Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Anfängerfrage zum VLAN Routing

Mitglied: simbea

simbea (Level 1) - Jetzt verbinden

21.05.2019 um 17:07 Uhr, 625 Aufrufe, 17 Kommentare

Folgendes Setting soll umgesetzt werden:

Um in meiner Praxis die Rechner von einer VOIP-Telefonanlage zu trennen wird ein Cisco SG250 angeschafft. Es werden 2 VLAN (VLAN10, VLAN20) konfiguriert.
Somit hätte ich beide Netze schön säuberlich getrennt. Ich möchte aber von EINEM PC im Vlan10 die Telefonanlage im VLAN20 konfigurieren können und die
Telefonanlage im VLAN20 soll Faxe auf EINEM Rechner im VLAN10 ablegen können.

Der Cisco kann Layer 3. Ich könnte also das Routing zwischen VLAN10und VLAN20 im Switch hinterlegen. Soweit ich es verstehe kann aber dann JEDER Rechner im VLAN10 auf VLAN20 zugreifen und umgekehrt, was den Sinn der VLANs ad absurdum führen würde, da damit die Trennung wieder aufgehoben würde.

Ist die Lösung meines Problemes dann, den Cisco Switch auf Layer 2 umzuschalten und eine nachgeschalteten OPNSENSE Router das Routing machen zu lassen und in den Firewallregeln dann einen einzelnen Rechner im VLAN10 zu der Telefonanlage durchzulassen?

Danke für Eure Hilfe

simbea
Mitglied: maretz
21.05.2019 um 17:29 Uhr
Moin,

das kannst du dir aussuchen.... Du kannst auf dem Switch eben auch basic acls einbauen die eben genau einen Rechner auf einem Port ins VOIP-Netz lassen... Du kannst das auch über eine Nachgeschaltete Firewall/Router machen... Ein "richtig" oder "falsch" gibts da nicht...
Bitte warten ..
Mitglied: aqui
21.05.2019, aktualisiert um 17:37 Uhr
Hier steht wie du es auf dem SG-250 richtig einrichtest:
https://administrator.de/forum/verständnissproblem-routing-sg300-28 ...
Ist die Lösung meines Problemes dann, den Cisco Switch auf Layer 2 umzuschalten
Nein ! Das ist falsch !
Die Lösung ist eine IPv4 Accessliste auf dem Switch wie der Kollege @maretz oben schon richtig sagt.
Alles andere wäre ja mit Kanonen auf Spatzen.
Es sei denn du hast die Firewall schon im Einsatz, dann kannst du dir das in der Tat aussuchen !
Wenn nicht dann ist die Lösung = Accessliste !

acl - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: simbea
21.05.2019 um 18:12 Uhr
Sowohl Switch als auch OPNSENSE Router sind bereits angeschafft. Ich sitze quasi vor dem PC und versuche das Ganze zusammen zu frickeln.

OK, das bedeutet, dass ich steuern kann dass ein einzelner Rechner von einem definierten Port aus VLAN10 auf VOIP in VLAN20 zugreifen kann. Somit kann ich zumindest die Zugriffrichtung steuern (nur VLAN10 => VLAN20).

Aber einen Einfluß auf die Protokolle habe ich dadurch nicht.?? Ist das die sicherste Lösung? Ich verstehe schon, dass ich mir auch jedesmal einen PC ins VLAN20 hängen kann um dort zu konfigurieren, aber das ist nicht wirklich praktisch.

Eigentlich ist die zugrunde liegende Frage, ob alles, was auf Switchebene schon geroutet wird, durch eine nachgeschaltete Firewall wieder eingeschränkt werden kann.

Wenn die Accessliste die beste Lösung zur Trennung von VOIP und Praxis-PC ist, dann mache ich es so.

Danke, simbea
Bitte warten ..
Mitglied: certifiedit.net
21.05.2019 um 19:04 Uhr
Die sicherste Lösung ist natürlich eine utm mit tiefer gehender Paket Analyse. Um was für eine Praxis (Art, Größe) geht es denn?
Bitte warten ..
Mitglied: aqui
21.05.2019, aktualisiert um 20:21 Uhr
Sowohl Switch als auch OPNSENSE Router sind bereits angeschafft
OK, dann kannst du dir das aussuchen was du machst.
Da die OpenSense dann ja sicher zentral auch den Internet Zugang regelt und entsprechende Regeln hat solltest du es dann besser dort machen. So hast du dann alle Access Regeln zentral an einem Punkt was vom Management einfacher ist.
Dann brauchst (und darfst) du das IP Routing auf dem SG250 natürlich nicht aktivieren !
Sinnvoll ist dann auch den DHCP Server auf der OpenSense zu betreiben für alle VLANs !!
Du konfigurierst dann einen Tagged Uplink vom Switch auf die OpenSense und setzt die Zugriffsregel für den Konfig PC dann dort in der Firewall. Damit hast du das Regelwerk dann an zentraler Stelle und einheitlich, was für das Management des Netzes erheblich einfacher ist.

