Verkeer krijgt verkeerde/onverwacht VLAN - Netwerken

woensdag 7 november 2018 09:51

Acties:

0 Henk 'm!

wicked1980

Topicstarter

Goedemorgen,

Ik heb een configuratie staan, en ik zie iets over het hoofd. Op een of andere manier krijgt bepaald verkeer een verkeerd of in ieder geval onverwacht VLAN mee.

Situatie schets:

Klein netwerkje op verkoopkantoortje op 1 Cisco Switch (Catalyst 3560) en een Meraki MX84 als Firewall.
Draadloos zakelijk netwerk en gastnetwerk, Ubiquiti AP's aangestuurd door Cloud key op hoofdlocatie

VLAN config Switch:

interface Vlan1
no ip address
shutdown
!
interface Vlan110
ip address 192.168.11.254 255.255.255.0
ip helper-address 192.168.1.25
!
interface Vlan111
ip address 10.0.1.254 255.255.255.0
ip access-group 100 in
ip helper-address 192.168.1.25
!
interface Vlan510
description Data_Subnet
ip address 192.168.1.254 255.255.255.0
!
interface Vlan511
description Voice_subnet
ip address 172.17.3.254 255.255.255.0

Op VLAN 111 (voor Gast wifi) zit de volgende acceslist:

access-list 100 remark GAST-WIFI
access-list 100 permit ip any host 192.168.1.252 <---(Meraki MX84)
access-list 100 permit udp any any eq bootpc
access-list 100 permit udp any any eq bootps
access-list 100 deny ip any 192.168.0.0 0.0.255.255
access-list 100 deny ip any 172.0.0.0 0.240.255.255
access-list 100 permit ip any any

Op poorten 23 en 24 zitten de access points aangesloten. De AP's zenden 2 netwerken uit, in 2 verschillende VLAN's. Netwerk "ZAKELIJK" in VLAN 110 en netwerk "GAST" in VLAN 111

Het zakelijke netwerk werkt prima, echter bij het gast netwerk gebeurt er iets vreemds.

De clients kunnen gewoon verbinden, krijgen ook netjes een IP via een DHCP server in VLAN 510, maar hebben verder geen werkende verbinding.

Als ik kijk in de logging van de Meraki zie ik ook clients uit 10.0.1.0/24 voorbij komen.
Daar staat dan echter wel de volgende melding bij:

Source IP and/or VLAN mismatch - source_client_ip: 10.0.1.129, source_client_mac: E8:40:40:05:15:41, source_client_assigned_vlan: 510

De poorten waarop de access points zitten zijn als volgt geconfigureerd:

interface FastEthernet0/23
description WIFI_ZENDERS_UBI
switchport access vlan 110
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
spanning-tree portfast

Ergens krijgt het verkeer uit het gast netwerk dus toch een verkeerd VLAN toegewezen.
Ik kom er alleen even niet uit waarom.

woensdag 7 november 2018 09:55

Acties:

0 Henk 'm!

DiedX

Je zet een vlan, maar moet ook je mode naar access-port zetten.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 7 november 2018 09:55

Acties:

0 Henk 'm!

CyBeRSPiN

sinds 2001

Heb er verder totaal geen verstand van, maar dat ip helper-address in Vlan111 zit niet in het betreffende subnet?

woensdag 7 november 2018 10:22

Acties:

+1 Henk 'm!

Equator

Crew Council

#whisky #barista

wicked1980 schreef op woensdag 7 november 2018 @ 10:00:
[...]

IP helper address stuurt de clients naar de DHCP server, die zit inderdaad in een ander subnet, maar dat is geen probleem

Iets correcter: Een IP helper stuurt het broadcast packet van de client als een unicast naar het gespecificeerde IP adres. De DHCP server ziet van welk IP de unicast af komt en reageert met een IP adres uit de juiste scope voor dat VLAN.

