Cisco SG300 - Routing Problem

Moin,

eigentlich alles ein banales Szenario.
Schau zunächst mal hier: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Zunächst mal zum Routing mittels des SG
Sobald du den Switch im Layer3 Modus hast und in jedem relevanten VLAN dem Switch eine IP gibst, wird zwischen den VLANs auf dem Switch geroutet. Das ist erstmal fakt. Du musst folglich keine maneuellen Routingeinträge setzen, weil das der Switch schon von selbst erledigt hat.
Wichtig dabei ist, dass die Clients dann als Gateway die IP des Switches aus dem jeweiligen VLAN erhalten.

Jetzt zum Router von UnityMedia
Welcher Router ist es im Details?
Wenn du nun ins Internet willst, musst du dem Switch selbst ein Default Gateway mitgeben, also die IP des UM-Routers.
das bewirkt, dass dann eine Route für das Netz 0.0.0.0 mit der Netzmaske 0.0.0.0 auf die IP 192.168.10.1 (ist doch die IP des UM-Routers, richtig?)
Jetzt leitet der Switch schon mal alle Pakete, die zu keinem VLAN passen zum UM-Router.
Damit die Pakete aber auch wieder den weg zurück finden, musst du am UM-Router statische Routing-Einträge setzen.
Und zwar für jedes VLAN-Netz als Hopp den Switch im VLAN 10 (192.168.10.10)
z.B. 172.16.20.0 255.255.255.0 192.168.10.10 für das VLAN 20

Wenn das erledigt ist, kommen alle deine CLients aus allen VLANS erstmal in die anderen VLANs und ins Internet.
Als DNS-Server kannst du dann die IP des UM-Routers eintragen, denn das Routing klappt ja dann ab hier bereits.


Um Zugriffe auf andere VLANs zu unterbinden, musst du mit den AccessListen arbeiten.
Hierzu kannst du mal hier schauen: Cisco SG300 ACLs einrichten
und auch hier: http://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=865924b7d74b4a178d6 ...

Nachtrag
Wenn dein UM-Router keine statischen Routen kann, kaufe einen 40€ Router, z.B. Mikrotik und lasse den die ARbeit machen.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das ist Quatsch: es bedarf dann eines neuen Routers - FritzBox Cable z.B.


Am Router musst du nichts auf Brigded Mode umstellen, das wäre quatsch, lockert m.W.n. sogar die Sicherheits-Policies...


Gruß
em-pie

Wieso "wie erwartet" ?? Normal bekommt das auch ein laie in 3 Minuten zum Fliegen:
http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-busin ...
DNS ist für den Switch auch vollkommen irrelevant. NICHT aber das gateway !!
Du musst zwingend eine Default Route vom Switch auf die 192.168.10.1 setzen was ja die IP Adresse deines Internet Routers im VLAN 10 ist am Switchport 17.
Hier an Port 17 muss der Internet Router angeschlossen sein und als Funktuionstest MUSS ein Ping vom Switch Setup GUI auf diese Unitymedia Router IP sauber funktionieren !!
Tut es das nicht musst du gar nicht erst weitermachen !
Das ist natürlich völlig Quatsch !
Sagt einem auch schon der gesunde Menschenverstand ohne Ahnung von IP Routing.
Zuallererst gehört diese Route NICHT auf den Switch !!!

Auf dem Switch selber ist einzig und allen nur eine Default Route auf die Unitymedia Internet Router IP 192.168.10.1 zu konfigurieren. Nicht mehr und nicht weniger !
Die Switch IP in dem VLAN 10 ist ja die 192.168.10.10 wenn man dich oben richtig versteht.
Die Routen für die VLAN Subnetze kommt immer auf den Internet Router !! also deine Unitymedia Gurke. Die MUSS statische Routen supporten sonst kannst du das alles gleich vergessen !
Hier auf dem Internet Router (nicht Switch !) musst du eine statische Route definieren für die Switch Subnetze !!
Klar, denn der Unitymedia Internet Router muss ja wissen WO er IP Pakete zu den VLAN Subnetzen hinschicken muss und das ist logischerweise dann der Switch bzw. die Switch IP 192.168.10.10 im VLAN 10 !!!
Hier (auf dem Internet Router !!)) reicht es jetzt eine sog. Summary Route (Sammelroute für alle Netze) mit einem 18 Bit Prefix anzugeben um alle deine 172er Netze mit eiem Eintrag zu routen, nämlich:
Zielnetz: 172.16.1.0
Maske: 255.255.192.0 (man achte auf die Maske hier !! 18 Bit)
Gateway: 192.168.10.10 (die Switch IP in VLAN 10 !)
Fertisch !

