HP 1920 VLAN Routing Fritzbox

Mitglied: petra-suess

petra-suess (Level 1) - Jetzt verbinden

2021/01/13, aktualisiert 19:33 Uhr, 366 Aufrufe, 6 Kommentare

Hallo,

versuche gerade auf einem HP 1920 ein paar vlans einzurichten und mit dem Internet zu verbinden.
Der Router ist eine Fritzbox mit der IP 192.168.0.1. Der DHCP-Server (ISC) läuft auf einem Raspi mit der IP 192.168.0.161. Auf dem Switch ist DHCP Relay aktiviert und neben dem default vlan 1 zwei vlan 20 (192.168.20.0) und 30 (192.168.30.0) eingerichtet. Ferner sind für vlan 20 und 30 interfaces (192.168.20.1 bzw. (192.168.30.1) eingerichtet.
Das Switch hat die IP 192.168.0.151

Was funktioniert ist,:
- dass die Clienten in den Vlans sich IP-Adressen ziehen von einem DHCP-Server im vlan1 (192.168.0.0)
- und die Clienten sich in vlan 20 und vlan 30 gegenseitig anpingen können
- vom switch können Clienten im vlan1, vlan 20 und vlan 30 sowie im Internet angepingt werden
- Clienten aus vlan 1 können Clienten im Internet anpingen

Was nicht funktioniert ist:
- Clienten aus vlan 20 und vlan 30 können Clienten in vlan 1 und im Internet nicht anpingen
- Clienten aus vlan 1 können Clienten in vlan 20 und vlan 30 nicht anpingen


Die Config des Switch sieht wie folgt aus:

Die Routing Tabelle auf dem Switch sieht so aus:

Auf der Fritzbox wollte ich nach der Quelle:
https://administrator.de/forum/routing-vlan-hp-1920-fritzbox-7490-317597 ...
eine statische Route 192.168.20.0 255.255.255.0 192.168.0.151 einrichten, was die Fritzbox aber mit der Fehlermeldung, dass das eine unzulässige Route sei, quittiert hat.

Kann mir bitte jemand mit einem Hinweis weiterhelfen?

Liebe Grüße
Petra
Mitglied: NordicMike
2021/01/13 um 18:45 Uhr
Wo schauen die Clients im VLAN1 hin, wenn sie die Standardgateway benötigen? Zur Fritzbox oder zum Switch?
Bitte warten ..
Mitglied: aqui
2021/01/13, aktualisiert um 19:42 Uhr
Versuche gerade auf einem HP 1920 ein paar vlans einzurichten und mit dem Internet zu verbinden.
Ein simpler Klassiker ! ;-) face-wink
Leider schreibst du nicht ob du ein Layer 3 Konzept verfolgst oder ein Layer 2 Konzept.
Da dein Router aber eine FritzBox ist die keine VLANs supportet musst du also zwangsweise ein Layer 3 Konzept umsetzen. Sprich also der Switch arbeitet im Layer 3 Mode und routet die VLANs zur FritzBox.
Hier findest du dann die Konfig Vorlage dazu auf dem Silbertabeltt:
https://www.administrator.de/forum/verst%C3%A4ndnissproblem-routing-sg30 ...
Welches VLAN du als Koppel VLAN zur FritzBox einrichtest ist vollkommen Wumpe. Das kann statt 99 auch das Default VLAN 1 sein.

Zum Vergleich Off Topic einmal eine Layer 2 Installation wo der Switch rein Layer 2 ist also nicht routen kann und das ein externer Router machen muss:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
Wie gesagt, da einen FritzBox als billiger Consumer Router nicht VLAN fähig ist entfällt diese Option für dich !
Bitte warten ..
Mitglied: petra-suess
2021/01/14 um 08:41 Uhr
Vielen Dank!

Die schauen noch zur Fritzbox. Dann ist ja klar warum die die Clients in Vlan 20 und 30 nicht sehen.

LG
Petra
Bitte warten ..
Mitglied: aqui
2021/01/14, aktualisiert um 09:23 Uhr
Dann ist ja klar warum die die Clients in Vlan 20 und 30 nicht sehen.
Wenn du gedacht hattest die über die FritzBox zu routen, dann ja. FritzBox kann Prinzipiell keine VLANs. Muss man ja von einem billigen Consumer Router auch nicht verlangen.

