L3 switch hinter Building Bridge

Es gibt 18 Antworten in diesem Thema, welches 3.442 mal aufgerufen wurde. Der letzte Beitrag () ist von mary_1220.

    Hey, habt ihr Erfahrungen mit 2 Standorten und einem L3 switch hinter der UBB?(Building Bridge)


    Ich habe zu Hause einen L3 switch 8 Enterprise gehangen wo meine Heimnetze drauf sind. Allerdings treffe ich dabei auf so manche Probleme.

    Manche gerate beklagen sich über ein unerreichbaren DNS server.

    Ander wie mein iPhone können sich zwar verbinden. Allerdings geht WIFIMan z.B. nicht.

    Daher wollte ich fragen wie Ihr ein solches Netz aufgebaut habt.

    Ist der L3 switch unnötig?

    Ich habe ihn eigentlich geholt, damit wenn ich auf meinen Server zu Hause zugreifen möchte, nicht erst alles über die UDM pro in der Firma geroutet wird.


    Vielleicht habt ihr Verbesserungsmöglichkeiten vorschlage für mich bin in dem Thema neu unterwegs.

  • Zum Hilfreichsten Beitrag springen

    Hi mary,

    erst einmal vielen Dank für die Screenshots in einem anderen Thread. :winking_face:

    Nichts für ungut aber kannst du das Problem bitte in nur einem Thread belassen anstatt täglich weitere aufzumachen?

    Du hast ja bereits die Info bekommen das ein L3 Switch womöglich gar nicht notwendig ist.


    Routing; unerreichbare DNS Server; Wifiman funktioniert nicht; Building Bridge;.... was geht denn aktuell überhaupt noch und was erreichst du nach deinen letzten Änderungen überhaupt nicht mehr?

    Ich (und wahrscheinlich viele andere) können dir nur sehr schwer folgen und helfen. Wir benötigen mehr Infos hinsichtlich deiner Konfiguration; Firmwarestand etc. pp

    hey die anderen habe ich bereits wieder geschlossen.

    Bin halt echt aufgeschmissen und benötige Hilfe. Noch kann ich den Switch zurück schicken deshalb is es so dringend.


    Wohlmöglich, aber ohne Erklärung weshalb und wieso.


    naja habe gestern eine Komplette Neuinstallation gemacht.

    Jetzt geht alles bis auf das oben besagte.

    Wifi man geht nicht und mein server der am L3 switch hängt zeigt DNS problem.


    Habe die aktuellste official firmware drauf v2.4.27


    Kann gern Bilder von meiner Konfiguration anhängen.

    Zitat von mary_1220

    Building Bridge

    Deine Building Bridge sollte eigentlich vollkommen transparent arbeiten - daher, was Du vorn reinschiebst, kommt hinten wieder raus (und natürlich auch umgedreht) :smiling_face:. Würden sich dein Firmen- und Homenetz im gleichen Netzwerksegment befinden (egal ob Vlan oder nicht), gäbe es wohl auch keine Probleme. Ist dies jedoch nicht der Fall, braucht es einen Router um zwischen den Netzwerken zu vermitteln. Ob Dein L3-Switch diese Aufgabe übernehmen kann, . Vielleicht nimmst Du diesen Gedanken einmal auf.


    Edit - die Rolle des Routers kann durchaus auch Deine UDM-pro spielen, jedenfalls bei einem geschickten Aufbau der Netze.

    Hey vielen Dank für deine liebe Antwort.

    Es funktioniert alles. Solange ich die Heimnetzwerke nicht auf den L3 switch Routen lasse.


    In wiefern meinst du, dass es einen router braucht um zwischen den Netzwerken zu vermitten? also ne fritzbox dazwischen hängen :grinning_squinting_face:

    Sorry ich bin halt absoluter Neuling in dem ganzen Netzwerk Thema. Deshalb bin ich oft nicht ganz so schnell auf zack :winking_face:



    Also ist es mir nicht möglich mit einem L3 switch meine Netzwerke so zu separieren?


    kann man das nicht irgendwie anders Lösen? Leider kann mir niemand so wirklich eine Antwort geben wie ich mein Netzwerk nach der Building Bridge aufbauen kann.

    Mir war es halt wichtig meinen server zu Hause nicht immer über die udm in der Firma Routen zu lassen. Dachte als unerfahrener daran, dass ich ja einen L3 switch verwenden könnte. Allerdings war ich anscheinend zu naiv.. habe nur Probleme damit und finde keine Lösung. Habe daran gedacht management lan zu trennen oder andere Sachen.

