[geloest] VLAN Konfiguration auf neuen Switch übernehmen funktioniert nicht

[sharbich]

Hallo Ihr Lieben,
ich versuche schon seit Tagen mein neuen
Switch Netgear GS728txpv3
https://www.netgear.com/de/business/wir ... s728txpv3/
in mein Netz zu integrieren. Das funktioniert einfach nicht. Info's zu meiner alten Infrastruktur:
Ich habe 12 VLAN's. Diese sind auf meinem OpenWRT Router konfiguriert:

Code: Alles auswählen

root@rome01:~# cat /etc/config/network 
config interface 'loopback'
	option proto 'static'
	option ipaddr '127.0.0.1'
	option netmask '255.0.0.0'
	option device 'lo'
config globals 'globals'
	option ula_prefix 'fd11:971c:e6b2::/48'
config interface 'dmz'
	option proto 'static'
	option ipaddr '192.168.20.1'
	option netmask '255.255.255.0'
	option device 'eth0.20'
config interface 'wlan'
	option proto 'static'
	option ipaddr '192.168.30.1'
	option netmask '255.255.255.0'
	option _orig_ifname 'wlan wlan0 wlan3'
	option _orig_bridge 'true'
	option device 'br-wlan'
config interface 'lan'
	option proto 'static'
	option ipaddr '192.168.10.1'
	option netmask '255.255.255.0'
	option device 'eth0.50'
config interface 'transfer'
	option proto 'static'
	option ipaddr '192.168.1.1'
	option netmask '255.255.255.0'
	option device 'eth0.1'
config interface 'wan'
	option proto 'static'
	option ipaddr '192.168.0.2'
	option netmask '255.255.255.248'
	option gateway '192.168.0.1'
	option device 'eth2'
config interface 'openvpn'
	option proto 'static'
	option ipaddr '192.168.190.1'
	option netmask '255.255.255.0'
	option metric '0'
	option device 'eth0.10'
config interface 'plex'
	option proto 'static'
	option ipaddr '192.168.120.1'
	option netmask '255.255.255.0'
	option dns '192.168.20.20'
	option device 'eth0.120'
config interface 'cups'
	option proto 'static'
	option netmask '255.255.255.0'
	option dns '192.168.20.20'
	option ipaddr '192.168.110.1'
	option device 'eth0.110'
config interface 'VOIP'
	option proto 'static'
	option netmask '255.255.255.0'
	option ipaddr '192.168.140.1'
	option device 'eth0.140'
config interface 'elk'
	option proto 'static'
	option ipaddr '192.168.150.1'
	option netmask '255.255.255.0'
	option device 'eth0.150'
config interface 'admin'
	option proto 'static'
	option ipaddr '192.168.200.1'
	option netmask '255.255.255.0'
	option device 'eth0.200'
config device
	option name 'br-wlan'
	option type 'bridge'
	list ports 'eth0.30'
config interface 'snmp'
	option proto 'static'
	option device 'eth0.100'
	option ipaddr '192.168.100.1'
	option netmask '255.255.255.0'
config device
	option type 'bridge'
	option name 'br-ha'
	list ports 'eth0.130'
config interface 'hassio'
	option proto 'static'
	option device 'br-ha'
	option ipaddr '192.168.130.1'
	option netmask '255.255.255.0'

Der Router ist auch für das Routing zuständig. Mein zentraler Server ist in fast allen VLAN Netzen vertreten:

Code: Alles auswählen

root@dsme01:~# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
# allow-hotplug eth0
auto eth0
iface eth0 inet manual
# The scondery network interface
# allow-hotplug eth1
# auto eth1
allow eth1
iface eth1 inet manual
# The thirty network interface
# allow-hotplug eth2
# auto eth2
allow eth2
iface eth2 inet manual
# The bond dmz network interface
auto bond0
iface bond0 inet static
	address 192.168.20.20
	netmask 255.255.255.0
	network 192.168.20.0
	gateway 192.168.20.1
	dns-search intern.harnet.de
	dns-nameservers 192.168.20.20
	bond-mode 4
	bond-lacp-rate 1
## 	bond-mode 802.3ad
	bond-miimon 100
	bond-downdelay 200
	bond-updelay 200
## 	bond-slaves none
	bond-slaves eth0 eth1
	up ip addr add 192.168.20.5 brd + dev bond0	# nginx Default
	up ip addr add 192.168.20.24 brd + dev bond0	# vmailpanel
	up ip addr add 192.168.20.25 brd + dev bond0	# lam, mypgadmin, ldapadmin, myadmin
	up ip addr add 192.168.20.26 brd + dev bond0	# bareos
	up ip addr add 192.168.20.27 brd + dev bond0	# rspamd
	up ip addr add 192.168.20.28 brd + dev bond0	# webmin
	up ip addr add 192.168.20.29 brd + dev bond0	# roundcube
	up ip addr add 192.168.20.30 brd + dev bond0	# ojbca, oscp
	up ip addr add 192.168.20.31 brd + dev bond0	# pgadmin
	up ip addr add 192.168.20.40 brd + dev bond0	# wildfly
	up ip addr add 192.168.20.50 brd + dev bond0	# nextcloud
	up ip addr add 192.168.20.51 brd + dev bond0	# homeassistant
# IP Address for virtuel Nginx Host
	up ip addr add 192.168.20.10 brd + dev bond0    # swme01
	up ip addr add 192.168.20.74 brd + dev bond0    # rme01
	up ip addr add 192.168.20.100 brd + dev bond0	# mome01
	up ip addr add 192.168.20.101 brd + dev bond0	# pbxme01
	up ip addr add 192.168.20.120 brd + dev bond0   # mphpme01
	up ip addr add 192.168.20.173 brd + dev bond0   # mcbme01
	up ip addr add 192.168.20.174 brd + dev bond0   # mckme01
	up ip addr add 192.168.20.175 brd + dev bond0   # mcgaeme01
	up ip addr add 192.168.20.176 brd + dev bond0   # mcgme01
	up ip addr add 192.168.20.177 brd + dev bond0   # mcwohrme01
	up ip addr add 192.168.20.178 brd + dev bond0   # mcwohlme01
	up ip addr add 192.168.20.179 brd + dev bond0   # mcwovrme01
	up ip addr add 192.168.20.180 brd + dev bond0   # mcwovlme01
# The bond cups network
auto bond0.110
iface bond0.110 inet static
        address 192.168.110.20
        netmask 255.255.255.0
        network 192.168.110.0
        dns-search intern.harnet.de
        dns-nameservers 192.168.20.20
# The bond plex network
auto bond0.120
iface bond0.120 inet static
        address 192.168.120.20
        netmask 255.255.255.0
        network 192.168.120.0
        dns-search intern.harnet.de
        dns-nameservers 192.168.20.20
# The bond smarthome network
auto bond0.130
iface bond0.130 inet static
        address 192.168.130.20
        netmask 255.255.255.0
        network 192.168.130.0
        dns-search intern.harnet.de
        dns-nameservers 192.168.20.20
# The bond voip network
auto bond0.140
iface bond0.140 inet static
        address 192.168.140.20
        netmask 255.255.255.0
        network 192.168.140.0
        dns-search intern.harnet.de
        dns-nameservers 192.168.20.20

# The bond elk network
auto bond0.150
iface bond0.150 inet static
        address 192.168.150.20
        netmask 255.255.255.0
        network 192.168.150.0
        dns-search intern.harnet.de
        dns-nameservers 192.168.20.20
        up ip addr add 192.168.150.21 brd + dev bond0.150
# The bond voip network
auto bond0.200
iface bond0.200 inet static
        address 192.168.200.20
        netmask 255.255.255.0
        network 192.168.200.0
        dns-search intern.harnet.de
        dns-nameservers 192.168.20.20
# The bond openvpn network
auto bond0.10
iface bond0.10 inet manual
	up ip link set $IFACE up promisc on
	down ip link set $IFACE down promisc off

Die Konfiguration mit dem alten LevelOne Switch war einfach. Hierzu zwei Bilder die ich später noch hochlade.
Nun zu meinen Fragen:
Wenn ich das LAN Kabel vom alten Switch auf den neuen Switch lege und den Port (als Beispiel 1) auf tagged setze, dann kann ich alle Netze auf dem zentralen Router erreichen. Allerdings nur mit einem PC der auch im VLAN 1 konfiguriert ist. Das ist auch das VLAN was auf Port 1 tagged ist.
Allerdings weiß ich nicht wie ich die anderen Port's den einzelnen VLAN's zuweise? Die ganzen VLAN ID's habe ich auf den neuen Switch händisch erstellt und den einzelnen Port's zugewiesen. Ohne Erfolg.
Komisch kommt mir vor das ich am neuen Switch kein Port auf tagged ohne PVID setzen kann? Ich bräuchte da noch Unterstützung.
gallery/image/5157 gallery/image/5156 gallery/image/5155
Gruß von Stefan Harbich

[sharbich]

Hallo Ihr Lieben,
ich bin schon etwas weiter gekommen. Ich hatte ja gesagt das alle VLAN Netzwerke auf den zentralen OpenWRT Router erstellt sind und dort geroutet werden. Möchte ich jetzt z. B. mein Laptop im Netz DMZ, hier VLAN 20 erreichbar machen muss ich wie folgt vorgehen:
Der zentrale OpenWRT Router hängt mit allen Netzen auf Port 1 und mein Laptop auf Port 24 (Statische IPv4 Adresse aus dem DMZ Netzt / VLAN 20 konfiguriert)
Auf Port 1 :
PVID 20 und VLAN 20 auf Port 1 Getaggt
Auf Port 24:
PVID 20 und VLAN 20 auf Port24 Ungettagt
somit kann mein Laptop alle Netze auf dem OpenWRT Router erreichen.
Jetzt muss ich nur noch prüfen ob auch das Relewerk der Firewall auf dem OpenWRT Router greift.

Das etwas größere Problem wird sein mein Server per 802.3ad (LAG / LACP) ins Netz zu bringen. Mal schauen was ich dazu in Verbindung mit dem Switch im Netz finde?
Erste Dokumentationen waren noch nicht so hilfreich. Ich werde berichten.
Gruß von Stefan Harbich

[sharbich]

Hallo Ihr Lieben,
so jetzt habe ich alles am laufen. Wichtig bei der Einrichtung ist dabei immer darauf zu achten welche Port's müssen auf tagged un untagged sein. Hierzu ein wichtiger Hinweis:

untagged immer dann wenn der Host keine VLAN Konfiguration unterstützt.
tagged dann wenn ich auf dem Interface ein virtuelles LAN (VLAN) konfigurieren kann.

Grüße von Stefan Harbich

[heisenberg]

tagged immer dann wenn der Host keine VLAN Konfiguration unterstützt
untagged dann wenn ich auf dem Interface ein virtuelles LAN (VLAN) konfigurieren kann.

Ich hätte jetzt gesagt, dass genau das Gegenteil der Fall ist:

Wenn der Host keine VLAN-Konfiguration unterstützt muss es untagged sein. Untagged bedeutet ja, dass keine VLAN-Information aka VLAN-"Tag" enthalten ist.

[sharbich]

Das stimmt natürlich. Schon wieder verdreht. Ich werde das in meinen Post ändern.