Wer kann bei einem Netzwerkproblem helfen?

linterfranz · April 8, 2021, 7:39am

Guten Morgen an Alle,

ich wollte mein internes Netz auf einem sichereren Stand aufgrund
geänderter Arbeitsweise bringen. Bis auf eine lästige Kleinigkeit
funktioniert alles bestens.

Ich möchte in 2 Schritten vorgehen: zuerst das Problem allgemein
schildern und dann, wenn mir jemand helfen kann in die Details gehen.

Mein Netz sieht vereinfacht so aus:
* in 2 Räumen stehen mehrere PCs und jeweils 1 managed switch,
* es gibt 2 interne Netze, die über einen firewall getrennt sind: grün
und blau, entsprechend auch grüne oder blaue Ports an den switches
* alle Server haben eine feste Adresse und hängen genau in einem der
beiden Netze, nur der firewall ist in allen Netzen,
* alle Clients sollen über dhcp in einen der beiden Netze gelangen,
* zwischen den beiden Räumen gibt es nur eine Ethernet-Verbindung,
* in beiden switches (Hersteller zyxel und netgear)sind vlans für die
grünen und blauen Ports definiert
* nur die verbindenden Ports der beiden Switches sind in beiden Vlans
und auf tagged eingestellt, alle anderen nur in einem Vlan und auf untagged.
* das grüne und blaue Netz haben getrennte dhcp-Server

Das Problem: Die Broadcast-msg bei der IP-Adressenvergabe, geht
offensichtlich in beide Netze, die dhcp-Server antworten und vergeben
Adressen aus ihrem Bereich (was eigentlich nur in ihrem Netz ankommen
sollte), nur ist mal der mal der andere schneller und so kommt es, dass
hin und wieder ein Client mit einer grünen Adresse an einem blauen Port
hängt oder umgekehrt. Was nicht in meinem Sinn ist.

Hoffentlich kann mir jemand weiterhelfen.
Danke!

Franz

Thomas_Pircher6 · April 8, 2021, 1:31pm

Franz Linter wrote:

Das Problem: Die Broadcast-msg bei der IP-Adressenvergabe, geht
offensichtlich in beide Netze

Das sollte nicht passieren, das klingt nach einer direkten Verbindung
zwischen den beiden VLANs.

Von offensichhtlichen Ursachen abgesehen (ein ethernet Kabel verbinbdet
einen grünen Port mit einem blauen), dürften laut deiner Beschreibung
nach nur 3 Punkte in Frage kommen: der Firewall, oder einer der beiden
Switches.

Falls der Firewall nur ein Routing FW ist (und nicht z.B. als
transparente bridge konfiguriert ist), dann sind wahrscheinlich die
Switches die Ursache.
Vielleicht kannst du den Firewall runterfahren, um das als Fehlerquelle
definitiv auszuschliessen.

Falls möglich, kannst du die Switch konfiguration hier posten? (Text
only bitte)

Thomas

linterfranz · April 8, 2021, 2:32pm

der Zyxel GS1910-24:
      <vlan_table>
        
        <entry vid="1" vlan_name="default" port="1-24"
Forbidden_port="none"></entry>
        <entry vid="10" vlan_name="gruen" port="1-16,19,20"
Forbidden_port="17,18"></entry>
        <entry vid="11" vlan_name="blau" port="17-20"
Forbidden_port="1-16"></entry>
      </vlan_table>

Ich sehe gerade, dass die nicht belegten Ports 21-24 weder im blauen
noch im grünen Vlan ausgeblendet sind.

<port_table>
        
        <entry port="1-18,21-24" pvid="1" frame_type="all"
ingress_filter="enabled" port_type="c-port" tx_tag="untag_pvid"></entry>
        <entry port="19,20" pvid="1" frame_type="all"
ingress_filter="enabled" port_type="c-port" tx_tag="tag_all"></entry>
      </port_table>

Port 19, 20 sind getaggt und in beiden Vlans. aber nur port 20 ist mit
port 8 vom netgear GS108T verbunden.