    Bin mit meinem Einsteiger Latein leider am ende.

    Einmal editiert, zuletzt von mary_1220 ()

    Zitat von mary_1220

    Manche gerate beklagen sich über ein unerreichbaren DNS server.

    Welcher DNS wird den bei den Geräten benutzt, zeigen die alle auf die UDM?

    Zeig doch mal die "DHCP DNS Server"-Einstellungen bei deinen drei Netzwerken Schütz Wlan, ioT und Schütz Lan?

    Klick hierfür bei den 3 Netzwerken auf "Show Option" bei "DHCP Service Management" und poste mal die Einstellungen hier.


    Meine Vermutung, warum der Wifiman nicht funktioniert, könnte daran liegen, das er den Wifiman-Server auf dem Gateway auf Port 8900 sucht.

    In dem Fall wäre das die L3-Switch, und da läuft kein Wifiman-Server. Wie das intern laufen könnte über die L3-Switch kann ich leider auch nicht beantworten.

    Ja habe dir mal ein Bild von den Einstellungen gemacht. Vielleicht kann man ja dort etwas ändern was mir hilft.


    Okay danke trotzdessen für deine tolle Antwort. Vielleicht sieht du ja bei den Einstellungen etwas.


    Wifi man habe ich in der Firma versucht, ich werde es zur Mittagspause nochmal zu Hause testen.


    habe default auch mal mit rein gepackt um einen vergleich zu ziehen.

    Zitat von mary_1220

    Wifi man habe ich in der Firma versucht, ich werde es zur Mittagspause nochmal zu Hause testen.


    habe default auch mal mit rein gepackt um einen vergleich zu ziehen.

    Okay, hat es den in der Firma mit dem Wifiman funktioniert und in welchem Netzwerk war das Gerät?

    Interessant wäre hier auch welche DNS-Server im Client eingetragen wurde.


    Man müsste das Problem mal einkreisen, in welchem Netzwerk wird welcher DNS-Server benutzt und wo funktioniert es und wo nicht.

    Wo es dann nicht funktioniert, muss man schauen, warum es nicht geht, ist eventl.. ein falscher DNS-Eintrag vorhanden oder liegt es

    am Routing, das der DNS-Server nicht erreichbar ist. Hast du irgendwelche Firewall-Regeln, die eventl. eine Verbindung verhindern?

    Das Gerät war im Heimnetz, zu Hause funktionierte es auch nicht.

    Ich habe bei meinem iPhone nachgeschaut dort steht als dns automatisch der Server 10.255.253.1 (inter-vlan-routing)


    Habe das system gestern komplett neu aufgesetzt. Also ist alles frisch und hat noch keine Firewall regeln.

    Zitat von mary_1220

    Das Gerät war im Heimnetz, zu Hause funktionierte es auch nicht.

    Ich habe bei meinem iPhone nachgeschaut dort steht als dns automatisch der Server 10.255.253.1 (inter-vlan-routing)


    Habe das system gestern komplett neu aufgesetzt. Also ist alles frisch und hat noch keine Firewall regeln.

    Okay, das ist eine Bogon IP Adresse, diese wurde wohl automatisch beim erstellen der Layer3-Switch erstellt und wird von der Switch als Default-Route benutzt.

    Das sollte man via SSH-Login auf der Switch sehen, wenn man folgendes dort eingibt:

    Code
    telnet localhost
enable
show ip route


    Hast du einen Laptop, mit dem du dich mit den einzelnen Netzwerken verbinden kannst, mit dem iPhone alleine wird das etwas umständlich.

    Hier könntest du die App "iNetTools" installieren, um dein Netzwerk zu prüfen, aber mit einem Laptop wäre das viel einfacher.


    Es wird wohl im Netzwerk als DNS-Server die 10.255.254.1 vergeben und hier ist jetzt zu prüfen, ob die DNS-Auflösung auf diesen DNS-Server aus allen Netzwerken funktioniert. Das sollte eigentlich der Fall sein, aber du hast ja geschrieben, das einige Geräte den DNS-Server nicht erreichen können. Also ich würde erstmal mit einem Laptop prüfen, ob der DNS-Server aus allen Netzwerken erreichbar ist. Sollte das mit dem Laptop funktionieren, musst du dir die Geräte anschauen, die keine DNS-Auflösung können. Ist bei diesen Geräten wirklich die IP-Adresse 10.255.254.1 eingetragen, oder haben diese event. noch den alten DNS-Server eingetragen? Hier hilft es mal das betroffene Gerät neu zu starten, wenn es den so sein sollte.


