Toon posts:

Probleem met Vlan en routes

Pagina: 1
Acties:

vrijdag 9 januari 2009 14:54

Acties:
  • Ora et Labora
  • Registratie: September 2003
  • Laatst online: 16:01

Ora et Labora

Topicstarter
Situatie:

Een HP Procurve 2900-24G als core switch met hierin Vlans aangemaakt, alle pc's hebben als default gateway deze switch.192.168.1.254

DataVlan is 1, alle poorten op 3 na staan untagged in dit VLAN.
VoiceVlan is 10 met 2 poorten untagged in dit VLAN, routering tussen voice en data gaat goed.
IP DataVlan is 192.168.1.254 met 255.255.255.0
IP VoiceVlan is 192.168.2.254 met 255.255.255.0

Tot zover werkt alles goed, maar:

Nieuw VLAN is 20 met 1 poort untagged in dit VLAN.

Aan de poort van VLAN 20 hangt een Astaro Firewall met als IP 192.168.3.253
Het IP van VLAN 20 is 192.168.3.254

Ik kan vanuit het Data VLAN echter met geen mogelijkheid 192.168.3.253 in VLAN 20 pingen, ook een trace komt niet verder dan 192.168.1.254, het adres van de VLAN 192.168.3.254 kan ik wel pingen.

Ga ik fixed in hetzelfde VLAN zitten gaat het wel goed en kan ik alles netjes pingen.
Dit nieuwe VLAN is gewoon net als anders aangemaakt, de routering doet de switch volgens mij verder zelf...

Ik heb het idee dat ik iets over het hoofd zie maar kan niet inzien wat...

Who's general failure, and why is he reading my disk?

vrijdag 9 januari 2009 15:01

Acties:
  • Tonhartman
  • Registratie: December 2008
  • Laatst online: 17-10-2025

Tonhartman

Ik zou de ips omdraaien,

Router 192.168.3.254
En Vlan 20 192.168.3.254

Heb je de router al in een ander Vlan gecheckt ?

vrijdag 9 januari 2009 15:05

Acties:
  • WhizzCat
  • Registratie: November 2001
  • Laatst online: 03-10-2025

WhizzCat

www.lichtsignaal.nl

Nou ga ik waarschijnlijk iets heel doms roepen, waarom wil je die firewall in een apart vlan? Enerzijds kan ik me er iets bij voorstellen, maar ik heb ook het idee dat hier om een niet al te grote omgeving gaat :)

Een 2900 switch is nou ook niet bepaald high end ofzo. Ik zou het gewoon transparant maken en de firewall in vlan 1 zetten.

[ Voor 0% gewijzigd door WhizzCat op 09-01-2009 15:06 . Reden: typ-o ]

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

vrijdag 9 januari 2009 15:12

Acties:

Verwijderd

En weet de firewall ook dat hij zijn pakketjes via 192.168.3.254 terug moet sturen? (M.a.w.: heeft je firewall een -correcte- route naar 192.168.1.x?

vrijdag 9 januari 2009 15:15

Acties:

Verwijderd

WhizzCat schreef op vrijdag 09 januari 2009 @ 15:05:
Nou ga ik waarschijnlijk iets heel doms roepen, waarom wil je die firewall in een apart vlan? Enerzijds kan ik me er iets bij voorstellen, maar ik heb ook het idee dat hier om een niet al te grote omgeving gaat :)

Een 2900 switch is nou ook niet bepaald high end ofzo. Ik zou het gewoon transparant maken en de firewall in vlan 1 zetten.
Waarom zou je je firewall in VLAN1 zetten, terwijl er misschien ook wel verkeer uit andere VLAN's door die firewall het internet op moet? (Verkeer wat je misschien dus wel helemaal niet in VLAN1 wil hebben?) Laat die L3-switch de interne routing maar lekker afhandelen en al het verkeer naar buiten naar de firewall routeren.

vrijdag 9 januari 2009 15:17

Acties:
  • Ora et Labora
  • Registratie: September 2003
  • Laatst online: 16:01

Ora et Labora

Topicstarter
Tonhartman schreef op vrijdag 09 januari 2009 @ 15:01:
Ik zou de ips omdraaien,

Router 192.168.3.254
En Vlan 20 192.168.3.254

Heb je de router al in een ander Vlan gecheckt ?
We hebben exact dezelfde config draaien in een ander VLAN en daar gaat het wel goed. :)
WhizzCat schreef op vrijdag 09 januari 2009 @ 15:05:
Nou ga ik waarschijnlijk iets heel doms roepen, waarom wil je die firewall in een apart vlan? Enerzijds kan ik me er iets bij voorstellen, maar ik heb ook het idee dat hier om een niet al te grote omgeving gaat :)

Een 2900 switch is nou ook niet bepaald high end ofzo. Ik zou het gewoon transparant maken en de firewall in vlan 1 zetten.
De Ip nummers die ik genoemd heb zijn fantasie, het gaat wel om een hele grote omgeving met veel VLANS.
De reden is omdat er een 2e domain controller en Terminal Server komt in een appart VLAN en een aparte DSL lijn aangestuurd via de firewall.
Verwijderd schreef op vrijdag 09 januari 2009 @ 15:12:
En weet de firewall ook dat hij zijn pakketjes via 192.168.3.254 terug moet sturen? (M.a.w.: heeft je firewall een -correcte- route naar 192.168.1.x?
In de firewall staat een route dat hij alles behalve HTTP moet sturen naar de 192.168.3.254, het adres van VLAN 3

[ Voor 34% gewijzigd door Ora et Labora op 09-01-2009 15:20 ]

Who's general failure, and why is he reading my disk?

vrijdag 9 januari 2009 15:18

Acties:
  • WhizzCat
  • Registratie: November 2001
  • Laatst online: 03-10-2025

WhizzCat

www.lichtsignaal.nl

Verwijderd schreef op vrijdag 09 januari 2009 @ 15:15:
[...]