Wie man Switch und Firewall so verheiratet erklärt dir das VLAN Tutorial. Es ist völlig identisch zur pfSense:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
Aber einen Einfluß auf die Protokolle habe ich dadurch nicht.??
Wenn du damit die Access Liste auf dem L3 Switch meinst, nein !
Das ist der Nachteil von Switch Access Listen, sie sind nicht Stateful. Eine Firewall ist immer Stateful, letztlich damit also sicherer.
jedesmal einen PC ins VLAN20 hängen kann
Das ist Blödsinn und auch IT technisch Steinzeit und macht kein vernünftiger Administrator so. So einen Unsinn musst du natürlich nicht machen in deinem Netzwerk !
was auf Switchebene schon geroutet wird, durch eine nachgeschaltete Firewall wieder eingeschränkt werden kann.
Nur wenn der Traffic auch an der Firewall ankommt, was VLAN intern gerouteter Traffic natürlich nicht tut.
Folglich ist das FW Routing dann für dich der richtige, weil sicherere Weg.
Bitte warten ..
Mitglied: simbea
22.05.2019 um 09:44 Uhr
Folgendes wurde umgesetzt:

Am Switch:
IpV4 Routing: AUS

Port 1, Acess, Vlan1, IPv4 Interface 192.168.7.1
Port 2-8, Access, Vlan10, IPv4 Interface 192.168.1.1
Port 13-15, Acess, Vlan20, IPv4 Interface 192.168.2.1
Port 17 Trunk, tagged

=> ist nicht schön, aber nur so muß ich das Praxis-Bestandsnetz nicht umkonfigurieren, was zwar möglich wäre, aber einen immensen Aufwand bedeuten würde.

Auf OPNSENSE:
Schnittstellen: -LAN (em1): Konfigurationstyp: statisches IPv4, Adresse 192.168.7.2
-Andere Typen/VLAN: -em1 VLAN10
-em1 VLAN20
-WAN (em0): -pppoe0 (em0) xxxxxxxxxxxx0001@t-online.de

danach OPT1 und OPT2 aktiviert und unter IPv4 Konfigurationstyp DHCP ausgewählt.

Unter Dienste/LAN DHCP aktiviert, Range 192.168.7.100-200, Standardgateway wird auf der statischen LAN Adresse 192.168.7.2 belassen.

Wenn das soweit stimmt, komme ich hier nicht weiter, da ich keine Möglichkeit finde wo ich für OPT1_VLAN10 und OPT2_VLAN 20 den DHCP Server konfigurieren kann. Dort wird doch ein völlig anderer Bereich (192.168.1.0 bzw. 192.168.2.0) benötigt, als auf dem LAN Interface??
Bitte warten ..
Mitglied: aqui
22.05.2019, aktualisiert um 10:20 Uhr
Die IP Adressierung ist FALSCH !
Der Switch routet doch gar nicht mehr also braucht er auch nur eine einzige IP !!!
Nämlich nur die IP um ihn zu managen also aufs GUI zuzugreifen !!
Die IPs in den VLANs auf dem Switch sind also vollkommen falsch. Die musst du unbedingt wieder löschen.
Denke bitte mal selber etwas nach ! Ist doch auch logisch, denn der Switch ist jetzt mit deaktiviertem Routing doch überhaupt nicht mehr am IP Forwarding der Ethernet Pakete beteiligt. Das hast du ihm ja abgeschaltet !
Er funktioniert jetzt nur noch als einfacher Layer 2 VLAN Switch auf Basis der mac Adressen, denn das IP Forwarding sprich Routing macht ja nun zentral deine Firewall und eben nicht mehr der Switch !
Folglich sind die IP Adressen in den VLANs sinnfrei und überflüssig.
Du brauchst wie bereits gesagt nur noch eine einzige IP nämlich die Management IP und musst dir dann aussuchen in welchem deiner VLANs du das Management bzw. den Management Zugang machst:
Im Default ist das das VLAN 1:
mgmt - Klicke auf das Bild, um es zu vergrößern
Dann noch die Route auf das Firewall Interface im VLAN 1
route - Klicke auf das Bild, um es zu vergrößern
Fertig !
Fazit: EINE IP Adresse nur zum Management genügt !! Du willst ja nicht das deine Gäste im Gäste VLAN deinen Switch verfummeln ?!
So ist es dann richtig !

Deine VLAN Einrichtung auf der Firewall ist auch falsch bzw. fehlerhaft !
So gehst du richtig vor:
  • VLAN Interfaces einrichten: Du gehst auf Interface -> Assignments wählst dort VLAN aus und klickst "Add+"
  • Mit dem Parent Interface bestimmst du das physische Interface auf der FW an das nachher dein Switch angeschlossen wird !! Das wählst du dann aus.
  • Unter "VLAN Tag" tägst du die VLAN ID ein für welches VLAN dieses Interface sein soll. Z.B. "10" für VLAN 10
  • Das wiederholst du für alle VLANs ! Außer VLAN 1. VLAN 1 wird NICHT im VLAN Setup eingerichtet, das ist das Parent Interface, also das physische Interface selber !
  • Mit "Save" abspeichern und die Konfig sichern.
  • Jetzt gehst du zurück auf Interface -> Assignments und klickst dort auf "Add+" zum Hinzufügen dieser neuen Interfaces zur Firewall.
  • Das auch wieder mit "Save" sichern.
  • Jetzt klickst du vorne auf dieses Interface und konfigurierst das indem du den Haken setzt bei "enable" (aktivieren) dann ihm eine statische IP Adresse gibst mit Maske und sinnvollerweise solltest du die Bezeichnung von "OPTx" in "VLAN10" ändern damit du eine sinnvolle Bezeichnung in der Firewall für das Interface verwendest die dir das Management erleichtert !!!
  • Sind die Interfaces alle so eingerichtet, dann "siehst" du sie entsprechend auch in der DHCP Server Einrichtung der Firewall. Wenn sie nicht auftauchen zeigt das das du was mit der VLAN Interface Einrichtung grundsätzlich falsch gemacht hast.
Gehe also bitte genau nach den oben genannten Schritten vor und bitte auch nach dem Tutorial hier:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
Dort ist doch alles haarklein beschrieben sogar mit bunten Bildern. Das schafft auch der Azubi im ersten Lehrjahr da die richtigen Klicks zu machen !
Lesen und verstehen....!!

Wenn du das soweit richtig und funktionsfähig umgesetzt hast machen wir weiter hier...!
Bitte warten ..
Mitglied: simbea
22.05.2019 um 10:23 Uhr
=> Habe VLAN10/20 auf OPNSENSE statisch auf 192.168.1.254, ...2.254 und das LAN ebenfalls statisch auf ...7.254 umgestellt, dann bleibt es logisch. Brauche eh kein DHCP, da alle Clienten feste IP-Adressen haben.
Bleibt folgende Frage: Alles was am Switch hängt bekommt das Gateway des Switches ( also in meinem Fall VLAN 1 die192.168.7.1, VLAN10 die 192.168.1.1, VLAN20 die 192.168.2.1)
Muß ich jetzt noch irgendwo statische Routen eintragen, damit die Clienten am Switch ins Internet kommen??
Bitte warten ..
Mitglied: simbea
22.05.2019 um 10:24 Uhr
Sorry, hatte den Kommentar davor noch nicht gelesen...
Bitte warten ..
Mitglied: aqui
22.05.2019, aktualisiert um 10:33 Uhr
Habe VLAN10/20 auf OPNSENSE statisch auf 192.168.1.254, ...
OK, richtig, das sieht dann gut aus !
brauche eh kein DHCP, da alle Clienten feste IP-Adressen haben.
Auch im WLAN und Gast WLAN ?? Das wäre eher ungewöhnlich...aber egal.
Bleibt folgende Frage: Alles was am Switch hängt bekommt das Gateway des Switches
Neiiiiinnn !!!
Zum letzen Mal: Der Switch macht gar kein Routing mehr in deinem Setup !!
Er hat also gar kein Gateway mehr !! Seine einzige IP die er noch hat dient rein nur dem Management des Switches !! Er ist nur noch ein dummer, einfacher Layer 2 VLAN Switch der nach Hardware Mac Adressen forwardet und NICHT mehr nach IP Adressen ! DU hast ihm das Routing (IP Forwarding) ja abgeschaltet was ja nun die Firewall macht !
Muß ich jetzt noch irgendwo statische Routen eintragen
Nein !
Die Clients bekommen als Default Gateway IP immer die IP Adresse der Firewall in ihren jeweiligen VLANs und gut iss.
Logisch, denn die Firewall macht ja nun das IP Forwarding / Routing !!

