aGeftw 10 Geschrieben 20. Oktober 2011 Melden Teilen Geschrieben 20. Oktober 2011 Hallo, ich hab nun 8 VLANs auf dem L3 Switch konfiguriert. Es wird zwischen den VLANs geroutet (vom Switch) Auf der Firewall (Sonicwall E5500) hab ich für jedes VLAN ein VLAN Subinterface angelegt. Und auf dem Switch ist der Port mit allen VLANs und TagAll versehen. Ich kann nun von jedem VLAN das Interface der Firewall pingen (nur im eigenen VLAN) Problem ist jetzt, dass ich am L3 Switch eine default route eingerichtet habe ala: 0.0.0.0/0 192.168.100.251 (das ist die IP von der Firewall im ersten VLAN) jetzt funktioniert das Internet im ersten VLAN. Aber in allen anderen VLAns nicht. Eigentlich hat jedes VLAN sein eigenes Firewall Interface, aber ich kann auf dem Switch wohl keine statische routen für jedes VLAN eintragen. Sondern nur eine statische route, füge ich eine zweite route hinzu für ein anderes VLAN, funktioniert das Internet in dem zuletzt angelegter statischen route des vlans.. ich habe auch schon ein so genanntes "transferVLAN" benutzt, mit 255.255.255.252 und eine IP dem Switch gegeben und eine iP der Firewall. Dann am Switch die statische route auf die IP von der Firewall gelegt. Das funktionierte leider auch nicht. Außerdem will ich die VLANs schon gern benutzen wenn es die Firewall unterstützt. weiß vieleicht einer rat? btw: wenn ich als standardgateway bei den clients, die firewall/router angebe, funktioniert in jedem vlan das internet (aber dann wird auch über die firewall/router die vlans geroutet und das ist nicht sinn eines l3 switch mit fetter backplane.. Zitieren Link zu diesem Kommentar
Drew 10 Geschrieben 20. Oktober 2011 Melden Teilen Geschrieben 20. Oktober 2011 Hallo, Eine Möglichkeit wäre, das du auf alles Client als default Gateway die IP der Firewall angibst und für die anderen VLAN eine separate Route verteilst du den Clients sagt das sie über den L3 Switch Routen sollen. Auch wenn ich dein Konzept etwas in Frage stellen möchte, wenn du eh zwischen allen VLAN Routest warum dann in jedem dieser VLAN einen eigener Firewall Port? Normal würdest du von jedem VLAN per default Gateway auf den Router (L3 Switch) gehen und gegebenen falls für die Firewall ein separates VLAN anlegen. Dann die default Route auf dem Router auf die Firewall setzten. Gruß Sebastian Zitieren Link zu diesem Kommentar
aGeftw 10 Geschrieben 20. Oktober 2011 Autor Melden Teilen Geschrieben 20. Oktober 2011 Hi Drew, danke für deine Antwort.. deine frage ist berechtigt, später darf nicht mehr in jedem vlan geroutet werden.. aktuell ist das nur so lange bis es funktioniert, dann werden expliziet ACLs auf dem Switch erstellt.. daher hat jedes vlan sein eigenes interface, natürlich auch deswegen, weil ich so den verkehr aus dem internet viel leichter regeln kann.. (eigene zonen auf der firewall) dein vorschlag "normal" würde ich ein eigenes vlan für die firewall anlegen hab ich auch schon gemacht. funktionieren tut es nicht. im moment sieht es so aus, als würde der switch richtig routen, ich glaube eher das die Firewall noch rückrouten braucht, aber egal wie ich die routen verteile, funktioniert es nicht.. Zitieren Link zu diesem Kommentar
Drew 10 Geschrieben 20. Oktober 2011 Melden Teilen Geschrieben 20. Oktober 2011 Natürlich braucht dann die Firewall ebenfalls routen in die VLAN's. Wenn du das mit dem seperaten VLAN machen willst musst du in der Firewall routen für jedes einzelne VLAN setzten auf die IP des Switches aus ihrem eigenen VLAN. obwohl das je nach IP Schema auch mit einer einzelnen Route erledigt werden kann. Zitieren Link zu diesem Kommentar
aGeftw 10 Geschrieben 22. Oktober 2011 Autor Melden Teilen Geschrieben 22. Oktober 2011 Hallo Drew, das "TransferVLAN zum Internet" und Backrouten von der Firewall zum Switch funktioniert einwandfrei. Danke :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.