Ergens krijgt het verkeer uit het gast netwerk dus toch een verkeerd VLAN toegewezen.
Ik kom er alleen even niet uit waarom.

Hoe bepaal je welk VLAN er aan welk SSID wordt gekoppeld?

Dat doet je Unify als het goed is. Dus hoe staat die geconfigureerd?

[ Voor 5% gewijzigd door Equator op 07-11-2018 10:23 ]

woensdag 7 november 2018 10:27

Acties:

0 Henk 'm!

wicked1980

Topicstarter

Equator schreef op woensdag 7 november 2018 @ 10:22:
[...]

Iets correcter: Een IP helper stuurt het broadcast packet van de client als een unicast naar het gespecificeerde IP adres. De DHCP server ziet van welk IP de unicast af komt en reageert met een IP adres uit de juiste scope voor dat VLAN.

[...]

Hoe bepaal je welk VLAN er aan welk SSID wordt gekoppeld

Dit stuur ik aan vanuit de Ubiquiti beheer omgeving. De cloud key. Daar kan je meerdere SSID's aanmaken, en daar kan je dan ook gelijk aangeven in welk VLAN het verkeer per SSID moet vallen.
Het accesspoint koppelt dus verschillende VLAN's, afhankelijk van met welke SSID je connect.

Deze config valt over alle vestigingen heen, en werkt dus ook prima op de hoofdlocatie

woensdag 7 november 2018 10:31

Acties:

0 Henk 'm!

Equator

Crew Council

#whisky #barista

Dus op andere vestigingen werkt het wel. Wat is dan het verschil in config tussen een switch op een andere vestiging en deze?

Ik zit je config nog eens door te nemen. Je routeert he gasten WLAN door het VLAN 510omdat daar je Meraki is aangesloten. De meraki zal daarvoor de route terug naar het Gast WiFi subnet 10.0.1.0/24 moeten weten. Dat loopt dan via 192.168.1.254. Staat die route geconfigureerd?

[ Voor 52% gewijzigd door Equator op 07-11-2018 10:42 ]

woensdag 7 november 2018 10:42

Acties:

0 Henk 'm!

wicked1980

Topicstarter

Equator schreef op woensdag 7 november 2018 @ 10:31:
Dus op andere vestigingen werkt het wel. Wat is dan het verschil in config tussen een switch op een andere vestiging en deze?

Ja daar loop ik dus vast

Want voor zover ik het zie zijn ze gelijk. Het config deel wat VLAN 111 en het gast wifi raakt is een kopie van de hoofdlocatie. Alleen het subnet is iets anders.

Alle port specifieke en VLAN specifieke instellingen zijn verder gelijk. Dan zou het nog in een globale instelling kunnen zitten, maar ook daar vind ik niets.

Er zijn ook geen aparte routeringen nodig verder. Als gateway krijgen alle clients standaard de Core Switch.
En die geeft alles wat hij niet kent door aan de Meraki:

ip route 0.0.0.0 0.0.0.0 192.168.1.252 name DEFAULT_TO_MX84

woensdag 7 november 2018 10:43

Acties:

0 Henk 'm!

Equator

Crew Council

#whisky #barista

Zie mijn edit hierboven.

Weet je Meraki de route terug naar 10.0.1.0/24?

woensdag 7 november 2018 10:51

Acties:

0 Henk 'm!

wicked1980

Topicstarter

Equator schreef op woensdag 7 november 2018 @ 10:43:
Zie mijn edit hierboven.

Weet je Meraki de route terug naar 10.0.1.0/24?