Denk auch dran:
Bei den neuen VLAN Interfaces der Firewall ist alles verboten per Default sofern du keine Regel dort definiert hast !!!
Ohne entsprechende Regel ist ein VLAN übergreifendes Routing und ein Routing ins Internet also NICHT möglich.
Nicht das du dich wunderst das du nicht ins Internet kommst ohen entsprechendes Regelwerk an den Interfaces.
Hilfreich ist hier immer die Diagnostics Funktion auf der Firewall selber. Dort hast du eine Ping Funktion und kannst entsprechend Interface spezifisch pingen und die Connectivity testen !
Bitte warten ..
Mitglied: simbea
22.05.2019 um 12:42 Uhr
OK, verstehe soweit. Zurück zum Start...

Routing auf dem Switch ist AUS.

Ich will im VLAN10 den Switch und die Firewall managen und das Bestandsnetz liegt auf 192.168.1.0, also hat bekommt der Switch die 192.168.1.254 auf dem Interface VLAN10.

Das VLAN10 soll unbedingt das Standardgateway 192.168.1.1 (wegen dem Bestandsnetz) bekommen, was ich also auf der OPNSENSE im VLAN10 eintrage. Damit kann das Gateway der Pcs des Bestandsnetzes unverändert auf 192.168.1.1 bleiben. VLAN20 wäre dann analog z.B. 192.168.2.1
Was wäre dann eine sinnvolle Adresse für LAN auf der OPNSENSE und wie komme ich aus dem VLAN 10 auf die OPNSENSE?

Beim Eintrag der IP-Static Route aus dem Switch ist mit nicht klar, was bei "Destination IP Prefix" eingetragen werden soll. Die 0.0.0.0 quittiert der Switch mit einer Fehlermeldung.
Unter "next hop Router Adress" käme dann die 192.168.1.1 und bei "outgoing interface" das VLAN10.

Mir ist klar, daß die Anleitungen vieles erklären, aber ich bin eben wegen dem bestehenden 192.168.1.0er Netz nicht frei in der Wahl der Addresbereiche und muß dadurch mehr Akrobatik betreiben.
Danke für eure Geduld
Bitte warten ..
Mitglied: simbea
22.05.2019 um 16:04 Uhr
So, der Switch ist jetzt wie im Posting 10:20 konfiguriert. Management über Vlan10 an 192.168.1.254, Eintrag in IP-Static Route habe ich auch hinbekommen Destination IP Prefix 0.0.0.0 0, next hop Router Adress 192.168.1.1, outgoing interface VLAN10.

Ports 1-8 VLAN10, untagged
9-12 VLAN20 untagged
Port 13-16 VLAN1 untagged
Port 17 als Trunk, in der Port Lan Membership steht unter "operational VLANs": 1U, 10T, 20T.

Auf der OPENSENSE sind LAN auf 192.168.178.1, VLAN10 auf 192.168.1.1, VLAN20 auf 192.168.2.1 konfiguriert, mit DHCP im jeweiligen Subnetz Range 192.168.x.40-60 konfiguriert.

EIn PC der in Port 1-8 eingestöpselt wird, bekommt vom DHCP die 192.168.1.40 zugewiesen,
im Port 13-16 die 192.168.178.1 was beweist, daß das schon mal funktioniert...
Soweit ganz gut,
...aber im Port 9-12 kann sich der PC keinerlei Adresse ziehen! Das kapiere ich nicht...das sollte doch über den Trunk mit VLAN20 Tag an die OPNSENSE weitergeleitet werden und von dort über den DHCP von VLAN20 eine Adresse zugewiesen bekommen??

Dann habe ich gelesen, daß VLAN eine Layer 3 Funktion ist und ich habe ja dem Switch das Routing abgestellt, um die OPNSENSE das übernehmen zu lassen.
Bitte warten ..
Mitglied: aqui
22.05.2019, aktualisiert um 16:57 Uhr
Management über Vlan10 an 192.168.1.254,
Warum machst du dir das Leben schwer und kodierst nicht einfach die VLAN ID mit in das IP Netz ??
Z.B. 192.168.10.0 /24 = VLAN 10 oder 192.168.20.0 /24 = VLAN 20
Ist ja dann kosmetisch einfacher das zu managen
Natürlich kannst du aber auch die 192.168.1.0 /24 im VLAN 10 verwenden. IP Adressen kann man frei wählen.
Allerdings wenn du mal mit VPNs liebäugelst für eine remote Einwahl auf dein Netz sind diese banalen Allerwelts 192.168er Adressen eher kontraproduktiv. Das aber nur nebenbei. Wieder andere Baustelle...

Auf der OPENSENSE sind LAN auf 192.168.178.1,
Mmmmhhhh...
Das "riecht" aber eher nach FritzBox und dann Internet Router. Dann wäre das falsch und es müsste der WAN Port sein. Dazu müsste man aber mal genau wissen was du jetzt vorhast. Eine Skizze mit deiner Adressierung und Netzen würde helfen.
Soweit ganz gut,
Stimmt, das ist soweit auch alles richtig !
aber im Port 9-12 kann sich der PC keinerlei Adresse ziehen!
OK, das ist VLAN 20 !
Dann strategisch vorgehen:
  • Ist VLAN 20 auch tagged am Uplink Port 17 zur Firewall eingetragen ? 1U, 10T, 20T ist aber richtig !
  • Ist das VLAN 20 Interface am Firewall Parent Interface aktiv (enabled)
  • Ist der FW DHCP Server an VLAN 20 aktiv
  • Und das Wichtigste: Ist eine entsprechende Firewall Regel am VLAN 20 Interface konfiguriert die den Traffic passieren lässt ?!
Eins von den 4 Punkten hast du unter Garantie vergessen ! 100 € auf die fehlende Firewall Regel !!
Dann habe ich gelesen, daß VLAN eine Layer 3 Funktion ist
Völliger Quatsch ! Wo hast du solch einen Blödsinn gelesen ??
Lesen und verstehen !!! => https://de.wikipedia.org/wiki/Virtual_Local_Area_Network
Da stehts ganz klar schwarz auf weiß = Layer 2 Funktion
Ist auch klar wenn du dir die Technik ansiehst:
https://de.wikipedia.org/wiki/IEEE_802.1Q
Der der IEEE802.1q VLAN Header ist klar im Layer 2 des Ethernet Paketes angelegt !
Vergiss diesen Unsinn also. Kommt sicher von irgendeinem Dummie mit gefährlichen Halbwissen
Bitte warten ..
Mitglied: simbea
22.05.2019 um 17:47 Uhr
Warum machst du dir das Leben schwer und kodierst nicht einfach die VLAN ID mit in das IP Netz ??
Weil ich eben nicht das Bestandsnetz 192.168.1.0 umkonfigurieren kann und weil das VLAN1 als Default schon existiert

aber im Port 9-12 kann sich der PC keinerlei Adresse ziehen!
OK, das ist VLAN 20 !
Dann strategisch vorgehen:
  • Ist VLAN 20 auch tagged am Uplink Port 17 zur Firewall eingetragen ? 1U, 10T, 20T ist aber richtig !
VLAN 20 ist tagged
* Ist das VLAN 20 Interface am Firewall Parent Interface aktiv (enabled)
Ja, ist es
* Ist der FW DHCP Server an VLAN 20 aktiv
DHCP für VLAN20 ist aktiv
* Und das Wichtigste: Ist eine entsprechende Firewall Regel am VLAN 20 Interface konfiguriert die den Traffic passieren lässt ?!
Eine Firewallregel ist aber weder für das VLAN10 noch für LAN konfiguriert und dennoch funktioniert das ziehen einer IP Adresse an diesen Ports



OK. Ich glaube ich gebe es auf. Ich sitze jetzt hier seit 2 Tagen, bin voll gestresst und mir ist noch nicht einmal kar, ob mein grundlegendes Setting stimmt.

Bislang hatte ich ne Fritzbox=> Zywall Firewall=> Praxisnetz im Bereich 192.168.1.0 mit 5 Pc, Konnektor für Telematik Infrastruktur, eine VPN-Box für den Laborzugang, alles im 192.168.1.0 Bereich. Funktionierte ohne Probleme. Zugang ins Internet über virtuelle Maschinen mit Linux, alles mit festen IP. So konnte ich die Praxisrechner vom Zugriff auf WAN abhalten und nur bei Bedarf für Updates kurzfristig in der Zywall freischalten.

Wegen der Anschaffung einer VIOP Telefonanlage hatte ich vor, das Netz zu segmentieren, damit Voip und Praxisnetz getrennt bleiben.
Die Zywall wollte ich, da sie End of Life ist, durch den Cisco Switch ersetzen. Aber da gehen eben die Probleme los, ich bin auf die 192.168.1.0 angewiesen, weil da softwaretechnisch soviel dran hängt, dass ich diesen Adressbereich nicht ändern kann. Das das so ein Albtraum wird hatte ich nicht erwartet.


Dann bleibt mir nur, den Switch wieder zu verkaufen und die Telefonanlage an die Zywall anzuschließen.
Bitte warten ..
Mitglied: aqui
22.05.2019, aktualisiert um 20:45 Uhr
Eine Firewallregel ist aber weder für das VLAN10 noch für LAN konfiguriert und dennoch funktioniert das ziehen einer IP Adresse an diesen Ports
Ja, weil DHCP so geht aber eben alles andere NICHT
Ich glaube ich gebe es auf. Ich sitze jetzt hier seit 2 Tagen, bin voll gestresst
Ruhig Brauner..!!!
Immer cool bleiben und keinen Stress machen. Zwischendurch Kaffee trinken einmal durchatmen und weiter gehts. Dein Grundkonzept stimmt, da ist nichts falsches dran.
Du bist Newbie und da ist der Weg etwas steiniger aber er ist richtig und du solltest den auch weiter gehen.
Das ist natürlich Blödsinn, denn eine Firewall kann mal logischerweise nicht mit einem Switch ersetzen. Das sind 2 völlig unterschiedliche Komponenten. Einen PKW ersetzt du ja auch nicht mit einem Motorrad nur weil beide dich transportieren können.
Mit der 192.168.1.0 weiterzuarbeiten ist ja auch kein Thema. Das Altnetz schliesst du einfach als VLAN an deine neue FW an und migrierst dann Step für Step die Komponenten in die neuen VLAN. Das ist ein klassisches und richtiges Konzept.
Du solltest nur startegisch und gezielt vorgehen !!
  • Zuerst Switch VLANs, Firewall und Internet Router in der Grundkonfig ans Fliegen bringen so das du wie gewohnt aus dem Bestandsnetz weiter ins Internet kannst.
  • Dazu belässt du das Bestandsnetz in VLAN 1 und testest die Connectivity vorab mit einem Testrechner im VLAN 1
  • Klappt das alles hängst du das Bestandsnetz (Praxis) dran
  • Parallel hast du deine VLANs 10 und 20. Auch da testest du vorab mit einem Testrechner die Verbindung. Firewall Regeln lässt du erstmal OFFEN um die nicht noch mehr Stolpersteine in den Weg zu legen !
  • Klappt auch von VLAN 10 und 20 die Verbindung ins Internet und untereinander migrierst du alle Komponenten da wo sie hinsollen.
  • Dann erst ziehst du die Firewall Regeln dicht !! So hast du immer die Sicherheit das dein Konzept per se sauber arbeitet, der Fehler dann aber einzig nur noch an falschen Regeln liegen kann.
Fazit:
Nicht aufgeben, dein Konzept ist richtig ! Du hast die richtigen und perfekten Komponenten dafür ! Alles passt !
Also es gibt keine Hürden außer DU selbst und deine Geduld das perfekt zu Ende zu bringen !
Ran ans Werk und die Punkte oben abarbeiten...!

So sieht dein fertiges Konzept aus wenn du alles richtig umgesetzt hast:

firewall-sg250 - Klicke auf das Bild, um es zu vergrößern

Damit solltest du es doch nun wirklich ohne Probleme zum Fliegen bekommen ?!
Bitte warten ..
Mitglied: simbea
23.05.2019 um 10:28 Uhr
Hmmm...sieht schick aus.Dann müsste ich um von VLAN1 die Telefonanlage im VLAN20 managen zu können auf der OPNSENSE (nicht Fritzbox!) noch VLAN Brücken anlegen und eine Menge Firewalregeln definieren und wäre dann sehr schnell am Ende meiner doch eher bescheidenen Kenntnisse...

Ich würde deshalb gerne nochmals die Lösung mit dem Switch als Layer 3 Router unter

https://administrator.de/forum/verst%C3%A4ndnissproblem-routing-sg300-28 ...

aufgreifen und gaaaanz kleine Brötchen backen und alles ins 1 VLAN packen. Dann könnte ich nämlich das ganze Geraffel was sich
derzeit auf meinem heimischen Schreibtisch befindet in die Praxis verfrachten und mit steigender Lernkurve nachträglich anpassen.
Was ich ganz vergessen habe, als Modem wird ein Vigor 165 genutzt, also ist die Fritzbox unnötig. Das Setting sieht so aus: Vigor165=>OPNSENSE=>CiscoSG250=>Pc

Ich stelle also im Switch das Routing auf "enabled", im IPv4 Interface: VLAN1 mit der IP192.168.1.1, definiere einen Port als Trunk (untagged weil VLAN1) und schließe an diesen Trunk die OPNSENSE (diese mit einer statischen Lan-Adresse auf 192.168.178.1)
Unter" IPv4 static Route" trage ich 0.0.0.0 0 192.168.178.1 (also die Route zur OPNSENSE) ein?

Auf der OPNSENSE müsste dann doch eine statische Route auf das VLAN1 des Switches eingetragen werden, also ip route 192.168.1.0 255.255.255.0 192.168.1.1. Das sieht aber unsinnig aus...wie ich schon sagte, eher...bescheidene...Kenntnisse
Bitte warten ..
Mitglied: aqui
23.05.2019, aktualisiert um 16:34 Uhr
Dann müsste ich um von VLAN1 die Telefonanlage im VLAN20 managen zu können auf der OPNSENSE (nicht Fritzbox!) noch VLAN Brücken anlegen
Nein, das ist falsch !
Du brauchst natürlich nichts weiter anzulegen. Brücken schon gar nicht !!!
Die Firewall ist doch ein Router !! Sie routet also schon per se zwischen den VLANs wenn diese eingerichtet sind.
Das Einzige was du machen musst ist also nur ein paar geschickte Firewall Regeln zu setzen und gut iss !
Was ja mit ein paar Mausklicks im Klicki Bunti Menü der FW in Sekundenschnelle erledigt ist.
Eine einzige Regel brauchst du mehr nicht. Schade das du vor solch einer Banalität die jeder Azubi in 10 Minuten erledigt schon kapitulierst...aber egal, deine Entscheidung die wir natürlich respektieren !

kleine Brötchen backen und alles ins 1 VLAN packen.
OK, das ist natürlich kinderleicht...
  • Werksreset machen auf dem Switch...
  • Damit sind alle VLANs weg bis auf das VLAN 1 und alle Ports sind im VLAN 1
  • Endgeräte aufstecken
  • Fertisch !
Das müsstest du sicher noch hinbekommen, oder ?
und mit steigender Lernkurve nachträglich anpassen.
Wäre der richtige Weg !
Laaangsam und Stück für Stück migrieren wier oben auch schon beschrieben...
als Modem wird ein Vigor 165 genutzt, also ist die Fritzbox unnötig.
Perfekt !
Umso besser, dann sparst du dir die leidige Konfig und Frickelei mit einer Router Kaskade.
Dann sähe dein Zieldesign korrigiert so aus:

firewall-sg250 - Klicke auf das Bild, um es zu vergrößern

Du hast eigentlich die idelae Hardware zusammen um das perfekt umzusetzen und natürlich auch den richtigen Plan !
Ich stelle also im Switch das Routing auf "enabled", im IPv4 Interface: VLAN1 mit der IP192.168.1.1
Mmmhhhh....
Dazu muss man wissen WAS denn dein weiterer Plan ist ???
Der Switch kann logischerweise kein NAT und kein PPPoE. Sprich den kannst du also NICHT direkt ins Internet hängen ! Dazu brauchst du dann logischerweise einen Router oder eine Firewall.
WAS willst du da denn nehmen ??? Bzw. wie soll dein Migrationskonzept aussehen ??
Du hast ja mehrere Optionen und leider keinerlei Äußerungen gemacht wie du das angehen willst ???
  • Switch alles in VLAN 1 und dann welcher Router ? FritzBox oder Firewall ?
  • Konzept 1 bedingt dann aber das der Switch dann so nicht routen muss. FritzBox bedeutet auch das keine VLANs möglich sind. Switch wäre dann simpler L2 Switch
  • Ausnahme dann der Switch routet
  • Mit VLAN Option zur Migration bleibt dir dann nur die Firewall sofern du die VLANs auf der Firewall routen willst.
  • Willst du das nicht musst du wieder auf dem Switch routen
Die Frage ist WELCHEN Weg willst du gehen ??

Ein Bild sagt mehr als 1000 Worte...
Gehen wir mal davon aus das du die Firewall Modem Kombination behalten willst, dann hast du folgende Optionen:
Switch ohne Routing, alles in VLAN 1, Firewall ersetzt die FritzBox:

firewall-sg250allv1 - Klicke auf das Bild, um es zu vergrößern

Hier muss der Switch NICHT routen. Kann er ja auch gar nicht, denn hier ist ja auch rein gar nix zu routen, da ja nur ein einziges IP Netz vorhanden
Nachteil:
Die Migration in ein VLAN Konzept würde ohne die Umstellung des Koppellinks bedeutetn das du immer den Internet Traffic aller zukünftigen VLANs durch dein VLAN 1 schleusen muss.
Nicht wirklich schön und z.B. wenn eins der VLANs ein Gastnetz wird sicherheitstechnisch ein NoGo.
Besser du separierst dann den Link in ein eigenes Netz.
Das geht einmal wenn der Switch routet was dann so aussieht:

Switch Routing, Koppelnetz an Firewall separat:

firewall-sg250-2 - Klicke auf das Bild, um es zu vergrößern

Die Zugangssteuerung unter den VLANs muss dann mit Access Listen am Switch erfolgen, denn da werden die VLANs zentral ins Internet geroutet !
Die andere Alternative hatten wir oben ja schon:

Switch nur Layer 2 (kein Routing, reicht VLANs durch), Firewall routet :

firewall-sg250-3 - Klicke auf das Bild, um es zu vergrößern

Die letzten beiden Designs haben den Vorteil das sie für das VLAN Handling und einen sanfte und langsame Migration vorbereitet sind. Das ist aber kein Zwang. Du kannst auch mit dem Banaldesign starten, musst dann aber nachher mehr im laufenden Betrieb umstellen.
Migrations technisch ist es also besser mit einem der beiden letzten Designs zu starten und da stellt sich dann wieder die Frage wo du bevorzugt routen willst. Switch oder Firewall ?
Hättest du bloß einen Layer 2 only Switch gekauft, dann wäre diese Entscheidung schon gefallen Spaß beiseite...
Jetzt bist du dran: Quo vadis ?
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VLAN Routing Design
Frage von tvprog1Router & Routing6 Kommentare

Hallo, wird zwischen VLANs in großen Netzwerk Setups üblicherweise über den Core Switch geroutet, oder über eine seperate Firewall ...

Router & Routing
VLAN Routing Pfsense
gelöst Frage von jescheroRouter & Routing16 Kommentare

Hallo alle zusammen, Erstmal meine Netzwerke sind: Vlan 60 = 172.26.131.0/24 Vlan 70 = 172.27.131.0/24 Vlan 80 = 172.28.131.0/24 ...

Router & Routing
HP VLAN routing
gelöst Frage von homermgRouter & Routing5 Kommentare

Hey Leute, ich versuche gerade ein TestVLAN einszurichten auf einem HP Switch. Mein Standard VLAN auf dem gleichen Switch ...

Switche und Hubs
VLAN Gateway Routing
gelöst Frage von DerPraktikantSwitche und Hubs7 Kommentare

Hallo, und zwar habe ich mir eine Testumgebung aufgebaut : Mein Problem ist das ich über den Rechner im ...

Neue Wissensbeiträge
Microsoft
PowerShell script für LAPS
Information von kgborn vor 1 TagMicrosoft5 Kommentare

Kurzer Hinweis für Admins im AD-Umfeld. Ich bin die Tage auf das PowerShell Script der Woche “Local Administrator Password ...

Windows 10
Windows 10 bis Version 1803 und das Zwangs-Upgrade
Information von kgborn vor 1 TagWindows 10

Ich denke, die meisten Admins hier werden Systeme mit Windows 10 Enterprise einsetzen und Updates per WSUS/SCCM oder ähnlichem ...

Microsoft Office
BSI-Empfehlungen für die Office-Konfiguration
Information von kgborn vor 1 TagMicrosoft Office

Kurze Information für Admins, die Office verwalten. Das BSI hat einige Regeln für die Absicherung von Office-Konfigurationen veröffentlicht. Ich ...

Windows 10

Sandy-Bridge plus Nvidia plus Win10 1903 braucht Hotfix

Information von DerWoWusste vor 5 TagenWindows 101 Kommentar

Es gibt ein Problem in der seltenen Konstellation Nvidia-Grafikkarte/Sandy-Bridge-CPU/Win10v1903: die von Nvidia vorgeschlagenen Treiber lassen sich nicht installieren. verlinkt ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 Logonskript greift nicht
Frage von xbast1xWindows 1019 Kommentare

Hallo zusammen, da sich die per GPO gemappten Laufwerke bei allen Usern schließen und das Problem sich nicht lösen ...

SAN, NAS, DAS
SFP+ 10GB Module kompatibel?
Frage von get--4SAN, NAS, DAS18 Kommentare

Grüße euch alle, ich bin in mehreren Schulen für die EDV verantwortlich. In einer Schule haben wir eine SAN ...

Entwicklung
Welche Programmiersprache ist das?
Frage von DschingisEntwicklung17 Kommentare

Hallo zusammen, unser ERP-System ermöglicht es, eigene Ansichten zu bearbeiten. Ich würde mich hier gerne weiterbilden. Kann mir jamand ...

Batch & Shell
Powershell Skript für Reg Datei ändern
gelöst Frage von SoccerdeluxBatch & Shell16 Kommentare

Hallo zusammen, ich muss auf einem Windows 10 Pc ein Skript ausführen lassen was sich alle 5 Minuten wiederholt. ...