das Default-Gateway. Das ist bei einem L2-Switch die IP-Adresse des Gateways, an die Traffic gesendet wird, der nicht im selben Netz liegt.

Die Funktion des Default-GW ist mir bekannt, die meine ich nicht.

Die Null Route wird genutzt um nicht gewollten Traffic, z.B. als Mitigation-Maßnahme bei einer DoS Attacke auf IP X, ins nichts, also nach Null0 umzuleiten. (Stichwort Blackhole)

Demnach gibt es einen unterschied zwischen der Default Route und der Null Route, auch wenn die Default Route sehr viele Nullen enthält. 

[Gast runtimerror]

vor 19 Stunden schrieb eneR:

Gut,

ich bin Cisco geschädigt, also musst du mal gucken ob die folgenden Befehle so passen.

1. Die Default Route sieht komisch aus? Müsste eher so „ip route 0.0.0.0 0.0.0.0 192.168.99.1“ aussehen, oder?

2. Testest du direkt am Core Switch oder auf angebundenen Switchen? Check mal ob überall die VLANs angelegt und korrekt getagged sind.

3. Check bzw. zeig mal die komplette Routingtabelle. Sind alle Interface VLANs Up?

4. Funktioniert das Inter-VLAN Routing zwischen anderen VLANs ganz ungeachtet von VL20?

In der Tat, da ich die Konfiguration nicht kopiert habe ist in meinem Eingangsbeitrag die Syntax der Route nicht korrekt.

Eingetragen ist aber analog zum Cisco Kommando die korrekte Default-Route, die Default Route zeigt in Richtung Firewall auf die 192.168.99.1. Alle anderen Layer 2 Switches haben entsprechend ein Default Gateway auf den Core-Switch gesetzt (Layer 2), erst der Core-Switch tätigt Layer 3 Tätigkeiten in Richtung Firewall.  Ich teste direkt am Core-Switch und von Clients aus und die hinterlegte IP-Adresse im VLAN Transponder ist auch erreichbar, heißt inter vlan routing funktioniert einwandfrei. Damit ist Punkt 1, Punkt 2 und Punkt 4 abgehackt. Das Transponder VLAN ist nirgends getagged, alle anderen VLANs da sie genutzt werden.

Aus den diversen Antworten erkenne ich, das ich für das Transponder Netz eine separate Route anlegen auf dem Core-Switch anlegen muß damit diese nicht in Richtung Firewall geroutet wird. Wie eingangs beschrieben ist das Problem das es in diesem Netz kein anderes Layer 3 Gerät gibt. Im Endeffekt muß im VLAN für die Transponder ausschließlich zu einer IP eine Kommunikation hergestellt werden 192.168.10.10. 

Diese IP-Adresse bekomme ich bei einem normalen Ping vom Core-Switch, aber aus einem anderem VLAN ping source nicht.

Auch der Dienstleister des Transpondersystems, das alle Firmen im Gebäude nutzen weiß nichts von einem Layer 3 Gerät. Wie bekomme ich die Kommunikation mit den vorhandenen Informationen zum laufen. Eine Route in Richtung 192.168.10.10 hatte ich bereits versucht, das ändert rein gar nichts.

 

 

 

[eneR]

Also hast du einen Layer 3 Core-Switch auf dem auch, an Port C20, untagged, euer Transpondersystem hängt und dieser Port ist deiner Meinung nach auch korrekt konfiguriert?

Kann es sein das dieses Transpondersystem Probleme macht? 

Klemm an genau den Port mal ein Notebook mit entsprechender IP Konfiguration und teste nochmal das intervlan routing.

[eneR]

Gut,

ich bin Cisco geschädigt, also musst du mal gucken ob die folgenden Befehle so passen.

1. Die Default Route sieht komisch aus? Müsste eher so „ip route 0.0.0.0 0.0.0.0 192.168.99.1“ aussehen, oder?

2. Testest du direkt am Core Switch oder auf angebundenen Switchen? Check mal ob überall die VLANs angelegt und korrekt getagged sind.

3. Check bzw. zeig mal die komplette Routingtabelle. Sind alle Interface VLANs Up?

4. Funktioniert das Inter-VLAN Routing zwischen anderen VLANs ganz ungeachtet von VL20?

[Crash2001]

Die Null-Route ist falsch. Auch bei HP-Switchen ist das nicht viel anders als bei Cisco.

ip route 0.0.0.0/0 192.168.99 .1

Die Null-Route sollte aber ja eigentlich eh nicht greifen, da das Netz dem Router ja bekannt ist und IP-Routing greift.

[Crash2001]

Nicht wirklich.
Die Nullroute / Defaultroute ist für alle Netze zuständig, die weder direkt auf dem Router direkt bekannt sind (directly connected), noch eine genauere Route existiert (statisch konfiguriert oder per irgendeinem Routingprotokoll gelernt). 

Bearbeitet 15. Mai 2019 von Crash2001

[Crash2001]

vor 36 Minuten schrieb eneR:

Wobei die Nullroute nicht das gleiche ist wie die Defaultroute.

Was soll sie denn sonst sein?
Default-Route ist genau das Selbe wie Null-Route.

Was du meinst ist vielleicht das Default-Gateway. Das ist bei einem L2-Switch die IP-Adresse des Gateways, an die Traffic gesendet wird, der nicht im selben Netz liegt.

[Crash2001]

vor 16 Stunden schrieb Gast runtimerror:

Im Segment des VLAN 20 gibt es aber kein  Layer 3 Gerät, sodass es mir nicht möglich ist eine Route für dieses zu setzen.

Was genau meinst du damit?
Du hast ein L3-Interface auf dem Core-Switch.

Überprüf mal, ob das Gateway und die Netzmaske auf den Clients richtig eingerichtet ist.

• Netzmaske zu groß (z.B. 255..0.0.0 statt 255.255.255.0):
  Client geht davon aus, dass eine IP-Adresse in seinem Netz liegt und versucht sie direkt zu erreichen, statt die Anfrage an sein Gateway weiterzuleiten. Somit kommt das Paket vom Client zum z.B. Server nicht an. Die Gegenrichtung funktioniert problemlos.
• Netzmaske zu klein (z.B. 255.255.255.128 statt 255.0.0.0):
  Client nimmt das Paket vermutlich an und versucht darauf zu antworten. Dabei verschickt er die Antwort an Rechner, die sich eigentlich in seinem Netz befinden, sich jedoch aufgrund falscher SNM nicht in seinem Netz befinden, über sein Standard-Gateway, anstatt einen Rechner im selben Netz direkt anzusprechen. Somit wird unnötig geroutet.
  Liegt die IP-Adresse des Standardgateways außerhalb der Range die mit der SNM definiert ist (z.B. Client IP 192.168.0.150 SNM 255.255.255.128, Gateway 192.168.0.1), so kann der Client nur noch mit seinem Netzanteil direkt sprechen, jedoch nicht mehr mit anderen Netzen.
• falsches Gateway eingetragen:
  Keine Kommunikation mit Netzen außerhalb des eigenen Netzes möglich.

[Crash2001]

vor 13 Stunden schrieb eneR:

[...] Die Null Route wird genutzt um nicht gewollten Traffic, z.B. als Mitigation-Maßnahme bei einer DoS Attacke auf IP X, ins nichts, also nach Null0 umzuleiten. (Stichwort Blackhole)

Demnach gibt es einen unterschied zwischen der Default Route und der Null Route, auch wenn die Default Route sehr viele Nullen enthält. 

Es gibt  anscheinend zwei unterschiedliche Definitionen von "Nullroute".
Die eine ist die von dir genannte Blackhole-Route, bei der sich das Null auf das virtuelle Interface Null0 bezieht und das andere ist die Default-Route, bei der sich das Null auf das Netz/die SNM 0.0.0.0/0 bezieht.
Je nachdem in welchen Kreisen man sich bewegt, wird damit mal das eine und mal das andere verstanden. Die von dir genannte Route kenne ich halt eher als Blackhole-Route. Nehmen wir einfach die anderen spezifischeren Namen dafür, damit keine Missverständnisse auftreten.

vor 13 Stunden schrieb Gast runtimerror:

Alle anderen Layer 2 Switches haben entsprechend ein Default Gateway auf den Core-Switch gesetzt (Layer 2), erst der Core-Switch tätigt Layer 3 Tätigkeiten in Richtung Firewall. 

Also haben deine Clients im vlan 20 als Gateway die IP (192.168.10.1) des L3-Interfaces für vlan 20 auf dem Core eingetragen?

Zitat

[...] Das Transponder VLAN ist nirgends getagged, alle anderen VLANs da sie genutzt werden.[...]

Den Satz verstehe ich irgendwie nicht so ganz.

Zitat

Aus den diversen Antworten erkenne ich, das ich für das Transponder Netz eine separate Route anlegen auf dem Core-Switch anlegen muß damit diese nicht in Richtung Firewall geroutet wird.[...]

Eigentlich nicht, da das Netz directly connected ist und du IP Routing aktiviert hast. Dann sollte der L3-Switch eigentlich zwischen allen directly connected Netzen direkt routen. Statische Routen werden somit dafür nicht benötigt.
Sollte er dir in der Routingtabelle aber auch entsprechend anzeigen dann, welche Netze er als directly connected erkennt.

Hast du eventuell noch irgendwo eine Access-list aktiv, die den Traffic blockieren könnte eingehend oder ausgehend, oder ist eventuell eine auf dem Transponder System konfiguriert oder eine Firewall dort vorhanden?

Zitat

Diese IP-Adresse bekomme ich bei einem normalen Ping vom Core-Switch, aber aus einem anderem VLAN ping source nicht.

Klingt für mich nach entweder falsches Gateway eingetragen, oder aber falscher SNM.

Zitat

[...] Eine Route in Richtung 192.168.10.10 hatte ich bereits versucht, das ändert rein gar nichts.

Natürlich ändert sich dadurch nichts. Das Netz ist dem Core Switch ja bereits bekannt.

Bearbeitet 16. Mai 2019 von Crash2001

[eneR]

vor 2 Stunden schrieb Crash2001:

Es gibt  anscheinend zwei unterschiedliche Definitionen von "Nullroute".
Die eine ist die von dir genannte Blackhole-Route, bei der sich das Null auf das virtuelle Interface Null0 bezieht und das andere ist die Default-Route, bei der sich das Null auf das Netz/die SNM 0.0.0.0/0 bezieht.
Je nachdem in welchen Kreisen man sich bewegt, wird damit mal das eine und mal das andere verstanden. Die von dir genannte Route kenne ich halt eher als Blackhole-Route. Nehmen wir einfach die anderen spezifischeren Namen dafür, damit keine Missverständnisse auftreten.

Eigentlich ist das schon klar definiert. Zumindest in Cisco Literatur wird nicht von einer Null-Route gesprochen wenn eine Default-Route gemeint ist, oder anders herum.

[Craaq]

Bei Cisco: DefaultvGateway = L2

Default route (ip route) = L3