Verbindung zu Cisco-Switch an Trunk-Port funktioniert nicht (connection reset)

Forum zu LANCOM Systems VoIP Router/Gateways und zur LANCOM VoIP Option

Moderator: Lancom-Systems Moderatoren

Antworten
problemkunde40
Beiträge: 25
Registriert: 20 Mär 2019, 12:49

Verbindung zu Cisco-Switch an Trunk-Port funktioniert nicht (connection reset)

Beitrag von problemkunde40 »

Hallo Lancom-Freunde.

Gegeben ist ein Setup mit einem Lancom-Router und einem L3-Switch von Cisco mit diversen VLANs. In bestimmten Konstellationen ist der Zugriff auf die Adminseite vom Cisco-Switch nicht möglich - die Verbindung wird getrennt - Pings funktionieren hingegen. Wo könnte der Fehler sein? Alle anderen Geräte können kommunizieren.

So sieht die Konfiguration im Wesentlichen aus:

Lancom 1906VA:

Ports:

Code: Alles auswählen

ETH-1 = LAN-1 = 1902 (Hybrid)
ETH-2 = LAN-2 = 1 (Trunk)
ETH-3 = LAN-3 = 1930 (Access)
ETH-4 = LAN-4 = 1902 (Hybrid)
LAN-1 bis LAN-4 sind in BRG-1 zusammengefasst.

IPv4-Netze:

Code: Alles auswählen

LANCOM: 192.168.0.1/24; VLAN 1; Interface BRG-1
INTRANET: 192.168.2.1/24; VLAN 1902; Interface BRG-1
1930: 192.168.30.1; VLAN 1930; Interface BRG-1
ROUTER: 172.17.0.1/29; VLAN 1717; Interface BRG-1
IPv4-Route:

Code: Alles auswählen

192.168.0.0/18 via 172.17.0.2 (Cisco)
Das Netzwerk "ROUTER" soll der Kommunikation zwischen den Routern (Lancom, Cisco) dienen.
Die physische Verbindung erfolgt über den Trunk-Port an ETH-2 am Lancom auf GE1 am Cisco.

Cisco SG355-10P:

Ports:

Code: Alles auswählen

GE1 = Trunk
GE2 = Access: 1902U
GE5 = Access: 1905U
...
IPv4-Adressen:

Code: Alles auswählen

172.17.0.2 in VLAN 1717
192.168.2.5 in VLAN 1902
192.168.5.1 in VLAN 1905 (DHCP-Server aktiv)
...
Ein Computer (A) am Port ETH-3 vom Lancom erhält vom Lancom eine IP aus dem Netz 192.168.30.0/24.
Ein Computer (B) am Port GE5 vom Cisco erhält vom Cisco eine IP aus dem Netz 192.168.5.0/24.
=> Computer A kann Computer B erreichen und ihm bspw. per Telnet eine Nachricht schicken, wenn auf B ncat lauscht.
Ein Computer am Port ETH-4 vom Lancom erhält vom Lancom eine IP aus dem Netz 192.168.2.0/24.
Ein Computer am Port GE2 vom Cisco erhält vom Lancom eine IP aus dem Netz 192.168.2.0/24.

Jeder Computer kann über die 172.17.0.1 die Adminseite vom Lancom erreichen.
Jeder Computer kann die 172.17.0.2 vom Cisco anpingen, insbesondere auch wenn der Computer am Port GE2 hängt.
Aber: Ein Computer, der am Port GE2 hängt, kann nicht über die IP 172.17.0.2 auf die Adminseite vom Cisco zugreifen - über die 192.168.2.5 (selbes Subnetz) funktioniert es hingegen (in einer früheren Konfiguration ging nicht mal das).

Wenn per Browser versucht wird, auf die Adminseite vom Cisco zuzugreifen, solange der Computer am Port GE2 und damit im Netz vom Lancom hängt (192.168.2.0/24), zeigt der Firefox: The connection was reset

Code: Alles auswählen

$ curl 172.17.0.2
curl: (56) Recv failure: Connection reset by peer
Offenbar ist die Verbindung vom Computer zum Cisco grundsätzlich möglich, schließlich funktioniert der Ping, andere Verbindungsversuche werden scheinbar getrennt. Der Computer hängt, wie gesagt, physisch am Cisco, ist über's VLAN im Netz vom Lancom, der ihm eine IP gegeben hat, daher sollte die Kommunikation durch GE2 über VLAN 1902 zum Gateway 192.168.2.1 (Lancom) laufen und von dem ins Netz "ROUTER" geroutet werden.

Warum wird danach die Verbindung zurückgesetzt?
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Verbindung zu Cisco-Switch an Trunk-Port funktioniert nicht (connection reset)

Beitrag von Dr.Einstein »

ICMP und TCP verhalten sich minimal anders. ICMP Pakete sind etwas toleranter.

Prüf doch einmal nach, wie weit dein Anmeldepaket kommt. Log dich auf den Lancom Router via SSH oder LanTracert ein und starte einen Routing Debug:

trace # ip-r @ 172.17.0.2

und öffne danach von deinem Client an GE2 die 172.17.0.2 des Ciscos. Ich tippe auf eine Meldung "invalid interface", sprich die Rückantwort vom Cisco kommt über ein falsches Interface rein. Das sollte man aber über den IP-Routing Trace schnell rausfinden können. Kannst die 2 ..3 Pakete dann hier auch gerne posten.

Über den Aufbau bin ich trotzdem verwundert. Wieso setzt man einen L3 Switch ein, wenn man den Router zum Routing zwischen den Netzen am Switch missbraucht. Ergibt wenig Sinn aber sei es drum.

Gruß Dr.Einstein
problemkunde40
Beiträge: 25
Registriert: 20 Mär 2019, 12:49

Re: Verbindung zu Cisco-Switch an Trunk-Port funktioniert nicht (connection reset)

Beitrag von problemkunde40 »

Erst mal danke für die Antwort - schneller als jeder bezahlte Support.
Dr.Einstein hat geschrieben: 07 Jan 2023, 00:19 Prüf doch einmal nach, wie weit dein Anmeldepaket kommt. Log dich auf den Lancom Router via SSH oder LanTracert ein und starte einen Routing Debug:

trace # ip-r @ 172.17.0.2
Das probiere ich bei nächster Gelegenheit aus...
Über den Aufbau bin ich trotzdem verwundert. Wieso setzt man einen L3 Switch ein, wenn man den Router zum Routing zwischen den Netzen am Switch missbraucht. Ergibt wenig Sinn aber sei es drum.
Diese besondere Konfiguration ist entstanden, weil es mal die Situation gab, dass die Trunk-Verbindung gekappt und das Netzwerk somit zweigeteilt wird. In solch einem Fall sollen zumindest die Computer in den Netzen vom Cisco (GE5...) noch Adressen zugewiesen bekommen und untereinander kommunizieren können.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Verbindung zu Cisco-Switch an Trunk-Port funktioniert nicht (connection reset)

Beitrag von Dr.Einstein »

Und ETH-1 + ETH-2 und ETH-4 des Lancom Routers haben keine physikalische Berührung zum Cisco, korrekt?
problemkunde40
Beiträge: 25
Registriert: 20 Mär 2019, 12:49

Re: Verbindung zu Cisco-Switch an Trunk-Port funktioniert nicht (connection reset)

Beitrag von problemkunde40 »

Korrekt. Es gibt keine doppelte Verbindung zum Cisco.

Ich bin noch nicht zu einer neuen Fehlersuche inkl. Trace gekommen, werde das aber in Kürze nachholen und berichten.
problemkunde40
Beiträge: 25
Registriert: 20 Mär 2019, 12:49

Re: Verbindung zu Cisco-Switch an Trunk-Port funktioniert nicht (connection reset)

Beitrag von problemkunde40 »

Ein erster Trace - Aufruf der Cisco-Seite erfolgte per Kommando, weil ein Aufruf im Browser viel mehr Requests verschickt, was es unübersichtlicher macht.

Code: Alles auswählen

root@LANCOM1906VA:/
> 
[IP-Router] 2023/01/12 18:33:04,258
IP-Router Rx (LAN-3, INTRANET, RtgTag: 0): 
DstIP: 172.17.0.2, SrcIP: 192.168.2.165, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 38582, Flags: S
Seq: 2066781982, Ack: 0, Win: 64240, Len: 0
Option: Maximum segment size = 1460
Option: SACK permitted
Option: 08 = f3 3c da 8a 00 00 00 00
Option: NOP
Option: Window scale = 7 (multiply  by 128)
Route: BRG-1 Tx (ROUTER): 

[IP-Router] 2023/01/12 18:33:04,261
IP-Router Rx (LAN-3, INTRANET, RtgTag: 0): 
DstIP: 172.17.0.2, SrcIP: 192.168.2.165, Len: 40, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 38582, Flags: A
Seq: 2066781983, Ack: 2540841016, Win: 64240, Len: 0
Filter (Port)

[IP-Router] 2023/01/12 18:33:04,261
IP-Router Rx (LAN-3, INTRANET, RtgTag: 0): 
DstIP: 172.17.0.2, SrcIP: 192.168.2.165, Len: 114, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 38582, Flags: PA
Seq: 2066781983, Ack: 2540841016, Win: 64240, Len: 74
Filter (Port)

[IP-Router] 2023/01/12 18:33:07,260
IP-Router Rx (LAN-3, INTRANET, RtgTag: 0): 
DstIP: 172.17.0.2, SrcIP: 192.168.2.165, Len: 40, DSCP: CS7 (0x38), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 38582, Flags: R
Seq: 2066781983, Ack: 0, Win: 0, Len: 0
Route: BRG-1 Tx (ROUTER): 

Der Computer hängt am Port GE2 und hat vom Lancom die IP 192.168.2.165 bekommen. Danach folgte noch ein (unerwarteter) UDP-Request an eine IP im Internet, den ich weglasse.
Zuletzt geändert von problemkunde40 am 12 Jan 2023, 22:00, insgesamt 1-mal geändert.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Verbindung zu Cisco-Switch an Trunk-Port funktioniert nicht (connection reset)

Beitrag von Dr.Einstein »

Da ist dein Problem:

[IP-Router] 2023/01/12 18:33:04,258
IP-Router Rx (LAN-3, INTRANET, RtgTag: 0):
DstIP: 172.17.0.2, SrcIP: 192.168.2.165, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 38582, Flags: S
Seq: 2066781982, Ack: 0, Win: 64240, Len: 0
Option: Maximum segment size = 1460
Option: SACK permitted
Option: 08 = f3 3c da 8a 00 00 00 00
Option: NOP
Option: Window scale = 7 (multiply by 128)
Route: BRG-1 Tx (ROUTER):

[IP-Router] 2023/01/12 18:33:04,261
IP-Router Rx (LAN-3, INTRANET, RtgTag: 0):
DstIP: 172.17.0.2, SrcIP: 192.168.2.165, Len: 40, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 38582, Flags: A
Seq: 2066781983, Ack: 2540841016, Win: 64240, Len: 0
Filter (Port)

Recive vom Interface "INTRANET", rausgesendet über das Interface "ROUTER", TCP SYN Paket. Die Antwort, dass SYN ACK Paket, geht am Lancom Router vorbei. Stattdessen siehst du nur das nächste Paket (TCP ACK), sprich das 3. Paket vom 3 Wege Handshake. Der Lancom blockiert aus diesem Grund die Verbindung, da keine gültige TCP Verbindung zustande gekommen ist. Überprüfe dein Routing. Möglicherweise geht dein PC oder dein Cisco mittels ICMP-Redirects eine Abkürzung. Das ist hier aber nicht erlaubt, da der Lancom Router eine Stateful Inspection Firewall hat, die auch noch zeitgleich die Richtigkeit einer TCP-Session kontrolliert.
problemkunde40
Beiträge: 25
Registriert: 20 Mär 2019, 12:49

Re: Verbindung zu Cisco-Switch an Trunk-Port funktioniert nicht (connection reset)

Beitrag von problemkunde40 »

Fantastisch! Deine Interpretation hat mir geholfen. Das zweite Paket aus dem TCP-Handshake konnte ich nur in einem TCP-Dump am Computer sehen, die anderen beiden konnte ich in dem vom Lancom finden und anhand der ID einander zuordnen. Dann habe ich am Cisco mal Traceroute auf die IP vom Computer gemacht und gar keinen Hop über den Lancom gesehen. Dann habe ich mich erinnert, dass der Cisco ja selbst eine IP im Subnetz vom Computer hat, die er eigentlich nicht mehr braucht. Also habe ich diese entfernt und schon funktioniert es.

Vielen Dank!
Antworten