InterVLAN Routing auf Layer 3 Switch DHCP in VLAN

stkoepp · Apr 5, 2018, 6:35 PM

Hallo,

Ich nutze zur Zeit mehrere VLANs, das Routing möchte ich über einen Layer 3 Switch abbilden. Cisco SG 550. Es handelt sich um ca. 10 VLANs Das Routing sollin einem eigenen Vlan erfolgen. Ich möchte zwischen den einenzelnen VLANs routen. Der Switch routed wie gewünscht. Nun zu meinem Problem. Da icdh bei der SG serie nur ein default Gateway eintragen kann, habe ich das Problem, das ich die PFSense im Management/ Routeing Netzwerk habe, kann ich in den weiteren VLANS keine DHCP Server einrichten, da die Sense keine Interfaces in den VLANs hat. Packe ich jeweis ein Interface in die einzelenen VLANs, habe ich das Problem, das ich keine Default Route für Die jeweiliegen VLANs mehr eintragen kann, da, die Senns das Netz ja bereits kennt, was ja auch logisch ist. Meine Frage ist nun wie gann ich das ganze so abbilden, das Die Switch das Routing übernimmt, die Sense DHCP Server ist, und Das GW ins Internet ist, intern soll soviel wie möglich über die switch geroutet werden.

vielen Dank
Stephan

jahonix · Apr 5, 2018, 10:10 PM

@stkoepp:

Das Routing soll im Management VLAN erfolgen.

Was? Das ist ja mal eine innovative Variante. Das würde ich mir nochmal in Ruhe anders überlegen…

@stkoepp:

Meine Frage ist nun wie gann ich das ganze so abbilden, das Die Switch das Routing übernimmt, die Sense DHCP Server ist, und Das GW ins Internet ist, intern soll soviel wie möglich über die switch geroutet werden.

Du kannst doch dem pfSense DHCP Server sagen, welches Gateway er an Clients herausgibt. Trage da das GW, das im Switch konfiguriert ist, ein.

Mach' doch mal eine Zeichnung vom logischen Layout. Dann wird dir und mir sicherlich vieles klarer.

stkoepp · Apr 6, 2018, 9:47 PM

Sorry da ist mir durch Copy und Paste ein Fehler unterlaufen. Das Routing soll natürlich in einem eigenen Vlan erfolgen.

VLAN 01 172.016.000.0/24 Server
VLAN 110 172.016.010.0 /24 Clients LAN
VLAN 120 172.016.020.0 /24 Clients WLAN
VLAN 2555 172. 031.255.0/24 VLAN Routing

Die Pfsense hat die 172.031.255.250
Der Switch hat in jedem VLAN die .254
die Default Route auf dem Switch ist 0.0.0.0 –-> 172.031.255.250

Soweit funktioniert das Routing auch.
Um den DHCP Server in jedem VLAN aktivieren zu können, benötigt die PFSense doch jeweils ein Interface in jedem VLAN. Dadurch würde die PFsense doch Versuchen die Pakete zu routen, oder reicht es in diesem Fall eine Statische Route für die VLANS anzulegen, damit die Pakete über die Switch geroutet Werden also in meinem Fal:

Statische Route 1 172.016.000.000 GW 172.031.255.250
Statische Route 2 172.016.010.000 GW 172.031.255.250
Statische Route 3 172.016.020.000 GW 172.031.255.250

einen DHCP Relay Server habe ich nicht gefunden, nur die Client Funktion...
dann könnte ich mir die Interfaces in den einzelnen VLANs sparen.
Ist mein Ansatz falsch? Kommt es so nicht zu Problemen, da die PFSense ja selbst das Netz hat?

jahonix · Apr 7, 2018, 10:51 AM

@stkoepp:

Statische Route 1 172.016.000.000 GW 172.031.255.250
Statische Route 2 172.016.010.000 GW 172.031.255.250
Statische Route 3 172.016.020.000 GW 172.031.255.250

Wie soll das denn funktionieren, wenn das wie oben geschrieben /24 er Subnetze sind?
Das GW muss schon innerhalb des Netzes liegen, sonst ist es ja nicht erreichbar. Alle anderen Ziele außerhalb des Netzes werden dann dahin geleitet.

Wie gesagt: mach mal eine Zeichnung. Meist hilft das für den eigenen Durchblick auch schon erheblich weiter.

Rob4ik · Apr 7, 2018, 8:13 PM

Habe Ähnliches Szenario und wie folgt Eingerichtet.

Beispiel:
Firewall hat im VLAN 33: 192.168.33.250
Switch hat im VLAN 33: 192.168.133.1
Switch hat 5 VLANs: 172.16.1-5.0 /24

Folgende Routen sind einzutragen:
Firewall:
Default Route -> Provider
Statische Route:
Zielnetz: 172.16.1.0 Maske: 255.255.255.0 Gateway: 192.168.144.1
Zielnetz: 172.16.2.0 Maske: 255.255.255.0 Gateway: 192.168.144.1
usw. für alle Netze bis zur .5.0.
Ökonomischer geht das mit einer einzigen Summary Route:
Zielnetz: 172.16.1.0 Maske: 255.255.248.0 Gateway: 192.168.33.
Das routet dann alle Netze von 172.16.0.0 bis .7.0 zum Switch wo sie dann lokal geroutet werden. Die lokalen Netze "kennt" der Switch ja da sie an ihm direkt selber angeschlossen sind !
Switch:
Default Route -> 192.168.33.250

Grüße

jahonix · Apr 7, 2018, 11:36 PM

@Rob64:

Firewall hat im VLAN 33: 192.168.33.250
Switch hat im VLAN 33: 192.168.133.1

Zielnetz: 172.16.1.0 Maske: 255.255.255.0 Gateway: 192.168.144.1

Ökonomischer geht das mit einer einzigen Summary Route:
Zielnetz: 172.16.1.0 Maske: 255.255.248.0 Gateway: 192.168.33.

Du schreibst etwas wirr.
Vermutlich meinst du bei den roten Markierungen immer 192.168.33.x aber das ist halt nur meine Vermutung.
In der letzten Zeile fehlt das entscheidende Byte an letzter Stelle.

Wenn der Switch L3 routet, dann baut man eigentlich zwischen ihm und der Firewall ein Transitnetz auf, das nur dazu dient, die Daten zu routen. Da reicht auch eine /30, da in dem Transitnetz eh keine Hosts sitzen sollten.

Wie hast du das mit dem DHCP Server auf der pfSense gelöst? Das ist ja sein initiales Problem (wobei das relativ einfach zu lösen ist, wir werden uns da noch hinarbeiten).