    Aber erstmal prüfen, ob der DNS-Server generell aus allen Netzwerken funktioniert und dann weiterschauen.

    Zitat von mary_1220

    ja einen Laptop hätte ich um all dies zu prüfen.

    per ssh wird mir das hier angezeigt


    Also gehe ich mit meinem Laptop in jedes Netzwerk und überprüfe welcher DNS server dort eingetragen ist?

    Genauso, wie ich es vermutet habe, das Default-GW ist für die Switch 10.255.253.1:

    S 0.0.0.0/0 [1/41 via 10.255.253.1, 21:00:56, vlan 4040


    Ja genau, so würde ich zumindest vorgehen, um die allgemeine DNS-Funktionalität aus allen Netzwerken zu prüfen, wenn das von dem Laptop funktioniert, dann haben die Endgeräte wohl irgendein Problem. Wie schon geschrieben, es könnte noch ein alter DNS-Eintrag von der alten Konfiguration vorhanden sein und daher die Clients einen DNS-Server Problem melden. Hier sollte ein Neustart von dem Gerät helfen, damit es die neue DNS-Konfig bekommt vom DHCP-Server.


    Also mit dem Laptop in jedes Netzwerk verbinden und nicht nur schauen, welcher DNS-Server eintragen wird - hier sollte ja überall die 10.255.254.1 eingetragen sein - sondern auch mit nslookup testen, ob er funktioniert. Hierbei aber immer einen anderen DNS-Namen zum auflösen nehmen, nicht das der Name aus dem DNS-Cache aufgelöst wird. Hierbei kannst du dann auch gleich mal schauen, ob du aus den einzelnen Netzwerken das routing funktioniert, also nicht nur ein nslookup auf den DNS-Namen machen, sondern auch schauen, ob er via ping erreichbar ist.


    Von den einzelnen Netzwerken könntest du auch testen, ob du mit "https://10.255.253.1:8900" (könnte auch sein, das du es mit http aufrufen musst, ich habe bei mir ein eigenes Zertifikat installiert, daher ist mir nicht bekannt, wie das ohne Zertifikat konfiguriert ist) den Wifiman Server erreichen kannst. Hier sollte die Ausgabe "WiFiman server" ausgegeben werden. Wie schon geschrieben, ich nehme mal an, das der Wifiman-Client das Default-GW benutzt und wenn das aus dem Netzwerk 192.168.1.0/24, 192.168.40.0/24 oder 192.168.100.0/24 kommt, wird er wohl auf der Switch versuchen den Server zu finden, was aber nicht klappen wird.

    Hier wird ja ganz schön im Trüben gefischt, derweil ist es doch ganz einfach :smiling_face:


    Beide Netze, also das Firmen LAN und das Home LAN bilden eigene Broadcastdomains, da diese LANs augenscheinlich in unterschiedlichen Netzwerk(segment)en liegen (der TE schweigt sich ja dazu aus). Egal nun, ob diese Netzwerke mit Kupfer, Glasfaser oder eben per Funk miteinander verbunden sind, bleibt der jeweilige Netzwerkverkehr in seiner eigenen Broadcastdomain eingesperrt, dieser kann die Domain (das Netzwerk) nicht verlassen (was im Übrigen auch für Vlans gilt, an sonst würden diese ja überhaupt keinen Sinn ergeben).


    Will man nun einen Netzwerkverkehr zwischen den Domains realisieren, geht dies nur über die Vermittlung durch einen Router und zwar einem, welcher dies nicht nur zwischen WAN und LAN, sondern eben auch zwischen verschieden LANs kann, egal ob nun physikalischen oder virtuellen. N.m.E. ist die Fritzbox hierzu nicht in der Lage, der L3-Switch müsste es jedoch sein (hier hilft ein Blick in die Doku).


    Am einfachsten wäre es jedoch, die UDM-Pro das Routing zu überlassen und den L3-Switch im Home-LAN als stino Switch zu betreiben. Nach meiner unmaßgeblichen Meinung reicht es hierzu aus, in der UDM ein Vlan mit dem Adressbereich des Homenetzes anzulegen und dieses als Trunk gemeinsam mit dem Firmennetz an den SDS-Switch-16 anzulegen. Auf diesen Switch koppelt man dann einen Port mit lediglich dem Homenetz untagged aus und schließt hieran dann die UBB an, also in etwa so:



    In der UDM regelt man den Verkehr zwischen den beiden Netzen dann wie üblich mittels FW-Regeln, wobei es sich empfiehlt, die UDM auch den DHCP-Dienst für das Home-LAN erledigen zu lassen - dann sollten sich auch die DNS-Probleme von selbst erledigen.


