felix145
Feb 24, 2023
view2645
view40
0
Goto Top

Fritzbox mit Netgear MS510TXM und GS110EMX no IP

GermanQuestionSwitches, HubsNetwork ManagementRouters, Routing
HI,
ich wollte, so dachte ich, was einfaches aufsetzen:
1. FB 7490 als Router mit aktivem Gast-Lan
2. Netgear MS510TXM als managed Switch: Reicht in VLan1 das normale FB Netz weiter (192.168.2.0) und als VL100 (192.168.179.4) das Gast-Netz. FB über 2 kabel verbunden: Port 1 FB zu Port 1 510. Port 4 FB zu Port 4 510. Gast Port untagged auf z.B. Port 2. Trunk-Port 10.
3. Über Trunk verbunden mit Netgear GS110EMX, dort Port 10 als Trunk, Port 2 für Gast.
Da DHCP ja über FB laufen sollte, noch keine weiteren Routes etc. eingerichtet. Denn es wäre halt schön, wenn auch die geräte im Gast-LAN die im Gast-WLAN erreichen könnten im gleichen IP -Raum.

Nun zu den Phänomen:
1. MS510TXM funktioniert tadellos. Die VLan1 Clients bekommen IPs und auch Internet.
2. Die Vlan100 Clients bekommen IPs (aus Gastnetz) und auch Internet.
3. Wenn ich Client mit Vlan1 an GS100 verbinde, auch alles ok, bekommen IP und auch INterent.
4. Wenn ich Client mit Vlan100 an GS100 verbinde, bekommt er weder die richtige IP, noch dann natürlich Internet.

Da DHCP ja über FB laufen sollte, diese auf 510 nicht eingerichtet.
Versucht, Routing-Tabellen einzurichten, hat das Problem mit fehlender oder falscher IP jedoch nicht gelöst (bekommt immer eine "autoconfig" IP 169.256.178.179 ohne Standard Gateway
Eintrag von 510 als Standard Gateway hat auch nichts gebracht.
Wenn ich versuche eine Default Route einzurichten mit next hop point 192.168.2.1 (FB), bekomme ich folgende Meldung:
"Die angegebene Adresse für Statische Route/Adresse für den nächsten Hop kann sich nicht im selben Subnetz wie der Service-/Netzwerk-Port befinden". Aber das wäre doch der richtige Gateway oder?
Ich hoffe, jemand hat eine Idee, komme nicht mehr weiter... Unten noch die Screenshots...
DAnke!!
screenshot 2023-02-24 132803
screenshot 2023-02-24 132541
screenshot 2023-02-24 132135
screenshot 2023-02-24 132641
screenshot 2023-02-24 132747
screenshot 2023-02-24 132521
screenshot 2023-02-24 132353
screenshot 2023-02-24 132329
screenshot 2023-02-24 132312
screenshot 2023-02-24 132719
screenshot 2023-02-24 132432
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 6111452399

Url: https://administrator.de/contentid/6111452399

Printed on: May 1, 2024 at 18:05 o'clock

40 Comments
Latest comment
Goto Top
Member: aqui
aqui Feb 24, 2023 updated at 14:25:01 (UTC)
Goto Top
Du hast den üblichen Anfänger Fehler am Uplink Port beider Switches gemacht und das Default VLAN 1 dort fehlerhaft auf "Tagged" gesetzt.
Das VLAN 1 ist immer das native VLAN bzw. PVID VLAN was an tagged Uplinks immer UNtagged anliegt. Du musst lediglich nur dein Gast VLAN 100 taggen an beiden Enden.
Man kann NICHT die Port PVID auf 1 setzen das Interface dann wieder mit 1 taggen, das wäre unsinnig, denn das eine widerspricht dem anderen und führt zur Fehlfunktion! Dadurch kommt kein VLAN 1 Traffic von Switch 1 auf Switch 2 und in Folge scheitert damit dann natürlich auch die DHCP IP Vergabe sowohl für den Switch als auch den Client.
Das PVID VLAN ist das VLAN in das der Switch generell UNtagged Traffic an dem Port forwardet. Das kann damit logischerweise dann niemals Tagged und UNtagged zugleich sein.
Die Switch Uplinks sehen richtig so aus:
  • Uplink Port SW1 = PVID 1, UNtagged 1, Tagged 100
  • Uplink Port SW2 = PVID 1, UNtagged 1, Tagged 100
Dann klappt es auch sofort.
Dieser Forenthread illustriert noch einmal ganz genau dieses Setup.
Wir hatten erst kürzlich genau so ein Drama mit den NetGear Gurken die kein Auto PVID supporten. face-sad
Gastnetzwerk über 2 unterschiedliche Switche mittels VLAN schleifen. Ich verzweifle :(
Netgear Pro Switch VLAN Probleme
Member: felix145
felix145 Feb 24, 2023 at 15:35:46 (UTC)
Goto Top
Hi, danke für Deine Message!
Habe alles so geändert, aber geht leider immer noch nicht, keine Änderung im Verhalten. An Switch1 geht alles, an Switch2 nur, wenn nicht an den V100 ports, dort weiterhin keine IP und somit auch kein Internet.
Das mit dem Taggen sollte jetzt so sein, wie von Dir beschrieben...
Woran könnte es sonst noch liegen?? DANKE!!
screenshot 2023-02-24 163151
screenshot 2023-02-24 162953
screenshot 2023-02-24 163015
screenshot 2023-02-24 163207
screenshot 2023-02-24 163055
screenshot 2023-02-24 162912
screenshot 2023-02-24 163126
Member: aqui
aqui Feb 24, 2023 updated at 18:15:52 (UTC)
Goto Top
Das ist in der Tat verwunderlich. Obwohl bei NG Gurken weiss man nie... face-big-smile
Von der VLAN Konfig ist es OK.
Aktuellste Firmware hast du im Switch geflasht? 1.0.2.3 ist eine alte nicht mehr supportete Version!! Aktuell ist 1.0.2.7

Ansonsten mal den Switch auf die Factory Defaults resetten.
Damit sind dann alle Ports untagged im VLAN 1 und die PVID ist auch auf allen Ports 1
Den so resetteten Switch steckst du jetzt testweise mal auf den Uplink des ersten Switches. Nach deinen Screenshots zu urteilen ist das ja bei beiden Switches der Port 10, richtig?
Nun sollte das Management Interface eine IP von der FB bekommen und du kannst zumindestens im VLAN 1 fehlerlos arbeiten.
Dann richtest du das VLAN 100 ein und weist diesem VLAN Tagged den Uplink Port 10 zu und UNtagged plus PVID 100 einen Testport. Dann sollte es dort auch mit VLAN 100 klappen.

Sollte das wider Erwarten nicht der Fall sein, steckst du den auf die Defaults resetteten Switch einmal testweise an einen der untagged Endgeräte Ports am ersten Switch wo du schon erfolgreich eine IP von der FB bekommen hast.
Idealerweise in beiden VLANs 1 und 100 um sicherzugehen das die IP Vergabe und Connectivity klappt und es nicht ein Problem des Uplinks am ersten Switch ist.
Member: felix145
felix145 Feb 24, 2023 at 22:46:30 (UTC)
Goto Top
Hi! danke für die Tips, werde alles probieren!
Welche der beiden Switche ist denn eher der "Übeltäter"?
Wenn NG Gurken so schrecklich sind, was wäre denn die bessere Wahl?
Habe nicht soviel anderes mit einer grösseren Menge an 10GB Ports bei gleichzeitig nicht zu großem Switch gefunden...
Danke!!
Member: aqui
aqui Feb 25, 2023 updated at 08:34:48 (UTC)
Goto Top
was wäre denn die bessere Wahl?
Alles was nicht NG ist! face-wink Cisco SG oder CBS, Zyxel, D-Link die üblichen Verdächtigen sogar TP-Link kann das besser.
Aber Spaß beiseite... Ein VLAN Switch wird ja wohl erwartungsgemäß mit VLANs umgehen können. Sowas Banales sollte auch ein NG hinbekommen.
Auf alle Fälle aktuellste Firmware aufspielen und dann so wie oben beschrieben strategisch vorgehen.
Mit dem ersten Switch hast du es ja schon richtig gemacht die Connectivity mit der FB in jedem VLAN zu testen. So machst du es auch beim zweiten Switch. Erstmal nackig an die FB, IP und Ping checken, dann nackig an einen VLAN 1 Port, IP und Ping checken. Dann Trunk mit VLAN 100 setzen und wieder checken.
mit einer grösseren Menge an 10GB Ports bei gleichzeitig nicht zu großem Switch
Die sind im Billigsegment eh immer 2- meistens 4fach auf dem inneren Switch Port ASIC überbucht. Hohe Ansprüche an Performance solltest du in dem Preissegment nicht haben. Übrigens geht es noch etwas kompakter bei 10Gig. face-wink
Member: felix145
felix145 Feb 25, 2023 at 11:59:28 (UTC)
Goto Top
Danke für die ganzen Tips!
Warum ich nach NG frage: Momentan kann ich die noch kostenfrei umtauschen, wenn es zu ähnlichen Preisen was besseres gibt. Cisco hatte ich nichts unter weit über 1000 EUR gefunden.... Klingt ja nicht so gut mit der zu erwartenden Performance durch Überbuchung... Mikrotik sieht gut aus, nur kämen dann noch die Adapter von SFB auf CAT dazu, haben wir noch nicht gemacht, funktioniert das einwandfrei? DANKE!
Member: aqui
aqui Feb 25, 2023 at 18:39:05 (UTC)
Goto Top
RJ-45 ist bei 10G nie eine gute Idee wenn man die volle Bandbreite nutzen möchte weil dort immer ein Negotiation Verfahren benutzt wird. Ein schlechter Stecker oder Knick im Kabel und es kommen nur noch Bruchteile an. Das gilt auch für Längen über 10 Meter je nach Kabelqualität.
Wer sicher die maximale Geschwindigkeit haben will nutzt immer DAC/Twinax Kabel, AON Kabel oder SFP+ Optiken mit LC Kabeln.
Member: felix145
felix145 Feb 25, 2023 at 20:48:34 (UTC)
Goto Top
Das ist schon klar, dass RJ-45 da nicht so gut ist. Und Glasfaser ist für die Zukunft auch geplant, deswegen hatte das derzeitige Geräte eben auch SFP Anschlüsse. Aber die neuen Kabel sind momentan im Haus noch nicht darstellbar, braucht noch Zeit....
Member: felix145
felix145 Feb 25, 2023 at 22:43:46 (UTC)
Goto Top
Leider kein grosser Erfolg:
- Beide NG Switches Firmware update
- zweites Switch GS110EMX reset to factory defaults
- GS110 direkt an FB angeschlossen: Ip und internet
- GS110 an port4 FB (Gastnetz) angeschlossen: richtige gast IP und internet
- erstes Switch wieder an FB angeschlossen und GS110 an einen Switch aus Vlan1: richtige IP und internet
- GS110 und Switch1 über Trunk port 10 verbunden, dann an Vlan1 port gecheckt: richtige IP und internet
- gGS110 und Switch1 über Trunk port 10 verbunden, dann an Vlan100 port gecheckt: weiterhin keine richtige IP und kein internet
hat sich also eigentlich nix zu vorher geändert.....
vielleicht noch eine idee??
Danke!!
Member: aqui
aqui Feb 26, 2023 updated at 11:23:54 (UTC)
Goto Top
Der Switch ist immer ein Mann! https://de.wiktionary.org/wiki/Switch

vielleicht noch eine idee??
Nein leider nicht.
Aber bevor du tauschst ggf. noch einen finalen, strategischen Test
  • Beide Switches vollständig Factory resetten. (Seite 466) Aktuelle FW hast du ja schon drauf
  • Switches mit Default Settings an ihren Uplink Ports zusammenstecken
  • Ersten Switch an LAN Port der FB stecken und checken ob beide Switches eine IP von der FB bekommen. Das würde dann wenigstens die VLAN 1 Connectivity verifizieren.
  • Klappt das auf beiden Switches das VLAN 100 anlegen und es tagged an die Uplink/Verbindungsports der beiden Switches anlegen.
  • Mit Ping Check weiter die Connectivity der beiden Switch IPs und FB checken
  • Klappt das weiterhin, dann an beiden Switches einen UNtagged Testport in VLAN 100 mit PVID 100 anlegen. Den an SW1 mit dem FB Gastport LAN4 verbinden den an SW2 mit einem Test PC und Ping Check.
Wenn das auch wieder scheitert dann Switches gegen "richtige" Switches tauschen die sich Standard konform verhalten.
Member: felix145
felix145 Feb 26, 2023 at 12:02:07 (UTC)
Goto Top
Danke!! ich probiere....
Hatte noch was anderes probiert:
hatte die Reihenfolge der Switches getauscht...
- zunächst den GS110EMX direkt an FB gehängt mit port1 zu FB und port4 zu FB guest wie gehabt. Wie zuvor bei Switch1 bekommt dieser jetzt IP u Internet ganz normal für Vlan1 und Vlan100.
- wenn ich dann den anderen Switch über Trunk verbinde, zeigt der das gleiche Verhalten wie vorher der GS100EMX: bei Vlan1 wie immer alles richtig auch nach dem Trunk (IP, Ping, internet), bei Vlan100 erhält dann dieser Switch keine richtige IP mehr...
Ist irgendwie komisch, denn selbst wenn beide nicht standard konform sind, so sollten sich doch die Teile von NG unterneinander problemfrei verstehen können?
Jetzt kommt dann noch der von Dir vorgeschlagene Test...

Falls Tausch: was ist von Mikrotik zu halten? Ubiquiti wahrscheinlich auch nicht so toll??
Member: aqui
aqui Feb 26, 2023 updated at 16:31:13 (UTC)
Goto Top
Wenn du auf Performance aus bist sind beide nicht die beste Wahl. Die bedienen primär Klientel die nur nach Preis kauft und nicht nach Technik, Ausfallsicherheit etc. Entsprechend ist das Innenleben (Asics). Bei UBQT kommt noch der Vendor Zwang hinzu mit dem Controller da bist du dann wirklich lost. In Firmennetzen ein NoGo.
Im mittleren Bereich ist es eigentlich fast egal was man nimmt. Alle haben Billigasics von Marvell intus mit ein paar wenigen Ausnahmen.
Das ist doch Neuware, oder? Damit hast du doch Service im NetGear TAC frei. Mache einfach einen Case dort auf und lasse die das fixen.
Aber nicht das das so ein blöder Fehler mit einem defekten Kabel ist wie bei dem einen Thread oben...?! face-wink
Da der 2te Switch ja generell immer tot ist besteht auch der Verdacht das dort gar keine physische Verbindung zustande kommt. Falls der Switch ein SSH oder Telnet CLI hat kannst du dir das mit show int xyz mal genauer ansehen.
Die Teile haben doch auch SFP+ Ports, oder? Hast du die Kopplung zur Sicherheit mal mit einem DAC/Twinax Kabel gemacht? Oder SFP+ Optiken sofern du hast?
https://www.fs.com/de/products/74619.html?attribute=9080&id=185186
https://www.fs.com/de/products/74668.html?attribute=50&id=809
Member: felix145
felix145 Feb 26, 2023 at 18:34:36 (UTC)
Goto Top
hi
kann eigentlich nicht das Kabel sein, da der 2te Switch ja nicht tot ist, sondern egal wer von beiden gerade der 2te Switch ist, Vlan1 IMMER komplett auch auf dem 2. funktioniert, nur Vlan100 nicht (bekommt erstmal gar keine IP).
Ich hatte eigentlich gehofft, dass der GS110 das Problem ist, da sozusagen eine Leistungsklasse unter dem anderen, aber wenn ich beide tausche, bekommt der 510er genauso wenig IP.....
So, habe jetzt das Kabel getauscht, bringt keine Änderung.
Nein, die SFP Teile habe ich noch nicht, dass wäre dann der nächste Schritt im Ausbau....

Ja, Support habe ich bei NG denke ich, die Frage ist einfach, ob das dann die richtige Investition ist, wenn es schon am Anfang hakt...

UI hatte ich nicht wirklich überlegt, da die eben sehr eigene Wege gehen... Klar wäre mir Cisco am liebsten, aber im 10G sind die noch sehr teuer.... danke!
Member: aqui
aqui Feb 27, 2023 updated at 08:28:21 (UTC)
Goto Top
Finale Option wäre noch einmal einen Wireshark Sniffer an die Uplink Ports zu klemmen und überhaupt einmal zu checken ob dort VLAN 100 Tagged Frames ankommen. Hier z.B. mit VLAN ID 14:
vlansniff14
Wenn die Switches an dem Port gar keine 100er tagged senden ist es klar warum immer der 2te Switch versagt.
Bedeutet dann das irgendwas an der Konfig noch fehlerhaft ist. Die eine Kiste hat so eine ominöse "Auto VLAN" Funktion. Vielleicht macht es auch einmal Sinn diese zu aktivieren...
Ist ja echt ein Drama mit den NG Gurken. Jeder Chinesenswitch hat so ein Banalsetup in 3 Minuten erledigt...
Es gibt übrigens auch eine deutsche Hotline in der NG Niederlassung in München. Vielleicht hilft das...?!
Member: felix145
felix145 Feb 27, 2023 at 22:19:30 (UTC)
Goto Top
hi! haben noch einiges rumprobiert und auch noch ein Gerät getauscht von NG, aber hat alles nichts gebracht. Muss jetzt hier diskutieren, ob wir nicht doch die Geräte umtauschen gegen andere, denn ein guter Anfang ist das ja nicht, wenn es schon bei den erste Schritten hakt...
Was wäre denn ein Chinesenswitch?
Auf jeden Fall schon mal DANKE!!
Member: aqui
aqui Feb 28, 2023 updated at 08:00:31 (UTC)
Goto Top
TP-Link! Davon würde ich aber die Finger lassen. Sieh dich dann lieber bei Zyxel oder D-Link um. Wenn es ein Firmennetz ist und Verfügbarkeit ein Kriterium ist solltest du besser Cisco CBS350 X Modelle nehmen da hast du zusätzlich noch 10 Jahre RMA Wartung drauf was dann auch den Preis rechtfertigt. Allerdings bietet D-Link auch RMA Support an wenn auch nicht so lange.
Member: felix145
felix145 Feb 28, 2023 at 12:30:40 (UTC)
Goto Top
ok danke!! TP-Link hatten wir uns noch gar nicht angeschaut. Zyxel hatten wir vor Urzeiten mal, war eigentlich immer ok, aber auch "halb-chinesisch"... MikroTik auch nicht? Die machen von den Specs wie Geschwindigkeit, Stromverbrauch, Preis/Leistung eigentlich einen sehr guten Eindruck? Danke!
Member: aqui
aqui Feb 28, 2023 updated at 15:05:15 (UTC)
Goto Top
TP-Link hatten wir uns noch gar nicht angeschaut.
Lass es auch lieber. Das ist was für Heimvernetzung nichts für Firmennetze.
MikroTik auch nicht?
Kommt aus der EU: https://mikrotik.com/aboutus bzw. https://de.wikipedia.org/wiki/Zyxel
L2 machen die auch recht ordentlich. Die HW ist zum Teil bei Providern im Einsatz. Machst du auch nix falsch damit.
Zyxel ist Taiwan. Ob das zu China gehört ist bekanntlich Ansichtssache wie du aus der jüngsten Vergangenheit selber weisst. face-wink
https://de.wikipedia.org/wiki/Zyxel
Member: felix145
felix145 Mar 01, 2023 at 12:48:53 (UTC)
Goto Top
hi! Danke!! Wir haben jetzt zumindest nochmal probiert, wie stabil die 10G Verbindung über RJ45 läuft über mehrere Stockwerke und es ist schon so, wie Du vermutet hast: Es wird als 10G angezeigt und manchmal wird es auch erreicht, aber nicht immer stabil....
Von daher überlegen wir dann doch Fiber zu verlegen für die Verbindung zwischen den Switches. Was wir suchen würden wäre sowas wie Breakout Kabel XQ+BC0003-XS+ (https://mikrotik.com/product/xq_bc0003_xs_) ) nur deutlich länger, ca. 40 m sollten ausreichend sein. Muss über eine gewissen Distanz aussen geführt werden, aber nicht im Erdreich. Gibt es da eine preiswerte Möglichkeit, sich das irgendwie zusammenzustellen?
Re Taiwan: Das Problem ist, dass die sich durchaus als Chinesen bezeichnen, nur eben als National-Chinesen und nicht VR. Und leider sind hier in der Vergangenheit auch im speziellen von der US massive Fehler in der Anerkennung gemacht worden, die sich eben jetzt rächen, da die Situation einfach nicht klar geregelt ist... Und Xi hat bei den meisten Sachen bisher leider Wort gehalten s. HK...
Danke und Lg
heart1
Member: aqui
aqui Mar 01, 2023 updated at 14:07:00 (UTC)
Goto Top
Das ist ein stinknormales QSFP Twinax/DAC Breakout Kabel.
https://www.fs.com/de/products/74651.html?attribute=9437&id=190164
Bekanntlich ist die maximale Twinax/DAC Kabellänge aber auf 10 Meter begrenzt. Mit 40 Meter wirst du da dann zumindestens mit DAC nix mehr. face-sad

