Network Controller meldet doppelte IP - QNAP-Client hat jedoch 2 LAG mit 2 IPs

Hallo in die Runde,

dies ist mein erster Beitrag hier und auch mein erstes eigenes Projekt mit Unifi/Ubiquiti.

Netzwerke und IT-Infrastruktur baue ich jedoch privat und beruflich seit mehr als 10 Jahren auf.

Anbei die Eckdaten zu der Umgebung, in welcher das Problem auftritt:

1x Sophos XG Router/UTM

1x Unifi Controller (v8.0.7) auf Linux VM

1x USW-24-POE (v6.5.59)

4x U6+ (v6.5.64)

1x QNAP NAS (QTS5)

plus einige Sicherheitstechnik und diverse IoTs die hier nicht relevant sein sollten.

VLANs:

10 - Management

20 - Security

21 - IoT

30 - Privat

31 - Guest

UNC, USW-24-PoE und die U6+ alle nativ im VLAN10.

Die Sophos XG hängt via LAG/LACP mit 2GbE am USW-24-POE LAG/LACP/P23+24 nativ im VLAN10 (Management) und hat alle anderen genannten VLAN explizit tagged.

Die QNAP hängt mit einem ersten vSwitch via LAG/LACP mit 2GbE am USW-24-POE LAG/LACP/P21+22 nativ im VLAN10 (Management)

Die QNAP hängt mit einem zweiten vSwitch via LAG/LACP mit 2GbE am USW-24-POE LAG/LACP/P19+20 nativ im VLAN20 (Security)

Auf allen LAG via 802.3ad (LACP) - xmit L2+3.

Auf der QNAP läuft der UNC als VM auf einem Ubuntu Server am vSW01 (VLAN10).

Auf der QNAP läuft eine weitere VM am vSW02 (VLAN20).

Das gesamte Netz läuft im Test bisher stabil inkl. allen Regelwerken, ACL etc. - ich habe nirgendwo bisher "echte" Probleme.

Aber: Der UNC spamt mich mit Warnungen bzgl. der QNAP zu.

Die QNAP wird mir in der Topologie zwei mal angezeigt.

Natürlich taucht sie hier zwei mal auf, sprich MAC01 vom vSW01 und MAC02 vom vSW02.

Am USW-24-POE wird mir jedoch im Portmanager nur der vSW01 mit MAC01 und auch an der richtigen LAG-Group angezeigt.

Am USW-24-POE sehe ich im Portmanager aber den vSW02 nicht.

Wenn ich mir die beiden QNAP-Clients dann in der Topologie im Detail ansehe, zeigt mir dort der UNC beide und auch mit den unterschiedlichen MACs an.

Aber beide mit der IP von der MAC01. Und daraus ergibt sich nun mehrfach die Warnmeldung, dass die IP Adresse doppelt vergeben wäre.

Die Adresse ist jedoch eindeutig nicht doppelt vergeben und auf der MAC02 vom vSW02 liegt eine eigene und ganz andere IP aus einem anderen LAN-Segment (VLAN20).

Diese kann auch problemlos im VLAN20 angesprochen werden, auch alles was als VM im VLAN20 hinter dem vSW02 liegt.

Nur der UNC behauptet standhaft, es wäre an beiden MAC die identische IP vergeben und warnt mich jetzt regelmäßig und das nervt.

Auch ein Löschen der Clients im UNC und diverse Reboots aller Hardware helfen da bisher nicht weiter.

Vermutlich habe ich irgendetwas übersehen und bin für jeden Hinweis dankbar, da aktuell wohl betriebsblind...

Danke und LG.

Denis

Zitat von anton

Hast du am Switch den LAG korrekt eingerichtet? Oder nur im Qnap?

Zitat von gierig

Das kommt mir vertraut vor. Irgendwie bekannt. Finde den Beitrag nicht der User hatte aber glaube ich

nen LAG auf seinem NAS eingerichtet und die Kabel Stumpf in den Switch gesteckt ohne dort auch das LAG einzustellen.

Das scheint laut deiner Beschreibung nicht der fall zu sein.

Aber Explizit gefragt das LAG ist auf NAS UND Switch eingerichtet ja ?

Also erstmal Danke für die Hinweise

Sowohl an der QNAP als auch am Switch sind die betroffenen Interfaces manuell als LAG konfiguriert worden.

Und zwar immer als LACP via 802.3ad und xmit Hash auf Layer2+3 (also MAC+IP).

Auf der QNAP ist also nicht stumpf einfach nur "unmanaged Switch" im Assistent durchgeklickt worden

Das ganze arbeitet auch sauber, wenn ich Pakete mitschneide kommen alle da an wo sie sollen.

Und beide Seiten zeigen mir auch sauber das LAG als aktiv mit 2GbE Uplink zum Gegenüber an.

Es existiert auch kein IP Adresskonflickt, wenn ich die Netze abscanne ist alles sauber.

Es sieht für mich aktuell viel eher danach aus, als wenn die beiden "Client-Einträge" (die im UNC ja automatisch erzeugt werden) nicht als Unique Identifier die MAC, sondern den Namen des Gerätes nimmt und es daher zu der falschen Verlinkung kommt.

Denn der Gerätename ist ja nun mal in beiden Fällen identisch.

