Verkeer krijgt verkeerde/onverwacht VLAN

Je zet een vlan, maar moet ook je mode naar access-port zetten.

Heb er verder totaal geen verstand van, maar dat ip helper-address in Vlan111 zit niet in het betreffende subnet?

wicked1980 schreef op woensdag 7 november 2018 @ 10:00:
[...]


IP helper address stuurt de clients naar de DHCP server, die zit inderdaad in een ander subnet, maar dat is geen probleem

Iets correcter: Een IP helper stuurt het broadcast packet van de client als een unicast naar het gespecificeerde IP adres. De DHCP server ziet van welk IP de unicast af komt en reageert met een IP adres uit de juiste scope voor dat VLAN.

Ergens krijgt het verkeer uit het gast netwerk dus toch een verkeerd VLAN toegewezen.
Ik kom er alleen even niet uit waarom.

Hoe bepaal je welk VLAN er aan welk SSID wordt gekoppeld?

Dat doet je Unify als het goed is. Dus hoe staat die geconfigureerd?

[Voor 5% gewijzigd door Equator op 07-11-2018 10:23]

Dus op andere vestigingen werkt het wel. Wat is dan het verschil in config tussen een switch op een andere vestiging en deze?

Ik zit je config nog eens door te nemen. Je routeert he gasten WLAN door het VLAN 510omdat daar je Meraki is aangesloten. De meraki zal daarvoor de route terug naar het Gast WiFi subnet 10.0.1.0/24 moeten weten. Dat loopt dan via 192.168.1.254. Staat die route geconfigureerd?

[Voor 52% gewijzigd door Equator op 07-11-2018 10:42]

Zie mijn edit hierboven.

Weet je Meraki de route terug naar 10.0.1.0/24?

wicked1980 schreef op woensdag 7 november 2018 @ 10:51:
[...]
Op de switch op de neven-locatie heb ik alleen het interface deel, en niet het "name" deel.
Een "show vlan" geeft overigens wel netjes alle VLAN's (ook van de hoofdlocatie overigens)

Nu ben ik al een tijdje uit de Cisco IOS switches, en voornamelijk bezig ArubaOS, OS-CX en Comware, maar dit klinkt toch wel als wel de vlan interface aanmaken maar het vlan niet in de database zetten. Dit is alleen bij oudere IOS versies het geval, maar de 3560 is ook inmiddels EoL.

Switch# vlan database
Switch(vlan)# show (zo kan je de vlans welke zijn toegevoegd bekijken)
Switch(vlan)# vlan 111 name GAST-WIFI (toevoegen)
Switch(vlan)# exit

Ok, vlans zijn dus in orde op de switch.
Wat mij even ontgaat is waarom je L3 op de switch doet met ACL's etc. in plaats van op de firewall met policy's... maar goed zo moet het ook wel werken.

wicked1980 schreef op woensdag 7 november 2018 @ 09:51:


interface FastEthernet0/23
description WIFI_ZENDERS_UBI
switchport access vlan 110
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
spanning-tree portfast

Ergens krijgt het verkeer uit het gast netwerk dus toch een verkeerd VLAN toegewezen.
Ik kom er alleen even niet uit waarom.

Je zet de poort in "mode trunk" maar ik zie geen regel waar je vlans in definieert welke je toelaat op de trunk
switchport trunk allowed vlan 110,111

"switchport access vlan 110" doet niks totdat je switchport mode access er van maakt.

Ik neem aan dat je eerst even een access poortje op de switch hebt aangemaakt voor vlan 110 en 111 en hebt getest, om zodoende vast te stellen waar het exact mis gaat. Anders zoek je het straks in wifi en zit het ergens anders...

Zeker dat je geen typo hebt gemaakt in de ranges oid op DHCP ofzo?
Vlan510 met 192.168.1.x (VLAN110) kan makkelijk met een typo iets met 192.168.11.x worden (VLAN510)

Wie doet de DHCP, die 192.168.1.25, die ook ergens locally onsite staat wat voor iets is dat ?? Windows DHCP machine?

[Voor 4% gewijzigd door jvanhambelgium op 08-11-2018 19:09]

wicked1980 schreef op woensdag 7 november 2018 @ 09:51:

Source IP and/or VLAN mismatch - source_client_ip: 10.0.1.129, source_client_mac: E8:40:40:05:15:41, source_client_assigned_vlan: 510

Dat source VLAN is goed te verklaren lijkt mij. Je zegt dat VLAN510 ook gebruikt wordt om te routeren tussen de firewall en de switch, de firewall ziet het verkeer dus uit VLAN510 komen. De firewall heeft verder geen wetenschap over het VLAN waar de gebruiker werkelijk in zit, die zit alleen een IP-pakketje uit VLAN510 komen met het een source-adres van Vlan111. Het MAC-adres is ook van een Cisco-device.

Als je met 'show mac-address-table' kijkt, in welk VLAN zie je dan het MAC-adres van die client zitten?
Kan je wel pingen naar een Internet IP-adres?
Wijs je niet toevallig als DNS-server iets uit 192.168.x.x aan welke wordt geweigerd door je ACL?
Als je de ACL er even afhaalt, werkt het dan wel, of zet logging aan op de ACL en kijk of je denies ziet.

