Cisco Netzwerkkonfiguration Gast-WLAN

[tim1980]

Hallo, ich versuche folgendes Netzwerk über die Fritzbox in VLAN2, die Sophos Firewall in VLAN1 über Cisco Small Business 350 Switche zu realisieren. Leider bekomme ich an PC0 keine IP Adresse von der Fritzbox aus VLAN 2. Was mache ich falsch? Gedacht ist, dass ich VLAN 2 nutzen kann für ein Gast WLAN und für Verbindungen ins Internet, die über die Firewall nicht funktionieren.
Bild 2 Switch Konfig von der rechten Seite, Bild 3 Switch Konfig linke Seite.
Im Packet Tracer funktionert es, umgesetzt in die Realität liegt irgendwo ein Fehler.

 

[Joe Dalton]

Dem linken Switch fehlt ein passender Accessport im VLAN 2… zumindest wenn die Ports in Zeichnung und Switchbelegung identisch sind.
Generell scheinen die Zeichnung/Packettracer von den konfigurierten Ports abzuweichen.

Prüfe einfach folgendes:

• Link zwischen den Switches ist ein Trunk mit VLAN 2
• Accessports Richtung Fritz!Box und PC
• Welche MAC-Adressen siehst Du auf deinen Switches im VLAN 2?

 

[tim1980]

Hallo,
danke für Deine Antwort.
Welchen Accessport meinst Du?
Der Port für die Fritzbox ist als Accessport konfiguriert, genauso der Port, wo die Sophos dran hängt.
Zwischen den Switchen habe ich ein Trunk konfiguriert, Nativ VLAN 1, Access VLAN 2. Oder muss das umgekehrt sein?
Müssen die Ports für den Trunk auf beiden Switchen der gleiche Port sein?

Ich habe es leider erst mal wieder löschen müssen, da ich mich ein wenig ausgesperrt hatte vom Internet. Das ist nicht ganz so praktisch gewesen. )

 

[Joe Dalton]

Es müssen nicht die gleichen Portnummern sein, aber sie müssen die identische VLAN-Konfiguration aufweisen (switchport trunk allowed vlan 1,2). Habe erst auf den zweiten Blick gesehen, dass Zeichnung und Konfig bei den Ports nicht identisch sind.

Wie gesagt: prüfe, ob Du in den VLANs die wesentlichen MAC-Adressen siehst (VLAN 2: Fritz!Box und PC, VLAN 1: Sophos und PC). Wenn nicht, dann musst Du schauen, warum die jeweilige MAC-Adresse nicht sichtbar ist. Mit "show mac address-table vlan x" siehst Du, wo der Switch die jeweiligen Systeme sieht.

Da die GUI der Small Business Switches alles andere als prickelnd ist: Nutze die CLI.

 

[tim1980]

Ich teste das über Ostern noch mal in Ruhe, sonst fliege ich hier aus meinem Video-Meeting immer wieder raus. Vielen Dank!

 

[norKoeri]

Sehe auf den ersten Blick auch keinen Fehler, wobei ich hier keinen CBS350 sondern CBS250 nutze; solange Du entsprechend verkabelt hast:

• Laut Bild 3 und 2 ist jeweils LAN-Port 7 der Link zwischen den Switches, richtig?
• Laut Bild 3 soll LAN-Port 9 der Uplink zur FRITZ!Box werden, richtig?
• Laut Bild 2 soll LAN-Port 1 der Link zum Computer PC0 werden, richtig?

sonst fliege ich hier aus meinem Video-Meeting immer wieder raus

für Verbindungen ins Internet, die über die Firewall nicht funktionieren

Sophos Firewall

FRITZ!Box

Klingt eher danach, als hättest Du ein ganz anderes Problem mit der Sophos. Auch daher würde ich lieber gaaanz vorne anfangen, also warum/wozu hast Du eine Sophos hinter einer FRITZ!Box?

VLAN 2 nutzen kann für ein Gast WLAN

Wie ist die FRITZ!Box an den linken Switch angebunden: Heimnetz oder deren LAN-Gastzugang? Ich hoffe Letzteres, weil sonst die Gäste auf die Web-Oberfläche der FRITZ!Box könnten.

 

[tim1980]

Hallo,
erst einmal sind die Ports auf dem Bild nicht die Ports, die ich wirklich genutzt habe, das dient nur der Anschauung. Hatte ich vergessen dazu zu schreiben.
Nein, ich habe kein Problem mit der Sophos, die funktioniert einwandfrei und der Zugang wird ja schon seit Jahren so genutzt. Ziel ist es, an der Sophos vorbei ein Gastnetzwerk zu installieren, um nicht Geräte mit Zertifikat versorgen zu müssen bevor sie surfen können. Das Gastnetzwerk wird lediglich von meiner Schwester und ihrem Mann genutzt, wenn sie mal hier sind, sonst nutze ich dies alleine für die Installation von "Kunden PCs oder Handys", die kein Sophos Zertifikat haben. Auch gibts hin und wieder Anwendungen, die noch nicht über die Firewall laufen. Also hier gibts keine Sicherheitsbedenken bezüglich des Gastzugangs. Hauptnutzer des Zugangs bin ich selbst, es geht nur um freies Internet, damit ich kein 10m Kabel durchs Haus legen muss falls es mal benötigt wird. Die Fritzbox ist ganz normal eingebunden ohne Gastzugang.

Ich versuche das in den nächsten Tagen noch mal, indem ich ein extra Kabel für VLAN 2 nutze und die Ports als Access Ports konfiguriere. Irgendwo im Bereich Trunk Port liegt der Fehler bei mir. Im Packet Tracer funktioniert genau diese Konfig ohne Probleme.

 

[norKoeri]

um nicht Geräte mit Zertifikat versorgen zu müssen

Könntest auch ein Subnetz ohne DPI einrichten.

Die Fritzbox ist ganz normal eingebunden ohne Gastzugang.

OK. Und wie ist die Sophos ans Internet angeschlossen, wie die FRITZ!Box? Wenn die Sophos über die FRITZ!Box geht … puh … ob irgendein Spanning-Tree-Protocol hier eine Schleife vermutet? Oder anders gefragt: Wenn Du ein Gast-Netz über die FRITZ!Box erzeugen willst, warum nicht deren LAN-Gastzugang nutzen.

indem ich ein extra Kabel für VLAN 2 nutze

Wo soll das hin?

Ports als Access Ports konfiguriere. Irgendwo im Bereich Trunk Port liegt der Fehler bei mir.

Ich persönlich nutze statt Access/Trunk nur noch „General“ und dann die 802.1q Nomenklatur. Aber das ist eher Gewohnheit bzw. welchen Ansatz man eben gelernt hat. Denn trotzdem sehe ich bei Deinen Settings keinen Fehler und vermute den eher woanders. Hast Du erstmal mit nur einem Switch probiert?

 

[Joe Dalton]

Könntest auch ein Subnetz ohne DPI einrichten.

…eine Möglichkeit. Ich vermute eher einen neugierigen Zauberlehrling im Netzwerk. 😁

OK. Und wie ist die Sophos ans Internet angeschlossen, wie die FRITZ!Box? Wenn die Sophos über die FRITZ!Box geht … puh … ob irgendein Spanning-Tree-Protocol hier eine Schleife vermutet?

Ein Loop ist eher unwahrscheinlich: die Sophos hat nur geroutete Ports und spricht kein Spanning-Tree afair.

Lass ihn mal schauen, wo es welche MAC-Adressen sieht. Ohne Zeichnung und die dazu passenden Konfigurationen wird es schwierig.

 

[tim1980]

Hallo,
die Fritzbox ist mit dem Internet direkt verbunden, dahinter die Sophos Firewall. Daher die Idee, 2 Netzwerke zu machen.
Eins über die Sophos Firewall, wie ich zur Zeit ja auch ins Internet gehe. Und zusätzlich über ein extra VLAN noch einen freien Internetzugang, den ich zum Beispiel bei Rechnerinstallationen nutzen kann oder für Fernwartung, da ich noch nicht alle Regeln gefunden habe, um Hoptodesk freizuschalten.

Ich werde das heute noch mal an einem Testswitch ausprobieren, ob ich im VLAN überhaupt IP Adressen von der Fritzbox bekomme. Dann werde ich ein extra LAN Kabel zum Verbinden beider Switche (VLANs) miteinander nutzen, und statt dem Trunk Port einen Access Port nutzen.

Ich habe gerade eine CCNA Weiterbildung hinter mir, daher die ersten Gehversuche in der Praxis. Das sollte doch nicht so schwer sein.

 

[norKoeri]

Bevor Du das mit dem Kabel machst, wäre wirklich mein Tipp erstmal den LAN-Gastzugang der FRITZ!Box zu probieren, ist ein Haken und ein Kabel umstöpseln. Wenn das nicht klappt, dann mit Port-Mirroring arbeiten, also auf dem Kabel zwischen FRITZ!Box und Switch schauen, ob die DHCP-Pakete überhaupt ankommen. Das kannst Du auch über den Paket-Mitschnitt in der FRITZ!Box selbst: fritz.box → Hilfe und Info → FRITZ!Box Support → Paketmitschnitte → lan.

die Fritzbox ist mit dem Internet direkt verbunden, dahinter die Sophos Firewall.

Würde wirklich alles über die Sophos machen und ein externes DSL-Modem holen … Aber ganz andere Idee: Welchen Internet-Anbieter nutzt Du? Vielleicht erlaubt der Mehrfach-Einwahl, dann könntest Du erstmal PPPoE-Passthrough nutzen bzw. hättest wirklich zwei getrennte Zugänge.

 

[tim1980]

Hallo,
2 getrennte DSL Zugänge benötige ich ja nicht, ich möchte nur den normalen Internetzugang hinter der Firewall haben und einen Zugang mit freiem Internet wenn ich mal Anwendungen habe, die nicht über die Firewall funktionieren oder ich mal Rechner installiere, die kein Sophos Zertifikat haben.
Wenn ich beispielsweise meiner Schwester remote per Hoptodesk helfen möchte, muss ich mich immer direkt an die Fritzbox klemmen, da mir für die Firewall immer noch irgendwelche Regeln fehlen, damit ich eine Verbindung mit dem Programm hinbekomme.

Ich habe jetzt mal klein angefangen, VLAN 2 erstellt, Fritzbox angeschlossen und Laptop. IP Adresse bekommen, Internet war da. Dann kann es nur noch am meine Trunkverbindung zwischen den beiden Switchen gelegen haben.
Als nächstes teste ich mal ein zusätzliches Kabel zum Verbinden der Switche im VLAN 2, um keinen Trunkport konfigurieren zu müssen. Klappt das, versuche ich mich nochmals am Trunkport.

 

[norKoeri]

2 getrennte DSL Zugänge benötige ich ja nicht

Hatte ich schon verstanden. Nur gefällt mir die Lösung nicht. Du hast Doppel-NAT. Und das NAT der FRITZ!Box ist schon arg. IPv6 geht auch nicht sauber, weil die FRITZ!Box zwar Präfix-Delegation kann, das aber bei einem dynamischen Präfix nur sauber zwischen FRITZ!Boxen. Und und und.

 

[tim1980]

So, Konfig funktioniert in Verbindung mit einem 2. Kabel, mit dem ich die beiden Switche untereinander verbunden habe über ein VLAN 2 auf beiden Switchen. Nun habe ich am 2. Switch 2 Ports mit freiem Internet.

Also liegt mein Problem an der Trunk Konfiguration.