Nur bin ich mit Unifi einfach viel zu unerfahren, um dies genauer analysieren zu können und konnte bisher auch nichts hilfreiches im Netz dazu finden (oder suche einfach falsch).

Ich poste gleich noch mal Bilder von den Interfaces.

Virtual Network = VLAN 20, aber IP wird nicht wie an der QNAP konfiguriert (und auch funktional) für diese MAC 192.168.20.253, sondern 10.10.10.10 angezeigt

Zitat von anton

Was sind denn die Vlan Einstellungen am Network Controller? Und ständig laufen lässt du ihn eh, oder?

Ja der UNC läuft 24/7.

Also die EInstellungen am UNC sind simpel.

Da die VLAN ja von der Sophos gemanaged werden, sind diese am UNC nur als Third Party hinterlegt - sprich mit Name und VLAN-ID:

Am USW-24-POE sind diese dann entsprechend den Ports zugewiesen (je Port halt immer "so viel wie nötig, so wenig wie möglich").

Und um es nochmal zu betonen:

Es ist ein reines Anzeige-Problem am UNC.

Im Netz vom VLAN20 läuft alles sauber.

Die Sophos ist auch jeweils trusted-DHCP-Server für die VLANs.

Sophos (LAG VLAN20 tagged) -> USW-24-POE (LAG VLAN20 tagged) -> OK mit 2GbE

QNAP vSW02 (LAG VLAN20 untagged/nativ) -> USW-24-POE (LAG VLAN20 untagged/nativ) -> OK mit 2GbE

IVMS = VM für Hikvision Controlling = VM auf QNAP (vETH an vSW02 VLAN20 untagged/nativ) -> OK mit 1GbE -> zieht sauber DHCP via MAC-Reservierung von der Sophos

IP-CAM (ETH VLAN20 untagged/nativ) -> USW-24-POE (ETH VLAN20 untagged/nativ) -> OK mit 1GbE -> zieht sauber DHCP via MAC-Reservierung von der Sophos

Die QNAP hosted u.a. auch die NFS und SMB/CIFS Shares als Volumes für die IP-Cams.

Die IP-CAM kann sowohl das NFS und SMB/CIFS Share sauber mounten über die richtige IP des vSW02 der QNAP (192.168.20.253).

Als auch sauber von der VM-IVMS (hinter dem vSW02) im VLAN20 gefunden und verwaltet werden.

Überall im VLAN20 taucht die QNAP ausschließlich mit der richtigen IP auf (192.168.20.253).

Auch die Sophos erkennt die MAC vom vSW02 richtig und zeigt die richtige IP an (192.168.20.253).

Es ist nur der UNC der behauptet, am vSW02 wäre ebenfalls die IP 10.10.10.10 (vom vSW01) vorhanden.

Ich bin mir aktuell ziemlich sicher, dass es irgendein gecachter Eintrag am UNC sein muss, der sich nicht auf die MAC, sondern den Hostname der QNAP bezieht.

Anders macht dies für mich aktuell keinen Sinn...

LÖSUNG gefunden, wenn auch noch nicht vollständig verstanden... -> disable DHCP-Snooping

Das einzige Setting im UNC, dass ich irgendwie mit einem Cache in Verbindung bringen konnte (aufgrund des Info PopUps) und das auch aktiv war ist DHCP-Snooping gewesen:

"collects client ip addresses, hostnames, and dhcp guarding information. ..."

Nachdem ich DHCP-Snooping deaktiviert habe und alle Geräte nochmal neu durchgebootet habe, ist nun auch die "Fehler"-Meldung im UNC weg und die QNAP wird mit den jeweils richtigen IPs unter Clients am UNC angezeigt.

Aber ist das per Design so gewollt??

Ich könnte mir vorstellen, dass die QNAP auch wirklich zwei mal mit Hostname, MAC, IP, Port etc. als Entry im Cache steht.

Gerade jetzt, wo ich sehe, dass sie richtig als Client angezeigt wird, wenn ich das DHCP-Snooping deaktiviere.

Aber wieso meldet mir der UNC dann doppelte IP-Adressen, wenn das DHCP-Snooping aktiviert ist?

Er müsste doch erkennen, dass der hostname in der Tat doppelt vorhanden, aber mit 2 MAC und 2 IPs existiert.

Oder habe ich da gerade einen falschen Gedankenansatz?

Zitat von anton

Den Vlans keine passenden Ip Bereiche zugewiesen? Evtl deswegen das Problem. UI weiss ja nix von der Management Funktion von Sophos. So gemischte Netzwerke sind in der Fehlersuche immer problematisch, wenn 2 getrennt gemanagete Bereiche gibt (Sophos und UI)

Danke für die Info, aber den VLANs kann ich hier keine Subnets zuweisen, da ich keine L3-Routing Hardware von Unifi im Einsatz habe:

regelt ja hier jeweils das GW = Sophos.

Dem L2 USW kann ich ja hier nur die IDs mitgeben, die er berücksichtigen soll.

Und ja gemischte Umgebungen sind immer heikel, leider war die Sophos noch Bestand und mit aktiver "Lifetime Subscription" für alle UTM Features schon eingebunden und der Austausch daher bisher unerwünscht... noch