133820
Jul 16, 2017
1406
9
0
Cisgo Sg300 von einem Vlan auf einen Port eines anderen Vlan routen
Hallo,
zu meinem Aufbau:
1x SG300-28 L3
1x FritzBox7490 mit separiertem Gästenetz auf Lan4
1x Unifi Cloud Key
2x Unifi AP
Vlan1 (default) - Alle Geräte im Haus
Vlan 20 - Gästenetzwerk angeschlossen an Lan4
Defaultnetzwerk ist die 10.10.9.x
Gästenetzwerk auf Lan4 10.10.100.x
Die AP haben jeweils zwei SSID über den Cloudkey bekommen. Einmal SSID "Haus" und einmal SSID "Gäste" auf Vlan20. Der Cloudkey selber ist im Vlan1 unterbracht. Die jetzige Konfiguration funktioniert ohne Probleme.
Allerdings möchte ich jetzt die Möglichkeit nutzen den Portalserver auf dem Cloudkey zu nutzen und dafür muss das Vlan20 von den AP mit dem Cloudkey kommunizieren. Da die Clients aus dem Gästenetzwerk ja in einem anderen IP Bereich liegen muss ich ihm irgendwie das Routing mitteilen.
Was muss ich einstellen im SG300 damit das Vlan20 auf den Port wo der Cloudkey dranhängt im Vlan1 routet. Kann mir jemand da weiterhelfen?
Grüße
Jascha
zu meinem Aufbau:
1x SG300-28 L3
1x FritzBox7490 mit separiertem Gästenetz auf Lan4
1x Unifi Cloud Key
2x Unifi AP
Vlan1 (default) - Alle Geräte im Haus
Vlan 20 - Gästenetzwerk angeschlossen an Lan4
Defaultnetzwerk ist die 10.10.9.x
Gästenetzwerk auf Lan4 10.10.100.x
Die AP haben jeweils zwei SSID über den Cloudkey bekommen. Einmal SSID "Haus" und einmal SSID "Gäste" auf Vlan20. Der Cloudkey selber ist im Vlan1 unterbracht. Die jetzige Konfiguration funktioniert ohne Probleme.
Allerdings möchte ich jetzt die Möglichkeit nutzen den Portalserver auf dem Cloudkey zu nutzen und dafür muss das Vlan20 von den AP mit dem Cloudkey kommunizieren. Da die Clients aus dem Gästenetzwerk ja in einem anderen IP Bereich liegen muss ich ihm irgendwie das Routing mitteilen.
Was muss ich einstellen im SG300 damit das Vlan20 auf den Port wo der Cloudkey dranhängt im Vlan1 routet. Kann mir jemand da weiterhelfen?
Grüße
Jascha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 343589
Url: https://administrator.de/contentid/343589
Printed on: April 18, 2024 at 00:04 o'clock
9 Comments
Latest comment
Moin ...
Mit dem von dir gewählten Netzaufbau machst du es dir nicht einfach.
Im wesentlichen muss der Cloudkey in beide VLANs und dann lässt du die Ubiquiti-Gerätschaften den Netzverkehr regeln, das Gastnetz der Fritzbox brauchst du eigentlich gar nicht mehr. Für einen sauberen Netzaufbau ist aber mehr erforderlich.
Näheres aber erst bei Bedarf.
VG
Ashnod
Mit dem von dir gewählten Netzaufbau machst du es dir nicht einfach.
Im wesentlichen muss der Cloudkey in beide VLANs und dann lässt du die Ubiquiti-Gerätschaften den Netzverkehr regeln, das Gastnetz der Fritzbox brauchst du eigentlich gar nicht mehr. Für einen sauberen Netzaufbau ist aber mehr erforderlich.
Näheres aber erst bei Bedarf.
VG
Ashnod
Hi Ashnod,
gerne würde ich mehr darüber erfahren. Also die Konfiguration ist nicht optimalste aber es funktioniert halt erstmal. Was wäre den ein sauberer Aufbau deinerseits aus? Ich würde auch gerne die Fritzbox losweden aber ich bin da vom Provider mehr oder weniger gezwungen diese zu nutzen. Routerfreiheit hin oder her. Ich müsste auf vieles verzichten. Eine andere sauberer Lösung wäre eine Unifi USG hinter die Fritz zu setzen aber ich wollte nicht noch ein Gerät zusätzlich laufen lassen.
Der Cloudkey kann leider nur in einem Vlan laufen.
Grüße
gerne würde ich mehr darüber erfahren. Also die Konfiguration ist nicht optimalste aber es funktioniert halt erstmal. Was wäre den ein sauberer Aufbau deinerseits aus? Ich würde auch gerne die Fritzbox losweden aber ich bin da vom Provider mehr oder weniger gezwungen diese zu nutzen. Routerfreiheit hin oder her. Ich müsste auf vieles verzichten. Eine andere sauberer Lösung wäre eine Unifi USG hinter die Fritz zu setzen aber ich wollte nicht noch ein Gerät zusätzlich laufen lassen.
Der Cloudkey kann leider nur in einem Vlan laufen.
Grüße
aber ich bin da vom Provider mehr oder weniger gezwungen diese zu nutzen.
Laienhafter Quatsch...wie immer. In D ist das schon lange nicht mehr der Fall und Routerfreiheit gesetzlich vorgeschrieben !Ich müsste auf vieles verzichten.
So so..auf was denn bitte was professionelle Router oder Firewalls nicht haben ??Aber egal...ist aber auch nicht wichtig wenn du in deine Plaste FB so verliebt bist...
Dein gruseliges aktuelles Design eines Gäste Segments kann man so auch nicht mehr viel schlimmer machen...
und einmal SSID "Gäste" auf Vlan20
Hoffentlich mit "ae", denn Umlaute und Sonderzeichen in SSIDs mögen viele Clients nicht !Da die Clients aus dem Gästenetzwerk ja in einem anderen IP Bereich liegen muss ich ihm irgendwie das Routing mitteilen.
Das ist höchst gefährlich und erfordert wasserdichte IP Accesslisten auf dem L3 Switch. Das solltest du dir sehr gut überlegen.Generell müssen in so einem Konstrukt die VLANs IP seitig vollkommen getrennt sein, dürfen also keinesfalls irgendwelche IP Adressen auf dem Switch VLAN konfiguriert haben damit Gäste niemals das lokale Haus LAN erreichen können.
Das Gäste Netz der FB an sich ist schon unsicher da recht primitiv implementiert von AVM und sehr leicht aushebelbar für jemanden der weiss wie es geht.
Die FritzBox selber lässt logischerweise ein Routing vom Gastnetz zurück ins lokale LAN niemals zu aus guten Grund weil es eben ein "Gastnetzwerk" ist und Gäste im lokalen LAN nix zu suchen haben. Das ist über die Konfig fest vorgegeben und lässt sich nicht anpassen. (Außer mit alternativer Firmware wie Freetz z.B.)
Wenn überhaupt, dann kannst du das also nur über den Switch realisieren. Da du ja einen Layer 3 fähigen Switch einsetzt ist das an sich erstmal kein Problem und recht einfach:
Man gibt dem Switch auf den VLANs eine entsprechende IP Adresse und damit ist erstmal generell das Routing zwischen den VLANs problemlos möglich.
IPs sollten natürlich tunlichst NICHT innerhalb irgendwelcher DHCP Bereiche liegen. Bei /24er Masken bietet sich immer die .1 oder die .254 an !
Da die Clients die FritzBox als Default Gateway haben und die nicht ins lokale LAN routet muss auf der FB also noch eine statische Route definiert werden (Annhame lokales LAN .178.0):
Zielnetz: 192.168.178.0 /24, Gateway: <ip_adresse_switchvlan>
Damit wäre erstmal ein genereller Zugriff aller Gäste auf das lokale LAN dann möglich, was natürlich tödlich wäre da es das Gastnetz so vollkommen aushebelt dann. Genau deshalb sollte man also niemals ins Gastnetz VLAN eine IP definieren !!!
Muss es trotzdem sein und weisst du zudem genau was du tust, dann sind sehr strike IP Accesslisten auf dem Switch an den VLAN Interfaces hier absolute Pflicht für dich !
Die musst du so customizen das einzig nur der TCP oder UDP Port und die Server IP passieren darf.
Ein gewisses Restrisiko bleibt immer, da Clients sich ja die Server IP vergeben könnten und IP ACLs auf einem Switch niemals stateful sind !!
Überlege dir also deshalb sehr gut was du da machst und ob du das wirklich so umsetzen willst !
Wie man ein wirklich sicheres Gastnetz mit stateful Firewall und einem Captive Portal und User Tracking aufsetzt erklärt dir dieses Tutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Hi,
ich weiß das es keinen Routerzwang mehr gibt. Ich dürfte auch einen eigenen Router nehmen allerdings müsste ich zb auf den Support verzichten, auf meinen Dualstack da bei eigenen Routern nur noch IPv6 vergeben wird und noch einige andere Funktionen. Ich bin kein Fan der Fritz aber die Nachteile überwiegen. Ich muss also das beste draus machen. Und wie gesagt ein weitere Gerät wollte ich auch nicht noch im Haus haben.
In die anderen Themen werde ich mich einarbeiten.
Grüße
ich weiß das es keinen Routerzwang mehr gibt. Ich dürfte auch einen eigenen Router nehmen allerdings müsste ich zb auf den Support verzichten, auf meinen Dualstack da bei eigenen Routern nur noch IPv6 vergeben wird und noch einige andere Funktionen. Ich bin kein Fan der Fritz aber die Nachteile überwiegen. Ich muss also das beste draus machen. Und wie gesagt ein weitere Gerät wollte ich auch nicht noch im Haus haben.
In die anderen Themen werde ich mich einarbeiten.
Grüße
In Ergänzung zu dem Beitrag von @aqui eine einfache Variante die recht gut funktionieren sollte.
Netzaufbau:
Switch VLAN 1 mit Netzwerk 192.168.1.0/24 (Bevorzugter IP-Bereich) hier finden der Switch und die Ubiquiti-Gerätschaften Ihre Heimat für die Grundkonfiguration
Switch VLAN 178 Fritbox-Klassiker 192.168.178.0/24 -> AP = SSID "Haus"
Switch VLAN 179 Fritzbox Gastnetz 192.168.179.0/24 -> AP = SSID "Gaeste"
Damit kannst du die Fritbox wie gewohnt nutzen.
Auf dem Switch für die AP's alle drei VLAN's auflegen.
Unter Guest Control die IP/URL zum Controller angeben.
ACL's musst du dann noch passend setzen, damit der Zugriff klappt auch für den Rechner den du zur Konfiguration nutzt oder der Rechner muss während der Konfiguration ins VLAN 1
Der Controller muss mit in das VLAN 1 weil er sonst die AP's nicht findet und sich dieser wie du schreibst nicht in andere VLAN's einhängen lässt. (Benutze ich selbst nicht).
Damit benötigst du kein Routing weil die Netze der FB 1:1 durchgereicht werden und du zusäzlich auch noch das WLAN der FB nutzen könntest.
Nicht die eleganteste Lösung aber vom Aufbau recht simpel.
VG
Ashnnod
Netzaufbau:
Switch VLAN 1 mit Netzwerk 192.168.1.0/24 (Bevorzugter IP-Bereich) hier finden der Switch und die Ubiquiti-Gerätschaften Ihre Heimat für die Grundkonfiguration
Switch VLAN 178 Fritbox-Klassiker 192.168.178.0/24 -> AP = SSID "Haus"
Switch VLAN 179 Fritzbox Gastnetz 192.168.179.0/24 -> AP = SSID "Gaeste"
Damit kannst du die Fritbox wie gewohnt nutzen.
Auf dem Switch für die AP's alle drei VLAN's auflegen.
Unter Guest Control die IP/URL zum Controller angeben.
ACL's musst du dann noch passend setzen, damit der Zugriff klappt auch für den Rechner den du zur Konfiguration nutzt oder der Rechner muss während der Konfiguration ins VLAN 1
Der Controller muss mit in das VLAN 1 weil er sonst die AP's nicht findet und sich dieser wie du schreibst nicht in andere VLAN's einhängen lässt. (Benutze ich selbst nicht).
Damit benötigst du kein Routing weil die Netze der FB 1:1 durchgereicht werden und du zusäzlich auch noch das WLAN der FB nutzen könntest.
Nicht die eleganteste Lösung aber vom Aufbau recht simpel.
VG
Ashnnod
da bei eigenen Routern nur noch IPv6 vergeben wird
Das ist Quatsch ! Vergiss solch einen Unsinn besser schnell wieder ! Wie soll denn ein PPPoE Swrver wissen ob der Connect Wunsch von einem AVM, Cisco oder TP-Link kommt ?! Das ist technischer Unsinn und ist wohl eher deinen geringen technischen Kenntnissen geschuldet ! Allerdings sollte man es dann tunlichst nicht in einem Administrator (sic) Forum verbreiten.
Naja ganz so Quatsch ist das nicht.
Bei vielen Kabelanetzanbietern, wie bspw. Unitymedia ist das tatsächlich so.
Will der Kunde eigene Hardware nutzen, wird einem mit dem Verlust der IPv4 Adresse gedroht und auf IPv6 only umgestellt.
Klar läuft da intern bei denen ein Tunnel von IPv6 auf IPv4, allerdings nutzt das relativ wenig, wenn man von außen via Portfreigabe auf sein Netzwerk zugreifen möchte... !
Bei vielen Kabelanetzanbietern, wie bspw. Unitymedia ist das tatsächlich so.
Will der Kunde eigene Hardware nutzen, wird einem mit dem Verlust der IPv4 Adresse gedroht und auf IPv6 only umgestellt.
Klar läuft da intern bei denen ein Tunnel von IPv6 auf IPv4, allerdings nutzt das relativ wenig, wenn man von außen via Portfreigabe auf sein Netzwerk zugreifen möchte... !
Bei vielen Kabelanetzanbietern, wie bspw. Unitymedia ist das tatsächlich so.
Jein, du hast es nur ziemlich laienhaft versucht zu erklären weil dir die Funktion vermutlich nicht klar ist.Das sind sog. DS-Lite Anschlüsse. Da wird v4 getunnelt in v6 mit Carrier Grade NAT.
http://www.elektronik-kompendium.de/sites/net/2010211.htm
Hat also nichts damit zu tun das die Router nur v6 Adressen vergeben, denn der Router kann immer auch v4.
Das ist Provider Sache und muss man hinnehmen wenn man sich mit solchen Providern einlässt. Als Kunde hat man ja immer die Wahl und da ist billich nicht immer sinnvoll...
allerdings nutzt das relativ wenig, wenn man von außen via Portfreigabe auf sein Netzwerk zugreifen möchte... !
Wohl wahr... Port Forwarding ist durch das CGN damit völlig sinnlos. Weiss man aber auch vorher wenn man sich in die Abhängigkeit eines solchen Providers gibt !https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Lieber aqui,
bevor man hier solche Behauptungen über geringen Sachverstand aufbringt sollte man lieber erst einmal nachfragen wer den überhaupt Provider ist. Ich hab beim hausbau damals die möglichkeit gehabt mir für einige tausend Euro einen Hausanschluss setzen zu lassen oder von unserem Stadtprovider (www.wtnet.de) kostenlos eine Glasfaserleitung legen zu lassen.
Wie gesagt ich kann einen eigenen Router betreiben muss diesen dann aber beim Provider registrieren lassen und damit wäre eine Unterscheidung sehr wohl möglich ob ich deren Router nutze oder einen eigenen.
Und ich habe es eine zeitlang selbst betrieben ich bekomme nur eine IPv6 Bereich zugewiesen. Wie die Technik dahinter ist interessiert mich mal so gar nicht. Aber dadurch waren viele Dinge die ich oben geschrieben hatte nicht möglich.
Aber um dich zu beruhigen ich werd mich aus diesem Forum wieder verabschieden. Ich habe immer gedacht das Foren dazu da wären sich auszutauschen usw. Aber es tut mir leid das ich mit deinem so hohen technischen Wissensstand nicht mithalten kann.
bevor man hier solche Behauptungen über geringen Sachverstand aufbringt sollte man lieber erst einmal nachfragen wer den überhaupt Provider ist. Ich hab beim hausbau damals die möglichkeit gehabt mir für einige tausend Euro einen Hausanschluss setzen zu lassen oder von unserem Stadtprovider (www.wtnet.de) kostenlos eine Glasfaserleitung legen zu lassen.
Wie gesagt ich kann einen eigenen Router betreiben muss diesen dann aber beim Provider registrieren lassen und damit wäre eine Unterscheidung sehr wohl möglich ob ich deren Router nutze oder einen eigenen.
Und ich habe es eine zeitlang selbst betrieben ich bekomme nur eine IPv6 Bereich zugewiesen. Wie die Technik dahinter ist interessiert mich mal so gar nicht. Aber dadurch waren viele Dinge die ich oben geschrieben hatte nicht möglich.
Aber um dich zu beruhigen ich werd mich aus diesem Forum wieder verabschieden. Ich habe immer gedacht das Foren dazu da wären sich auszutauschen usw. Aber es tut mir leid das ich mit deinem so hohen technischen Wissensstand nicht mithalten kann.