Vom Netgear bekomme ich die Konfiguration nicht ohne Manipulation hin:

VLAN ID 1
Group Operation
VLAN Name default [Untagged Port Members]
VLAN Type [Tagged Port Members]

Port 1 2 3 4 5 6 7 8
U U U U U U U
Auf Port 1 liegt der Mirror-Ausgang

VLAN ID 10
Group Operation
VLAN Name gruen [Untagged Port Members]
VLAN Type [Tagged Port Members]

Port 1 2 3 4 5 6 7 8
U U T

VLAN ID 11
Group Operation
VLAN Name blau [Untagged Port Members]
VLAN Type [Tagged Port Members]

Port 1 2 3 4 5 6 7 8
U U T

Oder wolltest du eine Zeichnung der Verbindungen mit alpha-zeichen?

Franz

Thomas_Pircher4 · April 8, 2021, 3:53pm

Franz Linter wrote:

Oder wolltest du eine Zeichnung der Verbindungen mit alpha-zeichen?

Hallo Franz,

danke für die config, ich hatte mir so etwas als config vorgestellt. Ich
habe die Zyxel config XML noch nie gesehen, aber ich denke ich habe ein
halbwegs gutes Bild von der configuration.

Du hast Zugang zu den Routern, richtig? Nicht dass du dich durch meine
Vorschläge jetzt aus dem Netz aussperrst...

Das Netz sieht ordentlich konfiguriert aus, aber ich habe meine Zweifel
an den pvid=1 Settings im Zyxel switch. Könnte das die Cross-Verbindung
sein? Laut Kommentar solltest du das auf 'none' stellen können, das wäre
ein Versuch wert.

Thomas

Thomas_Pircher6 · April 8, 2021, 4:04pm

Franz Linter wrote:

Oder wolltest du eine Zeichnung der Verbindungen mit alpha-zeichen?

Hallo Franz,

danke für die Konfig, so etwas in der Art hatte ich mir das vorgestellt.
Die Konfiguration sieht auf den ersten Blick ordentlich aus.

Bevor du Änderungen vornimmst, muss ich fragen ob du lokalen Zugriff auf
die Switches hast, nicht dass du dich mit meinen Vorschlägen dann nicht
mehr ins Netz kommst...

Die Konfiguration schaut gut aus, aber ich habe meine Zweifel am pvid=1
in den Ports. Laut Kommentar sollte auch ein 'none' gültig sein.
Du konfigurierst dien Switch über die Browser UI? Ich weiss nicht ob du
ein 'none' da einstellen kannst oder ob du den Port in ein VLAN Trunk
verwandeln musst. Das wäre ein Versuch wert.

Thomas

Thomas_Pircher6 · April 8, 2021, 4:08pm

Zumindest der Crosslink (port 20 im Zyxel, port 8 im Netgear) sollte ein
Trunk sein, denke ich.

Thomas

linterfranz · April 8, 2021, 8:19pm

Danke Thomas, für deine Antworten!

Alles ist bei mir lokal und zugänglich.
Ich nehme an, du meinst den Zyxel Switch.
es gibt den default VLan 1 (bei netgear sind es 1,2 Voice-Lan, 3
Auto-video). Ich habe die Beschreibung so verstanden, dass vlan 1
vorhanden sein muss, wenn man die browser-ui verwendet.
Ich habe den Switch über die Konsole mal in den Auslieferungszustand
versetzt, was eine größere Aktion, war, weil entweder der serielle Port
des Servers einen husch hat oder mein screen Befehl nicht richtig war,
jedenfalls war die Ausgabe nicht vollständig, stockte, auch die Eingaben
wurden nur teilweise geechot. Ein Putty auf einem alten Laptop half,
dann die ip-Adresse zu setzen. Ich habe keine Beschreibung der cl-Befehle.

Das mit dem trunk habe ich nicht ganz verstanden, vielleicht geht das in
deine Richtung:

Ich werde Port 19,20 aus dem vlan 1 nehmen. Mal sehen, ob ich dann von
einem Raum nicht mehr den Switch im anderen Raum konfigurieren kann.

Da ich jetzt parallel in einer Videokonferenz bin, mach ich das erst
nachher. Ich melde mich mit dem Ergebnis.

Gruß aus Brixen, Franz

PS: auch noch vergessen zum absenden.

linterfranz · April 8, 2021, 9:40pm

Ich melde mich mit dem Ergebnis.