    Noch einfacher ist es jedoch, auch dem Homenetz den Adressbereich (Netz) des Büronetzes zu verpassen :grinning_face_with_smiling_eyes:


    Edit - oh, ich sehe gerade, ich habe mich in obigen Bild verschrieben, hier müsste es heißen "LAN Home" statt "LAN Firma" und "Trunk Vlans Firma und und Home" statt "Trunks Vlans Firma und Lan", sorry :frowning_face:

    Einmal editiert, zuletzt von bic ()

    • Hilfreich

    Nun ja, wenn ich das hier so richtig sehe, ist es auch hier eigentlich ganz einfach :winking_face:


    Die L3-Switch zu Haus ist als Gateway für die drei Netzwerke eingetragen, also Routing zwischen diesen Netzten bleibt quasi "lokal" und wird nicht über die UBB geschickt. Macht eventl. Sinn, um die Funkstrecke zu entlasten und der Traffic ist erstmal zwischen diesen drei Netzwerken unabhängig von der UDM-Pro. DNS-Traffic geht aber trotzdem da drüber, da offensichtlich als Default-DNS-Server die 10.255.254.1 verteilt wird, die wiederrum an der UDM-Pro anliegt und als Defaults-GW in der Switch konfiguriert ist. Will man also auf den Server im Firmen-Netzwerk zugreifen, wird es über die Switch und dann auf die UDM-Pro geroutet. Hier könnte man dann auch entsprechende FW-Regeln anlegen, das nur bestimmt Clients aus den Heim-Netzwerken Zugriff bekommen.


    Das Problem ist ja aktuell, das die Clients sich unterschiedlich mit dem DNS-Server verhalten, bei manchen, wie z.b dem iPhone, wird die 10.255..254.1 vom DHCP-Server verteilt. Ob das iPhone den DNS-Server anfragen konnte, ist nicht klar, es wurde nur gesagt, das der Wifiman nicht funktioniert. Der funktioniert glaube ich nur wenn der Client und der Server sich im gleichen Netzwerk befinden. Und auf der Switch wird der Wifiman-Server nicht rennen.


    Daher erstmal abklären, ob der DNS-Server generell aus den anderen Netzwerken mit dem Laptop funktioniert. Ist das der Fall, liegt ein Problem bei den nicht funktionierenden Clients vor. Hier meine Vermutung, das sie noch nicht die neuen Einstellungen vom DHCP-Server erhalten haben. Ein Neustart der Clients sollte das beheben, wenn das den die Ursache sein sollte.


    Ziel war wohl, das Heimnetzwerk vom Firmennetzwerk zu trennen und das Routing im Heimnetzwerk von der Switch übernommen wird, damit nicht alles über die UDM-Pro geroutet wird. Das sollte auch so funktionieren, das Routing übernimmt die Switch, alles was die nicht kennt, wird an die UDM-Pro weitergeleitet. Zwischen den drei Netzwerken im Heimnetzwerk greifen hier natürlich keine Firewall-Regeln, da die Switch hier nur ACLs kennt, die man auch nur über die Console der Switch einstellen kann. Und Stateful Packet Inspection kann die schon gar nicht.


    Mal abwarten, ob der Laptop in den einzelnen Netzwerken den DNS-Server erreichen konnte.

    Es tut mir wahnsinnig leid. Ich bin in dem Thema halt wirklich absoluter Einsteiger das ganze überschreitet mein Wissen ein wenig und deswegen habe leider bei euch nur die hälfte verstanden. Ich nehme auf jeden fall jetzt meinen Laptop, pack ihn über Lan an die UDM und überprüfe ob er den dns server aus jedem Netzwerk erreicht?

    Dies dokumentiere ich und sende es euch. Das ganze teste ich mit nslookup? Oder wie genau soll ich vorgehen?


    Danke euch auf jeden fall schon einmal für eure Tollen und Ausführlichen Antworten!!!



