jejeswiss
Goto Top

2 VLAN auf Layer 3 Switch und 0815 Router

Hallo Zusammen

Ich würde gerne ein zweites Gast-Netzwerk auf meinem Layer 3 Switch (Cisco SG300) einrichten.
Folgende Voraussetzungen habe ich:

1. Der Router kann nix! Der kann nicht mal statische Routen! Ersetzen geht leider nicht. Er hat die IP 192.168.1.1
2. SG300 ist im Layer 3 mode. Er ist DHCP Server und Gateway für die Clients (d.h. jeder Client bekommt als Gateway die Switch IP 192.168.1.254 und DNS 192.168.1.1. Vom Switch gibt es die Default Route 0.0.0.0 > 192.168.1.1

Nun möchte ich ein zweites Gast-VLAN einrichten. Auf Administrator.de habe ich bereits einen Beitrag von aqui gelesen, welcher folgendes aussagt:

Zitat:
"Deine ToDos:
•4 VLANs erstellen und Ports zuweisen
•Zusätzliche ein 5tes VLAN erstellen und darin den Router plazieren um ihn von deinen 4 Produktiv VLANs zu trennen
•Routing auf dem Switch aktivieren sprich IP Netzwerk Adressen in den VLANs vergeben
•4 statische Routen eintragen im NetGear Router"

Nun:

- Die drei benötigten VLANs habe ich gemacht.
- 22 Ports sind dem VLAN 1 zugewiesen mit IP 192.168.1.0
- 1 Port ist dem VLAN 2 zugewiesen mit IP 192.168.2.0
- 1 Port ist dem VLAN 99 zugewiesen mit IP 192.168.99.0. Hier befindet sich neu nun der Router mit der neuen IP 192.168.99.1

Nun kann ich auf dem Router aber keine statische Routen eintragen. Gibt es dennoch eine Lösung (da ich ja jeweils den Switch als Gateway konfiguriere?)

Kann ich dann aber als DNS eine IP im anderen Bereich angeben? (d.h. im 192.168.1.0 Netzwerk wäre Gateway 192.168.1.254 und DNS 192.168.99.1)

Aktuell können die beiden VLANs nicht auf das Internet zugreifen. Untereinander haben sie aber zugriff (VLAN1 kann auf VLAN2 zugreifen). Wie unterbinde ich das (das wäre ja der Sinn dahinter)? Ist per Default das Inter VLAN Routing aktiviert und muss ich nun in den ACL eine Regel einstellen: Zugriff nicht erlauben von 192.168.2.0 auf 192.168.1.0 und umgekehrt?

Lg JejeSwiss

Content-ID: 297058

Url: https://administrator.de/forum/2-vlan-auf-layer-3-switch-und-0815-router-297058.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

brammer
brammer 23.02.2016 um 08:26:35 Uhr
Goto Top
Hallo,

hier in diesem Thread ist dein Vorhaben ziemlich präzise beschrieben. Vemrutlich mit einer älteren Software Version aber das sollte adaptierbar sein....

brammer
aqui
aqui 23.02.2016 um 08:45:40 Uhr
Goto Top
Der Router kann nix! Der kann nicht mal statische Routen! Ersetzen geht leider nicht.
Das sind sehr schlechte Voraussetzungen die dir das Einrichten damit eigentlich unmöglich machen !
Das hiesige VLAN Tutorial beschreibt dir die Einrichtung eines Gastnetzes in allen Details:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wobei du dir mit deinem L3 Switch natürlich den externen Router wegdenken kannst, denn das macht ja dein Switch schon selber face-wink

Die groben ToDos sind recht einfach:
  • VLAN und Ports darin für lokales LAN einrichten inkl. L3 Interface auf dem Switch
  • VLAN und Ports darin für Gastnetz einrichten inkl. L3 Interface auf dem Switch
  • VLAN und Ports darin für Internetzugang (Router) einrichten inkl. L3 Interface auf dem Switch.
  • Default Route auf dem Switch einrichten die auf die Router IP zeigt.
  • Statische Routen auf die VLAN IP Netze auf dem Router einrichten, die auf die Switch IP im Internet VLAN zeigt.
  • Fertisch

Der letzte Punkt bei dir ist der Knackpunkt an dem deine Installation scheitern wird weil du einen billigen Dummrouter der untersten Kategorie hast.
Du kannst das dann nur lösen wenn du einen weiteren Router oder Firewall davor kaskadierst der statische Routen supportet.
Technisch keinen so tolle Lösung aber was willst du machen wenn du unbedingt deinen Schrottrouter behalten willst statt diesen sinnigerweise auszutauschen ?!
Fazit: Besorg dir einen TP-Link 841N oder einen Mikrotik Router die statisches Routing supporten für 20-30 Euro und schalte den vor deinen Billigrouter. Fertisch.... Eine andere Option hast du nicht (außer Tausch natürlich)
Weitere Grundlagen zu dem Thema findest du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
119944
119944 23.02.2016 um 09:50:42 Uhr
Goto Top
Nun kann ich auf dem Router aber keine statische Routen eintragen. Gibt es dennoch eine Lösung (da ich ja jeweils den Switch als Gateway konfiguriere?)
Dann hast du keine Chance, denn die Pakete kommen zwar zum Router aber die Rückroute fehlt dann natürlich.

Kann ich dann aber als DNS eine IP im anderen Bereich angeben? (d.h. im 192.168.1.0 Netzwerk wäre Gateway 192.168.1.254 und DNS 192.168.99.1)
Ja natürlich.

Aktuell können die beiden VLANs nicht auf das Internet zugreifen. Untereinander haben sie aber zugriff (VLAN1 kann auf VLAN2 zugreifen). Wie unterbinde ich das (das wäre ja der Sinn dahinter)? Ist per Default das Inter VLAN Routing aktiviert und muss ich nun in den ACL eine Regel einstellen: Zugriff nicht erlauben von 192.168.2.0 auf 192.168.1.0 und umgekehrt?
Wie gesagt, ohne Rückroute haben diese natürlich keinen Internetzugriff.
Und ja, wenn du das Routing zwischen den VLANs einschränken willst musst du ACLs verwenden.

Du brauchst hier zwingend einen anderen Router sonst nützt dir der Cisco Switch relativ wenig!
Warum kannst du das Gerät nicht ersetzen?

VG
Val
JejeSwiss
JejeSwiss 23.02.2016 um 11:07:43 Uhr
Goto Top
Das Problem ist hauptsächlich das IP TV und neue Technologien wie Vectoring etc (und was vom Provider ständig neu kommt). Offiziell wird nur deren Router unterstützt. Ich weiss nun nicht ob ich irgendeinen beliebigen nehmen kann.

Variante 1: neuer Router mit VDSL Modem integriert (z.B. eine Fritzbox). Weiss aber nicht ob das dann auch sauber funktioniert mit TV und so.

Variante 2: ich behalte den Provider Router und kaufe einen neuen. Setze im Provider-Router die IP des neuen Routers in die DMZ (das soll so eine Art Pseudo-Bridge-Funktion sein). Dann steht der neue Router hinter dem Provider-Router. IP TV könnte ich dann trotzdem noch direkt am Provider-Router anhängen und das ganze restliche Netzwerk am neuen Router. Dann müsste es doch funktionieren und braucht auch keine Backroute vom Provider-Router zum neuen Router?
aqui
aqui 23.02.2016 aktualisiert um 11:18:43 Uhr
Goto Top
Offiziell wird nur deren Router unterstützt.
Ist natürlich wie immer Provider Schwachsinn....
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
usw. Funktioniert wunderbar mit IP TV usw.
Aber egal....kaskadier einfach einen billigen 20 Euro Breitbandrouter vor der Billigkiste und dein Problem ist gelöst wie oben schon mehrfach angesprochen.
Die Router Kaskade sieht dann so aus:
Kopplung von 2 Routern am DSL Port
Technisch wie gesagt nicht schön...funktioniert aber.
JejeSwiss
JejeSwiss 25.02.2016 um 17:41:41 Uhr
Goto Top
Also ich versuche das mal mit der Kaskade. Habe noch irgendwo einen Netgear Router mit welchem ich das mal testen könnte. Der kann vermutlich statische Routen.

Noch eine Frage: Der Port, an welchem der Access Point angeschlossen wird, muss der als Tagged klassifiziert werden wenn auf dem Access Point 2 SSIDs mit 2 VLANs laufen sollen? Dann jedes VLAN diesem Port zuweisen.

Ebenso der Uplink Port, der beide SG300 Switches verbindet ist auch tagged?

Ansonsten alle anderen Ports untagged fix nur einem VLAN zugewiesen.
aqui
aqui 25.02.2016 aktualisiert um 19:13:35 Uhr
Goto Top
Der Port, an welchem der Access Point angeschlossen wird, muss der als Tagged klassifiziert werden wenn auf dem Access Point 2 SSIDs mit 2 VLANs laufen sollen?
Ja, definitiv, denn die SSID wird auf die VLAN ID abgebildet.
Eigentlich ist diese Frage überflüssig wenn du dir das o.a. VLAN Tutorial mit dem Praxisbeispiel richtig und vollständig durchgelesen hättest face-sad
Ebenso der Uplink Port, der beide SG300 Switches verbindet ist auch tagged?
Ja sicher !! Wie sollen den sonst die VLAN Informationen übertragen werden !! Das geschieht über den VLAN Tag !
Bitte lies dir dringenst nochmal die VLAN Grundlagen durch oder sieh dir das auf YouTube an ! Das erübrigt dann solche grundlegenden Fragen.
https://www.youtube.com/watch?v=TuGoZ9TgTOA
https://www.youtube.com/watch?v=Dah0wXQz0Q4
JejeSwiss
JejeSwiss 26.02.2016 um 15:21:21 Uhr
Goto Top
Ich habe eigentlich das Gefühl, dass ich die Theorie mehrheitlich kapiert habe. Trotzdem komme ich nun nicht weiter obwohl alles logisch konfiguriert zu sein scheint:

Habe nun den alten Provider Router mit 192.168.0.1 festgelegt. Dann einen neuen Router kaskadiert mit 192.168.0.2 auf der WAN Seite und 192.168.1.1 auf der LAN Seite. Der L3 Switch hat 192.168.1.254.

Nun wenn ich mich im VLAN 10 befinde (192.168.1.0) funktioniert alles. Ich komme ins Internet, Kaskade scheint soweit zu funktionieren. Kann auch auf alle Geräte zugreifen.

Wenn ich mit aber im VLAN 20 befinde habe ich nun einen komischen Fehler:
Hier ist der Gateway nun 192.168.2.254. Die Default-Route immer noch 0.0.0.0 > 192.168.1.1
Ich komme nun von einem Client mit 192.168.2.100 auf den Gateway 192.168.2.254 (diese IP ist als Gateway eingetragen).
Ich kann auch auf Geräte im VLAN 10 zugreifen, z.b. auf den Server mit 192.168.1.10.
Komischerweise kann ich auf den Router 192.168.1.1 nicht zugreifen. Ping und Tracert auf 192.168.1.1 geht aber?

Im Router 192.168.1.1 habe ich folgende statische Route eintegtragen:
VLAN 20: Ziel 192.168.2.0, Netz 255.255.255.0, Gateway 192.168.1.254 (es muss eine IP im gleichen Subnetz des Routers sein, hier kann ich nicht 192.168.2.254 eintragen??), metric 2.

Nun warum kann ich 192.168.1.1 anpingen jedoch nicht per http zugreifen? Weiter zum ersten Router komme ich aus VLAN 20 auch nicht.
Wo muss ich suchen, wenn ich beim Ping auf 192.168.1.1 eine Antwort erhalte, der Zugriff und Internet aber trotzdem nicht geht?

