VLAN und Probleme mit der Konfiguration

[Hobbyfahrer]

Es geht nicht und gleich schmeisse ich den ganzen Mist aus dem Fenster.

Ich lasse es jetzt einfach.


Kannst du mir bitte nur ganz einfach sagen, wie die FW Regel aussehen muss um zwischen zwei IP Netzen zu Routen?

[Bernie137]

Kannst du mir bitte nur ganz einfach sagen, wie die FW Regel aussehen muss um zwischen zwei IP Netzen zu Routen?

Das kann ich nicht, da vermutlich das Problem noch wo anders liegt. Erst muss dass VLAN "greifen", dann routing funktionieren und zum Schluss die Firewall konfiguriert werden. Schließlich fängt man ein Haus auch nicht mit dem Dachbau an.

Versuche Dein Glück, indem Du noch eine zweite Firewall Regel anlegst für die Gegenrichtung:

Aktionen Objekt Accept
Verbindungs-Quelle: 192.168.179.0/255.255.255.255
Verbindungs-Ziel: 192.168.178.139 (das ist mein Mac)
Dienste: Alle

Es geht nicht und gleich schmeisse ich den ganzen Mist aus dem Fenster.

Ich lasse es jetzt einfach.

Mal in die Thematik einlesen... http://www.lancom-systems.de/fileadmin/ ... 882-DE.pdf

vg
Heiko

[Dr.Einstein]

Hey Hobbyfahrer,

ich dachte, ihr im Norden seid immer ein wenig von der ruhigeren Sorte also nochmal sammeln und komplett von vorne anfangen, Geduld ist bei VLANs das a und o. Der Schwerpunkt des Anfanges sind erst einmal aus meiner Sicht die beiden Switche. Wenn ich mir die Seiten ab 711 in dem Dokument http://www.edge-core.com/temp/ec_downlo ... 20(MG).pdf so anschaue, dann sind die Einstellungen (fast) identisch mit denen einem Lancom Switches neuerer Generation. Du findest hier im Forum im Switchunterpunkt auch Einträge dazu http://www.lancom-forum.de/lancom-manag ... 12710.html. Im ersten Step würde ich dir empfehlen, mit statischen VLANs zu arbeiten. Erst wenn dies funktioniert, sollten die Experimente weitergehen in Richtung Dynamik.

Folgende Schritte sind aus meiner Sicht an den Switchen durchzuführen:

- logischerweise alle relevanten VLAN-ID in den Switchen anlegen sowie überall Häckchen ranmachen, wo das jeweilige VLAN auftauchen könnte (Uplink Lancom; Uplink zwischen Switchen; Port der entsprechenden Komponente;..)
- generell alle Ports von Port Type von unaware auf C-Port setzen (Größter Fehler, wenn nicht getan wird)
- handelt es sich bei dem Port um einen Trunk Port, also einem Port, wo AUSSCHLIEßLICH VLANs geschickt werden, muss der Frame Type auf tagged stehen, die Port VLAN ID am besten auf das Management-VLAN 1? (Uplink Lancom; Uplink zwischen Switchen sollten die Ports sein)
- handelt es sich bei dem Port um einen PC Port (sprich das Gerät selbst beherrscht kein VLAN), also wo AUSSCHLIEßLICH keine VLANs geschickt werden, muss der Frame Type auf untagged stehen, die Port VLAN ID entspricht dem benötigtem VLAN des Gerätes / Ports
- restliche Auswahlmöglichkeiten auf default lassen, kann ich auf den ersten Blick nix mit anfangen und muss durch ertesten vielleicht rausgefunden werden

Folgende Schritte sind aus meiner Sicht am Lancom durchzuführen:

- mehrere Netzwerke anlegen mit jeweils unterschiedlichen VLAN-ID und IP-Adressen versehen. Ich würde empfehlen, nicht das VLAN 0 zu verwenden. Das Management-Netzwerk sollte die ID 1 bekommen. Die Angaben stehen bereits weiter oben, kannst ja auch erstmal überall Schnittstellen-Tag auf 0 lassen, damit sich alle Netze untereinander erreichen
- das VLAN Modul sollte nicht aktiviert werden, wenn der Lancom ausschließlich mit dem Switch verbunden wird

QoS / Firewall / dynamische VLANs sind, wenn das alles funktioniert, relativ einfaches i Tüpfelchen, was erstmal ignoriert werden kann

Gruß Dr.Einstein

[Hobbyfahrer]

Hallo Dr.

was habe ich nun gemacht.