Damit routet der Internet Router nun alle IP Netze von 172.16.1.0 bis 172.16.63.0 an den Switch !
Das erspart die die 172.16.10, 172.16.20.. 172.16.30., und 172.16.40. einzeln dort einzutragen.
Kannst du auch machen, ist aber mehr überflüssige Tipparbeit
Beide Wege sind aber richtig.
Mehr ist nicht zu tun. Das sollte auch ein Laie in 10 Minuten im Switch und Router GUI zusammengeklickt haben.

Innerhalb der VLANs direkt am Switch zu routen klappt so oder so IMMER !!
Das macht der Switch ja von sich aus, denn er kennt ja alle IP Subnetze in den VLAN. Wichtig nur das man L3 aktiviert im Switch, siehe oben ! Routen ets sind dafür NICHT erforderlich.

Damit es aber ins Internet klappt sind die bereits oben genanten 3 Punkte essentiell wichtig:

• Der Unitymedia Internet Router MUSS statische Routen supporten !!! Tut er das nicht ist das ganze Projekt tot ! (jedenfalls dann mit so einem Schrottrouter der dann ausgetauscht werden muss) Also diesen Punkt vorher sicher klären.
• Die Switch Default Route auf die Internet Router IP 192.168.10.1 in VLAN 10 !
• Die IP Subnetz Routen oder Route auf dem Unitymedia Internet Router für die Switchnetze

Ende !

Wichtig ist natürlich das man immer VORHER auch alle Verbindung testet !!

• Ping vom Switch GUI auf die Internet Router IP muss klappen !
• Sofern der Internet Router eine Ping Funktion im GUI hat kann man als Quercheck von hier auch die Switch IP 192.168.10.10 pingen. Das stellt sicher das der Router korrekt an Port 17 angeschlossen ist und die Unitymedia Internet Router IP im VLAN 10 sicher erreichbar ist.

• Dann macht man weiter mit den Endgeräten...
• Stimmt die IP Adresszuweisung in den VLANs insbesondere das Gateway ? Check mit ipconfig
• Endgeräte müssen immer die Internet Router IP als DNS Server vergeben haben 192.168.10.1 !!! Switch DHCP muss entsprechend eingestellt sein ! Endgeräte Gateway ist immer die jeweilige Switch IP im VLAN
• Klappt ein Endgeräte Ping auf seine VLAN Switch IP ?
• Klappt ein Endgeräte Ping auf eine andere VLAN Switch IP insbesondere die 192.168.10.10 in VLAN 10 (Internet) ?
• Klappt ein Endgeräte Ping auf sdie Router IP 192.168.10.1 ?
• Klappt ein Ping auf eine Internet IP z.B. 8.8.8.8 (um erstmal ggf. DNS Probleme zu umgehen)
• Klappt ein Ping auf eine Internet FQDN Adresse z.B. www.heise.de oder www.administrator.de ??

Das sind die einzelnen Schritte nach denen du strategisch vorgehen musst und danach kommt das auch sicher zum Fliegen.
Da wo es kneift ist auch der Fehler.
Die Tools: Ping, Traceroute (tracert) und pathping sind hier deine besten Freunde...wie immer.

