Heimnetzwerk segmentieren

[LouisCy]

Okay, gern. ich melde mich bei dir sobald ich einen switch da habe.

[LouisCy]

Also ich habe jetzt ein switch gekauft.

Es ist ein HP Aruba 2530 geworden.

Ich habe heute versucht die auf das Interface des switches zuzugreifen und bin kläglich gescheitert.

Als erstes habe ich versucht mir die IP über den ISP Router anzeigen zu lassen, da hat es zwar das Gerät gefunden, aber es hat keine IP bekommen.

Dann nochmal über die Konsole vom verbunden Linux Rechner mit

ip addr

da kam aber auch nix raus.

Kann sich jemand vorstellen, wieso der keine bekommen hat?

 

zum zweiten Phänomen. Ich hab an das switch probeweise schonmal den OpenWrt RasPi angeschlossen und konnte nach einiger bootzeit und reboot des ISP Routers auch per SSH zugreifen.

Als er den OpenWrt gefunden hat, gab es allerdings wieder Probleme mit dem Netz vom Desktop aus, wie oben schonmal beschrieben. Also YT, Wikipedia, heise.de waren erreichbar, aber der ISP router über den browser nicht und auch Seiten wie die Lokalpresse oder das Forum hier nicht.

 

ich hab dann vom desktop versucht den ISP router anzupingen

da kam das bei raus

xxx@xxx:~$ ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
From 192.168.1.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.1.254)
From 192.168.1.1 icmp_seq=1 Destination Host Unreachable
From 192.168.1.1 icmp_seq=2 Destination Host Unreachable
From 192.168.1.1 icmp_seq=4 Destination Host Unreachable
From 192.168.1.1 icmp_seq=5 Destination Host Unreachable
From 192.168.1.1 icmp_seq=6 Destination Host Unreachable
^C
--- 192.168.0.1 ping statistics ---
8 packets transmitted, 0 received, +5 errors, 100% packet loss, time 7154ms
pipe 3

und das gleiche von OpenWrt zum ISP Router

root@OpenWrt:~# ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1): 56 data bytes
^C
--- 192.168.0.1 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss

Kann mir jemand erklären was da schief läuft?

[Chief Wiggum]

Dann verbinde dich per seriellem Konsolenkabel oder USB Kabel per Konsole mit dem Switch.

https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-c01958589

[Crash2001]

vor 13 Stunden schrieb LouisCy:

[...] Als erstes habe ich versucht mir die IP über den ISP Router anzeigen zu lassen, da hat es zwar das Gerät gefunden, aber es hat keine IP bekommen.
[...]
Kann sich jemand vorstellen, wieso der keine bekommen hat?[...]

Dann ist da vermutlich kein Interface für DHCP konfiguriert.
 

vor 13 Stunden schrieb LouisCy:

zum zweiten Phänomen. Ich hab an das switch probeweise schonmal den OpenWrt RasPi angeschlossen und konnte nach einiger bootzeit und reboot des ISP Routers auch per SSH zugreifen.

Als er den OpenWrt gefunden hat, gab es allerdings wieder Probleme mit dem Netz vom Desktop aus, wie oben schonmal beschrieben. Also YT, Wikipedia, heise.de waren erreichbar, aber der ISP router über den browser nicht und auch Seiten wie die Lokalpresse oder das Forum hier nicht.[...]

Und wir sollen nun raten, was du auf dem OpenWRT-Router (Pi) konfiguriert hast?

vor 13 Stunden schrieb LouisCy:

[...]Kann mir jemand erklären was da schief läuft?

Ohne deine Config sowohl vom Switch, als auch vom OpenWRT zu kennen, wird das schwer.
Dazu wäre noch eine Zeichnung sinnvoll, wie es denn nun angeschlossen ist.
Dazu noch die Info, welches Gerät du im PC als Gateway und DNS Server eingetragen hast.

[LouisCy]

@Crash2001

also, da hast du natürlich recht. Ich dachte kurz ich hätte ja alles default gelassen, aber das stimmt ja garnicht.

Da das switch gebraucht gekauft wurde und ich mich nach wie vor nicht verbunden bekomme, weiß ich zu dieser config nix zu sagen.

Bei OpenWrt hab ich diese config:

config interface 'lan'
        option type 'bridge'
        option ifname 'eth0'
        option proto 'static'
        option ipaddr '192.168.1.99'
        option netmask '255.255.255.0'
        option gateway '192.168.1.254'
        option dns '1.1.1.1'

wenn ich am Desktop das Gateway und DNS auslese, zeigt er mir '192.168.1.1' also OpenWrt an.

GENERAL.TYPE:                           ethernet
GENERAL.HWADDR:                         00:D8:42:55:19:16
GENERAL.MTU:                            1500
GENERAL.STATE:                          100 (verbunden)
GENERAL.CONNECTION:                     Kabelgebundene Verbindung 1
IP4.ADDRESS[1]:                         192.168.1.221/24
IP4.GATEWAY:                            192.168.1.1
IP4.ROUTE[1]:                           dst = 0.0.0.0/0, nh = 192.168.1.1, mt = 20100
IP4.ROUTE[2]:                           dst = 192.168.1.0/24, nh = 0.0.0.0, mt = 100
IP4.ROUTE[3]:                           dst = 169.254.0.0/16, nh = 0.0.0.0, mt = 1000
IP4.DNS[1]:                             192.168.1.1

 

Zu den Problem mit der Switch Config. gibts noch irgendeine Möglichkeit ohne das serielle Kabel zuzugreifen, da ich keins da habe und auch für einen Zugriff keins kaufen will.

 

Die Topo ist angehangen.

 

grüße Lou

topo.pdf

[LouisCy]

Zitat

Bei OpenWrt hab ich diese config:

Ich sehe gerade die hier eingetragene IP stimmt ja garnicht, bei mir ist es die default ip 192.168.1.1

hatte die config ursprünglich so abgespeichert, deswegen hier die Abweichung...

[awesomenik]

vor 10 Stunden schrieb LouisCy:

Zu den Problem mit der Switch Config. gibts noch irgendeine Möglichkeit ohne das serielle Kabel zuzugreifen, da ich keins da habe und auch für einen Zugriff keins kaufen will.

Dann für eben einen Factory Reset durch. Hier sollte der Switch sich dann wieder eine IP per DHCP ziehen:

https://netsotech.com/assets/documents/2530 Switch_Series_Installation.pdf

[Crash2001]

Zitat

[...]Zu den Problem mit der Switch Config. gibts noch irgendeine Möglichkeit ohne das serielle Kabel zuzugreifen, da ich keins da habe und auch für einen Zugriff keins kaufen will.[...]

Ich weiß nicht, ob die Switche sich defaultmäßig per DHCP eine IP ziehen fürs Management - gehe aber eher nicht davon aus. 
Von daher wirst du solch ein Kabel alleine schon benötigen, um dem Switch eine IP-Adresse zu vergeben, so dass du per Management drauf kommst. Der Aruba 2530 sollte aber vorne eigentlich zusätzlich eine Micro-USB-Buchse haben (da steht was von Console daneben), über die man ihn alternativ zum RJ45-Anschluß administrieren kann. (Habe ich persönlich aber noch nie probiert).

Entweder das eine, oder das andere Kabel wirst du wohl benötigen. Sobald der Switch eine IP-Adresse hat und ein SSH Key generiert ist, kann man auch so per SSH drauf verbinden. Vorher brauchst du das Kabel zur Konfiguration der IP und sinnvollerweise natürlich auch der User für SSH-Zugriff.

 

vor 14 Stunden schrieb LouisCy:

Ich sehe gerade die hier eingetragene IP stimmt ja garnicht, bei mir ist es die default ip 192.168.1.1[...]

Also ist die eine IP-Adresse da auf dem Pi die 192.168.1.1 statt der .99? Dann würde der PI sowohl Gateway, als auch DNS-Server spielen, wenn Gateway und DNS auf deinem Rechner dann noch stimmen.
Welche IP hat der ISP-Router nach intern? 192.168.1.254?
Wie es scheint hast du ja bisher nur vlan 1 mit dem Netz 192.168.1.0/24 und noch keinen "Router on a stick" auf dem Pi konfiguriert.

Um zu umgehen, dass die Rechner direkt mit dem Router sprechen, solltest du später für die Anbindung des ISP Routers möglichst ein eigenes vlan nutzen mit eigener Adress-Range, sonst kann man auf deinem Rechner einfach das Gateway und DNS ändern und hat direkten Internet-Zugang über den ISP-Router.
 

[LouisCy]

Zitat

[...]defaultmäßig per DHCP eine IP ziehen fürs Management - gehe aber eher nicht davon aus. [...]

da hast du leider recht. Zwar hat auch der vorbesitzer gemeint das die IP vom DHCP zugewiesen wird, aber das tut sie nicht. Ich bin ja wie gesagt im Netzwerkthema nicht sehr bewandert, aber kann mir wer sagen, weshalb es nicht funktioniert dem switch über den ISP Router eine statische IP zuzuweisen und dann damit das WebInterface anzusprechen?

Noch eine Noobfrage bezüglich :

Zitat

[...]zusätzlich eine Micro-USB-Buchse haben (da steht was von Console daneben)[...]

Mit einem normalen Micro-USB zu USB geht es nicht oder ? : )

Zitat

Also ist die eine IP-Adresse da auf dem Pi die 192.168.1.1

genau.

Zitat

Welche IP hat der ISP-Router nach intern? 192.168.1.254?

Der hat 192.168.0.1 du fragst dich sicher, wieso ich dann in der WRT config, diese eingetragen habe?

Ja das tue ich auch. ich hab scheinbar falsch gecopied.

 

 

[Crash2001]

vor 8 Stunden schrieb LouisCy:

[...] kann mir wer sagen, weshalb es nicht funktioniert dem switch über den ISP Router eine statische IP zuzuweisen und dann damit das WebInterface anzusprechen?[...]

Na wenn der kein DHCP auf dem Interface spricht, dann zieht er sich auch keine IP-Adresse.
Je nach Router kann man Geräten über den DHCP-Server auch statische IP-Adressen geben - aber auch dafür muss das Gerät erst einmal eine DHCP-Anfrage stellen. Somit musst du also auf das Gerät drauf, um die IP-Adresse händisch zu konfigurieren (oder das Interface auf DHCP umzustellen). Das ist halt bei Geräten oftmals Standard, die eigentlich nicht für zu Hause entwickelt wurden. Macht in einer Firmenumgebung ja auch keinen wirklichen Sinn. Die haben einfach andere Anforderungen als ein Gerät für zu Hause.

Zitat

[...]Mit einem normalen Micro-USB zu USB geht es nicht oder ? : )

Ich selber habe es noch nicht ausprobiert, aber laut Anleitung:

Zitat

Console Port
This port is used to connect a console to the switch by using the RJ-45 to DB9 cable, supplied with the switch.
[...]
You can also connect a console to the switch using the Micro USB console port (cable not provided). Use a USB 2.0 high-speed cable with male type A (4-pin) to male micro-B (5-pin) connectors. The maximum allowable length is 5 meters.

Das Kabel sollte also eigentlich dabei gewesen sein (dann brauchst du evtl. noch ein Kabel seriell auf USB), aber normales USB KAbel auf Micro USB scheint wohl zu reichen.

Bearbeitet 30. März 2021 von Crash2001

[LouisCy]

Der Switch sprach nun doch DHCP und ein erneuter Factory Reset hat nun auch endlich ne IP hinterm Ofen vor gelockt. Das heißt ich kann endlich die Default Konfig einsehen.

switch ohne OpenWRT Pi

Zitat

DEFAULT_VLAN
IP Address	192.168.0.7
IP Version	IPV4
IP Mode	DHCP/Bootp
Subnet Mask	255.255.255.0
Gateway	192.168.0.1

und nochmal zur Übersicht die bereits oben geposteten Infos

PC

Zitat

GENERAL.TYPE:                           ethernet
GENERAL.HWADDR:                         00:D8:42:55:19:16
GENERAL.MTU:                            1500
GENERAL.STATE:                          100 (verbunden)
GENERAL.CONNECTION:                     Kabelgebundene Verbindung 1
IP4.ADDRESS[1]:                         192.168.1.221/24
IP4.GATEWAY:                            192.168.1.1
IP4.ROUTE[1]:                           dst = 0.0.0.0/0, nh = 192.168.1.1, mt = 20100
IP4.ROUTE[2]:                           dst = 192.168.1.0/24, nh = 0.0.0.0, mt = 100
IP4.ROUTE[3]:                           dst = 169.254.0.0/16, nh = 0.0.0.0, mt = 1000
IP4.DNS[1]:                             192.168.1.1

OpenWRT

Zitat

config interface 'lan'
        option type 'bridge'
        option ifname 'eth0'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option gateway '192.168.1.254'
        option dns '1.1.1.1'

 

 

Wie sollte ich jetzt am schlausten vorgehen um mein ursprüngliches anliegen umzusetzen? Also die im 1. Schritt in der Topologie gezeigten Vlans zu realisieren?

 

[Crash2001]

1. Vlans auf dem Switch anlegen und auf die entsprechenden Ports "verteilen"
2. Trunk auf dem Switch konfigurieren für den Pi
3. Router on a stick auf dem Pi konfigurieren
4. Entsprechende IP-Adressen auf den Geräten vergeben (oder alternativ für die vlans DHCP einrichten) 
5. Testen, ob alles so funktioniert, wie du es haben willst und falls nein debuggen

[Crash2001]

Ach ja, und inter-vlan-routing einrichten, falls das nicht automatisch geschieht auf dem Pi. Da ich da noch nie einen Router on a stick habe laufen lassen drauf habe ich auch keine Ahnung, wie das eingerichtet wird.

[FBDIMM]

Jo da helfe ich gerne, ist recht einfach.

Erstmal müssen die VLANs vernünftig eingerichtet werden.

Ich würde raten: Native VLAN auf allen Ports ist für Trusted Devices, Dann ein VLAN 1000 für WAN, und ein VLAN 2 für Guest, und VLAN 110 für Management.

Management VLAN ist extrem wichtig imo, wenn du in OpenWrt an den Interfaces bastelst, hast du wenigstens das VLAN 110 was stabil ist, und nicht betroffen ist von den Anpassungen.

Habe aber kA wie man entsprechendes auf einem HP konfiguriert, habe bisher nur Cisco Switche gehabt.

Bearbeitet 1. April 2021 von FBDIMM

[LouisCy]

So hatte jetzt biischen viel um die Ohren und kann jetzt gerade bisschen basteln.

Erstmal Danke für die Tipps.

Was ich vermutlich falsch verstehe -> ist das native VLAN das VLAN 1 (default)? Wenn dem so sein sollte, dachte ich, ich soll VLAN1 nicht benutzen.

Ich hätte jetzt vermutlich Port 1 & 2 als WAN ( VLAN 100) konfiguriert und da den RasPi und ISP Router angeschlossen um durchzureichen. Ist das sinnvoll?

Auf dem OpenWRT soll ja früher oder später noch OpenVPN und auch AdGuard( o. ä. ) laufen. sollte ich das jetzt in der VLAN Konfig. schon berrücksichtigen?

 

 

grüße

Lou.