Auf dem PoE Switch 192.168.178.5:

VLAN 179 eingerichtet
Alle Ports auf C-Port umgestellt
Port 25 und 26 LACP auf Tagged umgestellt

Ports 1-5 (VOIP Geräte) und 25-26 als Member dem VLAN 179 zugeordnet


Auf dem Switch 192.168.178.6:

VLAN 179 eingerichtet
Alle Ports auf C-Port umgestellt
Port 17 und 18 LACP auf Tagged umgestellt

Ports 1 (Lancom Router) und 17-18 als Member dem VLAN 179 zugeordnet


Auf dem Lancom:

IP Netzwerk 192.168.178.1, VLAN ID 0, Tag 0 vorhanden
IP Netzwerk 192.168.179.1, VLAN ID 179, Tag 0 angelegt


Auf einem der VOIP Endgeräte:

IP geändert auf 192.168.179.12 und VLAN 179 ****Gerät registriert sich nun bei den SIP/VoIP Providern***


Probleme:

Der Switch 192.168.178.5 und alle dort angeschlossenen Geräte 192.168.178.xxx sind NICHT mehr erreichbar vom zweiten Switch und den dort angeschlossen Rechnern



Auf beiden Switchen ist noch ein Default VLAN 1 für alle Ports eingestellt (keine Ahnung warum)






Ich habe die Nase nun doch voll und ich verfolge das nicht weiter:

Nach einigen Erfolgen geht eigentlich doch nichts. Die FritzBox meldet sich nicht mehr bei den Providern an, ich komme auf die Weboberfläche der 179 Geräte bei einigen Geräten drauf bei anderen nicht. Der gesamte Netzwerkverkehr ist irgendwie gestört usw.


Danke für die Hilfe aber wer soll das eigentlich beherrschen?

[Dr.Einstein]

Die Switche nehmen für alle Ports standardmäßig das VLAN 1, dies ist auch nicht löschbar. Ich würde dieses auch für 192.168.178.x - Netz verwenden. Auch im Lancom würde entsprechend für dieses Netzwerk statt VLAN 0 VLAN 1 verwenden, solltest du einen Trunk zum Lancom definiert haben.

Was auch nicht klappt, ist wohl dein kompletter Trunk zwischen den Switchen. Entweder liegt es am LACP (was ich aber nicht glaube) oder an der Einstellung Trunk selbst.

Würde natürlich helfen, wenn du vielleicht mal ein Screen machst von deiner Switch-Konfig, speziell die Ansicht, wo du auch C-Port etc. eingestellt hast (die Häckchen wirst du denke mal schon richtig gesetzt haben...)

Gruß Dr.Einstein

[Hobbyfahrer]

Hallo Einstein,

langsam verstehe ich nun absolut nichts mehr. Wo soll ich bitte VLAN1 eintragen? Zu welchem IP Netz? Diese VLAN1 scheint doch keine Bedeutung zu haben.

Anbei die Bilder:

Bildschirmfoto 2013-11-16 um 23.11.30.png

Bildschirmfoto 2013-11-16 um 23.12.43.png

[Hobbyfahrer]

Bildschirmfoto 2013-11-16 um 23.21.49.png

Bildschirmfoto 2013-11-16 um 23.20.45.png

[Dr.Einstein]

Folgende Einstellungen würde ich vornehmen:

IP Phones / FritzBox:

- C-Port, Frame Type untagged, mode specific, Port VLAN ID 179, Tx Tag untag_pvid
- in den IP Phones / Fritzbox selbst KEINE VLAN ID hinterlegen

PC im Standardnetzwerk:

- C-Port, Frame Type untagged, mode specific, Port VLAN ID 1, Tx Tag untag_pvid
- in den PCs selbst KEINE VLAN ID hinterlegen

Trunk zwischen den Switchen, bzw. zum Lancom Router:

- C-Port, Frame Type tagged, mode specific, Port VLAN ID 1, Tx Tag tag_all
- Achtung, da du VLAN ID 0 beim 192.168.178.1 Netzwerk hinterlegt hast im Lancom, sperrt du dich aus. Ich würde zuerst den Lancom auf IP Netzwerk 192.168.178.1, VLAN ID 1 + IP Netzwerk 192.168.179.1, VLAN ID 179 einstellen = du verlierst die Verbindung zum Lancom auf dem Management Netzwerk. Danach kannst du so lange den Port 1 am Switch auseinandernehmen, bis du wieder via VLAN 1 auf den Lancom kommst. Ich hoffe, die Einstellung für Trunk, die ich hier geschrieben habe, passt soweit, ansonsten musst du so lange probieren, bis du raufkommst.

Was die Tabelle mit den Häckchen angeht: Port 1 + 17 + 18 an Nr2 bzw Port 25 + 26 an Nr1 passen. Bei Nr1 müssen die Häckchen für das VLAN 1 bei den Ports 1-5 rausgenommen werden.

Gruß Dr.Einstein

P.S. nicht aufgeben ...

[Hobbyfahrer]

Ich habe nun mit deinen Hinweisen ERFOLG!!! Geil!

aber


ich komme nun nicht mehr auf die VoIP Geräte im VLAN 179. Muss ich an der Firewall Regel etwas ändern, wegen der Umstellung auf VLAN 1?

Ist es richtig, dass ALLE Ports auf den Switchen auf C Typ umgestellt werden sollen?


Das Internet ist EXTEM langsam ich kann praktisch nicht mehr arbeiten oder hier etwas schreiben

[Dr.Einstein]

Alles langsam = Netzwerkschleife wegen deinem doppelten Trunkport. Zieh / deaktivier erstmal einen von den beiden.

alle Ports sollten auf C-Port stehen, da dies für dein Anwendungsszenario die korrekte Einstellung wäre.

Eine Änderung der Firewall ist theoretisch nicht nötig, da ja die IPs bzw der Name des Netzwerkes immernoch gleich ist.

[Hobbyfahrer]

Habe einen der LWL Port zwischen den Switchen gezogen aber keine Änderung.

FritzBox meldet sich nicht mehr bei den Provider an

Internet Service Gateway meiner Heizungsanlage melde sich auch nicht mehr beim Hersteller an

Meine Alarmanlage ist nicht mehr erreichbar(ist aber am Lancom Eth-4 angeschlossen)

Ich komme nicht mehr auf das 179 Netz mit der FW Regel



Der Internetzugang ist so extrem langsam das selbst die Bilder hier von mir nicht mehr angezeigt werden, die Seiten mehr als 30 Sekunden im Aufbau brauchen und dann nur teilweise erscheinen

[Dr.Einstein]

Wenn komplett alles langsam ist, wette ich, dass irgendwo eine Schleife entstanden ist. Müsstest du auch erkennen können, dass alle Switchport wie bekloppt leuchten. Das deine Alarmanlage nicht funktioniert ist klar, hatte gesagt, dass das VLAN Modul nicht benötigt wird, wenn ausschließlich ein Kabel zum Switch geht...

D.h. VLAN Modul an, VLAN 1 + 179 anlegen (für LAN-1 - LAN-4 jeweils), LAN-1 bis LAN-4 auf gemischt stellen mit der PVID 1

[Hobbyfahrer]

Alle LEDs arbeiten normal

Warum muss das alles so kompliziert sein wenn man nur zwei Netze trennen will. Ich trinke jetzt erstmal sein Bier sonst kann ich das alles nicht mehr ertragen

Jetzt geht fast alles nur das Internet nicht. Da kommt man vom Regen in die Traufe.

[Hobbyfahrer]

Alles wieder auf den Switchen zurückgesetzt und das Internet geht wieder sofort

So sah es aus als die Probleme anfingen.

Bildschirmfoto 2013-11-17 um 16.02.34.png

Bildschirmfoto 2013-11-17 um 16.02.57.png

Bildschirmfoto 2013-11-17 um 16.03.39.png

[Hobbyfahrer]

Bildschirmfoto 2013-11-17 um 16.03.53.png

Bildschirmfoto 2013-11-17 um 13.50.32.png