Yes, hij heeft een static route voor 10.0.1.0/24 met als Next hop IP 192.168.1.254 (de Core in VLAN 510)

Ik heb wel 1 verschil gevonden in de configs. Op mijn hoofdlocatie kom ik in de config van de Core alle VLAN's 2 keer tegen. 1 keer met de Name Description:

!
vlan 111
name GAST-WIFI

En 1 keer met de interface config:

!
interface Vlan111
ip address 10.0.0.251 255.255.255.0
ip helper-address 192.168.0.14
ip access-group 100 in

Op de switch op de neven-locatie heb ik alleen het interface deel, en niet het "name" deel.
Een "show vlan" geeft overigens wel netjes alle VLAN's (ook van de hoofdlocatie overigens)

woensdag 7 november 2018 23:56

Acties:

0 Henk 'm!

kosz

wicked1980 schreef op woensdag 7 november 2018 @ 10:51:
[...]
Op de switch op de neven-locatie heb ik alleen het interface deel, en niet het "name" deel.
Een "show vlan" geeft overigens wel netjes alle VLAN's (ook van de hoofdlocatie overigens)

Nu ben ik al een tijdje uit de Cisco IOS switches, en voornamelijk bezig ArubaOS, OS-CX en Comware, maar dit klinkt toch wel als wel de vlan interface aanmaken maar het vlan niet in de database zetten. Dit is alleen bij oudere IOS versies het geval, maar de 3560 is ook inmiddels EoL.

Switch# vlan database
Switch(vlan)# show (zo kan je de vlans welke zijn toegevoegd bekijken)
Switch(vlan)# vlan 111 name GAST-WIFI (toevoegen)
Switch(vlan)# exit

donderdag 8 november 2018 08:57

Acties:

0 Henk 'm!

wicked1980

Topicstarter

kosz schreef op woensdag 7 november 2018 @ 23:56:
[...]

Nu ben ik al een tijdje uit de Cisco IOS switches, en voornamelijk bezig ArubaOS, OS-CX en Comware, maar dit klinkt toch wel als wel de vlan interface aanmaken maar het vlan niet in de database zetten. Dit is alleen bij oudere IOS versies het geval, maar de 3560 is ook inmiddels EoL.

Switch# vlan database
Switch(vlan)# show (zo kan je de vlans welke zijn toegevoegd bekijken)
Switch(vlan)# vlan 111 name GAST-WIFI (toevoegen)
Switch(vlan)# exit

Helaas, daar staat hij wel tussen:

VLAN ISL Id: 111
Name: Gast-Wifi
Media Type: Ethernet
VLAN 802.10 Id: 100111
State: Operational
MTU: 1500
Backup CRF Mode: Disabled
Remote SPAN VLAN: No

donderdag 8 november 2018 09:32

Acties:

0 Henk 'm!

kosz

Ok, vlans zijn dus in orde op de switch.
Wat mij even ontgaat is waarom je L3 op de switch doet met ACL's etc. in plaats van op de firewall met policy's... maar goed zo moet het ook wel werken.

wicked1980 schreef op woensdag 7 november 2018 @ 09:51:

interface FastEthernet0/23
description WIFI_ZENDERS_UBI
switchport access vlan 110
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
spanning-tree portfast

Ergens krijgt het verkeer uit het gast netwerk dus toch een verkeerd VLAN toegewezen.
Ik kom er alleen even niet uit waarom.

Je zet de poort in "mode trunk" maar ik zie geen regel waar je vlans in definieert welke je toelaat op de trunk
switchport trunk allowed vlan 110,111

"switchport access vlan 110" doet niks totdat je switchport mode access er van maakt.

Ik neem aan dat je eerst even een access poortje op de switch hebt aangemaakt voor vlan 110 en 111 en hebt getest, om zodoende vast te stellen waar het exact mis gaat. Anders zoek je het straks in wifi en zit het ergens anders...

donderdag 8 november 2018 10:18

Acties:

0 Henk 'm!

wicked1980

Topicstarter

kosz schreef op donderdag 8 november 2018 @ 09:32:
Ok, vlans zijn dus in orde op de switch.
Wat mij even ontgaat is waarom je L3 op de switch doet met ACL's etc. in plaats van op de firewall met policy's... maar goed zo moet het ook wel werken.

Niet al het verkeer gaat langs de firewall. De clients krijgen de Core switch als Gateway, dus intern verkeer tussen de subnetten filter ik op de switch

Je zet de poort in "mode trunk" maar ik zie geen regel waar je vlans in definieert welke je toelaat op de trunk
switchport trunk allowed vlan 110,111

"switchport access vlan 110" doet niks totdat je switchport mode access er van maakt.

Ik neem aan dat je eerst even een access poortje op de switch hebt aangemaakt voor vlan 110 en 111 en hebt getest, om zodoende vast te stellen waar het exact mis gaat. Anders zoek je het straks in wifi en zit het ergens anders...

Die kan er inderdaad af, die heb ik alleen nodig tijdens het configureren van het accesspoint. Dan staat de port ook in access mode. Zodra hij klaar is, dan kan de port om naar trunk. Heb ze er nu ook even afgehaald.

donderdag 8 november 2018 19:08

Acties:

0 Henk 'm!

jvanhambelgium

Zeker dat je geen typo hebt gemaakt in de ranges oid op DHCP ofzo?
Vlan510 met 192.168.1.x (VLAN110) kan makkelijk met een typo iets met 192.168.11.x worden (VLAN510)

Wie doet de DHCP, die 192.168.1.25, die ook ergens locally onsite staat wat voor iets is dat ?? Windows DHCP machine?

[ Voor 4% gewijzigd door jvanhambelgium op 08-11-2018 19:09 ]

donderdag 8 november 2018 19:28

Acties:

0 Henk 'm!

Ascension

wicked1980 schreef op woensdag 7 november 2018 @ 09:51:

Source IP and/or VLAN mismatch - source_client_ip: 10.0.1.129, source_client_mac: E8:40:40:05:15:41, source_client_assigned_vlan: 510

Dat source VLAN is goed te verklaren lijkt mij. Je zegt dat VLAN510 ook gebruikt wordt om te routeren tussen de firewall en de switch, de firewall ziet het verkeer dus uit VLAN510 komen. De firewall heeft verder geen wetenschap over het VLAN waar de gebruiker werkelijk in zit, die zit alleen een IP-pakketje uit VLAN510 komen met het een source-adres van Vlan111. Het MAC-adres is ook van een Cisco-device.

Als je met 'show mac-address-table' kijkt, in welk VLAN zie je dan het MAC-adres van die client zitten?
Kan je wel pingen naar een Internet IP-adres?
Wijs je niet toevallig als DNS-server iets uit 192.168.x.x aan welke wordt geweigerd door je ACL?
Als je de ACL er even afhaalt, werkt het dan wel, of zet logging aan op de ACL en kijk of je denies ziet.

Overigens zou ik adviseren om het gasten VLAN rechtstreeks op de firewall te termineren, er is immers geen noodzaak om dit te routeren op je switch.

[ Voor 23% gewijzigd door Ascension op 08-11-2018 19:39 ]

vrijdag 9 november 2018 07:28

Acties:

+2 Henk 'm!

Equator

Crew Council

#whisky #barista

Ascension schreef op donderdag 8 november 2018 @ 19:28:
[...]

Overigens zou ik adviseren om het gasten VLAN rechtstreeks op de firewall te termineren, er is immers geen noodzaak om dit te routeren op je switch.

Eens. Maar dat houdt in dat de TS dit overal moet aan gaan passen. Hij heeft blijkbaar nog meer sites waar het zo geconfigureerd staat.

Maar een (sub) interface van de FW rechtstreeks in het juiste VLAN lijkt mij veiliger, en makkelijker werken.

vrijdag 9 november 2018 11:47

Acties:

0 Henk 'm!

wicked1980

Topicstarter

Ascension schreef op donderdag 8 november 2018 @ 19:28:
[...]

Dat source VLAN is goed te verklaren lijkt mij. Je zegt dat VLAN510 ook gebruikt wordt om te routeren tussen de firewall en de switch, de firewall ziet het verkeer dus uit VLAN510 komen. De firewall heeft verder geen wetenschap over het VLAN waar de gebruiker werkelijk in zit, die zit alleen een IP-pakketje uit VLAN510 komen met het een source-adres van Vlan111. Het MAC-adres is ook van een Cisco-device.

Als je met 'show mac-address-table' kijkt, in welk VLAN zie je dan het MAC-adres van die client zitten?
Kan je wel pingen naar een Internet IP-adres?
Wijs je niet toevallig als DNS-server iets uit 192.168.x.x aan welke wordt geweigerd door je ACL?
Als je de ACL er even afhaalt, werkt het dan wel, of zet logging aan op de ACL en kijk of je denies ziet.

Overigens zou ik adviseren om het gasten VLAN rechtstreeks op de firewall te termineren, er is immers geen noodzaak om dit te routeren op je switch.

Show mac geeft:

111 84b5.4145.d45c DYNAMIC Fa0/24

En dat is op zich goed. De clients krijgen 8.8.8.8 als DNS mee.
Ik denk dat ik er toch een keer naartoe moet om zelf in dat netwerk te gaan zitten en kijken wat ik kan.

En dan is ombouwen naar de Meraki op zich wel een optie als ik er niet uit komt.

Wat mij (, en mijn OCD

) alleen dwarszit is dat ik er niet achter kom waarom het niet werkt. Ik zie ergens 1 klein dingetje over het hoofd, daar ben ik van overtuigd. Kan het alleen niet loslaten

[ Voor 10% gewijzigd door wicked1980 op 09-11-2018 11:49 ]

maandag 12 november 2018 14:45

Acties:

0 Henk 'm!

Vicarious

☑Rekt | ☐ Not rekt

kosz schreef op donderdag 8 november 2018 @ 09:32:
Ok, vlans zijn dus in orde op de switch.
Wat mij even ontgaat is waarom je L3 op de switch doet met ACL's etc. in plaats van op de firewall met policy's... maar goed zo moet het ook wel werken.

[...]

Je zet de poort in "mode trunk" maar ik zie geen regel waar je vlans in definieert welke je toelaat op de trunk
switchport trunk allowed vlan 110,111

"switchport access vlan 110" doet niks totdat je switchport mode access er van maakt.

Ik neem aan dat je eerst even een access poortje op de switch hebt aangemaakt voor vlan 110 en 111 en hebt getest, om zodoende vast te stellen waar het exact mis gaat. Anders zoek je het straks in wifi en zit het ergens anders...

Dit is ook het eerste wat mij opviel in de config. Deze spreekt elkaar tegen.
Switchport access vlan 110 -> Hiermee geef je aan dat alles achter deze poort in VLAN 110 moet komen. Dit werkt echter niet als niet ook switchport mode access aanstaat. Nu staat switchport mode trunk aan.

Met switchport mode trunk geef je aan dat het apparaat dat daarachter zit zelf een VLAN tag moet meegeven. Je kunt dan met switchport trunk allowed vlans <vlan-list> opgeven welke VLANs je over de trunk wilt toestaan. Als de Meraki het gastennetwerk aan VLAN 510 heeft gekoppeld in plaats van 110 gaat het dus mis.

De vraag is dus hoe het moet werken:
Optie 1: De Meraki geeft een VLAN tag mee. De huidige config op de switch werkt dan wel, maar ik zou het commando switchport access vlan 110 weghalen omdat dit verwarring in de hand werkt. Je zal dan op de Meraki moeten uitzoeken waarom de gasten in het verkeerde VLAN terechtkomen
Optie 2: De Meraki heeft geen weet van VLANs en je bepaalt op de Cisco switchpoort in welk VLAN de gebruikers moeten komen. Lijkt me sterk dat je dit wil, want dan komt IEDEREEN (dus ook gebruikers die naar een ander SSID connecten) in vlan 110 terecht. In dat geval moet je switchport mode access toepassen op de switchpoort en switchport trunk encapsulation dot1q weghalen.

Vicariously I live while the whole world dies

maandag 12 november 2018 17:05

Acties:

0 Henk 'm!

Ascension

Vicarious schreef op maandag 12 november 2018 @ 14:45:
[...]

Dit is ook het eerste wat mij opviel in de config. Deze spreekt elkaar tegen.
Switchport access vlan 110 -> Hiermee geef je aan dat alles achter deze poort in VLAN 110 moet komen. Dit werkt echter niet als niet ook switchport mode access aanstaat. Nu staat switchport mode trunk aan.

Met switchport mode trunk geef je aan dat het apparaat dat daarachter zit zelf een VLAN tag moet meegeven. Je kunt dan met switchport trunk allowed vlans <vlan-list> opgeven welke VLANs je over de trunk wilt toestaan. Als de Meraki het gastennetwerk aan VLAN 510 heeft gekoppeld in plaats van 110 gaat het dus mis.

"switchport access vlan x" doet alleen iets als de poort ook daadwerkelijk in access-mode komt door middel van DTP dan wel door "switchport mode access".

Als er geen vlan's geconfigureerd zijn dmv "switchport trunk allowed vlan" zijn alle VLAN's toegestaan op de trunk.

En het gastennetwerk is niet aan vlan 510 gekoppeld, zie mijn post hier boven.

[ Voor 3% gewijzigd door Ascension op 12-11-2018 17:22 ]

donderdag 15 november 2018 08:43

Acties:

+1 Henk 'm!

Vicarious

☑Rekt | ☐ Not rekt

Ascension schreef op maandag 12 november 2018 @ 17:05:
[...]

"switchport access vlan x" doet alleen iets als de poort ook daadwerkelijk in access-mode komt door middel van DTP dan wel door "switchport mode access".

Dat zeg ik toch ook?

Oops, ik bedoelde het wel maar zei het inderdaad anders. Excuus!

[ Voor 11% gewijzigd door Vicarious op 15-11-2018 08:44 ]

Vicariously I live while the whole world dies

woensdag 21 november 2018 11:22

Acties:

0 Henk 'm!

wicked1980

Topicstarter

Nou mensen, het lek is boven water, pfffff

Zoals ik al dacht, uiteindelijk was het een klein dingetje dat ik over het hoofd zag. Iets wat ik veel eerder getackeld zou hebben als ik daar op locatie was geweest.

In de firewall had ik netjes Port 53, 80 een 443 open staan. Echter alleen op TCP...
Voor 80 en 443 niet erg, maar voor 53 gaat het een stuk beter als je ook UDP open zet...

Ik had dit eerder kunnen tackelen door even te testen met een allow any op de Meraki, dan had ik eerder gezien dat het in de Firewall zat, ipv in de netwerk config.

#leermomentje

Mijn aanname dat het dus verkeerd was dat het verkeer vlan 510 mee kreeg klopte dus ook niet. Dat was slechts een gevolg van de routering, en op zich gewoon goed.

Bedankt voor het meedenken in ieder geval

[ Voor 11% gewijzigd door wicked1980 op 21-11-2018 11:24 ]

zaterdag 5 oktober 2019 23:09

Acties:

0 Henk 'm!

GMJansen

Beetje laat, maar misschien lees je het nog.
Er zit een typo in je ACL

access-list 100 deny ip any 172.0.0.0 0.240.255.255

moet zijn
access-list 100 deny ip any 172.16.0.0 0.240.255.255

zondag 6 oktober 2019 15:24

Acties:

0 Henk 'm!

GeleFles

What's in a bottle?

Top dat het probleem boven water is! Wat ik zelf vaak gebruik om vlan memberships te controller is een show MAC address-table op de switch, dan zie je snel genoeg of een device in het juiste vlan terecht is gekomen.
En met troubleshooten altijd via het OSI model omhoog werken