VLAN mit RC100

CFU · Beitrag von **CFU** » Mo 13.05.2013, 15:35

Hallo zusammen

Ich habe hier eine SP RC100 mit v11 am laufen. Ich habe auf der SP meine 3 VLAN's konfiguriert wie ich sie auf meinem Switch konfiguriert habe. Soweit so gut. Auch die jeweiligen DHCP Pools habe ich erstellt.(bei VLAN keinen Haken gesetzt^^)
Jedoch zieht mein Client nie die DHCP Adresse der VLAN's sondern nur den "Standard" DHCP. Auch komme ich wenn ich hinter meinem Switch bin nicht mehr auf die SP drauf.
Was muss ich da genau noch einstellen bei den Zonen und der Firewall damit ich auf die Firewall komme und die richtige IP-Adresse ziehe?
Ich habe leider nirgends ein How-To zu VLAN's gefunden.

Vielen Dank für Ihre Antwort

Gruss Joël

Beitrag von **Erik** » Mo 13.05.2013, 21:00

Es gibt keine Anleitungen für VLAN-irgendwas, weil die sich genau wie eine "echte" weitere Schnittstelle verhalten. Die einfachste Möglichkeit, die Administration aus einem VLAN freizugeben ist das hinzufügen des jeweiligen Netzes zu den Administrations-Hosts (Netzwerk -> Server-Einstellungen -> Administration).

Der häufigste Fehler, der bei solchen Konfigurationen gemacht wird, geschieht auf dem Switch. Denn dieser hat das Standard-VLAN (nämlich das mit der ID 1) über alle Ports gespannt. Entfernen Sie die Ports, für die Sie ein spezielles VLAN vorgesehen haben, nicht aus dem VLAN1 wird ihr Switch vermutlich kein Tagging in Richtung Firewall vornehmen und demzufolge bekommen Sie einfach eine IP aus dem DHCP-Pool des eth-Interfaces.

Bei den Zonen müssen Sie nichts Spezielles einstellen. Hier gilt - wie für jedes andere "neue" Interface - dass Sie einfach für jedes VLAN 2 neue Zonen hinzufügen: Z.B. "vlan2-zone" und "fw-vlan2-zone" (bei letzterer setzen Sie das "INTERFACE"-Flag).

CFU · Beitrag von **CFU** » Di 14.05.2013, 09:18

Hallo Erik
Danke für die Antwort.
Ich habe nun das Netz bei den Admin-Hosts hinzugefügt.
Die Switch- Konfiguration sollte in Ordnung sein, da die Config mit einer anderen Firewall funktioniert hat.
Ich habe nun noch die Zonen für die VLAN's erstellt und dem Interface hinzugefügt. Leider erhalte ich immernoch die "Standard" DHCP-Adresse und komme über den Switch weiterhin nicht auf die Firewall. Ich habe nun bei den Regeln noch zwei Regeln erstellt von VLAN auf internal-interface und VLAN auf Internet.
Leider funktioniert mein VLAN immer noch nicht?
Hat jemand noch eine Idee??
Danke und Gruss

CFU · Beitrag von **CFU** » Di 14.05.2013, 16:21

Hallo zusammen
Ist es möglich eine kleine Anleitung zu den VLAN's mit der RC100 v11 zu erhalten?
Ich bin mir nun ziemlich sicher dass das Problem an der Firewall liegt, da die Konfig des Switches i.O. ist. Mit einer Zywall funktionierten meine VLAN's innert Minuten :roll:
Vielen Dank
Gruss

Petasch · Beitrag von **Petasch** » Di 14.05.2013, 18:50

Ich kann dir gern eine Kunden vlan Konfig senden ;-)

Petasch · Beitrag von **Petasch** » Di 14.05.2013, 18:51

Da hat ich eigentlich Null Probleme,.. Wobei ich gar nicht verstehe was du für ein dhcp bekommst,... Weil bei mir hat das REINE Interface gar keine IP mehr, nur die einzelnen vlan ifs

CFU · Beitrag von **CFU** » Mi 15.05.2013, 08:08

Also ich habe mein Interface eth1 (LAN) mit einem DHCP 1.1. Dann habe ich VLAN1 eth1.100 mit einem DHCP von 100.1, VLAN2 eth1.101 mit einem DHCP von 101.1 usw.
Die Switch-Config muss in Ordnung sein da Sie ja mit einer anderen Firewall auch geht..
Nun bekomme ich aber immer, egal wo am VLAN-Switch, die IP von eth1 (1.1).
Da ist noch eine Meldung im Log "DHCPINFORM from 192.168.1.100 via eth1: not authoritative for subnet 192.168.1.0"
Irgendwelche Ideen?
Grazie

Petasch · Beitrag von **Petasch** » Mi 15.05.2013, 08:57

sorry aber das ist definitiv ein Switchkonfig Fehler! Die Anfragen der Clients werden nicht mit VLAN getagged zur Firewall gesendet, deswegen landen die immer auf dem "nicht-VLAN-Interface"! Wenn es mit einer anderen Firewall geht, ist es entweder nur "Zufall" oder dort gibt es kein "normales" Interface...

Das kann so nicht gehen wie das bei dir eingerichtet ist, denn theoretisch wenn dein Switch korrekt eingerichtet ist würden die Clients ja nie eth1 erreichen, sondern nur eth1.x ... bei dir erreichen Sie es aber, ergo Switchkonfig...

edit: Hier ein Screenshot von der Konfig bei einem Kunden von mir:
http://s7.directupload.net/images/130515/pe8t8i6m.jpg

CFU · Beitrag von **CFU** » Mi 15.05.2013, 09:01

Ich poste mal meine Config, vielleicht sieht ja jemand gerade den Fehler.

Networkconfig: http://www.pictureupload.de/originals/p ... 634_00.jpg
DHCP-config: http://www.pictureupload.de/originals/p ... 742_01.jpg
Zonen: http://www.pictureupload.de/originals/p ... 821_02.jpg
Portfilter: http://www.pictureupload.de/originals/p ... 041_03.jpg
Objects http://www.pictureupload.de/originals/p ... 114_04.jpg

Hoffe das hilft.
Danke

Petasch · Beitrag von **Petasch** » Mi 15.05.2013, 09:03

Ja, für mich ist das relativ klar ... du hast auf einen Port ein VLAN Interface und ein nicht VLAN Interface ... meiner Meinung nach kann das nicht funktionieren ... weil du auf deinen Switch entweder Tagged VLAN einstellen musst oder untagged .... zeige mal einen Screenshot deiner Switchkonfig ... speziell vom Port der Firewall

CFU · Beitrag von **CFU** » Mi 15.05.2013, 09:35

Danke schonmal für deine Hilfe

Switch VLAN 1: http://www.pictureupload.de/originals/p ... 109_00.jpg
Tags: http://www.pictureupload.de/originals/p ... 131_01.jpg
Ports: http://www.pictureupload.de/originals/p ... 229_02.jpg

Beim VLAN 1 habe ich alles auf Standard belassen, weil das so beschrieben war. VLAN 2 und 3 sind Standardmässig da.
Bei meinem VLAN 100 habe ich die Ports am Switch mit Untagged versehen und den Port auf die Firewall mit Tagged.
Merci

Beitrag von **Erik** » Mi 15.05.2013, 09:59

Ich zitiere mich mal:

Erik hat geschrieben:Der häufigste Fehler, der bei solchen Konfigurationen gemacht wird, geschieht auf dem Switch. Denn dieser hat das Standard-VLAN (nämlich das mit der ID 1) über alle Ports gespannt. Entfernen Sie die Ports, für die Sie ein spezielles VLAN vorgesehen haben, nicht aus dem VLAN1 wird ihr Switch vermutlich kein Tagging in Richtung Firewall vornehmen und demzufolge bekommen Sie einfach eine IP aus dem DHCP-Pool des eth-Interfaces.

Sie schreiben, dass sie das "VLAN 1" (mit dem Sie vmtl das mit der ID 1 und dem Namen "Default" meinen?) "auf Standard belassen" haben... well...

CFU · Beitrag von **CFU** » Mi 15.05.2013, 10:03

Hallo Erik, ich habe Ihren Post gelesen und habe die Konfiguration auch gemacht.
Leider funktioniert mein VLAN auch nicht wenn ich bei VLAN1 die Tags entferne... Darum habe ich die Konfiguration wieder zurückgeändert. Ich habe es eben nochmals versucht, und ich bekomme keine IP auf meinen VLAN Anschlüssen, weder mit Tag auf VLAN1 noch ohne...

CFU · Beitrag von **CFU** » Mi 15.05.2013, 10:55

Ich habe jetzt noch einen anderen Switch ausprobiert. Bekomme weiterhin keine IP-Adresse, weder mit noch ohne Tag auf VLAN1.
Im Log bekomme ich nun:
DHCPDISCOVER from 00:23:5a:bf:66:be via eth1.100: network net-eth1.100: no free leases
Wiso no free leases??
Gruss

Petasch · Beitrag von **Petasch** » Mi 15.05.2013, 17:05

Ja weilt du ja auch gar kein vlan 1 Interface hast wenn du af tagged am Switch umstellst.... Konfiguriere deine Firewall so wie auf meinen Screenshot, dann machst du den Switch, entfernst am besten vlan 1 auf dem Firewall Port, fügst 101 und 102 hinzu, stellst auf tagged... Dann aktualisierst du die Schnittstellen der Firewall und steckst sie an den tagged Port an

CFU · Beitrag von **CFU** » Di 21.05.2013, 10:51

Hallo zusammen

Ich habe das Problem nun gelöst.
Das Problem war, dass beim Netzwerkobjekt VLAN_XY die Adresse auf 192.168.100.1/32 eingestellt war. Somit stehen keine IP-Adressen zur Verfügung, darum auch no free leases.. Schade dass diese Config mit /32 nicht von mir kam.. Ich habe diesen Fehler erst sehr spät bemerkt.
Vielen Dank an alle.
Greez