Ich füge nochmal die Tabelle ein:

<vlan_table>
        
        <entry vid="1" vlan_name="default" port="1-24"
Forbidden_port="none"></entry>
        <entry vid="10" vlan_name="gruen" port="1-16,19,20"
Forbidden_port="17,18"></entry>
        <entry vid="11" vlan_name="blau" port="17-20"
Forbidden_port="1-16"></entry>
      </vlan_table>

Zunächst habe ich Vlan1 forbidden Port 19,20 gesetzt, was mir die
Verbindung gekappt hat (vom Arbeitsplatz zum Keller mit den Servern und
FW).
Dann eine Stufe weniger:
<entry vid="1" vlan_name="default" port="1-18,21-24"
Forbidden_port="none"></entry>

Damit funktioniert alles wieder. Ob das Problem beseitigt ist, kann ich
so schnell nicht sagen, weil es ja sporadisch auftritt.

Morgen bin ich fast den ganzen Tag unterwegs. Ich versuche in Pausen
eine Teststrategie zu entwickeln, um mit portspiegeln und wireshark den
Verkehr zu untersuchen.

Vielen Dank einstweilen
Franz

Thomas_Pircher6 · April 9, 2021, 6:59am

Franz Linter wrote:

Ich nehme an, du meinst den Zyxel Switch.

Hallo, Franz, ja ich meinte den Zyxel switch.

Ich habe die Beschreibung so verstanden, dass vlan 1
vorhanden sein muss, wenn man die browser-ui verwendet.

Ja, vlan 1 ist besonders, es ist für Kontrolltraffic da. Es wird bei den
meisten managed switches automatisch verwaltet und man kann es oft nicht
deaktivieren.
Mein Vorschlag war es, es nicht als PVID zu verwenden. Ein PVID
veranlasst einen Port, einkommende untagged Pakete automatisch in ein
VLAN zu verschieben. Ob das Tag bei ausgehenden Paketen entfernt wird,
habe ich ehrlich gesagt nicht aus der Konfiguration herauslesen können,
da ich mit dem Format nicht vertraut bin.
Aber wenn die Verbindung zwischen den Switches die VLANs vermischt, dann
könnte das die Ursache für deine Probleme sein.

Also nicht VLAN 1 verbieten, sondern bei den Ports des Crosslinks das
PVID deaktivieren.

Das mit dem trunk habe ich nicht ganz verstanden, vielleicht geht das in
deine Richtung:

Ein Port kann, grob gesagt, Access oder Trunk sein. An Access Ports
werden Endgeräte (Laptops, Servers, VoIP Telefone, etc) angeschlossen,
Trunk Ports werden verwended, um Switches und Router zu verbinden.

https://www.solarwindsmsp.com/blog/vlan-trunking

With VLAN trunking, it’s possible to extend a VLAN across the network.
When you implement multiple VLANs across a network, trunk links are
necessary to ensure that VLAN signals remain properly segregated for
each to reach their intended destination. This is also more efficient,
as multiple VLANs can be configured on a single port.

HTH,
Thomas

linterfranz · April 9, 2021, 6:58pm

Danke Thomas für deine Hilfe und Geduld, sie ist weiter notwendig.

Gestern Abend habe ich versucht den trunk (Port 19, 20) zu ändern, über
die Oberfläche zu ändern. und zum Schluss habe ich so sehe ich es heute
die falschen Ports ausgeblendet. Weil offensichtlich alles funktionierte
habe ich nur noch das Mail abgeschickt, das ist vergessen hatte.

Heute wählten sich die Clients nicht oder ins falsche Netz ein. Ich
verstand zunächst gar nichts, bemerkte dann, dass ich die falschen Ports
ausblendete. Das einzige, was ich machen konnte, war auf den alten Stand
zurückgehen, da funktioniert alles, nur die Clients landen hin und
wieder im falschen Netz.

Die Ganze Doku nach PVID und trunks durchsucht. Ich fand kein passendes
Beispiel und versuchte die PVID zu ändern. Nach einigen Beispielen der
Doku
(https://download.zyxel.com/GS1910-24/user_guide/GS1910-24_v1.00_ed2.pdf)
schien es, dass ich die PVID gleich der Vlan setzen muss. Ohne zu
wissen, was ich bei Port 19,20 angebe, probierte ich die grünen Ports
auf 10 zu setzen und wieder ging nichts mehr. Im Keller also direkt am
Switch, schaffte ich es, dass eine Änderung ohne den Apply-Knopf zu
drücken mich vom Switch trennte und ich wieder an die serielle Konsole
musste, um den Befehl zurück zu setzen. Dort konnte ich dann auch 'none'
den Ports 19 und 20 zuweisen. Das geht, wird in der Oberfäche nicht
angezeigt. Leider löst es das Problem nicht. Der rpi hängt an einem
blauen Port (192.168.177.0/24), ihm wird eine blaue adresse angeboten,
der grüne dhcpd sendet ein NACK und vergibt dann eine grüne Adresse.

