14
Bestehendes Netzwerk in VLANs trennen, Einkaufsberatung
Tach Zusammen,
ich habe vor mein bestehendes Netzwerk über VLANS zu trennen, so dass die PC's von einem VLAN die PC's des anderen VLAN nicht sehen und darauf zugrifen können. Beide VLAN's sollen aber über die gleiche FritzBox auf das Internet zugreifen können. Jetzt habe ich mich die letzten Tagen schon durch das Internet gelesen und habe ähnliche Scenarien gesehen, allerdings stellen sich mir noch einige grundlegende Fragen bevor ich weiteres Equipment kaufe:
Vielen Dank schonmal!
ich habe vor mein bestehendes Netzwerk über VLANS zu trennen, so dass die PC's von einem VLAN die PC's des anderen VLAN nicht sehen und darauf zugrifen können. Beide VLAN's sollen aber über die gleiche FritzBox auf das Internet zugreifen können. Jetzt habe ich mich die letzten Tagen schon durch das Internet gelesen und habe ähnliche Scenarien gesehen, allerdings stellen sich mir noch einige grundlegende Fragen bevor ich weiteres Equipment kaufe:
Vielen Dank schonmal!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 328098
Url: https://administrator.de/contentid/328098
Ausgedruckt am: 15.11.2024 um 13:11 Uhr
14 Kommentare
Neuester Kommentar
Dieses Tutorial sollte dir alle Fragen zu dem Thema beantworten:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die FritzBüx kann keine VLANs routen und somit keine Kommunikation auch keine gesicherte zwischen den VLANs realisieren weil sie einfach diese Fetaures nicht hat als billiges Consumer Produkt.
Du hast nun 2 Optionen das zu realisieren:
Variante a. hat den Vorteil das es technisch eleganter und einfacher ist. Die Zugriffsbeschränkungen zw. den VLANs löst du dann mit Accesslisten auf dem Switch.
Variante b. ist aufwändiger und erfordert etwas mehr Hardware, dafür biete sie eine erhöhte Security.
In deinem Falle ist vermutlich a. die bessere Wahl.
Mit deiner HP Gurke bist du da schon auf dem richtigen Weg !
Die Konfig ist immer die gleiche:
Du richtest 3 VLANs ein auf dem Switch:
Für das Internet VLAN 99 reicht ein einziger untagged Port, denn dort wird nur die FritzBox angeschlossen.
Dann konfigurierst du eine statische Default Route auf dem Switch:
ip route 0.0.0.0 0.0.0.0 192.168.178.1
Wie das genau geht mit der HP Gurke kannst du hier nachlesen:
https://vmfocus.com/2012/09/26/how-to-configure-layer-3-static-routes-vl ...
Dann einen statische Route auf der FritzBox:
ip route 172.16.0.0 Maske 255.255.0.0 Gateway 192.168.7.254
Fertisch !
Und ja...zur Erweiterung der Ports in den VLANs reichen ganz einfache dumme unmanaged Switches vom Blödmarkt. Die steckst du einfach in einen untagged Port in dem entsprechenden VLAN an der HP Gurke.
Das die FB bestehen bleiben muss wegen Fax, TK usw. ist natürlich wie immer hier technischer Quatsch, denn das kann man auch mit anderen Komponenten lösen. Muss man aber ja auch nicht in deinem Fall.
Ein simples Allerwelts- Banalszenario was in 10 Minuten zum Fliegen kommt
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die FritzBüx kann keine VLANs routen und somit keine Kommunikation auch keine gesicherte zwischen den VLANs realisieren weil sie einfach diese Fetaures nicht hat als billiges Consumer Produkt.
Du hast nun 2 Optionen das zu realisieren:
- a.) Mit einem Layer 3 (Routing) VLAN Switch der das Routing und die Kommunikation abwickelt. Z.B. Cisco SG-300, Zyxel usw.
- b.) Mit einem reinen L2 VLAN Switch (Cisco SG-200, Zyxel usw.) und einer externen Firewall bzw. Router
Variante a. hat den Vorteil das es technisch eleganter und einfacher ist. Die Zugriffsbeschränkungen zw. den VLANs löst du dann mit Accesslisten auf dem Switch.
Variante b. ist aufwändiger und erfordert etwas mehr Hardware, dafür biete sie eine erhöhte Security.
In deinem Falle ist vermutlich a. die bessere Wahl.
Mit deiner HP Gurke bist du da schon auf dem richtigen Weg !
Die Konfig ist immer die gleiche:
Du richtest 3 VLANs ein auf dem Switch:
- Internet z.B. VLAN 99 mit 192.168.178.0 /24 mit .1 Router und der .254 Switch als Hostadresse.