Overigens zou ik adviseren om het gasten VLAN rechtstreeks op de firewall te termineren, er is immers geen noodzaak om dit te routeren op je switch.

[Voor 23% gewijzigd door Ascension op 08-11-2018 19:39]

Ascension schreef op donderdag 8 november 2018 @ 19:28:
[...]

Overigens zou ik adviseren om het gasten VLAN rechtstreeks op de firewall te termineren, er is immers geen noodzaak om dit te routeren op je switch.

Eens. Maar dat houdt in dat de TS dit overal moet aan gaan passen. Hij heeft blijkbaar nog meer sites waar het zo geconfigureerd staat.

Maar een (sub) interface van de FW rechtstreeks in het juiste VLAN lijkt mij veiliger, en makkelijker werken.

kosz schreef op donderdag 8 november 2018 @ 09:32:
Ok, vlans zijn dus in orde op de switch.
Wat mij even ontgaat is waarom je L3 op de switch doet met ACL's etc. in plaats van op de firewall met policy's... maar goed zo moet het ook wel werken.


[...]


Je zet de poort in "mode trunk" maar ik zie geen regel waar je vlans in definieert welke je toelaat op de trunk
switchport trunk allowed vlan 110,111

"switchport access vlan 110" doet niks totdat je switchport mode access er van maakt.

Ik neem aan dat je eerst even een access poortje op de switch hebt aangemaakt voor vlan 110 en 111 en hebt getest, om zodoende vast te stellen waar het exact mis gaat. Anders zoek je het straks in wifi en zit het ergens anders...

Dit is ook het eerste wat mij opviel in de config. Deze spreekt elkaar tegen.
Switchport access vlan 110 -> Hiermee geef je aan dat alles achter deze poort in VLAN 110 moet komen. Dit werkt echter niet als niet ook switchport mode access aanstaat. Nu staat switchport mode trunk aan.

Met switchport mode trunk geef je aan dat het apparaat dat daarachter zit zelf een VLAN tag moet meegeven. Je kunt dan met switchport trunk allowed vlans <vlan-list> opgeven welke VLANs je over de trunk wilt toestaan. Als de Meraki het gastennetwerk aan VLAN 510 heeft gekoppeld in plaats van 110 gaat het dus mis.

De vraag is dus hoe het moet werken:
Optie 1: De Meraki geeft een VLAN tag mee. De huidige config op de switch werkt dan wel, maar ik zou het commando switchport access vlan 110 weghalen omdat dit verwarring in de hand werkt. Je zal dan op de Meraki moeten uitzoeken waarom de gasten in het verkeerde VLAN terechtkomen
Optie 2: De Meraki heeft geen weet van VLANs en je bepaalt op de Cisco switchpoort in welk VLAN de gebruikers moeten komen. Lijkt me sterk dat je dit wil, want dan komt IEDEREEN (dus ook gebruikers die naar een ander SSID connecten) in vlan 110 terecht. In dat geval moet je switchport mode access toepassen op de switchpoort en switchport trunk encapsulation dot1q weghalen.

Vicarious schreef op maandag 12 november 2018 @ 14:45:
[...]

Dit is ook het eerste wat mij opviel in de config. Deze spreekt elkaar tegen.
Switchport access vlan 110 -> Hiermee geef je aan dat alles achter deze poort in VLAN 110 moet komen. Dit werkt echter niet als niet ook switchport mode access aanstaat. Nu staat switchport mode trunk aan.

Met switchport mode trunk geef je aan dat het apparaat dat daarachter zit zelf een VLAN tag moet meegeven. Je kunt dan met switchport trunk allowed vlans <vlan-list> opgeven welke VLANs je over de trunk wilt toestaan. Als de Meraki het gastennetwerk aan VLAN 510 heeft gekoppeld in plaats van 110 gaat het dus mis.

"switchport access vlan x" doet alleen iets als de poort ook daadwerkelijk in access-mode komt door middel van DTP dan wel door "switchport mode access".

Als er geen vlan's geconfigureerd zijn dmv "switchport trunk allowed vlan" zijn alle VLAN's toegestaan op de trunk.

En het gastennetwerk is niet aan vlan 510 gekoppeld, zie mijn post hier boven.

[Voor 3% gewijzigd door Ascension op 12-11-2018 17:22]

Ascension schreef op maandag 12 november 2018 @ 17:05:
[...]


"switchport access vlan x" doet alleen iets als de poort ook daadwerkelijk in access-mode komt door middel van DTP dan wel door "switchport mode access".

Dat zeg ik toch ook?

Oops, ik bedoelde het wel maar zei het inderdaad anders. Excuus!

[Voor 11% gewijzigd door Vicarious op 15-11-2018 08:44]

Beetje laat, maar misschien lees je het nog.
Er zit een typo in je ACL

access-list 100 deny ip any 172.0.0.0 0.240.255.255

moet zijn
access-list 100 deny ip any 172.16.0.0 0.240.255.255

Top dat het probleem boven water is! Wat ik zelf vaak gebruik om vlan memberships te controller is een show MAC address-table op de switch, dan zie je snel genoeg of een device in het juiste vlan terecht is gekomen.
En met troubleshooten altijd via het OSI model omhoog werken