Du musst also über den HP Switch routen. Der 1920 kann m.E. Layer 3. Also einfach eine IP Adresse auf dem Switch in das VLAN legen und eine Default Route zur FritzBox einrichten. VLAN Route auf die FritzBox und fertig ist der Lack ! 😉
Mit anderen Worten: Deine Switch Konfig ist perfekt richtig !!
Leider fehlt ein Screenshot der FritzBox, denn hier muss noch eine statische Route konfiguriert sein auf deine VLAN IP Netze damit es klappt ! So sähe der aus:

fbroute - Klicke auf das Bild, um es zu vergrößern
Die /18er maske in der Route routet alle IP Netze von .0.0 bis .63.254 an den Switch. Du kannst also mit dem /18er Prefix noch weitere VLANs einrichten sofern sie NICHT über .63.0 gehen, sonst musst du die Maske in der Route anpassen !
Noch ein Tip: Es ist IP technisch nicht besonders gut IP Adressen von Routern in einen Adressbereich "mittendrin" zu legen. Die Gefahr der Überschneidung mit Hostadressen ist dann sehr groß, was fatale Auswirkungen auf den Betrieb haben kann. Intelligente und vorausschauende Netzwerker nehmen immer die IP ganz am Anfang oder Ende des Bereiches. Bei dir und deinen /24er Netzen dann .1 und .254.
Es wäre also betriebssicherer du würdest die Switch IP im VLAN 1 auf die .254 ändern und dann auch die FB Route entsprechend anpassen !!
Bitte warten ..
Mitglied: petra-suess
2021/01/14 um 12:14 Uhr
Vielen Dank!

Das war sehr hilfreich.

Als erste Maßnahme habe ich die IP-Adresse des VLAN1 Interface auf 192.168.0.254 gelegt (192.168.0.1 bleibt die Fritzbox).
Dann habe ich zunächst auf einem Windows Client in dem 192.168.0.0 LAN die IPV4-Einstellungen manuell so geändert, dass das Standardgateway nicht mehr 192.168.0.1 sondern 192.168.0.254 ist.

Meine Erwartung war, dass dann dieser Client den Weg zu den Clienten in den VLAN20 und VLAN30 finden sollte.
Entsprechende pings von dem Windows-Client haben das bestätigt.

[Ich werde später auf dem ISC-DHCPD die Konfiguration für alle Clienten im VLAN1 entsprechend anpassen.]

Dann habe ich auf der Fritzbox die statische route 192.168.0.0 255.255.0.0 192.168.0.254 aktiviert.

Meine Erwartung war, dass dann auch die Clienten in Vlan20 und Vlan30 die Clienten in Vlan1 sowie den Weg ins Internet finden.
Zum Test habe ich von 192.168.20.20 verschiedene Adressen angepingt.

192.168.0.1 (Fritzbox) ok
192.168.20.1 (vlan interface Vlan20) ok
192.168.0.254 (vlan interface Vlan1) ok
192.168.0.240 (Windows 10 Client) keine Antwort [von einem anderen Win Client in dem LAN läßt sich dieser Client jedoch anpingen]
192.168.0.diverse (non Windows Clients) ok [also läuft wahrscheinlich auf Windows 10 Clienten eine Firewall, die pings aus anderen Netzen abweist]
1.1.1.1 (DNS-Server im Internet) ok

Und siehe da: die Clients im Vlan20 haben beliebige Dienste im Internet erreicht.
Bingo - oder der Lack ist fertig!


Eine ergänzende Frage zum besseren Verständnis habe ich aber noch:

Ich habe dann noch von dem Win10-Client 192.168.0.240 tracert 1.1.1.1 und von 192.0.20.20 (Linux-Client) traceroute 1.1.1.1 abgesetzt.
Meine Erwartung zu den hops war bei dem Windows Client:
192.168.0.254
192.168.0.1
....
1.1.1.1

Meine Erwartung zu den hops war bei dem Linux Client:
192.168.20.1
192.168.0.254
192.168.0.1
....
1.1.1.1

Stattdessen sah ich in beiden Fällen:
* (Bei Windows: ergänzt mit der Fehlermeldung: Zeitüberschreitung der Anforderung)
192.168.0.1
...
1.1.1.1

Bei einem anderen Windows Client 192.168.0.65, der als Gateway noch 192.168.0.1 hat, sieht das erwartungsgem. so aus:
192.168.0.1
...
1.1.1.1

Also haben alle Clienten den Weg ins Internet gefunden. Die drei Sterne beunruhigen mich jedoch. Läuft der Verkehr anders als geplant oder ignoriert traceroute den im Switch eingebauten Router zurecht?

Wenn ich auf 192.168.20.20 traceroute 192.168.30.20 absetze, kommt
*
192.168.30.20

Wenn ich auf 192.168.0.240 tracert 192.168.30.20 absetze, kommt
*** Zeitüberschreitung der Anforderung
192.168.20.20

Es sieht also so aus als würde der (virtuelle ??? / SVI) Router im HP 1920 Switch, die Verbindung im Ergebnis korrekt vermitteln aber auf traceroute nicht (ordentlich???) reagieren.

In folgender Quelle habe ich eine ähnliche Frage zu Cisco-SVI gefunden:
https://community.cisco.com/t5/routing/svi-is-not-responding-to-tracerou ...
Es sieht also so aus, als sollte mich das nicht beunruhigen, oder auch nur enttäuschen, dass ich nur eine HP-Gurke und keine Cisco-Rakete habe.