danke für die Hinweise
aqui
aqui 26.02.2016 um 17:08:28 Uhr
Goto Top
Ich habe eigentlich das Gefühl, dass ich die Theorie mehrheitlich kapiert habe.
Das ist schon mal sehr gut....obwohl Gefühl wieder so'ne unsichere Sache ist.
Habe nun den alten Provider Router mit 192.168.0.1 festgelegt. Dann einen neuen Router kaskadiert mit 192.168.0.2 auf der WAN Seite und 192.168.1.1 auf der LAN Seite. Der L3 Switch hat 192.168.1.254.
Alles richtig soweit....
Nun wenn ich mich im VLAN 10 befinde (192.168.1.0) funktioniert alles. Ich komme ins Internet, Kaskade scheint soweit zu funktionieren. Kann auch auf alle Geräte zugreifen.
Richtig...sollte auch so sein und bedeutet dann das das VLAN 10 dann dein "Internet VLAN" ist ! Soweit so gut...
Wenn ich mit aber im VLAN 20 befinde habe ich nun einen komischen Fehler:
Schaun mer mal...
Die Default-Route immer noch 0.0.0.0 > 192.168.1.1
Die Default Route auf dem L3 Switch hoffentlich ?!!
Ich komme nun von einem Client mit 192.168.2.100 auf den Gateway 192.168.2.254 (diese IP ist als Gateway eingetragen).
Gateway IP .2.254 ist die VLAN 20 IP auf dem Switch ?? Das sollte so sein !
Komischerweise kann ich auf den Router 192.168.1.1 nicht zugreifen.
Das ist auch normal wenn du KEINE statische Route auf dem Router eingetragen hast ins VLAN 20 !!!
Zielnetz: 192.168.2.0, Maske: 255.255.255.0, Gateway: 192.168.1.2
Der Paket Flow ist ja folgender:
  • Client mit 192.168.2.100 pingt Gateway mit 192.168.1.1
  • Client IP Stack merkt das das ein Fremdnetz ist und sieht in die Routing Tabelle, dort steht die .2.254 als Gateway also Paket dahin damit.
  • .2.254 empfängt, sieht in seine Routing Tabelle, sieht das .1.0 direkt an ihm angeschlossen ist und forwardet das Paket an .1.1
  • Router mit der .1.1 empfängt generiert ein Ping Reply an die .2.100, sieht in seine Routing Tabelle da Fremdnetz und hat nun 2 Optionen:
  • 1.) Du hast die Route vergessen: Roter sieht nur Default Route ins Internet und schickt das .2.100 Paket dahin wo es im Nirwana verschrindet RFC 1918 IP wird weggeschmissen.
  • 2.) Du hast die statische Route Zielnetz: 192.168.2.0, Maske: 255.255.255.0, Gateway: 192.168.1.254 im Router eingetragen: Router schickt das Paket an 192.168.1.2 => der sieht in die Routing Tabelle und sieht die .2.0 ist direkt an ihm angeschlossen, forwardet das Paket an die .2.100 und die siehst Tadaaa: ein Ping Reply !
Siehe dazu auch hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Im Router 192.168.1.1 habe ich folgende statische Route eintegtragen:
Mmmhhh...komisch
es muss eine IP im gleichen Subnetz des Routers sein, hier kann ich nicht 192.168.2.254 eintragen??
Ahem...das ist logisch...erste Klasse Routing Grundschule...dzzz. Wie sollte der Router auf was an ein Gateway forwarden was in einem Netz liegt was er nicht kennt...das wäre ja Blödsinn. Metric kannst du übrigens weglassen.
Komischerweise kann ich auf den Router 192.168.1.1 nicht zugreifen. Ping und Tracert auf 192.168.1.1 geht aber?
Ahaaa ! Zeigt das dein Routing stimmt und du hier ein Firewall Problem hast ?!
Der Router lässt HTTP Zugriffe aus Fremnetze nicht zu ! Musst du irgendwo einstellen das das erlaubt ist.
Nun warum kann ich 192.168.1.1 anpingen jedoch nicht per http zugreifen?
Ganz klar Firewall oder Access Liste im Router die Fremdnetze blockt.
Weiter zum ersten Router komme ich aus VLAN 20 auch nicht.
Was heist das ?? Du kannst kein Ping und Traceroute auf z.B. 8.8.8.8 machen ??
Wo muss ich suchen, wenn ich beim Ping auf 192.168.1.1 eine Antwort erhalte, der Zugriff und Internet aber trotzdem nicht geht?
In den Firewall Einstellungen des Routers.
Ersetze den Router spaßeshalber mal mit einem Laptop mit gleicher IP auf dem du die Route:
route add 192.168.2.0 mask 255.255.255.0 192.168.1.254
konfigurierst
Dann lädst du dir den HFS Webserver runter: http://www.rejetto.com/hfs/?f=dl
Und startest den einfach mal. Kann man direkt ohne Installation ausführen.
Nun versuchst du von VLAN 20 mal auf den HFS zuzugreifen.
Wenn die Windows Firewall mitspielt und du keinen anderen Filtermist wie Kaspersky oder sowas drauf hast solltest du jetzt den Webserer sehen.
Ein kleiner Raspberry Pi im instaliertem Apachen tuts auch face-wink
JejeSwiss
JejeSwiss 26.02.2016 um 18:48:54 Uhr
Goto Top
Hallo aqui

Besten Dank für die detaillierte Analyse. Da bin ich froh, dass ich eigentlich alles richtig gemacht habe.
Ich habe nun im Router nach einer passenden Firewall-Einstellung gesucht und konnte aber rein gar nichts finden. Der Router lässt nur wenige Einstellungen zu (Consumer Gerät, Netgear R6300). Evt. ist diese Restriction mit dem gleichen Subnet sogar irgendwo hardcodiert - wobei dann würden die statischen Routen eigentlich keinen Sinn ergeben...
Das hat mich aber auf eine Idee gebracht:

Ich habe die IP des Provider-Routers mal auf 10.0.0.1 geändert.
Dann beim Netgear-Router den WAn IP auf 10.0.0.1 und die LAN IP auf 192.168.1.1 gelassen, jedoch bei einer Maske von 255.255.0.0. Somit wäre das Netz von VLAN 20 mit 192.168.2.0 im gleichen Subnetz. Und siehe da, der Zugriff auf den Router 192.168.1.1 hat funktioniert. Weiter ins Internet gings dann jedoch immer noch nicht obwohl ich 10.0.0.1 anpingen konnte.

Nun egal. Habe alles wieder zurückgesetzt und den Netgear-Router in die Ecke geschmissen. Ich suche mir mal einen besseren.

Eine andere Frage bezüglich ACL ist in diesem Zusammenhang jedoch noch aufgetaucht.
Wenn ich keine ACL definiere kann ich von VLAN 20 auf VLAN 10 zugreifen und umgekehrt.

Nun habe ich versucht eine ACL zu definieren, die wie folgt aussieht (auch hier im Forum gefunden. Den Aufbau finde ich auch logisch).

"permit 192.168.1.0, 0.0.0.255, 192.168.2.0, 0.0.0.255" --> also sprich: erlaube alles was von 192.168.1.x kommt auf 192.168.2.x. Soweit richtig oder? Damit müssten die Geräte aus 1.x auf 2.x zugreifen können?

Dann habe ich diese Regel an das VLAN 2 gebunden (weil dort eine eingehende Regel). Default action ist "deny" (somit falls keine Regel zutrifft = deny).

Das so gemacht und nun kann ich trotz Regel nicht von 192.168.1.x ein Gerät in 192.168.2.x anpingen.
Wenn ich "Default action = permit" eingebe, dann kann ich pingen.
Ganz egal was ich in der ACL definiere es greift immer die default action.
Was könnte das sein? Aus meiner Sicht ist die definierte Regel korrekt? Trotzdem irgnoriert der Switch sie?

habe die Regel statt an das VLAN auch mal an den Port gebunden (an welchem VLAN 2 definiert ist). Das Ergebnis was das gleiche. Die Regel wird ignoriert und es gilt nur die default action.
aqui
aqui 26.02.2016 um 20:52:11 Uhr
Goto Top
Ich suche mir mal einen besseren.
Nimm einen kleinen und preiswerten Mikrotik !
Wenn ich keine ACL definiere kann ich von VLAN 20 auf VLAN 10 zugreifen und umgekehrt.
Ja, der Switch arbeitet ja als transparenter Router.
Soweit richtig oder? Damit müssten die Geräte aus 1.x auf 2.x zugreifen können?
Jawoll...richtig !
Dann habe ich diese Regel an das VLAN 2 gebunden
Das ist falsch !
Oben sagtest du doch 192.168.1.0 ist im VLAN 10 ?! Logischerweise muss die ACL dann doch ans VLAN 10 sollte deine Aussage stimmen..?!
ACLs greifen inbound aufs L3 Interface des Switches und das wäre dann VLAN 10 wenn das die 192.168.1.0 beherbergt.
Bedenke auch: die ACL erlaubt dann ausschliesslich nur noch diesen Traffic ! Ins Internet kommen dann keiner mehr aus dem 192.168.1.0er Netz, einzig nur noch ins .2.0er Netz !
Das so gemacht und nun kann ich trotz Regel nicht von 192.168.1.x ein Gerät in 192.168.2.x anpingen.
Klar, die VLAN und damt die IP Zuordnung ist ja völlig falsch !
Wenn ich "Default action = permit" eingebe, dann kann ich pingen.
Logo, das lässt ja dann wieder alles durch...
Aus meiner Sicht ist die definierte Regel korrekt?
Regel ja, aber Zuordnung falsch face-wink
JejeSwiss
JejeSwiss 26.02.2016 um 22:29:31 Uhr
Goto Top
ok, was muss ich denn eingeben, dass die Geräte aus dem 192.168.1.0 Netz zusätzlich noch ins Internet kommen (Router wäre derzeit im 192.168.1.0 Netz)? Muss das in den ACL definiert werden dass der Zugriff im "eigenen" Netz zugelassen wird? Also permit 192.168.1.0, 0.0.0.255, 192.168.1.0, 0.0.0.255?

Später soll das Internet dann in ein eigenes VLAN wo dann alle VLANs darauf Zugriff haben sollen.

Sie Mikrotik Router schaue ich mir mal an.
Derzeit interessiert mich noch der Synology rt1900... Finde Synology recht benutzerfreundlich.
aqui
aqui 27.02.2016 aktualisiert um 12:45:09 Uhr
Goto Top
Was willst du denn erreichen ?? Das die .2.0er nicht ins Internet können und nur auf die .1.0 ??
Dann sieht das so aus:
permit ip 192.168.2.0, 0.0.0.255, 192.168.1.0, 0.0.0.255
deny ip any any

Regel muss am VLAN Interface aktiviert sein das das .2.0er Netz beherbert.

Mikrotik:
Mikrotik RB750 - Quick Review
oder den Nachfolger:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-R ...