Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Default Gateway mit mehreren VLANs

Mitglied: Eleandro

Eleandro (Level 1) - Jetzt verbinden

06.06.2020, aktualisiert 08.06.2020, 588 Aufrufe, 15 Kommentare

Hallo liebes Forum,

nachdem ich schon länger mitgelesen habe und viele der nützlichen Anleitungen gelesen habe, möchte ich nun meine erste Frage stellen weil es dann doch manchmal Stellen gibt, an denen ich nicht weiterkomme. Ich freue mich hier dabei zu sein und bin gespannt wie's weiter geht.

In einem öffentlichen Gebäude baue ich ehrenamtlich Internet + WLAN auf, wobei ich mich bei vielem mittlerweile mehr einarbeiten musste als am Anfang gedacht. Aktuell geht's darum, das neue Modem anzuschließen (Fritzbox als Modem hat nicht funktioniert), VLANs anzulegen und die Ports zu konfigurieren. Da kommen wohl noch mehr Fragen auf, aber nun hätte ich speziell zu den VLANs eine Frage:
-> Wie kann man aus unterschiedlichen VLANs auf das Default Gateway des Routers zugreifen?

Worum geht's? Hier mal eine Übersicht:
Übersicht-architektur-20200606 - Klicke auf das Bild, um es zu vergrößern

-> Die VLANs sollen nicht miteinander kommunizieren können. Die SSIDs setzen auf den VLANs auf.
-> Jedes VLAN soll Internetzugang durch den Router erhalten; genauer gesagt brauchen andere VLANs Zugriff auf den WAN-Port.

Nun wurden die VLANs im Router bereits angelegt:
router-vlans - Klicke auf das Bild, um es zu vergrößern

Als ich nun im WLAN-Controller VLAN #2 anlegen wollte, kommt der Fehler "Default Gateway must be (in same) VLAN":
controller-error-default-gateway - Klicke auf das Bild, um es zu vergrößern

Ist ja auch klar, denn die IP vom Router (VLAN #1) befindet sich nicht im Netzwerk von VLAN #2. Aber dazu ist ja ein Router da: Mehrere VLANs zu verbinden / überbrücken. Daher hab ich mich gefragt, wie man dem Router eine IP im jeweiligen VLAN geben kann, damit er dort als Default Gateway angesprochen werden kann. Aktuell ist der Router mit der IP 192.168.10.1/24 ja nicht aus dem Netzwerk 192.168.11.1/24 erreichbar. Meine Idee war dazu es mit einem Routing Eintrag zu versuchen, was ich allerdings noch nicht testen konnte (Modem fehlt noch, wird in Kürze angeschlossen):
router-routing-entry - Klicke auf das Bild, um es zu vergrößern

Kann das so funktionieren oder gibt es da eine andere Möglichkeit?

Edit: Bilder formatiert
Mitglied: BirdyB
06.06.2020 um 07:04 Uhr
Moin,
so wie ich das sehe hat dein Router doch in jedem VLAN eine IP. Laut Screenshot:
192.168.10.1
192.168.11.1
192.168.12.1
usw.
Und diese IP ist dann auch das Gateway für die Clients im entsprechenden VLAN. Die DHCP-Konfiguration musst du für jedes VLAN unterschiedlich vornehmen mit dem passenden Gateway.

VG
Bitte warten ..
Mitglied: aqui
06.06.2020 um 08:43 Uhr
Zuallererst einmal bei im Text eingebundenen Bildern an der richtigen Textstelle das "+" klicken um das Bild einzubinden !
Es ist etwas nervig und sehr unübersichtlich und dadurch verwirrend immer nach unten scrollen zu müssen um das richtige Bild zuordnen zu müssen.
FAQs lesen hilft und zudem kann man das auch immer noch nachträglich korrigieren !
Zurück zum Thema...

baue ich ehrenamtlich Internet + WLAN auf,
Sehr löblich und Respekt dafür !
Generell und bevor wir ins Eingemachte gehen, solltest du erstmal klären ob du dein VLAN Design als Layer 3 Design auslegen willst, also das du einen zentralen Layer 3 Routimng Switch mit ACL Funktion hast der die VLANs routet oder ob du das mit einem externen Router bzw. Firewall machst und der Switch hier rein nur als Layer 2 VLAN Switch arbeitet.
Das hängt natürlich auch primär von deiner Switchhardware ab !
Hast du keinen Layer 3 (Routing) fähigen Switch ist so oder so die erste Option dann vollkommen obsolet und nur die zweite umsetzbar. Leider machst du wenig Angaben zu den Fähigkeiten deiner Hardware.
Da eine deiner Vorgaben ist das die VLANs nicht untereinander kommunizieren kann man wohl davon ausgehen das du dann so oder so immer die zweite Variante bevorzugst.

Dieses VLAN Design der zweiten Variante wird vollständig unter Beantwortung ALLER deiner Fragen in diesem Foren Tutorial beschrieben:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
Die Frage ist ob du das gelesen und verstanden hast ?
Das Tutorial inkludiert ein simples Standard Design das deinem entspricht und die Konfigs der gängigsten einfachen Websmart Switches. Man muss also eigentlich nur abtippen.
Die Integartion von MSSID WLANs bzw. VLANs beschreibt zudem ein eigenes Kapitel mit dem Praxisbeispiel !
Fazit:
Bitte lies dir dieses Tutorial genau durch, denn es passt 1:1 auf deine Anforderung. Sollten dennoch Fragen aufkommen dann gezielt hier stellen.
Bitte warten ..
Mitglied: NordicMike
06.06.2020 um 09:08 Uhr
Meine Idee war dazu es mit einem Routing Eintrag zu versuchen

Birdy hat schon alles gesagt, nur noch zur Aufklärung:
Damit ein Router iigendwas routen kann, muss er auch von den Clients angesprochen werden. Das wird durch die Standardgateway und Netzmaske im Client definiert.

Hat ein Client die IP 192.168.12.45 Mit Netzmaske 255.255.255.0, dann wird er alle Geräte im Netz direkt ohne Router ansprechen, die sich im Netzwerkbereich 192.168.12.xxx befinden. Die Netzmaske bestimmt wie groß das lokale Netzwerk ist und in diesem Fall müssen die ersten 3 Zahlen der IP Nummer übereinstimmen. Wenn er also ins Internet will oder in ein anderes VLAN, ist die Zieladresse nicht mehr im 192.168.12.x bereich, sondern er muss irgendein Gerät fragen, das er ihm die Daten gibt. Das macht der Gateway Eintrag. Bekommt der Client das Gateway 192.168.12.1, wird er immer diesen Router fragen (weil er diese IP Adresse hat), sobald sich eine Zieladresse nicht mehr in seinem Bereich 192.168.12.x befindet. Würdest du das Gateway nicht übermitteln, würde der Client niemals den 192.168.12.1 fragen und damit kann der Router routen, was er möchte, er wird dann gar nicht angesprochen.

Also musst du dafür sorgen, dass jeder Client eine passende DHCP Adresse und Gateway Einstellung bekommt z.B.

Client im VLAN 4 bekommt die IP 192.168.14.57 mit dem Gateway 192.168.14.1
Client im VLAN 5 bekommt die IP 192.168.15.134 mit dem Gateway 192.168.15.1

Das geht nur, indem Du im Router, in jedem VLAN einen DHCP Dienst aktivierst, der nur den Adressbereich (und Netzmasken und Gatewayeinstellungen) für seinen eigenen VLAN Bereich vergibt. Bei 5 VLANs sind es dann also 5 DHCP Dienste, die du konfigurieren musst.
Bitte warten ..
Mitglied: NordicMike
06.06.2020 um 09:10 Uhr
Und aqui war schneller.... :c)
Bitte warten ..
Mitglied: aqui
06.06.2020, aktualisiert um 09:42 Uhr
Egal...doppelt hält besser !

Jetzt muss der TO nur noch lesen und verstehen... Besonders das Thema IP Subnetzmasken:
https://de.wikipedia.org/wiki/Netzmaske
https://de.wikipedia.org/wiki/Subnetz
Und ggf. das Routing Grundlagen Tutorial hier im Forum:
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...
Wie bereits gesagt: Lesen und verstehen...dann nachdenken und umsetzen !
Bitte warten ..
Mitglied: Eleandro
06.06.2020 um 21:32 Uhr
Vielen Dank für eure Antworten!! Ich melde mich bald wieder.
Bitte warten ..
Mitglied: aqui
06.06.2020 um 22:14 Uhr
Wir sind gespannt...!
Bitte warten ..
Mitglied: Eleandro
08.06.2020 um 03:18 Uhr
Hi zusammen,

hab ein wenig gebraucht um eure Antworten und Links zu lesen . Ich war auch zwischendurch vor Ort (VPN ist noch nicht konfiguriert) und hab das neue DrayTek-Modem angeschlossen - läuft Gott sei Dank wunderbar . Das Modem ist einfach zu bedienen und man braucht eigentlich lediglich das Admin-Passwort zu ändern. Die Fritzbox als Modem-Lösung ist nun passé (immerhin lief dort schon das VPN).

Zitat von BirdyB:
Moin,
so wie ich das sehe hat dein Router doch in jedem VLAN eine IP. Laut Screenshot:
192.168.10.1
192.168.11.1
192.168.12.1
usw.
Und diese IP ist dann auch das Gateway für die Clients im entsprechenden VLAN. Die DHCP-Konfiguration musst du für jedes VLAN unterschiedlich vornehmen mit dem passenden Gateway.
Das ist nun die Frage. Nach meinem Verständnis habe ich an dieser Stelle dem Router die VLANs nur bekannt gemacht und dem Router noch keine IP für dieses Netzwerk zugewiesen. Siehe Konfiguration von VLAN #2 am Router (D-Link DSR-1000):
router-vlan#2 - Klicke auf das Bild, um es zu vergrößern

So wie es aussieht liege ich hier falsch (wäre nicht schlimm, denn dann wäre die Konfiguration viel einfacher). Wenn hier der Router bereits tatsächlich die notwendige IP erhalten hat, wie teste ich das am besten?
  • Idee: Vielleicht könnte ich an dieser Stelle einen Port auf dem Router in Mode "Access" setzen und untagged auf VLAN #2, dann müsste ich mit meinem Laptop den Router in diesem VLAN ansprechen können. Werde ich morgen mal testen können.

Zu meiner Theorie der "VLAN-Deklarierung": Beispielsweise hab ich mal auf dem am Router angeschlossenen Switch zusätzlich VLAN #2 angelegt:
switch-vlans - Klicke auf das Bild, um es zu vergrößern

Wie man auf den Screenshots vom D-Link Switch sehen kann, hab ich dort zum einen auf L2-Ebene VLAN #2 deklariert und zum anderen auf L3- Ebene dieselbe IP-Adresse und Subnetzmaske vergeben wie im Router:
VLAN #2: 192.168.11.1/24

Wenn ich hier allerdings nicht nur das VLAN #2 deklariere, sondern dem Switch tatsächlich dieselbe IP wie dem Router gebe, dann hab ich allerdings ein anderes Problem: Doppelte IP-Adressen-Vergabe am Router und Switch. Aber der Switch braucht für mich nicht unbedingt eine IP im VLAN #2....

@aqui: Daher würden für mich Layer 2 Switch Funktionen ausreichen, da ich auf dem Switch zwischen den VLANs gar keine Daten austauschen möchte. Die D-Link Switche (DXS 1210 12TC) können das wohl, brauch ich aber nicht. Übrigens ist bis auf das DrayTek Modem alle Hardware von D-Link (siehe Bild Übersicht am Threadbeginn).
Dein Praxisbeispiel zu MSSID trifft den Nagel auf den Kopf: Ich möchte SSIDs auf Basis der VLANs aufsetzen, genau wie es dort beschrieben wird. Daher sollen die VLANs auch nicht miteinander reden können, da es u.a. auch ein Gästenetz geben wird und die Hardware nicht über diese SSIDs zugänglich sein soll. Der WLAN Controller D-Link DWC 1000 beherrscht genau das.

Also:
  • Der Router hat wohl bereits eine Gateway-IP in jedem VLAN.
  • Die beispielhafte Netzwerkadresse zu VLAN #2 im Switch muss ich entfernen da Layer 2 Funktionen ausreichen.
  • Im Router müsste nur noch Routen für VLANs #2-6 angelegt werden, damit diese die Internetleitung am WAN-Port nutzen können, oder? Ich hoffe, dass der Router nicht automatisch in alle anderen VLANs routet, das will ich ja nicht.

Noch eine Frage zu DHCP:
Ich plane DHCP in VLAN #1 vom Router machen zu lassen und bei VLAN #2-6 DHCP am WLAN Controller zu aktivieren da VLANs 2-6 hauptsächlich für die SSIDs genutzt werden sollen. Würdet ihr stattdessen DHCP immer (also bei allen VLANs) am Router aktivieren?

Danke euch für eure Hilfe!

PS: Danke @aqui für die vielen Tutorials welche du geschrieben hast! Ich hab schon so viele gefunden, wo dein Name dran steht. Merci beaucoup!
Bitte warten ..
Mitglied: aqui
08.06.2020, aktualisiert um 10:39 Uhr
Das Modem ist einfach zu bedienen und man braucht eigentlich lediglich das Admin-Passwort zu ändern.
Wichtig ist hier nur das du den Vigor auch im NUR Modem Betrieb (Bridge Mode) konfiguriert hast. Sollten sie aber im Default auch sein:
https://idomix.de/supervectoring-draytek-vigor-165-als-modem-einrichten
wie teste ich das am besten?
Schliesse einen Wireshark Sniffer an und sieh dir die Pakete an die vom Router kommen ! Initiiere z.B. einfach mal einen Ping irgendwohin.
Der Router sendet dann Pakete aus die ein 802.1q VLAN Tag haben was dir der Wireshark anzeigt. Hier mal eim Beispiel VLAN ID 14:

vlansniff14 - Klicke auf das Bild, um es zu vergrößern

Damit weisst du dann wasserdicht das der Router die richtigen VLANs inklusive Tags dort richtig aussendet.
Der Switch der dann dort an den Port angeschlossen wird muss dann ebenfalls entsprechend diese VLANs eingerichtet haben und die an dem Switch Anschlussport auch getaggt eingestellt haben.
Zur Not nochmal schnell die VLAN Schnellschulung dazu lesen.
Oder nochmal einen Blick in das hiesige VLAN_Tutorial werfen was alle Details zu so einem Setup ganz genau im Detail erklärt mit bunten Bildern.
Wie gesagt, der Wireshark ist hier wie immer dein Freund.
auf dem Router in Mode "Access" setzen und untagged auf VLAN #2, dann müsste ich mit meinem Laptop den Router in diesem VLAN ansprechen können.
Ginge auch. Der Test müsste auch nach diesem Muster klappen:
vlan-einfach - Klicke auf das Bild, um es zu vergrößern
Test Laptops in den 3 VLANs am Switch (untagged Port) müssten über den Tagged Uplink auf den Router die jeweiligen Router IP Interfaces in den VLANs pingen können. Das ist richtig.

Doppelt IPs gehen natürlich nicht, das ist klar. Ein NoGo in einem IP Netzwerk.
Dein Switch hat aber in einem der VLANs seine Management IP Adresse um den Switch zu warten und zu konfigurieren. Die ist natürlich wichtig !
Üblich liegt die im VLAN 1. Gute Switche lassen aber zu sie wahlfrei über die Konfig ins VLAN seiner Wahl zu setzen !
Du musst hier auch ganz klar unterscheiden ob du das VLAN Routing auf dem externen Router machst oder auf dem Switch. Letzteres erzwingt dann aber einen Layer 3 (Routing) Switch und ein völlig anderes Layer 3 Konzept wie du es HIER sehen kannst !
Hängt also immer von der Hardware ab und...was du genau umsetzen willst. Leider machst du ja zur Switch Hardware und deinem Konzept keinerlei Angaben.
Wir gehen also mal vom simplen Klasisker aus hier das du einen einfachen Layer 2 only VLAN Switch hast und die VLANs Routing technisch (Layer 3) auf dem externen Router terminierst. Genau so wie es das o.a. VLAN Tutorial beschreibt. In der Hoffnung das das so deiner Planung entspricht und den 3 oben aufgeführten Punkten entspricht.
Noch eine Frage zu DHCP:
Solltest du nicht machen. Du hast dann unterschiedliche Komponenten die einen eigentlich zentralen Dienst managen. Das ist generell keine gute Idee. Allein schon aus Wartungs- und Troubleshooting Gründen. Besser ist es wenn du DHCP irgendwo zentral etablierst und da bietet sch dann der Router an als zentrale Instanz.
Bitte warten ..
Mitglied: Eleandro
09.06.2020, aktualisiert um 02:59 Uhr
Hallo lieber aqui,
vielleicht hole ich zuerst nochmals etwas mehr aus um die Unklarheiten zu beseitigen. Frag ansonsten gerne nochmal nach.

In dem öffentlichen Gebäude möchte ich 6 WLANs für unterschiedliche Nutzergruppen aufbauen. Dazu gehören z.B. weitere ehrenamtliche Mitarbeiter, technische Geräte und auch ein Gast-WLAN. Die Nutzer dieser WLANs sollen sich nicht untereinander sehen können und auch nicht die Hardware, welche den Dienst bereitstellt. Daher habe ich mir das Konzept mit den 6 VLANs überlegt: Pro SSID ein VLAN:
netzwerke - Klicke auf das Bild, um es zu vergrößern

-> Wie man sieht habe ich die Netzwerke nun so definiert, dass am Router DHCP nun für alle VLANs aktiv ist.
-> VLAN 6 ist ein Gästenetzwerk. Die dazugehörige SSID als Captive Portal plane ich im WLAN Controller zu definieren. Zusätzlich habe ich gesehen, dass der WLAN-fähige Router ebenfalls Captive Portals unterstützt. Die Fähigkeiten diesbezüglich am Router habe ich aber noch nicht geprüft. Vermutlich reichen mir hier die Möglichkeiten des WLAN Controllers DWC 1000.

Hardwareübersicht:
Bis auf das Modem ist alles D-Link Hardware.
  • DrayTek Vigor 165
  • Router: D-Link DSR-1000 AC (Doku zum Router)
  • Switche:
        • 2x D-Link DXS-1210-12TC (Doku zum Switch)
                • Der DXS 1210 kann mit Layer 3 und Layer 2 umgehen.
        • 1x D-Link DGS-1100-08 (Doku zum Switch)
                • Dieser günstige Switch kann immerhin VLANs nach 802.1q, Layer 3 geht hier nicht.
  • WLAN Controller: D-Link DWC-1000 (Doku zum Controller)
  • Accesspoints: D-Link DWL 6610 APE (Doku zum AP)

  • Das DrayTek Vigor 165 ist lediglich nur als Modem konfiguriert und setzt das VLAN Tag 7, welches für die PPPoE bei der Telekom benötigt wird. Die Zugangsdaten (also die PPPoE-Einwahl) erfolgt am Router (dort ist das VLAN Tag 7 nicht gesetzt).

    Zitat von aqui:
    Wichtig ist hier nur das du den Vigor auch im NUR Modem Betrieb (Bridge Mode) konfiguriert hast. Sollten sie aber im Default auch sein:
    https://idomix.de/supervectoring-draytek-vigor-165-als-modem-einrichten

    Diese Anleitung habe ich vorher auch gesehen und kann ich nur weiter empfehlen! Wie gesagt muss man nicht viel am Modem machen, weil dieses bereits als im Modem-Betrieb vorkonfiguriert geliefert wird. Feine Sache - immerhin hier läuft's wie geschmiert.

    Der Router soll als Gateway für jedes VLAN dienen und die Internetverbindung bereitstellen. Wie gesagt sollen die VLANs zwar untereinander keinen Kontakt haben, aber in jedem VLAN soll man online gehen können. Die einzelnen SSIDs unterscheiden sich ebenfalls; manche haben zusätzlich MAC-Adressen-Authentifizierung (Admin, Mitarbeiter und Technik), manche sind nur zeitlich eingeschränkt verfügbar (Youth und GästeWLAN); d.h. nur an bestimmten Uhrzeiten an bestimmten Wochentagen. Da die SSID-Konfiguration erst erfolgen kann, wenn alle VLANs au auf allen Geräten angelegt wurden und die Kommunikation funktioniert, habe ich bei den Details zu den SSIDs noch gespart. Falls es hier noch Rückfragen gibt -> Gerne nachhaken .

    Vorhin war ich an der Hardware und konnte ein paar Dinge erledigen, allerdings bereiten die Switche noch Kopfzerbrechen.

    Zitat von aqui:
    wie teste ich das am besten?
    Schliesse einen Wireshark Sniffer an und sieh dir die Pakete an die vom Router kommen ! Initiiere z.B. einfach mal einen Ping irgendwohin.
    Der Router sendet dann Pakete aus die ein 802.1q VLAN Tag haben was dir der Wireshark anzeigt. Hier mal eim Beispiel VLAN ID 14:

    vlansniff14 - Klicke auf das Bild, um es zu vergrößern

    Damit weisst du dann wasserdicht das der Router die richtigen VLANs inklusive Tags dort richtig aussendet.
    Der Switch der dann dort an den Port angeschlossen wird muss dann ebenfalls entsprechend diese VLANs eingerichtet haben und die an dem Switch Anschlussport auch getaggt eingestellt haben.

    Danke für den Tipp! Wireshark ist eine gute Idee und werde ich ausprobieren. Heute Abend hab ich es noch der vorgeschlagenen Methodik hinbekommen:

    Zitat von aqui:
    auf dem Router in Mode "Access" setzen und untagged auf VLAN #2, dann müsste ich mit meinem Laptop den Router in diesem VLAN ansprechen können.
    Ginge auch. Der Test müsste auch nach diesem Muster klappen:
    vlan-einfach - Klicke auf das Bild, um es zu vergrößern
    Test Laptops in den 3 VLANs am Switch (untagged Port) müssten über den Tagged Uplink auf den Router die jeweiligen Router IP Interfaces in den VLANs pingen können. Das ist richtig.

    Ich habe nun am Router wie gesagt bei allen VLANs DHCP aktiviert und mich dann über Port 4 in die unterschiedlichen VLANs geschaltet. Ich habe stets die passenden IP-Adressen zugewiesen bekommen - ein schönes Erfolgserlebnis. Noch besser wurde es, als ich gemerkt habe, dass ich bereits auch in jedem VLAN online bin. Das hatte mich gewundert, da ich noch keine Route oder so gesetzt hatte. Ich hab stattdessen folgende Funktion gefunden, welche bereits aktiv war:
    router-nat-settings - Klicke auf das Bild, um es zu vergrößern

    Das Natting sorgt wohl automatisch dafür, dass die Pakete gleich ins Internet geleitet werden. Sehr geschickt! Bei Tests konnte ich außerdem sichergehen, dass ich keine IPs aus anderen VLANs anpingen konnte. Passt so also!
    @BirdyB hatte also ganz am Anfang recht mit seiner Aussage, dass der Router ja bereits IPs im jeweiligen VLAN besitzt.

    Zwischenfazit:
    Zitat von aqui:
    Du musst hier auch ganz klar unterscheiden ob du das VLAN Routing auf dem externen Router machst oder auf dem Switch.
    -> Ich mache das VLAN-Routing auf dem Router; die Switche sollen die Pakete der VLANs einfach nur weiterleiten und das Netzwerk in andere Stockwerke oder Räume erweitern.

    Nun, jetzt wirds für mich kompliziert. Nun müssen die VLANs auf den Switchen und deren Ports definiert werden. Als erstes geht es um die Verbindung vom Router zum Switch im Keller. Auf dem aktualisierten Übersichtsbild ist es die gelb markierte Verbindung:
    Übersicht-architektur-20200609 - Klicke auf das Bild, um es zu vergrößern

    Nach meinem Verständnis müssten beide Ports dieser Verbindung im Trunk-Mode definiert werden und tagged VLAN 1-6. Auf dem Router gestaltet sich das ganze sehr übersichtlich:
    router-port-vlan-list - Klicke auf das Bild, um es zu vergrößern
    Hier ist das Kabel zum Switch an Port 1 angesteckt. Dieses Kabel geht im Switch ebenfalls in Port 1. Jetzt müsste im Switch (DXS-1210-12TC) dieser Port ebenfalls der Trunk Mode mitsamt den VLANs definiert werden. Nur hier sieht das anders aus. Ich habe es erst wie folgt versucht:
    switch-keller-port1-tagged-native-vlan - Klicke auf das Bild, um es zu vergrößern
    So konnte ich das aber nicht abspeichern! Die Fehlermeldung lautete "Invalid VID". Dann habe ich es so probiert:
    switch-keller-port1-tagged-no-native-vlan - Klicke auf das Bild, um es zu vergrößern
    -> Ohne "native VLAN" kann ich aber keine VLANs mehr angeben, zu denen der Port gehört.
    -> Außerdem macht wohl "Ingress Checking" Probleme. Das habe ich dann auf diesem und allen anderen Ports ausgeschaltet.

    Letztendlich ging es so immer noch nicht: Der Router war nicht mehr erreichbar. Ich hatte mich am Switch an Port 8 angesteckt (Access Mode auf untagged Native VLAN 1) eine statische IP im VLAN 1 gegeben (DHCP vom Router ging ja nicht mehr).
    Letztendlich haben wir die Option "Acceptable Frame Type" von "Tagged only" auf "Admit All" gesetzt und so konnte ich dann wieder den Router erreichen. Ob "Admit All" allerdings so gewollte ist, ist die andere Frage. Nun sieht's in diesem Switch aus wie folgt:
    switch-keller-Übersicht-ports-config - Klicke auf das Bild, um es zu vergrößern

    Könnt ihr mir hier weiterhelfen? Wie muss ich den Trunk-Mode auf Port 1 im Switch richtig konfigurieren?

    Edit: Hier ist noch eine Anleitung eines ähnlichen Switches: Link
    -> Dort wird beim Trunk-Port auch kein VLAN angegeben, einfach nur "Tagged only".
    -> Dort wird auch erklärt was Hybrid, Access und Trunk Mode bei D-Link bedeuten.

    An die Verbindung vom Switch DXS-1210-12TC (Keller) zum günstigen Switch DGS-1100-08 auf der Empore) habe ich mich ebenfalls rangewagt, allerdings ist hier die Konfigurationsübersicht nochmals anders. Mir ist hier noch nicht klar, wo ich den Trunk Mode einstellen kann; da muss ich wohl erst noch das dazugehörigen Handbuch lesen:
    switch-empore-Übersicht-vlans - Klicke auf das Bild, um es zu vergrößern

    Ich hoffe, dass dieses Mal klar wurde, was ich vorhabe. Fragt gerne nach bei Rückfragen - ich danke euch wirklich sehr für Eure Zeit und Unterstützung!
    Bitte warten ..
    Mitglied: BirdyB
    09.06.2020 um 07:34 Uhr
    Moin,

    ich glaube, du bist bei der VLAN-Konfigguration an der falschen Stelle unterwegs. Ich kenne mich mit den D-Link-Geräten nicht so gut aus, aber schau mal hier:
    greenshot 2020-06-09 07.32.46 - Klicke auf das Bild, um es zu vergrößern
    Dort müsstest du mit der Port-VLAN-Zuordnung weiterkommen.
    Bitte warten ..
    Mitglied: aqui
    09.06.2020, aktualisiert um 10:12 Uhr
    Daher habe ich mir das Konzept mit den 6 VLANs überlegt:
    Soweit OK und richtig. Hilfreich für dich und das Management wäre sicher wenn du die VLAN ID in das 3te Byte der Netzwerk Adresse eincodierst. Das ist generell üblich und erleichtert das Management. Zudem lässt man zwischen den VLAN IDs imm etwas "kreativen" Platz um ggf. später bei Erweiterungen eine logische Reihenfolge zu gewährleisten. Das ist aber rein kosmetisch und hat mit der reinen Technik nichts zu tun. In Bezug auch auf spätere Fernwartung oder Fernzugriff (Home Office) mit VPN (du setzt ja einen aktiven VPN Router ein) solltest du ggf. nicht diese banalen Allerwelts IPs verwenden. Der RFC 1918 Standard bietet dir da genug Gestaltungsspielraum bei der Adressierung. Tips dazu findest du HIER.
    Beispiel:
    VLAN 1 = 172.16.1.0 /24
    VLAN 10 = 172.16.10.0 /24
    VLAN 20 = 172.16.20.0 /24
    VLAN 30 = 172.16.30.0 /24
    VLAN 40 = 172.16.40.0 /24
    VLAN 50 = 172.16.50.0 /24
    Dein Grunddesign ist dann auch mit den reinen Layer 2 VLAN Switches vorgegeben und entspricht ja dann auch der Annahme von oben. Ein klassisches Standard Design also mit dem du auch nichts falsch machst.
    Ein Punkt gibt es aber zu beachten:
    Du sprichst die strikte Trennung der VLANs an, was ja auch absolut OK ist und eine normale Anforderung. Dazu ist aber auf dem Router eine gute Firewall notwenig, denn du musst dort entsprechende Regeln definieren. Es fragt sich dann ob ein Router hier die richtige Wahl ist oder man deshalb nicht sinnvollerweise eine potente Firewall verwendet !
    Ein Router hat meist keine stateful Regeln im lokalen LAN und nur Accesslisten. Dadurch das du so oder so schon ein sehr gutes NUR Modem mit dem Vigor 165 eingeplant hast, hast du ja ideale Voraussetzungen. Die Firewall bietet dir alle Arten von VPN Protokollen, ein Captive_Portal mit Einmalpasswörtern (Hotspot) für Gäste plus einem Radius Server für die sichere Benutzer_Authentisierung. Das solltest du also ggf. nochmal gut überdenken. Rein technisch ist der D-Link Router aber auch nicht falsch.
    allerdings bereiten die Switche noch Kopfzerbrechen.
    Warum das ?? Die sind ja nun das Allereinfachste in dem ganzen Design...
    • VLAN IDs anlegen
    • Tagged Uplinks definieren
    • Ports zuweisen
    • Fertisch
    Das ist im Switch GUI ja in 15 Minuten bei deiner doch sehr überschaubaren Anzahl an VLANs in max. 10 Minuten erledigt. Wo ist hier also dein wirkliches Problem ?
    Heute Abend hab ich es noch der vorgeschlagenen Methodik hinbekommen:
    Ich habe stets die passenden IP-Adressen zugewiesen bekommen - ein schönes Erfolgserlebnis.
    Also...klappt doch !
    Das hatte mich gewundert, da ich noch keine Route oder so gesetzt hatte.
    Wieso hat dich das als Netzwerker gewundert ?? Dein D-Link Router "kennt" doch alle Netze. Logisch, denn sie sind ja alle direkt an ihm angeschlossen. Statische Routen wären also Blödsinn, da überflüssig. Die müsstest du ja nur definieren für IP Netze die der Router eben nicht kennt, was bei dir ja gar nicht vorkommt. Die Default Route bekommt der D-Link automatisch vom Provider. Wozu also noch den Unsinn und "Routen setzen" ?? Works as designed !!
    Das Natting sorgt wohl automatisch dafür, dass die Pakete gleich ins Internet geleitet werden.
    Nein das ist auch Unsinn.
    NAT ist die IP Adress Translation die deine internen und nicht routebaren IP Netze (RFC 1918 private IPs werden im Internet NICHT geroutet !) auf eine öffentliche IP Adresse am WAN Port des Routers übersetzen. Das, und nur das, ist NAT !!
    Siehe auch: https://de.wikipedia.org/wiki/Netzwerkadress%C3%BCbersetzung
    Ins Internet "geleiten" tun immer nur IP Routen. Hier die Default Route zum Provider die dieser deinem Router automatisch per PPPoE mitteilt.
    Solche Allerwelts Banalitäten solltest du aber auch als Netzwerk Profi kennen wenn du solche Projekte wie deins wuppst !!
    die Switche sollen die Pakete der VLANs einfach nur weiterleiten und das Netzwerk in andere Stockwerke oder Räume erweitern.
    Etwas anderes können sie ja auch gar nicht als einfache Layer 2 VLAN Switches !! Ggf. noch deine Zugangssteuerung mit 802.1x_Port_Security was du ja noch auf der Agenda hattest.
    Nun, jetzt wirds für mich kompliziert. Als erstes geht es um die Verbindung vom Router zum Switch im Keller.
    Was bitte ist daran kompliziert ?? Wie bereits oben steht:
    • VLAN IDs anlegen
    • Tagged Uplinks definieren und VLANs tagged darauf legen.
    • Einen Tagged Uplink an den Router anschliessen, den anderen Tagged Uplink zum 2ten Switch verbinden
    • Untagge Endgeräte Ports den VLANs zuweisen
    • Fertisch
    Wie gesagt...maximal 15 Minuten.
    müssten beide Ports dieser Verbindung im Trunk-Mode definiert werden
    Hier musst du etwas aufpassen mit der Nomenklatur. Das Wort "Trunk" ist leider doppeldeutig !
    Der Hersteller Cisco bezeichnet damit Tagged Uplinks, also Ports an dem VLANs getagged rausgesendet werden.
    Im Rest der Netzwerk Welt sind Trunks aggregierte Verbindungen. Also indem man mehrere Switch Ports zu einem logischen Ports bündelt zur Bandbreiten Erhöhung. Netzwerker nenne sowas dann LACP LAGs oder nur LAG, oder Teaming oder auch Bonding.
    Die Frage ist jetzt WAS du genau meinst mit "Trunk".
    Wir gehen hier aber mal davon aus das du damit einen einfachen Tagged Uplink meinst. Dann sähe dein reicht einfachs Switch Setup doch so aus:
    vlan-einfach - Klicke auf das Bild, um es zu vergrößern
    Was ist denn daran kompliziert ??
    Das Native VLAN ist immer das VLAN 1. Das ist das VLAN was an Tagged Uplinks immer untagged mit übertragen wird. In der Regel ist das immer das VLAN 1. Das kannst du also so belassen.
    Das Native VLAN oder PVID VLAN ist also immer untagged an Uplinks. Lies dir bitte unbedingt DAS_HIER zu dem Thema durch !!
    Was hier ziemlich unverständlich ist:
    • Du hast den einen Switch ja schon erfolgreich am Router angeschlossen und hast in jedem VLAN eine entsprechende IP vom Router bekommen
    • Das zeigt das die Router zu Switch 1 Kopplung sauber funktioniert über den Uplink.
    • Es geht jetzt eigentlich rein NUR noch um die Anbindung des zweiten Switches.
    Dazu musst du nur einen weiteren Tagged Uplink definieren, genau so wie der für den Router. An Switch 2 machst du exakt das gleiche. Dann steckst du beide Switches mit ihren Uplinks zusammen. Fertisch... Was ist daran so schwer ?
    Die VLAN_Schnellschulung erklärt dir nochmal genau den tieferen Sinn von diesen Tagged Uplinks ! Bitte lesen und verstehen...
    Zum Rest hat Kollege @BirdyB ja schon alles gesagt.
    Bitte warten ..
    Mitglied: Eleandro
    12.06.2020 um 15:47 Uhr
    Hey BirdyB,

    bei den D-Link-Switchen muss man das in 2 Schritten machen. Ich habe dazu folgende Anleitung auf dem FTP Server von D-Link gefunden, auf meine Switche DXS 1210 12TC zutrifft: Anleitung

    Siehe Punkt 3.: Man muss zuerst einmal die VLANs anlegen, bevor man sie in einem nächsten Schritt den Ports zuweisen kann. Zwar sieht man bei Schritt 2 unter "802.1Q VLAN" bei welchen Ports ein VLAN konfiguriert wurde, dort kann man aber keine Änderungen am Port vornehmen.

    Beispiel der Anleitung:
    switch_dxs_beispiel_vlan-anlage - Klicke auf das Bild, um es zu vergrößern

    Danach kann man bei "VLAN Interface" die Ports konfigurieren. Siehe dazu als Beispiel Punkt 4 der Anleitung:
    switch_dxs_beispiel_vlan-anlage - Klicke auf das Bild, um es zu vergrößern

    Nun möchte ich ja wie gesagt einen Port als Trunk Port definieren. Trunk bedeutet hier für mich nicht LAG (Link Aggregation), sondern ich möchte über einen Port / Kabel mehrere VLANs transportieren. Hierzu war ja noch verständlicherweise die Frage offen

    Nun das Interessante bzw. Nervige: Bei dem D-Link Switch gibt es diesen Hybrid-Modus zusätzlich. Normalerweise würde ich ja klar den Trunk-Modus wählen, da hat bei mir aber wie beschrieben zu Problemen geführt. Im verlinkten D-Link Beispiel wird hier der Hybrid-Modus gewählt:
    switch_dxs_beispiel_port-config-trunk - Klicke auf das Bild, um es zu vergrößern

    Es lohnt sich wohl, die Modi bei D-Link etwas genauer anzuschauen. Zu Access, Trunk und Hybrid habe ich bei D-Link dazu folgendes gefunden: Quelle
    d-link_access_trunk_hybrid - Klicke auf das Bild, um es zu vergrößern

    Der Hybrid Modus ist dann also hilfreich, wenn Pakete, die ins VLAN 1 gehören, das dafür notwendige Tag noch nicht haben. Das sollte in meinem Fall aber so nicht sein, da angeschlossene Clients über den Access Mode dank native vlan = VLAN 1 das nötige Tag erhalten.
    Folglich ist aus meiner Sicht immer noch der Trunk Modus mit Tagged VLANs 1-6 das richtige. Warum es bei einem Test vor ein paar Tagen fehlgeschlagen ist, weiß ich allerdings nicht genau. Wie gesagt vermute ich hier, dass die Option "Ingress Checking" Probleme macht.

    Port 1 mit Verbindung zum anderen Switch müsste im Trunk Modus dann eigentlich nach diesem Prinzip definiert werden, oder?
    switch_dxs_beispiel_port-config-trunk2 - Klicke auf das Bild, um es zu vergrößern
    - Ingress Checking würde ich ausmachen
    - Komisch ist hier aber, dass ich keine VLANs angeben kann, welche dem Port gehören. Einfach nur "all". Daher verwirrt es mich bei D-Link dass ich bei Hybrid dann die erlaubten tagged VLANs angeben kann.

    => Solche Unstimmigkeiten sorgen dann bei mir dafür, dass diese Konfiguration leider nicht in 15 min erledigt ist, sondern viele Abende, Wochenenden und Stunden verschlungen hat (dafür gab es auch noch viele andere Grüße; die Liste ist lang; VLAN ist nur ein Thema). Bin schon lange dran an dem Projekt

    Genau testen kann ich es gerade nicht; bin ein paar Tage unterwegs und komme erst danach wieder an die Hardware
    switch_dxs_beispiel_port-config-access - Klicke auf das Bild, um es zu vergrößern
    Bitte warten ..
    Mitglied: Eleandro
    12.06.2020 um 15:58 Uhr
    Hi aqui,

    Vielen Dank für die deine Vorschläge! Die von dir vorgeschlagenen IP Ranges sehen sehr gut aus. Ich bin noch am Überlegen, ob / wann ich das nun Umstellen soll. Die Idee mit 3. Oktett = VLAN ID ist auf jeden Fall super! Ich würde gerade eher an den VLANs und anschließend der SSID Config arbeiten wllen, um endlich mal nach so langer Zeit die WLAN-Netze produktiv zu bekommen. Sonst müsste ich jetzt nochmals jedes Hardwaregerät einzeln anpassen und anschließend testen, ob es wieder erreichbar ist. Aber wie gesagt, sehr nützlich.

    pfsense habe ich mir mal etwas genauer angeschaut. Hier spielen Aufwand, Kosten, Zeit und Einfachkeit der Administrierung für mich eine Rolle. Schließlich soll ich in Zukunft nicht der einzige sein, der weiß wie man mit putty auf das kleine Hardwaregerät kommt. Da sind für Teamkollegen, die teilweise noch weniger Knowhow haben, die Konfigurationsmöglichkeiten über das Webportal des Routers wohl erst mal die bessere Lösung. Sicherheit ist allerdings wichtig; daher ist nun ein offener Punkt auf meiner Liste die Prüfung der Sicherung auf dem Router mit ACLs bzw. Prüfung, welche Firewall Optionen der Router bietet.

    Zumindest das mal auf die schnelle, dazu kann ich später gerne noch ausführlicher eingehen.

    Und vielen Dank für die Links; die Schnellanleitung hat ein paar Feinheiten noch mal geschärft und war hilfreich

    Merci
    Bitte warten ..
    Mitglied: aqui
    12.06.2020 um 18:08 Uhr
    die Konfigurationsmöglichkeiten über das Webportal des Routers wohl erst mal die bessere Lösung.
    die pfSense hat ausschliesslich nur ein Webportal (GUI) zur konfiguration. Und das mit einfachsten und leicht zu erlernenden Regelwerken was auch Laien verstehen.
    Dann viel Erfolg bei der Konfiguration. Das wird schon...! Sonst hier fragen.
    Bitte warten ..
    Ähnliche Inhalte
    Netzwerkgrundlagen

    Aruba 2930M VLan Routing, default Gateway?

    gelöst Frage von SoundNettyNetzwerkgrundlagen6 Kommentare

    Liebe Gemeinde! Ich arbeite mich gerade in die Thematik ein und versuche zu verstehen. Daher seid bitte nachsichtig mit ...

    Netzwerkmanagement

    VLAN - vom Default vLan ins vLAN 10

    gelöst Frage von DaPeddaNetzwerkmanagement2 Kommentare

    Hallo zusammen, ich stehe vor der Aufgabe, VM's hosted by iSCSI von einem Rack in ein neues umzusiedeln; und ...

    Linux Netzwerk

    Debian verliert Route trotz default Gateway

    gelöst Frage von ZigsenLinux Netzwerk10 Kommentare

    Hallo zusammen, nachdem ich einige Tunnel auf IPSec umgestellt habe und die Verbindung Nachts, zwischen und 5 und 10 ...

    Netzwerkgrundlagen

    Verständnis Frage VLAN und default VLAN , tagged und untagged

    gelöst Frage von DerHahntrutNetzwerkgrundlagen6 Kommentare

    Hallo Ich habe eine Frage zu VLAN bzw default VLAN. Beispielszenario: 2 Switches werden mit 3 VLAN verbunden. Trunk ...

    Neue Wissensbeiträge
    Windows Update
    Third Party Updates mit Chocolatey und Lansweeper
    Anleitung von MarcoG vor 9 StundenWindows Update

    Mit #Windows 10 hat Microsoft die Kumulativen Updates eingeführt und das Thema Patch Management wird in Unternehmen immer besser. ...

    Datenschutz

    Berliner Datenschutzbeauftragten prüfen Videokonferenz-SW

    Information von Visucius vor 1 TagDatenschutz

    Eine grüne Ampel erhielten kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi, etwa von Netways oder sichere-videokonferenz.de. Eine positive Bewertung erhielten ...

    LAN, WAN, Wireless
    Sophos Central Wireless v2.3.0-6 massive Probleme
    Information von Voiper vor 3 TagenLAN, WAN, Wireless

    Hallo Zusammen, wenn Ihr Sophos Central nutzt und die neuen APX Accesspoints im Einsatz habt, vermeidet das Update der ...

    Off Topic
    Wuebra - tech-flare
    Information von tech-flare vor 4 TagenOff Topic3 Kommentare

    Servus, Nein ihr seid mich nicht los Aus Wuebra wird tech-flare. Schöne Restwoche :)

    Heiß diskutierte Inhalte
    LAN, WAN, Wireless
    AVM WLan Mesh und,mit Powerline von Fremdanbieter
    gelöst Frage von AximandLAN, WAN, Wireless22 Kommentare

    Moin zusammen, hat jemand Erfahrung damit ein existierendes Mesh-WLAN mit Hilfe eines fremden Powerline-Adapters zu vergrößern indem der AccessPoint ...

    Netzwerkprotokolle
    Cisco IOS MTU per DHCP festlegen
    Frage von Windows10GegnerNetzwerkprotokolle16 Kommentare

    Hallo, ich habe nun den Übeltäter gefunden, der dafür sorgt, dass manche Seiten nicht aufrufbar sind, da laufen dann ...

    Netzwerkgrundlagen
    Verschiedene Subnetzmaske in der Praxis: Völlig unnötig für kleine Netzwerke!?
    Frage von media0815Netzwerkgrundlagen12 Kommentare

    Hallo, mal eine ketzerische Frage: Ist die Verwendung unterschiedlicher Subnetzmasken in kleineren Netzwerke nicht völlig unnötig!? Oder anders gefragt: ...

    Windows Server
    Alternative für Windows servergespeicherte Profile
    Frage von daice24Windows Server12 Kommentare

    Hallo, ich benötige mal euren Rat. Wir verwenden in unserer Firma gerade servergespeicherte Profile. Alle Clients sind Windows 10 ...