daewoo42
Goto Top

VLAN-Routing auf Siemens Scalance XM416

Vorab, bin kein Netzwerkprofi - benötige Unterstützung.

Es handelt sich um ein Automatisierungsnetzwerk, sprich Siemens SPS , Profinet-Teilnehmer , Roboter etc.
Diese liegen alle im 10.51.220.0/23 Subnet und sind im XM416 per Port-basierten VLAN alle dem VLAN1 zugewiesen Port 4 - 16

Dazu ist im XM416 ein VLAN2 10.15.230.0/23 konfiguriert Port 1 - 3

Zwischen Port 3 (VLAN2) und Port 4 (VLAN1) hängt eine FW Phönix MGuard RS4000.

Der XM416 selbst beherrscht auch Layer3, allerdings stoße ich hier an meine Grenzen bei der Konfiguration.

Ich möchte zur Datensicherung Zugriff vom VLAN2 auf VLAN1.

Kann ich dies per Routing auf dem XM416 erlauben?
Wie sieht dann so eine Route aus?


Es gibt hier leider niemanden, auch der Anlagen-Errichter der sich wirklich mit dem Thema auskennt.

Danke schon mal

XM416_Manual

Content-Key: 397362

Url: https://administrator.de/contentid/397362

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: 90948
90948 07.01.2019 um 07:35:17 Uhr
Goto Top
Morgen,

du willst einen durch eine Firewall getrenntes VLAN routen verstehe ich das richtig?? Solltest du vorher mal abklären ob das überhaubt so erlaubt ist. Siemens hat seine Sicherheitsregeln im Automatisierungsbereich die eingehalten werden müssen.
Wenn das aber OK wäre dann sollte dies durch die Firewall freigegeben werden und nicht am Scalance.

Gruß
Mitglied: daewoo42
daewoo42 07.01.2019 aktualisiert um 09:23:09 Uhr
Goto Top
Mehr oder weniger.

Ich möchte den als Uplink-Port konfigurierten Port 1 nutzen um auf die Anlage zuzugreifen.
Also Port 1 (VLAN2) rein => Port 3 (VLAN2) => FW => Port 4 (VLAN1)
Da dieser sich aber in einem anderen VLAN befindet funktioniert dies nicht.

Wie soll dies denn die FW freigeben?
Die sorgt doch für die benötigte Sicherheit.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 07.01.2019 um 09:40:46 Uhr
Goto Top
Zitat von @daewoo42:

Mehr oder weniger.

Ich möchte den als Uplink-Port konfigurierten Port 1 nutzen um auf die Anlage zuzugreifen.
Also Port 1 (VLAN2) rein => Port 3 (VLAN2) => FW => Port 4 (VLAN1)
Da dieser sich aber in einem anderen VLAN befindet funktioniert dies nicht.

Wie soll dies denn die FW freigeben?
Die sorgt doch für die benötigte Sicherheit.

In der FW muss doch nur der Zugriff von Vlan2 zu Vlan1 erlaubt werden.
Das funktioniert ohne weiteres, wenn die FW das Gateway ist.
Mitglied: aqui
aqui 07.01.2019 aktualisiert um 11:02:52 Uhr
Goto Top
Dazu ist im XM416
Was ist das Kryptisches ?? Switch, Router, Firewall ?? Mit solchen kryptischen Bezeichnungen kann auch kein Netzwerker etwas anfangen face-sad
hängt eine FW Phönix MGuard RS4000.
Wieder die gleiche Problematik ! Was soll das sein oder ist das ?? Router, Firewall ??
Kann ich dies per Routing auf dem XM416 erlauben?
Ja, und zwar nur mit Routing !
Dazu muss eins dieser kryptischen Geräte oben Layer 3, sprich Routing supporten.
Als Laie solltest du dir dazu aber mal mindestens die einfachsten Basics reinziehen, sprich das hier lesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
bzw. hier auf VLAN Basis:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: 90948
90948 07.01.2019 um 11:32:08 Uhr
Goto Top
Was ist das Kryptisches ?? Switch, Router, Firewall ?? Mit solchen kryptischen Bezeichnungen kann auch kein Netzwerker etwas anfangen face-sad
Dass ist ein Industrie-Switch von Siemens (Managed, Layer 3 fähig). Ich weiß nicht ob es noch so ist aber früher haben die Ihre Geräte von Hirschmann eingekauft und Siemens drauf geklebt.
Wieder die gleiche Problematik ! Was soll das sein oder ist das ?? Router, Firewall ??
Gleiche Spielchen Industrie Firewall von Phönix Contact. Wußte aber auch nicht dass die schon Firewalls herstellen face-smile
Mitglied: aqui
aqui 07.01.2019 aktualisiert um 11:35:16 Uhr
Goto Top
haben die Ihre Geräte von Hirschmann eingekauft und Siemens drauf geklebt.
Wie immer bei Weltfirma Siemens. Was eigenes haben die ja nicht ! face-sad

Na ja, wie dem auch sei. Wenn die Teile Layer 3 also Routing können und ggf. noch 802.1q VLANs supporten ist das ganze ein Kinderspiel.
Hier steht grundsätzlich wie man es macht:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw. auch hier wenn man einen L3 Switch hat.
Verständnissproblem Routing mit SG300-28
Mitglied: Spirit-of-Eli
Spirit-of-Eli 07.01.2019 um 11:43:19 Uhr
Goto Top
Und die Phönix ist eine Industriefirewall.
Daher braucht da nichts geroutet werden..
Mitglied: daewoo42
daewoo42 07.01.2019 um 12:20:48 Uhr
Goto Top
Danke schon mal, werde mich mal einlesen.
Mitglied: daewoo42
daewoo42 08.01.2019 aktualisiert um 10:48:36 Uhr
Goto Top
Hab mir das jetzt ein paar Stunden reingezogen und einiges probiert.
Bekomme es aber nicht zum laufen.

Hab mal paar Screenshoots gemacht von meiner Konfig, vielleicht kann mich einer in die richtige Richtung führen wie die Route zu definieren ist.

vlan's
So sind die VLANS aufgeteilt, zwischen Port 5 und Port 6 kommt die FW, ist im Moment aber gebrückt

subnets
Die Subnets, im Subnet von VLAN 2 gibt es keinen Router. Wird das zum Problem, wegen fehlenden Gateway?

vlan's
Hier sollte nun das richtige eingetragen werden. Aber was??
routen
Mitglied: aqui
aqui 08.01.2019 aktualisiert um 11:06:57 Uhr
Goto Top
Nur mal so als Tip:
Wenn du beim Einbetten der Screenshot Bilder hier die Plus Taste geklickt hättest an der Cursorposition wo sie hinkommen sollen wären sie für uns alle logisch sinnvoll zu den Überschriften zuortbar. Jetzt hat man alle relativ unübersichtlich unten als Block face-sad
Kann man übrigens noch nachträglich korrigieren face-wink
So sind die VLANS aufgeteilt, zwischen Port 5 und Port 6 kommt die FW
OK, das ist richtig und kann man so machen. Beide Ports sind untagged Endgeräte Ports, das müssen sie dann auf der Firewall auch sein , logisch !
ist im Moment aber gebrückt
Wie bitte...???
Du meinst jetzt nicht im Ernst das du ein Patchkabel zw. Port 5 und 6 gesteckt hast und damit die Layer 2 Domain von VLAN 1 und VLAN 2 gebrückt hast, oder ??
Das wäre tödlich, denn ein VLAN trennt immer die Layer 2 Collision Domains die das auch zwingend getrennt bleiben sollten. Es sei denn man routet dazwischen. Mal ganz davon abgesehen das du 2 unterschiedliche IP Netze in den beiden VLANs fährst und das Zusammenstecken dieser IP Netze in eins nicht Standard konform ist und dir so schwere Fehler im Netz generieren kann !!
Die Subnets, im Subnet von VLAN 2 gibt es keinen Router. Wird das zum Problem, wegen fehlenden Gateway?
Das ist ja Unsinn, denn dein Gateway im VLAN 2 ist doch das Firewall Interface was da dann drinsteckt !!
Hier hast du wohl was gehörig verwechselt oder dir fehlen die Grundlagen von simplem IP Routing. Kann das sein ?
Die Firewall ist doch der Router zw. VLAN 1 IP Netz und VLAN 2 IP Netz ! Und...
das die .215.0 /23 nun wirklich das VLAN-2 IP Netz ist und nicht .230.0 /23 ?!
Bitte unbedingt HIER nochmal die IP Routing Grundlagen dazu lesen !!
Und nochwas... !!
Oben schreibst du: VLAN2 10.15.230.0/23 ! (Hostbereich von .230.1 bis .231.254)
Deine Firewall hat aber im Screenshot eine IP Adresse von 10.51.215.4 !!!
Das kann also niemals funktionieren, denn die Adressen liegen in unterschiedlichen IP Netzen !
Was gilt denn hier nun wirklich für das VLAN 2 ??? Das 10.15.230.0/23er Netz oder das 10.15.215.0/23er Netz ?
Hier sollte nun das richtige eingetragen werden. Aber was??
Das einzig Relevante ist ja da doch schon eingetragen !! Die Default Route !
Die Firewall hat eine Default Route auf die 10.51.220.1 was vermutlich der Internet Router in VLAN 1 ist, richtig ?!
Sprich alles was sie an IP Adressen ncht kennt schaufelt sie an die .220.1 was auch richtig ist.
Dort im .220.1 Router darfst du natürlich NICHT die dann erforderliche statische Route vergessen !!! ala:
Zielnetz: 10.15.215.0, Maske: 255.255.254.0, Gateway: 10.52.220.4

oder wenn das andere von dir angegebene Netz oben richtig ist:
Zielnetz: 10.15.230.0, Maske: 255.255.254.0, Gateway: 10.52.220.4

Ansonsten routet der Internet Router das 10.15.215.0er Netz ins Nirwana !
Die beiden lokalen IP Netze .220.0 und .215.0 (?) "kennt" die Firewall ja, denn sie sind an ihr direkt angeschlossen. Wichtig ist nur die zusätzliche statische Route für das IP Netz hinter der Firewall !
Das muss der Router an der .220.1 natürlich kennen damit er weiss wo er diese IP Pakete hinsenden soll !

So sähe das aus Layer 3 Sicht aus:

siefw

Das ist doch nun wirklich ein simples Banal Design aus Routing Sicht, was auch der IT Azubi in 10 Minuten zum Fliegen bekommt !
OK, richtige Firewall Regeln natürlich noch vorausgesetzt !!
Mitglied: daewoo42
daewoo42 14.01.2019 aktualisiert um 11:20:02 Uhr
Goto Top
War leider paar Tage weg, heute kann ich wieder weiter testen


Danke @aqui für deine Geduld

Zitat von @aqui:

Was gilt denn hier nun wirklich für das VLAN 2 ??? Das 10.15.230.0/23er Netz oder das 10.15.215.0/23er Netz ?

Das 10.51.215.0/23 ist das richtige Netz, oben stehen noch alte Daten, sorry

So ist die aktuelle Konfig

netzwerk

Hier sollte nun das richtige eingetragen werden. Aber was??
Das einzig Relevante ist ja da doch schon eingetragen !! Die Default Route !
Die Firewall hat eine Default Route auf die 10.51.220.1 was vermutlich der Internet Router in VLAN 1 ist, richtig ?!

Es gibt keinen Internetrouter, nur den Switch der die VLAN's bereitstellt

routen

Das ist nicht die Firewall, sondern der Siemens Layer-3-Switch

In der Firewall sind netzwerkseitig folgende Einstellungen hinterlegt:

firewall



Sprich alles was sie an IP Adressen ncht kennt schaufelt sie an die .220.1 was auch richtig ist.
Dort im .220.1 Router darfst du natürlich NICHT die dann erforderliche statische Route vergessen !!! ala:
Zielnetz: 10.15.215.0, Maske: 255.255.254.0, Gateway: 10.52.220.4

Ansonsten routet der Internet Router das 10.15.215.0er Netz ins Nirwana !

fehler1

Der Router akzeptiert diese Route nicht
Die beiden lokalen IP Netze .220.0 und .215.0 (?) "kennt" die Firewall ja, denn sie sind an ihr direkt angeschlossen. Wichtig ist nur die zusätzliche statische Route für das IP Netz hinter der Firewall !
Das muss der Router an der .220.1 natürlich kennen damit er weiss wo er diese IP Pakete hinsenden soll !
Mitglied: aqui
aqui 14.01.2019 aktualisiert um 14:20:56 Uhr
Goto Top
So ist die aktuelle Konfig
OK, so wird es funktionieren !
Es gibt keinen Internetrouter, nur den Switch der die VLAN's bereitstellt
Gut, dann ist ja dein XM416 der einzige Router dort in beiden Netzen.
Dann brauchst du logischerweise natürlich dort auch keinerlei statische Routen wenn lediglich der XM416 zwischen diesen beiden Netzen routet.
Dann gilt folgendes:
  • Alle Endgeräte im 10.51.220.0 /23er Netz haben den XM416 Port dort (10.51.220.4 (VLAN-1)) als Default Gateway !!
  • Alle Endgeräte im 10.51.215.0 /23er Netz haben den XM416 Port dort (10.51.215.4(VLAN-2)) als Default Gateway !!
Fertisch !!
Mehr ist NICHT zu tun !
Der Router akzeptiert diese Route nicht
Braucht er, wie oben schon gesagt, dann auch nicht wenn er der einzige Router dort ist. Dann wären statische Routen Blödsinn ! Weglassen also !
In der Firewall sind netzwerkseitig folgende Einstellungen hinterlegt:
Wäre auch sinnfrei wenn die Firewall gar nichts mit dem Routing zwischen diesen beiden IP Netzen zu tun hat wie du es ja selber sagst.