Waarom zou je je firewall in VLAN1 zetten, terwijl er misschien ook wel verkeer uit andere VLAN's door die firewall het internet op moet? (Verkeer wat je misschien dus wel helemaal niet in VLAN1 wil hebben?) Laat die L3-switch de interne routing maar lekker afhandelen en al het verkeer naar buiten naar de firewall routeren.
Omdat hij maar 2 vlans heeft? :+ 1 voor data en 10 voor voice. Dan lijkt het mij redelijkerwijs aannemelijk dat er toch niet zoveel bij gaat komen. Je hebt wel een punt hoor, maar ik kan me niet voorstellen dat je het jezelf ingewikkelder gaat maken dan strikt noodzakelijk :)

Overigens zou ik je voice vlan ip naar 192.168.10.254 maken, wel zo handig om dat gelijk aan je vlan te trekken, idem voor 20 ;)

En die terug routering zou ik dan idd even naar kijken als je het persé wil :)

edit

Handige harrie... nu schop je mijn hele theorie in de war!!!

[ Voor 3% gewijzigd door WhizzCat op 09-01-2009 15:19 ]

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

vrijdag 9 januari 2009 15:32

Acties:
  • rimpeldinky
  • Registratie: Mei 2002
  • Laatst online: 22:38

rimpeldinky

nani?

wat is de default gw van je Astaro bak? ik krijg het vermoeden dat daarop de routering naar de andere vlan's ontbreekt.

(hiervan staat het nut, overzicht en gemak van vlans volledig los)

volgende om te testen: gooi je firewall tussen een werkstation en het vlan, en gooi alles open. kan zijn dat je FW ICMP blockt

[ Voor 25% gewijzigd door rimpeldinky op 09-01-2009 15:34 ]

*burp*

vrijdag 9 januari 2009 15:39

Acties:
  • Ora et Labora
  • Registratie: September 2003
  • Laatst online: 16:01

Ora et Labora

Topicstarter
rimpeldinky schreef op vrijdag 09 januari 2009 @ 15:32:
wat is de default gw van je Astaro bak? ik krijg het vermoeden dat daarop de routering naar de andere vlan's ontbreekt.

(hiervan staat het nut, overzicht en gemak van vlans volledig los)

volgende om te testen: gooi je firewall tussen een werkstation en het vlan, en gooi alles open. kan zijn dat je FW ICMP blockt
De default gw van de Astaro is de DSL router voor het internetverkeer, echter staat er ook een gateway route ingesteld naar de core switch.
Maar als in de Astaro de routering naar de andere VLANS ontbreekt, kan ik toch wel vanaf een ander VLAn de Astaro benaderen, de routering is dan toch in de core switch?
Maar hier zit wel wat in, als ik een traceroute vanaf de Astaro start naar een adres in een ander VLAN gaat hij gelijk z'n default gateway op, en daar is dus niks te vinden...

Edit: een statische route toegevoegd in de Astaro dat als er een aanvraag wordt gedaan voor 192.168.1.X dat hij deze gelijk doostuurd naar 192.168.3.254 en nu kan ik hem van alle kanten benaderen...

[ Voor 9% gewijzigd door Ora et Labora op 09-01-2009 15:43 ]

Who's general failure, and why is he reading my disk?

vrijdag 9 januari 2009 16:02

Acties:
  • rimpeldinky
  • Registratie: Mei 2002
  • Laatst online: 22:38

rimpeldinky

nani?

EJVL schreef op vrijdag 09 januari 2009 @ 15:39:
[...]

De default gw van de Astaro is de DSL router voor het internetverkeer, echter staat er ook een gateway route ingesteld naar de core switch.
Maar als in de Astaro de routering naar de andere VLANS ontbreekt, kan ik toch wel vanaf een ander VLAn de Astaro benaderen, de routering is dan toch in de core switch?
Maar hier zit wel wat in, als ik een traceroute vanaf de Astaro start naar een adres in een ander VLAN gaat hij gelijk z'n default gateway op, en daar is dus niks te vinden...

Edit: een statische route toegevoegd in de Astaro dat als er een aanvraag wordt gedaan voor 192.168.1.X dat hij deze gelijk doostuurd naar 192.168.3.254 en nu kan ik hem van alle kanten benaderen...
je pc kon de FW wel bereiken, maar de FW kan weet dan niet hoe het reply pakket terug moet, dus stuurt hij hem naar de default gateway :)

*burp*

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq