2 VLans gemeinsamer Zugriff auf Server

Mitglied: WimmerM

WimmerM (Level 1) - Jetzt verbinden

21.12.2020 um 20:33 Uhr, 870 Aufrufe, 10 Kommentare

Hallo, ich habe auf einen Linksys LRT 2224 Router 2 Vlans eingerichtet, es hängen dann an Port 2 und 3 (beide Vlans (1,10) sind an beiden Ports getagged) jeweils ein TP Link Accesspoint mit 2 SSIDs die auf dem jeweiligen VLan liegen.
An Port 1 hängt ein TP-Link TL-SG3216 dieser ist an Port 1 Trunk. Hier geht die Veteilung der 2 Vlans weiter.
Die Netze sind untereinander nicht erreichbar und meiner meinung nach so sauber getrennt.
Nun möchte ich einen Linux Server (Netzwerkfreigaben über Samba, Mqtt-Broker, WordPress, WebServer,...), dieser sollte nun aber von beiden Vlans erreichbar sein.
Nur ich habe keine Ahnung wie ich das mache...
Ich habe auf dem LRT 2224 Router noch ein Port frei, muss ich auf dem ein Routing machen? oder kann den Port auch taggen und muass es auf dem Server machen?
Vielen Dank
Mitglied: SeaStorm
21.12.2020 um 20:40 Uhr
Hi

soll der neue Server in eines der beiden oder in ein neues VLAN?

Wenn er in einem der beiden Netze stehen soll, dann musst du zwischen den 2 Netzen routen.
Wenn die 2 Netze aber weiterhin hart getrennt sein sollen, dann brauchst du ein weiteres VLAN und das routest du mit den beiden anderen.
Somit können die VLANs 1 und 10 mit dem neuen reden, aber weiterhin nicht untereinander.
Bitte warten ..
Mitglied: WimmerM
21.12.2020 um 21:18 Uhr
Hallo,
der Server kann in ein neues VLAN, aber wie mache ich das routing?
Ich habe den Server nun in ein drittes VLAN gehängt (Vlan30) mit der IP 192.168.3.2
https://administrator.de/images/c/1/6/b4b5d8ebca4bc3b5b0f364d2123e14ae.j ...

es gibt da ein feld InterVlanRouting das sollte laut beschreibung genau das machen...
https://www.linksys.com/ch/support-article?articleNum=135674 weder ping noch netzwerkzugriff auf den server funktionieren
muss ich vl an der Firewall noch was machen?

Vielen Dank
2020-12-21 20_58_18-linksys lrt224 configuration utility - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: SeaStorm
21.12.2020, aktualisiert um 21:41 Uhr
Ich kenne mich nicht mit linksys und seiner UI aus, würde aber mal behaupten das Inter-VLAN Routing auf allen VLANs an sein muss, weil diese sonst gar nicht mit anderen reden dürfen. Und die Trennung erfolgt dann halt über die Firewall.
Also eine Regel
VLAN1 zu VLAN30 erlaubt, (ggf eingeschränkt auf den Server),
VLAN10 zu VLAN30 erlaubt, (ggf eingeschränkt auf den Server),
VLAN1 zu VLAN10 verbieten
VLAN10 zu VLAN11 verbieten

Oder eben das klassiche implizite DENY ALL ganz unten und darüber alles auflisten was explizit erlaubt werden soll
Bitte warten ..
Mitglied: aqui
22.12.2020, aktualisiert um 11:06 Uhr
Nur ich habe keine Ahnung wie ich das mache...
Das ist kinderleicht...
Die Grundlagen zu den VLANs findest du wie immer hier:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
Den Server schliesst du ganz genauso an mit einem Tagged Uplink wie es dort für den Router bzw. Firewall beschrieben ist.
Wie man das für Linux macht findest du hier:
https://administrator.de/tutorial/netzwerk-management-server-raspberry-p ...
und auch hier
https://administrator.de/tutorial/vlans-802-1q-trunk-windows-linux-rechn ...
genau beschrieben. Eine Sache von 10 Minuten...

der Server kann in ein neues VLAN, aber wie mache ich das routing?
Das geht über den Linksys Router. Es entspricht dem Setup im VLAN Tutorial.
Oder du routest über ein externes Gerät. Das kann dein Linux Server sein gem. des o.a. Tutorials oder ein externer per Tagged Uplink angebundener Router oder Firewall. Siehe ebenfalls obiges VLAN Tutorial.
Ist aber natürlich die technisch weitaus schlechtere Lösung wenn du mit dem LRT schon einen VLAN fähigen Router hast.
es gibt da ein feld InterVlanRouting das sollte laut beschreibung genau das machen...
Das Allerwichtigste dazu hast du oben aber versäumt zu posten ! :-( face-sad
Dort wird ja im Schritt 4 die IP Adressierung zum entsprechenden VLAN gezeigt. Also die VLAN IP Adresse des Routers in den zu routenden VLANs. Ob du das auch so gemacht hast kann man nur raten.
Diese Router VLAN IP Adresse ist die Gateway IP aller Endgeräte im VLAN wenn man diese über den Router rouztet wie es oben im VLAN Tutorial beschrieben ist.
Bitte warten ..
Mitglied: NordicMike
22.12.2020 um 13:28 Uhr
VLAN1 zu VLAN30 erlaubt, (ggf eingeschränkt auf den Server),
VLAN10 zu VLAN30 erlaubt, (ggf eingeschränkt auf den Server),
VLAN1 zu VLAN10 verbieten
VLAN10 zu VLAN11 verbieten

Nicht zu vergessen auch der Rückweg:
VLAN30 zu VLAN1
VLAN30 zu VLAN10
Sonst gibt es keine Antwort, selbst, wenn beim Server die Anfragen ankommen sollten.

Die 3 VLANs benötigen auch unterschiedliche Subnetz Bereiche, sonst kann man nicht unterscheiden was wohin geroutet werden soll.
Bitte warten ..
Mitglied: WimmerM
26.12.2020, aktualisiert um 10:11 Uhr
Hallo, sorry das ich mich erst jetzt melde...
Ich möchte gerne die Lösung über den LRT machen.
Ich habe den Router nun mal auf Werkseinstellung zurückgesetzt und mir die VLans wieder eingerichtet.
Funktioniert soweit schon mal..
ich habe nun das "Inter VLANRouting" auf allen Vlans zum testen auf enable gesetzt, nun komm ich von jedem Netz in jedes Netz
Nun möchte ich ja nur von Vlan1 in Vlan3 und umgekehrt und von Vlan 10 in Vlan 3 und umgekehrt.

Also schätze ich mal ich muss das "InterVlanRouting" auf allen disabeln und ein manuelles Routing einrichten?

Mein Server mit der Adresse 192.168.3.2 hängt auf dem ungetaggten Port 4

Vielen Dank
lansettings - Klicke auf das Bild, um es zu vergrößern2020-12-26 09_59_32-linksys lrt224 configuration utility - Klicke auf das Bild, um es zu vergrößernip1 - Klicke auf das Bild, um es zu vergrößernip3 - Klicke auf das Bild, um es zu vergrößernip10 - Klicke auf das Bild, um es zu vergrößernrouting - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: SeaStorm
26.12.2020 um 12:15 Uhr
Ich würde behaupten daß du dafür die Firewall ranziehen solltest
Bitte warten ..
Mitglied: aqui
26.12.2020 um 12:48 Uhr
Also schätze ich mal ich muss das "InterVlanRouting" auf allen disabeln und ein manuelles Routing einrichten?
Nein, das wäre Quatsch und auch inlogisch. Dieser Schalter schlatete generell das VLAN Routing an oder aus. Wenn du das deaktivierst klappt vermutlich keinerlei VLAN Routing mehr.
Kollege @SeaStorm hat es oben schon gesagt. Einfach ein paar simple Access Regeln in die Firewall und gut iss.
DENY VLANx to Destination VLAN y

Für alle VLAN Verbindungen die du blocken willst.
Dann ein PERMIT any any was dann alle anderen VLANs erlaubt und das Internet.
Fertisch....
Bitte warten ..
Mitglied: WimmerM
26.12.2020 um 14:06 Uhr
Hallo ich glaube ich habe es hinbekommen.... ich kann in den Firewalleinstellungen einen IP Adressebereich vergeben
Danke nochmals
firewall - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
26.12.2020 um 14:18 Uhr
Du musst aufpassen, denn in so einem Regelwerk gilt immer: First match wins ! !
Das bedeutet nach einem ersten positiven Hit wird der Rest des Regelwerkes nicht mehr abgearbeitet. DENY Regeln sollten also immer in der Priority oben stehen.
Dadurch das deine erste Regel inaktiv ist hast du das oben intuitiv richtig gemacht ! ;-) face-wink
Ansonsten sollte man immer die Priotity beachten, denn Reihenfolge zählt.
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
0-day Exploit Chain für Exchange Server - Patches verfügbar
kgbornVor 1 TagInformationExchange Server6 Kommentare

Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. ...

HTML
Ich brauche dringend Hilfe !
gelöst JulianpustVor 14 StundenFrageHTML16 Kommentare

Hallo erstmal, ich habe großen Mist gebaut in der Firma wo ich gerade mal 2 Tage arbeite. Was ist passiert: Ich sollte von Gmail ...

Windows 10
Windows 10 schickt lokale Anfragen an das Gateway - was tun?
gelöst runthegaunzVor 1 TagFrageWindows 1015 Kommentare

Hallo! Ich bin vor ein paar Tagen wieder von Linux auf Windows umgestiegen. Ich hab die Windows 10 Version 20H2 installiert, wurde von Windows ...

Switche und Hubs
23 Cisco Switch einrichten - Wie am einfachsten?
gelöst Freak-On-SiliconVor 1 TagFrageSwitche und Hubs18 Kommentare

Hallo; Ich habe hier 4stk Cisco SX350X-24 9Stk Cisco SG350X-48P 10Stk Cisco SG350X-48 Diese werden aufgeteilt auf 9 Racks, und ersetzen alte HP Switches. ...

Exchange Server
Aktuelle Exchange Sicherheitslücke
jojo0411Vor 1 TagAllgemeinExchange Server11 Kommentare

Hallo Leute, Momentan gibt es da wieder einmal ein schönes neues Thema. Sehe ich das richtig das ich mit Exchange 2016 und CU 19 ...

Hardware
Fritzbox 7590 ändert selbständig die FTP-Adresse nach ca. 24h
Wicky1Vor 1 TagFrageHardware15 Kommentare

Hallöchen, ich habe da ein sehr kurioses Problemchen mit meiner Fritzbox. Doch erst mal eine kurze Beschreibung des Aufbaus: - Fritzbox 7590 (1&1 Edition) ...

Netzwerke
Smarthome Heimnetzwerk absichern
hell.wienVor 1 TagFrageNetzwerke12 Kommentare

Hallo. Ich mach mir gerade gedanken wie ich meine neue Wohnung sicher mache Überischthalber zur Hardware: Vorhanden: Modem APU4D4 Cisco SG250X-24P Mikrotik cAP ac ...

Windows Server
Windows Firewall: Alle öffentliche IPs sperren bis auf eine
SabSchapVor 1 TagFrageWindows Server7 Kommentare

Hallo, wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen ...