Default Gateway mit mehreren VLANs

Vielen Dank für eure Antworten!! Ich melde mich bald wieder.

Hi zusammen,

hab ein wenig gebraucht um eure Antworten und Links zu lesen . Ich war auch zwischendurch vor Ort (VPN ist noch nicht konfiguriert) und hab das neue DrayTek-Modem angeschlossen - läuft Gott sei Dank wunderbar . Das Modem ist einfach zu bedienen und man braucht eigentlich lediglich das Admin-Passwort zu ändern. Die Fritzbox als Modem-Lösung ist nun passé (immerhin lief dort schon das VPN).

Das ist nun die Frage. Nach meinem Verständnis habe ich an dieser Stelle dem Router die VLANs nur bekannt gemacht und dem Router noch keine IP für dieses Netzwerk zugewiesen. Siehe Konfiguration von VLAN #2 am Router (D-Link DSR-1000):

So wie es aussieht liege ich hier falsch (wäre nicht schlimm, denn dann wäre die Konfiguration viel einfacher). Wenn hier der Router bereits tatsächlich die notwendige IP erhalten hat, wie teste ich das am besten?

• Idee: Vielleicht könnte ich an dieser Stelle einen Port auf dem Router in Mode "Access" setzen und untagged auf VLAN #2, dann müsste ich mit meinem Laptop den Router in diesem VLAN ansprechen können. Werde ich morgen mal testen können.

Zu meiner Theorie der "VLAN-Deklarierung": Beispielsweise hab ich mal auf dem am Router angeschlossenen Switch zusätzlich VLAN #2 angelegt:

Wie man auf den Screenshots vom D-Link Switch sehen kann, hab ich dort zum einen auf L2-Ebene VLAN #2 deklariert und zum anderen auf L3- Ebene dieselbe IP-Adresse und Subnetzmaske vergeben wie im Router:
VLAN #2: 192.168.11.1/24

Wenn ich hier allerdings nicht nur das VLAN #2 deklariere, sondern dem Switch tatsächlich dieselbe IP wie dem Router gebe, dann hab ich allerdings ein anderes Problem: Doppelte IP-Adressen-Vergabe am Router und Switch. Aber der Switch braucht für mich nicht unbedingt eine IP im VLAN #2....

@aqui: Daher würden für mich Layer 2 Switch Funktionen ausreichen, da ich auf dem Switch zwischen den VLANs gar keine Daten austauschen möchte. Die D-Link Switche (DXS 1210 12TC) können das wohl, brauch ich aber nicht. Übrigens ist bis auf das DrayTek Modem alle Hardware von D-Link (siehe Bild Übersicht am Threadbeginn).
Dein Praxisbeispiel zu MSSID trifft den Nagel auf den Kopf: Ich möchte SSIDs auf Basis der VLANs aufsetzen, genau wie es dort beschrieben wird. Daher sollen die VLANs auch nicht miteinander reden können, da es u.a. auch ein Gästenetz geben wird und die Hardware nicht über diese SSIDs zugänglich sein soll. Der WLAN Controller D-Link DWC 1000 beherrscht genau das.

Also:

• Der Router hat wohl bereits eine Gateway-IP in jedem VLAN.
• Die beispielhafte Netzwerkadresse zu VLAN #2 im Switch muss ich entfernen da Layer 2 Funktionen ausreichen.
• Im Router müsste nur noch Routen für VLANs #2-6 angelegt werden, damit diese die Internetleitung am WAN-Port nutzen können, oder? Ich hoffe, dass der Router nicht automatisch in alle anderen VLANs routet, das will ich ja nicht.

Noch eine Frage zu DHCP:
Ich plane DHCP in VLAN #1 vom Router machen zu lassen und bei VLAN #2-6 DHCP am WLAN Controller zu aktivieren da VLANs 2-6 hauptsächlich für die SSIDs genutzt werden sollen. Würdet ihr stattdessen DHCP immer (also bei allen VLANs) am Router aktivieren?

Danke euch für eure Hilfe!

PS: Danke @aqui für die vielen Tutorials welche du geschrieben hast! Ich hab schon so viele gefunden, wo dein Name dran steht. Merci beaucoup!

Hallo lieber aqui,
vielleicht hole ich zuerst nochmals etwas mehr aus um die Unklarheiten zu beseitigen. Frag ansonsten gerne nochmal nach.

In dem öffentlichen Gebäude möchte ich 6 WLANs für unterschiedliche Nutzergruppen aufbauen. Dazu gehören z.B. weitere ehrenamtliche Mitarbeiter, technische Geräte und auch ein Gast-WLAN. Die Nutzer dieser WLANs sollen sich nicht untereinander sehen können und auch nicht die Hardware, welche den Dienst bereitstellt. Daher habe ich mir das Konzept mit den 6 VLANs überlegt: Pro SSID ein VLAN:

-> Wie man sieht habe ich die Netzwerke nun so definiert, dass am Router DHCP nun für alle VLANs aktiv ist.
-> VLAN 6 ist ein Gästenetzwerk. Die dazugehörige SSID als Captive Portal plane ich im WLAN Controller zu definieren. Zusätzlich habe ich gesehen, dass der WLAN-fähige Router ebenfalls Captive Portals unterstützt. Die Fähigkeiten diesbezüglich am Router habe ich aber noch nicht geprüft. Vermutlich reichen mir hier die Möglichkeiten des WLAN Controllers DWC 1000.

Hardwareübersicht:
Bis auf das Modem ist alles D-Link Hardware.

• DrayTek Vigor 165
• Router: D-Link DSR-1000 AC ([ftp://ftp.dlink.de/dsr/dsr-1000ac/documentation/ Doku zum Router])
• Switche:
• 2x D-Link DXS-1210-12TC ([ftp://ftp.dlink.de/dxs/dxs-1210-12tc/documentation/ Doku zum Switch])
• Der DXS 1210 kann mit Layer 3 und Layer 2 umgehen.
• 1x D-Link DGS-1100-08 ([ftp://ftp.dlink.de/dgs/dgs-1100-08/documentation/ Doku zum Switch])
• Dieser günstige Switch kann immerhin VLANs nach 802.1q, Layer 3 geht hier nicht.

WLAN Controller: D-Link DWC-1000 ([ftp://ftp.dlink.de/dwc/dwc-1000/documentation/ Doku zum Controller])

Accesspoints: D-Link DWL 6610 APE ([ftp://ftp.dlink.de/dwl/dwl-6610ape/documentation/ Doku zum AP])

Das DrayTek Vigor 165 ist lediglich nur als Modem konfiguriert und setzt das VLAN Tag 7, welches für die PPPoE bei der Telekom benötigt wird. Die Zugangsdaten (also die PPPoE-Einwahl) erfolgt am Router (dort ist das VLAN Tag 7 nicht gesetzt).


Diese Anleitung habe ich vorher auch gesehen und kann ich nur weiter empfehlen! Wie gesagt muss man nicht viel am Modem machen, weil dieses bereits als im Modem-Betrieb vorkonfiguriert geliefert wird. Feine Sache - immerhin hier läuft's wie geschmiert.

Der Router soll als Gateway für jedes VLAN dienen und die Internetverbindung bereitstellen. Wie gesagt sollen die VLANs zwar untereinander keinen Kontakt haben, aber in jedem VLAN soll man online gehen können. Die einzelnen SSIDs unterscheiden sich ebenfalls; manche haben zusätzlich MAC-Adressen-Authentifizierung (Admin, Mitarbeiter und Technik), manche sind nur zeitlich eingeschränkt verfügbar (Youth und GästeWLAN); d.h. nur an bestimmten Uhrzeiten an bestimmten Wochentagen. Da die SSID-Konfiguration erst erfolgen kann, wenn alle VLANs au auf allen Geräten angelegt wurden und die Kommunikation funktioniert, habe ich bei den Details zu den SSIDs noch gespart. Falls es hier noch Rückfragen gibt -> Gerne nachhaken .

Vorhin war ich an der Hardware und konnte ein paar Dinge erledigen, allerdings bereiten die Switche noch Kopfzerbrechen.


Danke für den Tipp! Wireshark ist eine gute Idee und werde ich ausprobieren. Heute Abend hab ich es noch der vorgeschlagenen Methodik hinbekommen:


Ich habe nun am Router wie gesagt bei allen VLANs DHCP aktiviert und mich dann über Port 4 in die unterschiedlichen VLANs geschaltet. Ich habe stets die passenden IP-Adressen zugewiesen bekommen - ein schönes Erfolgserlebnis. Noch besser wurde es, als ich gemerkt habe, dass ich bereits auch in jedem VLAN online bin. Das hatte mich gewundert, da ich noch keine Route oder so gesetzt hatte. Ich hab stattdessen folgende Funktion gefunden, welche bereits aktiv war:

Das Natting sorgt wohl automatisch dafür, dass die Pakete gleich ins Internet geleitet werden. Sehr geschickt! Bei Tests konnte ich außerdem sichergehen, dass ich keine IPs aus anderen VLANs anpingen konnte. Passt so also!
@BirdyB hatte also ganz am Anfang recht mit seiner Aussage, dass der Router ja bereits IPs im jeweiligen VLAN besitzt.

Zwischenfazit:
-> Ich mache das VLAN-Routing auf dem Router; die Switche sollen die Pakete der VLANs einfach nur weiterleiten und das Netzwerk in andere Stockwerke oder Räume erweitern.

Nun, jetzt wirds für mich kompliziert. Nun müssen die VLANs auf den Switchen und deren Ports definiert werden. Als erstes geht es um die Verbindung vom Router zum Switch im Keller. Auf dem aktualisierten Übersichtsbild ist es die gelb markierte Verbindung:

Nach meinem Verständnis müssten beide Ports dieser Verbindung im Trunk-Mode definiert werden und tagged VLAN 1-6. Auf dem Router gestaltet sich das ganze sehr übersichtlich:
Hier ist das Kabel zum Switch an Port 1 angesteckt. Dieses Kabel geht im Switch ebenfalls in Port 1. Jetzt müsste im Switch (DXS-1210-12TC) dieser Port ebenfalls der Trunk Mode mitsamt den VLANs definiert werden. Nur hier sieht das anders aus. Ich habe es erst wie folgt versucht:
So konnte ich das aber nicht abspeichern! Die Fehlermeldung lautete "Invalid VID". Dann habe ich es so probiert:
-> Ohne "native VLAN" kann ich aber keine VLANs mehr angeben, zu denen der Port gehört.
-> Außerdem macht wohl "Ingress Checking" Probleme. Das habe ich dann auf diesem und allen anderen Ports ausgeschaltet.

Letztendlich ging es so immer noch nicht: Der Router war nicht mehr erreichbar. Ich hatte mich am Switch an Port 8 angesteckt (Access Mode auf untagged Native VLAN 1) eine statische IP im VLAN 1 gegeben (DHCP vom Router ging ja nicht mehr).
Letztendlich haben wir die Option "Acceptable Frame Type" von "Tagged only" auf "Admit All" gesetzt und so konnte ich dann wieder den Router erreichen. Ob "Admit All" allerdings so gewollte ist, ist die andere Frage. Nun sieht's in diesem Switch aus wie folgt:

Könnt ihr mir hier weiterhelfen? Wie muss ich den Trunk-Mode auf Port 1 im Switch richtig konfigurieren?

Edit: Hier ist noch eine Anleitung eines ähnlichen Switches: Link
-> Dort wird beim Trunk-Port auch kein VLAN angegeben, einfach nur "Tagged only".
-> Dort wird auch erklärt was Hybrid, Access und Trunk Mode bei D-Link bedeuten.

An die Verbindung vom Switch DXS-1210-12TC (Keller) zum günstigen Switch DGS-1100-08 auf der Empore) habe ich mich ebenfalls rangewagt, allerdings ist hier die Konfigurationsübersicht nochmals anders. Mir ist hier noch nicht klar, wo ich den Trunk Mode einstellen kann; da muss ich wohl erst noch das dazugehörigen Handbuch lesen:

Ich hoffe, dass dieses Mal klar wurde, was ich vorhabe. Fragt gerne nach bei Rückfragen - ich danke euch wirklich sehr für Eure Zeit und Unterstützung!

Hey BirdyB,

bei den D-Link-Switchen muss man das in 2 Schritten machen. Ich habe dazu folgende Anleitung auf dem [ftp://ftp.dlink.de/dxs/dxs-1210-12tc/documentation/DXS-1210_HowTo/ FTP Server von D-Link] gefunden, auf meine Switche DXS 1210 12TC zutrifft: [ftp://ftp.dlink.de/dxs/dxs-1210-12tc/documentation/DXS-1210_HowTo/DXS-1210-12TC_HowTo_VLAN-802_1q_Konfiguration_RevB.pdf Anleitung]

Siehe Punkt 3.: Man muss zuerst einmal die VLANs anlegen, bevor man sie in einem nächsten Schritt den Ports zuweisen kann. Zwar sieht man bei Schritt 2 unter "802.1Q VLAN" bei welchen Ports ein VLAN konfiguriert wurde, dort kann man aber keine Änderungen am Port vornehmen.

Beispiel der Anleitung:

Danach kann man bei "VLAN Interface" die Ports konfigurieren. Siehe dazu als Beispiel Punkt 4 der Anleitung:

Nun möchte ich ja wie gesagt einen Port als Trunk Port definieren. Trunk bedeutet hier für mich nicht LAG (Link Aggregation), sondern ich möchte über einen Port / Kabel mehrere VLANs transportieren. Hierzu war ja noch verständlicherweise die Frage offen

Nun das Interessante bzw. Nervige: Bei dem D-Link Switch gibt es diesen Hybrid-Modus zusätzlich. Normalerweise würde ich ja klar den Trunk-Modus wählen, da hat bei mir aber wie beschrieben zu Problemen geführt. Im verlinkten D-Link Beispiel wird hier der Hybrid-Modus gewählt:

Es lohnt sich wohl, die Modi bei D-Link etwas genauer anzuschauen. Zu Access, Trunk und Hybrid habe ich bei D-Link dazu folgendes gefunden: Quelle

Der Hybrid Modus ist dann also hilfreich, wenn Pakete, die ins VLAN 1 gehören, das dafür notwendige Tag noch nicht haben. Das sollte in meinem Fall aber so nicht sein, da angeschlossene Clients über den Access Mode dank native vlan = VLAN 1 das nötige Tag erhalten.
Folglich ist aus meiner Sicht immer noch der Trunk Modus mit Tagged VLANs 1-6 das richtige. Warum es bei einem Test vor ein paar Tagen fehlgeschlagen ist, weiß ich allerdings nicht genau. Wie gesagt vermute ich hier, dass die Option "Ingress Checking" Probleme macht.

Port 1 mit Verbindung zum anderen Switch müsste im Trunk Modus dann eigentlich nach diesem Prinzip definiert werden, oder?
- Ingress Checking würde ich ausmachen
- Komisch ist hier aber, dass ich keine VLANs angeben kann, welche dem Port gehören. Einfach nur "all". Daher verwirrt es mich bei D-Link dass ich bei Hybrid dann die erlaubten tagged VLANs angeben kann.

=> Solche Unstimmigkeiten sorgen dann bei mir dafür, dass diese Konfiguration leider nicht in 15 min erledigt ist, sondern viele Abende, Wochenenden und Stunden verschlungen hat (dafür gab es auch noch viele andere Grüße; die Liste ist lang; VLAN ist nur ein Thema). Bin schon lange dran an dem Projekt

Genau testen kann ich es gerade nicht; bin ein paar Tage unterwegs und komme erst danach wieder an die Hardware

Hi aqui,

Vielen Dank für die deine Vorschläge! Die von dir vorgeschlagenen IP Ranges sehen sehr gut aus. Ich bin noch am Überlegen, ob / wann ich das nun Umstellen soll. Die Idee mit 3. Oktett = VLAN ID ist auf jeden Fall super! Ich würde gerade eher an den VLANs und anschließend der SSID Config arbeiten wllen, um endlich mal nach so langer Zeit die WLAN-Netze produktiv zu bekommen. Sonst müsste ich jetzt nochmals jedes Hardwaregerät einzeln anpassen und anschließend testen, ob es wieder erreichbar ist. Aber wie gesagt, sehr nützlich.

pfsense habe ich mir mal etwas genauer angeschaut. Hier spielen Aufwand, Kosten, Zeit und Einfachkeit der Administrierung für mich eine Rolle. Schließlich soll ich in Zukunft nicht der einzige sein, der weiß wie man mit putty auf das kleine Hardwaregerät kommt. Da sind für Teamkollegen, die teilweise noch weniger Knowhow haben, die Konfigurationsmöglichkeiten über das Webportal des Routers wohl erst mal die bessere Lösung. Sicherheit ist allerdings wichtig; daher ist nun ein offener Punkt auf meiner Liste die Prüfung der Sicherung auf dem Router mit ACLs bzw. Prüfung, welche Firewall Optionen der Router bietet.

Zumindest das mal auf die schnelle, dazu kann ich später gerne noch ausführlicher eingehen.

Und vielen Dank für die Links; die Schnellanleitung hat ein paar Feinheiten noch mal geschärft und war hilfreich

Merci