Das ist ja auch völlig kalr und logisch. Da das dein Internet VLAN ist können sich da nur 2 pingbare IP Adressen drin befinden. Sprich einmal der Switch selber und einmal der Internet Router.
Da du die beiden IPs von allen anderen VLANs und Geräten aus pingen kannst hast du alles richtig gemacht !
Das zeigt das verhalten eindeutig !
Ähhh...das ist ja auch wohl klar und logisch. In einem VLAN wo keine Endgeräte aktiv sind ist ja auch nix zu pingen und solange es in solchem VLAN keinen aktiven Link gibt nimmt der Switch IMMER auch das L3 Interface runter damit das netz als inaktiv markiert wird in seiner Routing Tabelle.
Logisch denn wenn nix da ist im netz ist das netz eigentlich sinnfrei. Der Switch macht allso alles was er soll und richtig.
Wenn du nur willst das das Switch L3 Interface aktiv ist steck irgendwas in einen der Ports das dort ein kative Link ist. Egal was und welche IP hauptsache der Link ist oben, dann ist auch das L3 Switch Interface oben.
Mal logisch nachdenken...
Was meinst du damit genau ???
Du kannst z.B, kein Endgerät im VLAN 30 anpingen von einem Client im VLAN 20 ??
Das liegt dann zu 100% an der lokalen Firewall dieser Geräte !!
Wen das Winblows ist, dann bedenke das ab Win 7 ICMP (Ping) immer in der lokalen Firewall geblockt sind. Du musst also immer erst ICMP freigeben damit Ping klappt !
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Das gilt ebenso für den Zugriff auf Applikationen mit fremden Absender IPs. Auch das blockiert die Windows Firewall per default und muss man freigeben.

Das es daran liegt und nicht am L3 Switching (Routing) kannst du ja ganz klar daran sehen das du immer die fremde Switch IP pingen kannst und im VLAN 10 den Internet Router.
Es liegt also de facto NICHT an deiner Infrastruktur. Die Ergenbisse deiner Ping Tests zeigen ja eindeutig das alles sauber funktioniert und damit richtig konfiguriert ist.
Das kannst du auch vermutlich sofort verifizieren wenn du mal ein NICHT Windows Gerät wie Rasperyy Pi oder Drucker etc. also etwas OHNE Firewall in die VLANs bringst und anpingst. Das wird ganz sicher funktionieren und dir dann aufzeigen das du ein Firewall Problem hast und kein Problem im Netz an sich.
Das ist auch absolut so und richtig !!
Wozu muss denn dein L3 Switch irgendwelche Routen kennen ?? Muss er nicht.
ALLE deine IP Segmente sprich Netze sind ja immer direkt an ihm angeschlossen. Damit kennt er alle IP Netze.
Die Default Route sagt ihm: "Hey...alles was du nicht kennst schaufelst du zum Internet Router !"
Wozu muss also der Switch noch Routen haben ?? Braucht er de facto NICHT !!
Fazit:
Ohne ACLs kann jeder mit jedem. Sprich JEDES Endgerät kann auf alle anderen Endgerät zugreifen. Natürlich solange die lokale Firewall am Endgerät nicht dazwischengrätscht.
Ist auch klar und logisch, denn das Routing ist transparent und es gibt keine ACLs. Also jeder mit jedem.

Erst wenn du den Zugriff einschränken willst kommen ACLs ins Spiel !!
Nehmen wir mal dein Beispiel "Keine Kommunikation zwischen VLAN 20 und 30 sowie 10 und 40":
am L3 Interface an VLAN 20 steht dann:
access-list DENY ip 172.10.20.0 0.0.0.255 172.10.30.0 0.0.0.255
access-list PERMIT ip 172.10.20.0 0.0.0.255 any
Das verbietet VLAN 20 zu VLAN 30 Traffic und erlaubt den Rest und Internet. Alles mit Absender IP .20.x und Ziel IP .30.x wird geblockt. Analog bei VLAN 30:
access-list DENY ip 172.10.30.0 0.0.0.255 172.10.20.0 0.0.0.255
access-list PERMIT ip 172.10.30.0 0.0.0.255 any
Dir ist das Prinzip klar, oder ?? Wenn nicht hier nochmal das Beispiel Verbot VLAN 10 auf 40:
access-list DENY ip 172.10.10.0 0.0.0.255 172.10.40.0 0.0.0.255
access-list PERMIT ip 172.10.10.0 0.0.0.255 any
Vlan 40 solltest du aber nun selber schaffen, oder ??
ACHTUNG:
Bringe ZUERST mal das Routing sauber zum Fliegen so das du da Fehler ausschliessen kannst.
Erst DANACH kannst du die Schotten langsam mit ACLs dichtmachen !

Nur ein bischen...
Hast du dem WLAN Switch auch ein Default Gateway konfiguriert auf die Gateway IP 172.16.20.1 ??? Oder eine Default Route ??
Vermutlich wohl NICHT, oder ?
Ohne ein Default Gateway oder eine Default Route kann der WLAN Switch bzw. sein Management Interface keine Pakete an das 30er Netz senden.
Das wird oft vergessen das auch alle anderen Endgeräte immer ein Gateway brauchen im L3 Umfeld um aus den anderen VLANs erreichbar zu sein !
Gib also deinem WLAN Switch in seinem Setup eine Gateway IP auf die 172.16.20.1 dann klappt das auch sofort

Watt?
Du musst am NAS doch nur ein STANDARD-GATEWAY eintragen. Das ist meist das dritte Feld, beim festsetzen der IP-Adresse in einem netzwerkfähigem Gerät. Da Bedarf es doch keinen Router...
Einfach alle Netzwerk-Geräte einmalig abgrasen, dort überall das Standardgateway (Default-Gateway) eintragen und Gut. Manchmal verwenden die Hersteller auch den Begriff Router (z.B. Fa. Siemens bei Ihren SPSen, aber die hast du ja nicht )

Welche Kiste hast du denn?
Ist es eine FritzBox, eine Technicolor TC7200 (ihh...bahh) oder die ConnectBox?
Falls letztere beiden, investiere noch einmal in eine Cable-FritzBox und aus die Maus
Die Dinger sind der letzte ... sind halt ungeeignet für solche Themen

Wie meinen?
Als was willst du ausschließen? und von welcher Konfiguration?

Ahh... OK.
Wenn man den Satz etwas anders betont liest, ist es einleuchtend

Schaue mal hier:
https://supportforums.cisco.com/discussion/11456581/sg300-how-block-mana ...
Statt GE1 nimmst du dann einfach dein VLAN20

@aqui würde dir das sicherlich jetzt per CLI aufzeigen, aber ich "kratz" mir die erforderlichen Befehle auch erst immer aus dem WWW/ der Doku zusammen, von daher war es so jetzt schneller

Bedenke aber noch eines:
Bei den ACL-Regeln müsste es wie bei den klassischen Firewall-Regeln an den ganzen UTMs etc so sein, dass FirstMatch Rules.
Achte also auf die Reihenfolge deiner Regel(n)...

Das NAS funktioniert nicht anders als ein PC oder was auch immer am Cisco hängt. Warum sollte es da irgendein irgendwie gearteten Unterschied geben ??
NAS bekommt ne statische IP, Maske und als Default Gateway die IP Adresse des Cisco in dem VLAN.
Fertig aus ! Das wars !
Ein Endgerät brauch niemals eine statische Route. Wäre auch totaler Schwachsinn, denn es hat ja ein Default Gateway und damit eine Default Route: "Alles was du nicht kennst und nicht lokal ist an IP Adressen ab dahin..."
Diese Logik ist so banal und simpel wie effektiv ! Deshalb funktioniert sie ja auch so gut
Kollege em-pie hat ja auch schon alles zu dem Thema gesagt !
Kann bei so billigen, gruseligen Zwangsroutern der untersten Kategorie passieren...siehe Speedport Schrott. Aber denk mal positiv und hoffe das Beste
Ja, klar !!
Kinderleicht: Lasse einfach die IP Adresse auf dem Cisco für dieses VLAN weg und definiere es nirgendwo in einem tagged Uplink.
Damit ist dieses VLAN dann logischerweise vollkommen isoliert.
Das macht man so z.B. bei Gast VLANs / WLANs die dann eine separate Strippe in eine Firewall oder CP bekommen z.B.
DMZ ist auch so ein Klassiker dafür.
Kommt man aber auch selber druaf wenn man mal ein bischen nachdenkt
Dann lasse eben wie gesagt die IP Adresse am Switch weg. Dann sind sie zwangsweise vollständig getrennt !!

Das wiederum wäre aber völlig doof und beisst sich mit seiner Ausgangs genannten Anforderung:


Das wäre ja in Firmen gemäß folgendem Szenario auch mist:
Server im VLAN 20
Clients der Produktion im VLAN 30
Clients der FiBu im VLAN 40

klaut man dem VLAN 30 und 40 die IPs auf dem Switch, kommen beide nicht mehr an die Server
Außer man verbindet die beiden VLANS über seperate Leitungen mit der zentralen Firewall, welche dann aber jeden ERP-Server-Zugriff (teuer) routen müsste...

Ich denke, der Weg über o.g. Link wäre passend...
Teste es dann einfach, wenn es nicht klappt, kann man sich immernoch etwas überlegen...