Aber das gleiche gibt es auch für Glasfaser womit du dann keine solche Längenbegrenzung mehr hast.
Dazu benötigst du eine Breakout QSFP Optik mit MTP und ein entsprechendes MTP Breakout Kabel:
https://www.fs.com/de/products/75298.html?attribute=360&id=8359
und das passende Kabel:
https://www.fs.com/de/products/68167.html?attribute=6193&id=109777
hier für 50m: https://shop.fiber24.net/FOPC-F2-O3-MT12F-DX-4LCU/de
Damit kannst du dann mit Multimode OM3/OM4 Längen bis 500m bedienen.
Member: felix145
felix145 Mar 04, 2023 at 11:53:49 (UTC)
Goto Top
HI! haben uns auch die Zyxel Switche nochmal angeschaut. Die sind eigentlich sehr nett, v.a. eine gute Mischung von 10G RJ45 Ports und SFP+, dass man da, wo man keine Faser hat und mit Cat7 leben muss, nicht die ganzen Module kaufen muss. Nachteil leider, so wir wir das sehen, haben die keine kleinen Switche für die Office, die z.B. 3 10G neben 1G haben und KEINEN Lüfter... Ist für den Server kein Problem für den MainSwitch, aber in den Büros eher nicht... Ist schade, denn die machen wirklich guten Eindruck...
Member: aqui
aqui Mar 04, 2023 at 11:59:17 (UTC)
Goto Top
die z.B. 3 10G neben 1G haben und KEINEN Lüfter...
Dafür nimmst du dann einen Mikrotik CRS305. face-wink
https://www.varia-store.com/de/produkt/394330-crs305-1g-4s-in-cloud-rout ...
Member: felix145
felix145 Mar 04, 2023 at 19:41:51 (UTC)
Goto Top
An den oder CRS309-1G-8S+IN hatte ich auch schon gedacht, aber ich dachte "mischen" mit anderen Fabrikaten wäre eher nicht so gut.... Andererseits schlimmer als bei pur NG kann es auch nicht werden... face-wink
Member: aqui
aqui Mar 05, 2023 updated at 10:07:21 (UTC)
Goto Top
"mischen" mit anderen Fabrikaten wäre eher nicht so gut....
Ist aber generell kein Problem. (Wenn es nicht gerade NG ist! 😉)
Member: felix145
felix145 Mar 07, 2023 at 20:39:12 (UTC)
Goto Top
Hi! So, mit den Zyxels läuft jetzt alles auf Anhieb, schon erstaunlich.... Insofern auf jeden Fall gut, die NGs getauscht zu haben...
Jetzt fehlt auf Dauer nur noch ein Routing, dass man von Vlan1 (oder besser von 1 bis 2PCs in VLAN1) auf VLAN100 zugreifen kann, aber nicht von VLAN100 auf VLAN1.
Aber das ist erstmal nicht so eilig, dass was es machen muss, macht es jetzt erstmal... DANKE!!
Member: aqui
aqui Mar 08, 2023 updated at 08:13:44 (UTC)
Goto Top
schon erstaunlich....
Das ist es in der Tat sofern du die exakt gleichen Setup Voraussetzungen genommen hast. Kann man nur mutmaßen das dann doch ggf. einer der NGs defekt war.
Jetzt fehlt auf Dauer nur noch ein Routing
Das ist ja nun das kleinste Problem und kannst du je nach verwendetem Switchmodell im Handumdrehen umsetzen.
Wie man das in einem reinen Layer 2 Setup löst erklärt dir das hiesige Layer 2 VLAN Tutorial und wie das ganze in einem reinen Layer 3 Umfeld aussieht dann das Layer 3 VLAN Tutorial.
Wie immer: Lesen und verstehen!! face-wink
Member: felix145
felix145 Mar 08, 2023 at 23:43:32 (UTC)
Goto Top
danke!!
Also, ja, sollte eigentlich ganz einfach sein, wenn man den Tutorials von Dir folgt...
Aber leider heisst bei Zyxel alles anders und die Menueaufbauten sind anders... Aber mit dem Tutorial von Zyxel sollte es eigentlich dann auch gehen, die entsprechenden Policies und "Classifiers" einzurichten, um die Regel für Weiterleitung oder Verwerfung aufzustellen.
(https://community.zyxel.com/en/discussion/16022/zyxel-xs3800-28-vlan-rou ..).
Der verwendete Switch ist XS1930 sollte das alles können.
V1 kommt als das normale Netzwerk von der Fritzbox, V100 ist das Gastnetz von der FB, für beide werden die IPs über die FB vergeben. Lt Zyxel Lit sollte Routing zwischen den Vlans gehen, ohne dass man besondere Static Routes einrichten muss.
Was jetzt passiert ist, dass man zwar in beiden VLANs dei richtigen IPs enthält, Internet hat, pingen kann innerhalb des VLANs, aber eben nicht ins andere VLAN kann. Insofern bringen dann wahrscheinlich die ACLs nichts, wenn Routing erstmal gar nicht geht. Einen Schalter für Routing wie bei Deinen Tutorials gibt es scheinbar bei Zyxel nicht.