- Office z.B. VLAN 10 mit 172.16.10.0 /24
- Privat z.B. VLAN 20 mit 172.16.20.0 /24
- Geplantes VLAN 30 mit 172.16.30.0 /24
Für das Internet VLAN 99 reicht ein einziger untagged Port, denn dort wird nur die FritzBox angeschlossen.
Dann konfigurierst du eine statische Default Route auf dem Switch:
ip route 0.0.0.0 0.0.0.0 192.168.178.1
Wie das genau geht mit der HP Gurke kannst du hier nachlesen:
https://vmfocus.com/2012/09/26/how-to-configure-layer-3-static-routes-vl ...
Dann einen statische Route auf der FritzBox:
ip route 172.16.0.0 Maske 255.255.0.0 Gateway 192.168.7.254
Fertisch !
Und ja...zur Erweiterung der Ports in den VLANs reichen ganz einfache dumme unmanaged Switches vom Blödmarkt. Die steckst du einfach in einen untagged Port in dem entsprechenden VLAN an der HP Gurke.
Das die FB bestehen bleiben muss wegen Fax, TK usw. ist natürlich wie immer hier technischer Quatsch, denn das kann man auch mit anderen Komponenten lösen. Muss man aber ja auch nicht in deinem Fall.
Ein simples Allerwelts- Banalszenario was in 10 Minuten zum Fliegen kommt
1
Hallo aqui,
vielen Dank für Deine superschnelle Antwort!
Eine Frage hätte ich noch: Wie funktioniert das dann mit DHCP in den VLANs, muss das auf der "HP Gurke" für jedes VLAN eingerichtet werden, so dass dieser dann als DHCP Server dient?
vielen Dank für Deine superschnelle Antwort!
Eine Frage hätte ich noch: Wie funktioniert das dann mit DHCP in den VLANs, muss das auf der "HP Gurke" für jedes VLAN eingerichtet werden, so dass dieser dann als DHCP Server dient?
Gute Frage !
Sinnvolle Switches supporten einen onboard DHCP Server. Damit kannst du dann pro VLAN Segment IP Adressen per DHCP vom Switch aus bzw. durch dessen Konfig vergeben (z.B. Cisco SG-300 u.a.)
Ob dein HP das auch kann und einen DHCP Server an Bord hat musst du im Handbuch oder Datenblatt nachsehen.
Leider kann die FritzBüx keinen zentralen DHCP Pool verwalten bzw. es ist gar nicht erst konfigurierbar. Ist halt ein billiges Consumer Produkt....
Dann könnte man per DHCP Relay bzw. Forwarder (ip helper Adresse) alle DHCP Anfragen aus den VLANs auf einen zentralen DHCP Server lenken.
Falls dir sowas vorschwebt musst du in Ermangelung der FB Funktion diesbezüglich dann z.B. einen kleinen 35 Euro Raspberry Pi mit ins private Netzwerk hängen als zentralen DHCP Server für alle Netze:
Netzwerk Management Server mit Raspberry Pi
Technisch besser ist es bei so kleinen Netzen wie deinem das auf dem Switch zu lösen, denn es erspart dir eine HW Komponente.
Sinnvolle Switches supporten einen onboard DHCP Server. Damit kannst du dann pro VLAN Segment IP Adressen per DHCP vom Switch aus bzw. durch dessen Konfig vergeben (z.B. Cisco SG-300 u.a.)
Ob dein HP das auch kann und einen DHCP Server an Bord hat musst du im Handbuch oder Datenblatt nachsehen.
Leider kann die FritzBüx keinen zentralen DHCP Pool verwalten bzw. es ist gar nicht erst konfigurierbar. Ist halt ein billiges Consumer Produkt....
Dann könnte man per DHCP Relay bzw. Forwarder (ip helper Adresse) alle DHCP Anfragen aus den VLANs auf einen zentralen DHCP Server lenken.
Falls dir sowas vorschwebt musst du in Ermangelung der FB Funktion diesbezüglich dann z.B. einen kleinen 35 Euro Raspberry Pi mit ins private Netzwerk hängen als zentralen DHCP Server für alle Netze:
Netzwerk Management Server mit Raspberry Pi
Technisch besser ist es bei so kleinen Netzen wie deinem das auf dem Switch zu lösen, denn es erspart dir eine HW Komponente.
Hallo,
in deiner Skizze steht etwas davon das du mehrere NAS daheim hast.
Die könntest du, sofern sie die Funktion haben, auch als DHCP Server arbeiten lassen.
in deiner Skizze steht etwas davon das du mehrere NAS daheim hast.
Die könntest du, sofern sie die Funktion haben, auch als DHCP Server arbeiten lassen.
Hallo wuurian,
danke, stimmt die haben auch einen DHCP server an board. Mittlerweile habe ich mich schlau gemacht, der HP 1920 hat die Funktion auch. Ich werde das in den nächsten Woche mal testen.
Vielen Dank für Eure Hilfe!
danke, stimmt die haben auch einen DHCP server an board. Mittlerweile habe ich mich schlau gemacht, der HP 1920 hat die Funktion auch. Ich werde das in den nächsten Woche mal testen.
Vielen Dank für Eure Hilfe!
Hey GuenterVernetzer,
ich hab jetzt nur schnell mal nachgeschaut(will heim), habe aber nicht entdeckt, das der 1920 eine DHCP-Funktion hat.
Ich denke eher das er nur die von @aqui erwähnte DHCP-Relay funktin hat.
Schau sicherheitshalber nochmal genau nach, damit keine böse Überraschung dann ansteht.
Ansonsten nimmst du einfach ein NAS als DHCP.
Viele Grüße
ich hab jetzt nur schnell mal nachgeschaut(will heim), habe aber nicht entdeckt, das der 1920 eine DHCP-Funktion hat.
Ich denke eher das er nur die von @aqui erwähnte DHCP-Relay funktin hat.
Schau sicherheitshalber nochmal genau nach, damit keine böse Überraschung dann ansteht.
Ansonsten nimmst du einfach ein NAS als DHCP.
Viele Grüße
habe aber nicht entdeckt, das der 1920 eine DHCP-Funktion hat.
Sollte man von den gruseligen HP Billigteilen auch nicht erwarten... Andere können das besser.Mit Relay kann man es aber auch lösen es erfordert nur eben dann einen zentralen DHCP Server. Ggf. befindet sich aber ein NAS (z.B. Qnap, Synology etc.) im Netz das das dann übernehmen kann wie oben bereits gesagt. RasPi geht natürlich auch.
Hallo,
da habt Ihr wohl Recht was die HP1920 betrifft, der hat wirklich keinen DHCP Server an board sondern kann nur DHCP Relay.
Ich muss den nicht unbedingt verbauen, da Ihr ja eh nicht viel davon haltet, würde mich mal interressieren welchen Switch von Cisco Ihr für meine Konstellation empfehlen würdet. Der Preis spielt hier eher eine untergeordnete Rolle, soll hat was vernünftiges sein. Wäre dieser passend:
Cisco SG220-26-K9-EU 48x 10/100/1000 da stand DHSP Support dabei.
Ich hätte halt gerne die Konfiguration an einer Stelle und nicht mit einem DHCP Server auf einem NAS, obwohl meine beiden Synology's das untertützen würden.
Viele Grüße
da habt Ihr wohl Recht was die HP1920 betrifft, der hat wirklich keinen DHCP Server an board sondern kann nur DHCP Relay.
Ich muss den nicht unbedingt verbauen, da Ihr ja eh nicht viel davon haltet, würde mich mal interressieren welchen Switch von Cisco Ihr für meine Konstellation empfehlen würdet. Der Preis spielt hier eher eine untergeordnete Rolle, soll hat was vernünftiges sein. Wäre dieser passend:
Cisco SG220-26-K9-EU 48x 10/100/1000 da stand DHSP Support dabei.
Ich hätte halt gerne die Konfiguration an einer Stelle und nicht mit einem DHCP Server auf einem NAS, obwohl meine beiden Synology's das untertützen würden.
Viele Grüße
Die Modelle der SG2xx Serie können NICHT routen, sind also reine Layer 2 VLAN Switches.
SG-2xx = 2 steht für Layer 2
SG-3xx = 3 steht für Layer 3 Routing
Eigentlich ganz einfach....
Der L2 Switch hat sehalb natürlich auch kein DHCP Server an Bord. Der 300er aber schon !
Du müsstest also ein 300er Model einsetzen.
Der SG-300 läuft zwar aus (Nachfolger 350), reicht aber für deine Belange vollends. Da er ausläuft ist er derzeit recht preiswert zu bekommen.
SG-2xx = 2 steht für Layer 2
SG-3xx = 3 steht für Layer 3 Routing
Eigentlich ganz einfach....
Der L2 Switch hat sehalb natürlich auch kein DHCP Server an Bord. Der 300er aber schon !
Du müsstest also ein 300er Model einsetzen.
Der SG-300 läuft zwar aus (Nachfolger 350), reicht aber für deine Belange vollends. Da er ausläuft ist er derzeit recht preiswert zu bekommen.
Danke für die Bezeichnungserklärung bei Cisco, dann werde ich mir wohl den Cisco SG300-28 bestellen.
Hallo zusammen,
wenn dort ein Cisco SG350-28 Switch verbaut wird kann in den beiden Räumen bzw. als Unterverteiler ein oder mehrere
Cisco SG220-10 benutzen, der SG350 routet dann alles und die anderen können trotz alledem die VLA´Ns bedienen!
Und wenn ein Router hinter die HP Gurke kommen sollte, dann bitte einen MikroTik Router der dann mittels eines
SOCKS-Proxys die uPNP Daten des Fritz!Fax Programmes durchlässt und auch VLANs routen kann. Dann kann man
auch weiterhin mittels Fritz!Fax vom PC aus faxen.
Gruß
Dobby
wenn dort ein Cisco SG350-28 Switch verbaut wird kann in den beiden Räumen bzw. als Unterverteiler ein oder mehrere
Cisco SG220-10 benutzen, der SG350 routet dann alles und die anderen können trotz alledem die VLA´Ns bedienen!
Und wenn ein Router hinter die HP Gurke kommen sollte, dann bitte einen MikroTik Router der dann mittels eines
SOCKS-Proxys die uPNP Daten des Fritz!Fax Programmes durchlässt und auch VLANs routen kann. Dann kann man
auch weiterhin mittels Fritz!Fax vom PC aus faxen.
Gruß
Dobby
So, erstmal ein fettes Danke an alle die mir geholfen haben. Nach viel lesen, lernen und ausprobieren ist das eigentlich eine logische Sache mit den VLAN's.
Ich habe jetzt im Serverschrank einen SG300-26 und im Büro eine SG200-26 stehen. Soweit habe ich erstmal die beiden VLAN10 (Office) und VLAN20 (Privat) ans Laufen gebracht. Einzig fehlt noch die Abgrenzung über ACL. Das werde ich als nächstes angehen.
Eine kleine Frage hätte ich allerdings noch zwischendrin an die Experten:
Die SG300 hat die Management IP Adresse: 192.168.0.254 (VLAN1) und das Webinterface ist aus beiden VLAN's erreichbar.
Der SG200 habe ich die feste Managment IP Adresse : 192.168.0.253 vergeben und ist ebenfalls im VLAN1, auf das Webinterface komme ich hier nur inde ich mich direkt an einen freien untagged Port hänge, wie oder was muss ich ändern, um von beliebigen Rechnern in den VLAN's darauf zugreifen zu können?
Hier die Ergebnnisse wenn ich von einem Rechner aus dem VLAN10 den SG200 anpinge:
Ich habe jetzt im Serverschrank einen SG300-26 und im Büro eine SG200-26 stehen. Soweit habe ich erstmal die beiden VLAN10 (Office) und VLAN20 (Privat) ans Laufen gebracht. Einzig fehlt noch die Abgrenzung über ACL. Das werde ich als nächstes angehen.
Eine kleine Frage hätte ich allerdings noch zwischendrin an die Experten:
Die SG300 hat die Management IP Adresse: 192.168.0.254 (VLAN1) und das Webinterface ist aus beiden VLAN's erreichbar.
Der SG200 habe ich die feste Managment IP Adresse : 192.168.0.253 vergeben und ist ebenfalls im VLAN1, auf das Webinterface komme ich hier nur inde ich mich direkt an einen freien untagged Port hänge, wie oder was muss ich ändern, um von beliebigen Rechnern in den VLAN's darauf zugreifen zu können?
Hier die Ergebnnisse wenn ich von einem Rechner aus dem VLAN10 den SG200 anpinge:
auf das Webinterface komme ich hier nur inde ich mich direkt an einen freien untagged Port hänge,
Ist ja auch logisch und normal, denn der Port ist ja im Default immer im VLAN 1 indem auch die Management IP Adressen der Switches liegen !Works as designed...
muss ich ändern, um von beliebigen Rechnern in den VLAN's darauf zugreifen zu können?
Da muss dein SG-300 dann das Routing aktiviert haben !Wie das geht erklärt dir dieser Thread:
Verständnissproblem Routing mit SG300-28
Wenn du genau danach vorgehst kommt das in 3 Minuten zum Fliegen !!
Hallo aqui,
das Routing auf dem SG300 war schon aktiviert und hat zwischen den Netzten ja auch einwandfrei funktioniert.
Ich habe aber gerade selbst herausgefunden woran es lag, ich musste noch das "Administrative Standard Gateway" definieren. Danach hats geklappt.
das Routing auf dem SG300 war schon aktiviert und hat zwischen den Netzten ja auch einwandfrei funktioniert.
Ich habe aber gerade selbst herausgefunden woran es lag, ich musste noch das "Administrative Standard Gateway" definieren. Danach hats geklappt.