Liebe Grüße
Petra
Bitte warten ..
Mitglied: aqui
2021/01/14 um 12:52 Uhr
auf einem Windows Client in dem 192.168.0.0 LAN die IPV4-Einstellungen manuell so geändert, dass das Standardgateway nicht mehr 192.168.0.1 sondern 192.168.0.254 ist.
Im VLAN 1 kannst du dir das frei aussuchen ;-) face-wink
In den anderen nicht, da ist es immer der Switch.
Meine Erwartung war, dass dann dieser Client den Weg zu den Clienten in den VLAN20 und VLAN30 finden sollte.
Die Erwartung ist absolut richtig.
Bei Winblows solltest du IMMER die lokale Firewall auf dem Radar haben. Diese...
Also Firewall ggf. immer für die Applikationen im IP "Bereich" customizen !
Dann habe ich auf der Fritzbox die statische route 192.168.0.0 255.255.0.0 192.168.0.254 aktiviert. Meine Erwartung war, dass dann auch die Clienten in Vlan20 und Vlan30 die Clienten in Vlan1 sowie den Weg ins Internet finden.
Das ist richtig. Du solltest, um DNS Probleme auszuschliessen, (DNS Server der Clients ist IMMER die FritzBox IP !!) einen nackte Internet IP wie 8.8.8.8 pingen !
Bingo - oder der Lack ist fertig!
Bingo... Das ist er ! Works as designed ! 😉
tracert 1.1.1.1 und von 192.0.20.20 (Linux-Client)
Führe den Traceroute immer aus OHNE DNS Auflösung also mit dem -d Parameter
Traceroute nutzt ICMP in der regel. Viele Router blocken das so das es ins Internet oft nicht konsistent ist.
Du hast vermutlich keinen DNS Server auf dem Switch gesetzt so das er sich dann mit DNS Auflösung einen Wolf sucht nach dem Namen seines Hops. Dazu müssten alle Hops dann auch im DNS Server stehen...bei dir vermutlich nicht der Fall. Also DNS deaktivieren, dann solltest du auch einen richtigen Traceroute sehen.
Ansonsten ein Traceroute Tool mit TCP verwenden wie z.B. ein Apple Mac ;-) face-wink
Bitte warten ..
Heiß diskutierte Inhalte
Internet
Kein Internet nach Windows 2019 Server Installation
solved Zygmund1 day agoQuestionInternet25 Comments

Computer : HP ProLiant DL580 Gen7 , 4x CPU , 16 GB ECC Ram, 1 TB SAS Installation von - Windows 8 Server - ...

Windows 10
Vom Homeoffice auf lokale Dateien zugreifen
Saylles1 day agoQuestionWindows 106 Comments

Guten Morgen, meine Frau ist im Homeoffice, ihr Arbeitgeber stellt ihr einen Access der unter Server 2016 lauft zur Verfügung. Dieser Remote zugriff funktioniert ...

Windows Server
GPO verschieben von Benutzern
solved AnGi196421 hours agoQuestionWindows Server10 Comments

Hallo in die Runde! Ich habe als Neuling hier gleich 2 Fragen und hoffe, das mir geholfen werden kann. 1. Ich habe bei einem ...

Outlook & Mail
Outlook 2019 stürzt bei Erhalt von Besprechungsanfrage ab
solved Philtaer1 day agoQuestionOutlook & Mail17 Comments

Hallo, ich habe ein ganz merkwürdiges Problem. Outlook 2019 stürzt beim Erhalt von Emails die Besprechungsanfragen enthält ab. Das Programm friert ein mit "Reagiert ...

Routers & Routing
Router Firewall gesucht
HamBam1 day agoQuestionRouters & Routing9 Comments

Hallo zusammen, ich schaue mich für die Firma aktuell nach neuen Routern für unsere Außenstellen um. Aktuell haben wir da diese silbernen, bei Administratoren ...

Firewall
Kennt jemand Forcepoint Firewalls oder setzt diese sogar ein?
ZeroTrust1 day agoQuestionFirewall2 Comments

Ich wäre interessiert an User Meinungen über diese Firewall Lösungen. Kenne ich absolut nicht und habe auch noch nie davon gehört, geschweige jemals damit ...

Windows Server
Server 2019 - VM (DC) hängt sporadisch
zer0g22241 day agoQuestionWindows Server13 Comments

Hallo liebe Kolleginnen und Kollegen, ich habe mal wieder eine Frage zu einem Problem: Eine VM (DC) bleibt im Betrieb sporadisch "hängen". Das äußert ...

Server Hardware
MacOS Netzwerk für Kreativagentur
phil2gold1 day agoQuestionServer Hardware7 Comments

Grüße euch! Ich habe eine Kreativagentur, die überwiegend Social Media Content und Werbefilme produziert. In unserem neuen Büro möchte ich ein Netzwerk einrichten, in ...