Alles sollte so sein, wie hier beschrieben:
https://community.zyxel.com/en/discussion/3344/how-to-configure-the-swit ...

Unterschied: Bei V1 haben wir als Gateway die FB, da der Switch IP über DHC von FB erhält... (s. bild).
Vielleicht noch irgendeine Idee, was da schiefläuft???
danke!!
screenshot 2023-03-09 004133
screenshot 2023-03-09 004044
Member: felix145
felix145 Mar 09, 2023 at 00:14:51 (UTC)
Goto Top
Noch ein Nachtrag:
Firewall auf PC ist ausgeschaltet, bringt keine Änderung.
von Vlan1 PC aus kann man das "Gast-Gateway" 192.168.179.1 anpingen, aber nicht Geräte im Netzwerk
von vlan100 dasselbe, 192.168.2.1 lässt sich anpingen. andere IPs im VLAN nicht (inklusive der 192.168.2.57 v Switch).
Danke!
Member: aqui
aqui Mar 09, 2023 at 08:00:43 (UTC)
Goto Top
Insofern bringen dann wahrscheinlich die ACLs nichts, wenn Routing erstmal gar nicht geht.
Das ist natürlich richtig!
Sind deine neuen Switches denn überhaupt Layer 3 (Routing) fähig?? Wenn nicht, bräuchtest du ja immer einen externen Router!!
Der User Guide zu deinem Switch ist da ziemlich eindeutig das es eben kein Layer 3 Switch ist sondern ein reiner Layer 2 Switch. Der ist natürlich dann NICHT Routing fähig und damit ein Layer 3 Konzept NICHT umsetzbar!
Du benötigst dann immer einen externen Router um ein Layer 3 Forwarding damit zu realisieren. Logisch...!
Dein o.a. Verhalten ist in deinem Setup also absolut Standard konform und so erwartbar.
Das hiesige Layer 2 VLAN Tutorial beschreibt dir die ToDos dafür im Detail!

Warum du ein unsicheres Gastnetz mit einem privaten Netz koppeln willst ist ebenso höchst fraglich. Kein normaler netzwerk Admin macht so eine Unsinn. Genau deshalb trennt man ja Gastnetze strikt von eigenen lokalen LAN Segmenten?! Aber du wirst ja sicher wissen was du tust?!
Firewall auf PC ist ausgeschaltet, bringt keine Änderung.
Ist auch Unsinn und hat mit dem Routing nicht das Geringste zu tun. Ggf. solltest du erstmal etwas über IP Routing Grundlagen lesen und verstehen?!
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Member: felix145
felix145 Mar 09, 2023 at 08:31:37 (UTC)
Goto Top
Das ist schon klar mit dem L3 Layer Switch.
ABER: Zyxel nennt den Switch Lite-L3 Smart Managed Switch und hatten auf Nachfrage bestätigt, dass sich auf dem Switch ein inter-VLAN Routing einrichten lässt.
Was mich jetzt allerdings auch wundert ist, dass nun in den Specifications auftaucht:
- Access L3 License**
- (New for V4.80) (must be purchased separately)
https://www.zyxel.com/global/en/products/switch/10-12-port-10g-multi-gig ...
Das klingt nicht wirklich nett, dieses sozusagen mit Firmware VErsion einzuführen, muss ich klären, ob das mit drin ist oder ggfs. downgraden auf ältere Version.

Und ja, natürlich will man eine strikte Trennung vom Gast-Netz, speziell in unserem Falle im real- life. Hier ging es mehr darum, zu sehen, ob der Switch es kann und ob es möglich ist, z.B. für die erste Konfiguration von verschiedenen Sachen, von einem PC aus vorübergehend eine Verbindung ins GAst-Netz zu aktivieren. Dafür müsste das Gastnetz in dieser Zeit nicht mal im Internet sein. Aber das wäre reiner Luxus und eben eine Sache zum Ausprobieren gewesen, ob es überhaupt geht. Aber die strikte Trennung geht natürlich vor!!
Member: aqui
aqui Mar 09, 2023 updated at 11:07:46 (UTC)
Goto Top
Gut, einige Hersteller haben so verschwurbelte Bezeichnung wie L2+ oder "plus" das ist dann ein Hinweis das die einfaches statisches Routing supporten. Im User Manual zu dem Modell stand aber schon im Deckblatt nur "Layer 2".
Wichtig ist nur ob du dem Switch IP Adressen in seinem VLAN vergeben kannst! (Handbuch Seite 162)
Wenn das der Fall ist kann er L3. Du vergibst dann schlicht und einfach den VLANs die du routen möchtest eine IP Adresse. Diese IP ist dann gleichzeitig die Default Gateway Adressse der Endgeräte in den betreffenden VLANs und muss dort dann entsprechend konfiguriert oder per DHCP vergeben werden und fertig ist das VLAN Routing.
Wie du ja selber an deinem Setup siehst hat das bei dir ja schon bestens geklappt für die VLAN IDs 1 und 100.
von Vlan1 PC aus kann man das "Gast-Gateway" 192.168.179.1 anpingen, aber nicht Geräte im Netzwerk von vlan100
Das zeigt aber das der Switch dann schon routet! face-wink
Du hast sicher schlicht und einfach vergessen den Endgeräten im VLAN 100 die Switch IP als Default Gateway einzutragen. Ohne dieses Gateway sind sie nicht in der Lage die Pakete in VLAN 1 zu routen.
Oder eben vergessen in der Firewall der VLAN 100 Geräte ICMP usw. freizugeben wenn das Winblows Geräte sind. Ohne ein Customizing der Firewall verwirft diese jedes Paket was NICHT aus dem lokalen Netzwerk kommt. Wie man ICMP (Ping) in der Win Firewall erlaubt wird HIER erklärt.

Alles weitere erklärt dir das Layer 3 VLAN Tutorial.
Member: felix145
felix145 Mar 09, 2023 at 11:29:15 (UTC)
Goto Top
Ja, nur hat sich scheinbar seit Nov22 ein wenig was verändert. Was sie jetzt als L3 freischalten ist im Anhang, lohnt sich das für den Anwendungszweck? Ist komisch derzeit ,teilweise kommt bei dem Link für Features auch heute noch die "alte" Seite mit L2 Switch, dann beim nächsten Aufrufen die Seite mit Lite L3 und zusätzliche L3 Lizenz...

Also, was er nach Anleitung von Zyxel kann, ist VLANs mit eigenen IP Addressen einrichten und diese sollen dann miteinander kommunizieren können. Muss ich noch ausprobieren.
Was dann wahrscheinlich nicht gehen wird, ist das inter VLAN routing zwischen den beiden Fritzbox Netzen, wenn ich es denn richtig verstehe, auch nicht mit der L3 Lizenz...

danke!
webaufnahme_9-3-2023_122353_www.zyxel.com.
screenshot 2023-03-09 121740
Member: aqui
aqui Mar 09, 2023 at 13:08:15 (UTC)
Goto Top
und diese sollen dann miteinander kommunizieren können. Muss ich noch ausprobieren.
Was ja dann stinknormales L3 Forwarding ist. Da du aus deinem VLAN 1 oder 100 das jeweils andere Gateway pingen kannst zeigt das L3 Forwarding (Routing) auf dem Switch sauber rennt. Was willst du also mehr? Works as designed!
Was dann wahrscheinlich nicht gehen wird, ist das inter VLAN routing zwischen den beiden Fritzbox Netzen
Das wäre sehr verwunderlich, denn dann wäre auch das Pingen des jeweils anderen Gateways unmöglich.
Probier es also aus. Versuch macht klug! 😉
Member: felix145
felix145 Mar 09, 2023 at 14:26:12 (UTC)
Goto Top
also: ja, die jeweils anderen Gateways werden beide einwandfrei angepingt. aber leider auf beiden Seiten dann keinerlei IPs innerhalb des anderen VLANs....
Member: aqui
aqui Mar 09, 2023 at 14:35:42 (UTC)
Goto Top
aber leider auf beiden Seiten dann keinerlei IPs innerhalb des anderen VLANs....
Wie bereits gesagt ist das zumindestens für Windows Maschinen normal weil deren lokale Firewall ohne Customizing diese Zugriffe blockt.
Nur zur Erinnerung: Wenn in einem VLAN die dortigen Endgeräte ihr Default Gateway auf einen ggf. vorhanden Internet Router gesetzt haben statt des Switches muss dort zwingend eine statische Route für das separate VLAN gesetzt sein. Siehe dazu HIER in den IP Routing Grundlagen.
Member: felix145
felix145 Mar 09, 2023 at 17:12:28 (UTC)
Goto Top
Also, das habe ich ja auch soweit ausprobiert, aber es ist komisch!
Ob ich die Firewall nun komplett auf beiden Rechnern ausschalte oder nicht, macht meistens keinen Unterschied, Verhalten bleibt gleich.
Manchmal allerdings lassen sich beide Geräte in den verschiedenen Subnetzen dann gegenseitig anpingen für ein paar Minuten und auch Netzwerkfreigaben aufrufen etc.
Ruft man die ACL REgel auf, dass alle Pakete von V100 nach V1 verworfen werden, macht er das auch, aber man kann dann auch nicht mehr von V1 auf V100 zugreifen.
Aber wie gesagt, es kommt und geht, ohne dass ich rausbekomme, warum mal ja mal nein...
Derzeit ist noch keine statische Route gesetzt, da es zum Einen teilweise geht, zum anderen jeweils in der Netzwerkverbindung als Gateway der Switch eingetragen ist.
unten nochmal die aktuelle Version.
ich probiere weiter....

; Product Name = XS1930-10
; Firmware Version = V4.80(ABQE.1) | 02/01/2023
; Service Status = Not Licensed
; SysConf Engine Version = 1.2
; Config last updated = 07:40:15 (UTC+00:00) 2023-03-09
vlan 1
normal ""
fixed 1-10
forbidden ""
untagged 2-5,9-10
ip address dhcp-bootp
exit
vlan 100
normal 2-5,9-10
fixed 1,6-8
forbidden ""
untagged ""
ip address 192.168.179.1 255.255.255.0
exit
classifier match-order manual
classifier "vlan1 to vlan100" source-ip 192.168.2.0 mask-bits 24 destination-ip 192.168.179.0 mask-bits 24 count log
classifier "v100 to v1 all deny" weight 32765 source-ip 192.168.179.0 mask-bits 24 destination-ip 192.168.2.0 mask-bits 24 count log
interface route-domain 192.168.179.1/24
exit
interface port-channel 1
vlan-trunking
exit
interface port-channel 6
vlan-trunking
exit
interface port-channel 7
vlan-trunking
exit
interface port-channel 8
vlan-trunking
exit
policy "v1 to v100" classifier "vlan1 to vlan100" vlan 1 egress-port 1 priority 0 bandwidth 0 inactive
policy "v100 to v1 all deny" classifier "v100 to v1 all deny" vlan 100 egress-port 1 priority 0 bandwidth 0 forward-action drop inactive
timesync server 1.pool.ntp.org
timesync ntp
snmp-server get-community px
snmp-server set-community px
snmp-server trap-community px
rmon statistics etherstats 1 port-channel 1
rmon statistics etherstats 2 port-channel 2
rmon statistics etherstats 3 port-channel 3
rmon statistics etherstats 4 port-channel 4
rmon statistics etherstats 5 port-channel 5
rmon statistics etherstats 6 port-channel 6
rmon statistics etherstats 7 port-channel 7
rmon statistics etherstats 8 port-channel 8
rmon statistics etherstats 9 port-channel 9
rmon statistics etherstats 10 port-channel 10
wizard vlan 1,100
Member: felix145
felix145 Mar 09, 2023 at 21:09:02 (UTC)
Goto Top
Warum auch immer läuft es jetzt scheinbar stabil mit dem gegenseiten PIngen nach u.a. mehreren Reboots.
Allerdings klappt das mit den ACLs noch nicht richtig, die ja den Verkehr in einer Richtung V100 zu V1 unterbinden sollen.

typische konfiguration:
classifier "v100 to v1 all deny" weight 32765 source-ip 192.168.179.0 mask-bits 24 destination-ip 192.168.2.0 mask-bits 24
policy "v100 to v1 all deny" classifier "v100 to v1 all deny" vlan 100 egress-port 1 priority 0 bandwidth 0 forward-action drop

sobald dieses eingeschaltet wird, geht zwar kein Verkehr von V100 zu V1 mehr, aber auch V1 erkennt V100 Members nicht mehr, kein Pingen und auch kein Aufruf von z.B. Netzwerkfreigaben.

Habe doch nochmal probehalber eine static route in der FB eingegeben, hat auch nichts geändert.

Eigentlich sollte alles genauso eingetragen sein, wie Zyxel es in den Tutorials für genau diesen Zweck beschreibt.
Probiere weiter.....
screenshot 2023-03-09 214930
Member: aqui
aqui Mar 10, 2023 at 07:52:40 (UTC)
Goto Top
dass alle Pakete von V100 nach V1 verworfen werden, macht er das auch, aber man kann dann auch nicht mehr von V1 auf V100 zugreifen.
Ist doch auch logisch, denn als Netzwerk Profi weisst du doch das Accesslisten auf Switches bekanntlich nicht stateful sind!!! Du musst also immer beide Seiten, Hinweg und Rückweg beachten!
Derzeit ist noch keine statische Route gesetzt,
Na ja, eine musst du zumindestens IMMER setzen und das ist die Default Route auf den Internet Router!
vlan 1, ip address dhcp-bootp
Einem Router sollte man niemals dynamische IP Adressen geben! Einzige Ausnahme: man arbeitet an dem Interface mit einer IP Adressreservierung auf Mac Adress Dasis am DHCP Server.
Allerdings klappt das mit den ACLs noch nicht richtig
Das sieht auch etwas "wirr" aus im Setup. Classifier klingt eher nach einem QoS Setting aber nicht nach Accesslisten. ACL sehen in der Konfig in der Regel deutlich anders aus.
Member: felix145
felix145 Mar 10, 2023 at 10:31:19 (UTC)
Goto Top
- als Software Profi und Netzwerk Laie hätte ich mir gedacht, dass Hinweg und Rückweg wichtig sind. Ich hätte mir allerdings auch gedacht, dass es einfach sein sollte, ein Tutorial von Zyxel in einem solch einfachen Fall übernehmen zu können. Und die beschreiben die ACL Regeln genauso und bei denen funktioniert dann in der einen Richtung der Ping und in der anderen nicht.
- ist inzwischen gesetzt, ändert aber auch nichts
- der Router hat keine dynamische IP-Adresse, auch wenn er das "glaubt". Diese ist in der FB fest gesetzt.
- Leider heissen die ACLs bei Zyxel so, habe auch länger gebraucht, die unter diesem Namen zu finden. In der neuen Firmware Version jetzt ist es etwas einfacher, da heisst das Hauptmenu ACL und darunter dann Classifier und Policy. Diese sind genau nach Vorgabe von Zyxel definiert jetzt...
Es ist schon erstaunlich, dass scheinbar jeder Hersteller glaubt, hier eigene Begriffe und Wege zu haben....
Member: aqui
aqui Apr 11, 2023 at 15:57:20 (UTC)
Goto Top
Wenns das denn nun war bitte deinen Thread hier dann auch als erledigt markieren!
GermanQuestionSwitches, HubsNetwork ManagementRouters, Routing
Hotly discussed
DaniEnd of availability for classic Teams clientDani - 2 CommentsFrankUbuntu 24.04 LTS Noble Numbat availableFrankadmtechDeveloper diary: Release 6.1admtech