pi(a)raspberrypi:~ $ sudo dhclient -r
Removed stale PID file
Too few arguments.
Too few arguments.
pi(a)raspberrypi:~ $ sudo dhclient -d
Internet Systems Consortium DHCP Client 4.4.1
Copyright 2004-2018 Internet Systems Consortium.
All rights reserved.
For info, please visit ISC DHCP - ISC

Listening on LPF/wlan0/dc:a6:32:44:96:59
Sending on LPF/wlan0/dc:a6:32:44:96:59
Listening on LPF/eth0/dc:a6:32:44:96:58
Sending on LPF/eth0/dc:a6:32:44:96:58
Sending on Socket/fallback
DHCPDISCOVER on wlan0 to 255.255.255.255 port 67 interval 7
DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 3
DHCPOFFER of 192.168.177.103 from 192.168.177.2
DHCPREQUEST for 192.168.177.103 on eth0 to 255.255.255.255 port 67
DHCPNAK from 192.168.20.5
DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 6
DHCPOFFER of 192.168.20.242 from 192.168.20.5
DHCPREQUEST for 192.168.20.242 on eth0 to 255.255.255.255 port 67
DHCPACK of 192.168.20.242 from 192.168.20.5
Too few arguments.
Too few arguments.

Jetzt sind alle PVIDs auf 1 bis auf Port 19,20, die auf 'none' gesetzt sind.
Einige Beispiele im Handbuch zeigen durchaus, dass man PVID auf Werte !=
1 setzen soll (Seite 40, 42, 46), meine bisherigen Versuche in diese
Richtung, trennten die beiden Räume oder den Zugang zum Switch.

Ich werde inzwischen den Zugang zur seriellen Konsole optimieren, mehr
fällt mir im Augenblick nicht ein.

Vielen Dank nochmal, es grüßt
Franz

linterfranz · April 12, 2021, 7:20am

Hallo Thomas,
obwohl noch nicht alles fertig ist, bin ich guter Dinge, denn ich habe
die Ursache des Problems gefunden.

Vor Jahren hatte ich eine ähnliche Konfiguration, die ich mit Hilfe von
Vlans gelöst habe. Der Hauptunterschied ist, dass ich damals einen
firewall mit weniger Nics als notwedig hatte und deshalb Vlans beim
Firewall einsetzen musste, während diesmal mein firewall (ipfire)
genügend Nics hat und die Einstellung der Vlans reichlich versteckt ist.

Damit alles funktioniert, müssen die beiden Switches (unterschiedliche
Hersteller) und firewall zusammen richtig konfiguriert sein, was diesmal
für einen Autodidakten eine Herausforderung war, zumal die verfügbare
Dokumentation auf die Einstellungen des Gerätes und weniger auf das
Zusammenspiel verschiedener Geräte ausgerichtet ist.

Vielen Dank nochmal und Gruß aus Brixen
Franz

Thomas_Pircher6 · April 12, 2021, 7:36am

Franz Linter wrote:

obwohl noch nicht alles fertig ist, bin ich guter Dinge, denn ich habe
die Ursache des Problems gefunden.

Hallo Franz,

sorry für die späte Antwort; dass du eine Lösung gefunden hast freut
mich, gut gemacht! VLANs sparen Kabel und NICs, erhöhen auf der anderen
Seite die Komplexität der Konfiguration. Wenn du das einfacher lösen
konntes, dann nur zu!

Damit alles funktioniert, müssen die beiden Switches (unterschiedliche
Hersteller) und firewall zusammen richtig konfiguriert sein, was diesmal
für einen Autodidakten eine Herausforderung war, zumal die verfügbare
Dokumentation auf die Einstellungen des Gerätes und weniger auf das
Zusammenspiel verschiedener Geräte ausgerichtet ist.

Stimmt, die Dokumentationen sind recht dürftig und jeder Hersteller
kocht sein eigenes Süppchen mit eigenen Begriffen und unterschiedlichen
Befehlen...
Obligatorisches xkcd: https://xkcd.com/2259/

Thomas