    Könnte denn vielleicht später mal jemand kurz über Teamviewer oder anydesk bei mir drüber schauen? und Ggf. die config so ändern dass es läuft? Gern höre ich mir auch eine Erklärung an damit ich mal etwas schlauer bin und solche Sachen vielleicht mal alleine hin bekomme. :thinking_face: :smiling_face_with_sunglasses:

    Ich wäre euch wirklich sehr verbunden. Bekomme nächste Woche neues Internet bis dahin wollte ich das gern geschafft haben.

    Bin halt nur absoluter Netzwerk Anfänger der momentan damit absolut überfordert ist :thinking_face: gern auch gegen Bezahlung!


    Ich weiß einfach nicht mehr weiter und bin komplett aufgeschmissen. Bin schon kurz davor eine Firma wie Varia zu beauftragen sich das einmal anzuschauen.


    Das ganze ist halt irgendwie ein step zu hoch für mich. Möchte aber unbedingt den L3 switch den ich letzte Woche gekauft habe verwenden. :thinking_face:

    Einmal editiert, zuletzt von mary_1220 ()

    Guten Morgen mary_1220 ,


    die Kollegen haben dir ja schon viele Tipps und Tricks verraten und im Internet gibt es auch zuhauf gute Videos.


    Ohne jetzt die genaue Abgrenzung zu kennen wäre der "einfachste" Weg ein zweites Netzwerk anzulegen und auf dem L3 Switch in deinem Home Bereich die Ports mit dem Profil des zweiten Netzwerks zu versehen.

    Dann noch Firewallregeln erstellen zur Abgrenzung der beiden Bereiche und gut ist.


    Jetzt kommt das große aber:


    Du versuchst hier Firma und Privat zumindest teilweise zu kombinieren davon würde ich abraten gerade wenn man halt wenig Erfahrung auf dem Gebiet hat.

    Wenn du nicht aufpasst kann dir im schlimmsten Fall halt ein Gerät aus deinem privaten Umfeld die Firma verseuchen oder auch umgekehrt oder jemand kann über das eine Netz das andere kompromittieren.


    Dein Gedankengang jemand zu beauftragen würde ich deswegen in dem Fall definitiv präferieren ob das nun der von dir genannte Shop ist oder ein Systemhaus aus der Umgebung kannst du dir ja selbst überlegen.

    Wichtig ist es halt einmal eine saubere Grundstruktur zu haben. Ich würde in deinem Fall aber bei der Beauftragung zwei Dinge als Grundvoraussetzung mit angeben,


    1. Saubere Dokumentation der Konfiguration und erstellten Regeln etc.

    2. Setz dich dazu wenn dir dass jemand einrichtet und lass es dir erklären


    Du wirst ja mitsicherheit Wartung und Pflege des Systems selbst betreiben wollen und dazu solltest du halt auch wissen wie das ganze Eingerichtet wurde und vielleicht hilft es dir ja auch besser mit der Materie zurecht zu kommen.

    Hey, danke dir!

    Dass die Tipps hilfreich sind weiß ich, ich kann nur leider die hälfte verstehen.

    Daher würde ich mich freuen wenn jemand das ganze mit mir einrichten kann. Weil ich die Gedankengänge nicht 100% nachvollziehen kann.

    Ich habe einen IT Freund aus meinem Dorf der mich betreut. Der hat viel Ahnung kennt sich allerdings mit Ubiquiti nicht so gut aus. Zum mindest mit den Firewall regeln. Diese lässt er über etwas anderes laufen.


    Es wäre mir viel geholfen, wenn jemand mit mir die Konfiguration zusammen durchgeht. Sollte ja nicht so lang dauern.


    Allgemein komme ich mit den Firewall Regeln und Ubiquiti allgemein klar. Nur diese L3 Geschichte ist für mich aktuell zu hoch und im Internet findet man auch nur ganz oberflächliche Videos die meistens nicht zu meinem Aufbau passen. Daher sehr schwierig etwas gutes zu finden.


    Vielleicht hast du mal 15 Minuten Zeit um drüber zu schauen. Würde mich auch Entgeltlich bedanken :smiling_face:


    Nachtrag:

    Tatsächlich sind alle inter vlan routings blockiert. bzw. werde ich das noch machen.

    Alle IoT Geräte in einem separatem Netz und alle vertrauenswürdigen im Heimnetz.

    Gäste Kommen ins Gastnetz mit device isolation.

    In der Firma habe ich nur 6 Geräte die über Lan angeschlossen werden.


    Vielleicht könnte man es sich zusammen ja mal anschauen :smiling_face: