17
FreshTomato und GS108E: VLAN funktioniert nicht
Hallo,
ich habe neuerdings einen Netgear GS108Ev3 und habe versucht ein VLAN entsprechend der Anleitung einzurichten. Ich denke ich habe die Schritte richtig durchgeführt doch leider funktioniert es nicht wie erwartet im Verbund mit meinen 3 FreshTomato-Routern. Die Router unter sich funktionieren und auch Geräte am GS108Ev3 teilweise, aber ich kann bspw. nicht auf das Webinterface des GS108Ev3 zugreifen und ihn nicht anpingen.
Die Router habe ich im Haus verteilt um eine gute WLAN-Abdeckung sicherzustellen und um an den entsprechden Standorten auch LAN zur Verfügung zu haben. Es handelt sich um einen Netgear R6400v2 als Hauptgerät und zwei Netgear R7000. Die R7000 sind als 5-Port-Switches mit 3 VLANs konfiguriert. Am mittleren R7000 gehen mir jetzt die Ports aus, weswegen ich den GS108Ev3 dort hinzufügen möchte.
Der bisherige Aufbau ist wie folgt:
LTE-Router ----- WAN R6400v2 LAN1 ----- WAN R7000#1 LAN1 ----- WAN R7000#2
In den Bildern im Anhang ist zum einen die Konfig des GS108Ev3 zu sehen und zum anderen die VLAN-Konfig des R7000. Der GS108Ev3 hängt mit seinem Port 1 an Port 2 des R7000. Ich hatte im GS108Ev3 die VLAN-ID 1 auch schon komplett rauskonfiguriert, aber dieselben Probleme gesehen. Port 1 des GS108Ev3 ist für jede VLAN-ID als tagged konfiguriert, die restlichen Ports jeweils untagged für die zugehörige VLAN-ID.
Ist etwas an der Konfiguration fehlerhaft?
Viele Grüße
Michael
ich habe neuerdings einen Netgear GS108Ev3 und habe versucht ein VLAN entsprechend der Anleitung einzurichten. Ich denke ich habe die Schritte richtig durchgeführt doch leider funktioniert es nicht wie erwartet im Verbund mit meinen 3 FreshTomato-Routern. Die Router unter sich funktionieren und auch Geräte am GS108Ev3 teilweise, aber ich kann bspw. nicht auf das Webinterface des GS108Ev3 zugreifen und ihn nicht anpingen.
Die Router habe ich im Haus verteilt um eine gute WLAN-Abdeckung sicherzustellen und um an den entsprechden Standorten auch LAN zur Verfügung zu haben. Es handelt sich um einen Netgear R6400v2 als Hauptgerät und zwei Netgear R7000. Die R7000 sind als 5-Port-Switches mit 3 VLANs konfiguriert. Am mittleren R7000 gehen mir jetzt die Ports aus, weswegen ich den GS108Ev3 dort hinzufügen möchte.
Der bisherige Aufbau ist wie folgt:
LTE-Router ----- WAN R6400v2 LAN1 ----- WAN R7000#1 LAN1 ----- WAN R7000#2
In den Bildern im Anhang ist zum einen die Konfig des GS108Ev3 zu sehen und zum anderen die VLAN-Konfig des R7000. Der GS108Ev3 hängt mit seinem Port 1 an Port 2 des R7000. Ich hatte im GS108Ev3 die VLAN-ID 1 auch schon komplett rauskonfiguriert, aber dieselben Probleme gesehen. Port 1 des GS108Ev3 ist für jede VLAN-ID als tagged konfiguriert, die restlichen Ports jeweils untagged für die zugehörige VLAN-ID.
Ist etwas an der Konfiguration fehlerhaft?
Viele Grüße
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 43744666236
Url: https://administrator.de/contentid/43744666236
Printed on: April 27, 2024 at 09:04 o'clock
17 Comments
Latest comment
Hallo und willkommen im Forum,
ich fange mal mit How to correctly ask a question an. Bitte anschauen und dann ergänzen. Sodann:
Ohne Geräte und Konfiguration zu kennen:
Derzeit hängt Dein Switch mit einem tagged Trunkport (1,3,4,5, PVID 1) am untagged Port2 des Routers. Vom Router ankommen könnten nur die VLANs 3-5, die dort tagged konfiguriert sind (wenn ich die komischen Bildchen der Konfig richtig verstehe). Das auf dem Switchport ebenfalls getaggte VLAN1 hingegen wird am Router nicht weitergeleitet, denn dieses VLAN liegt am Port ja gar nicht an.
Ich tippe jetzt mal, dass das SwitchUI auf VLAN1 untagged erreicht werden möchte. Zudem wird der Switch wahrscheinlich auch nicht damit klar kommen, dass Du sein default VLAN, das praktisch bei jedem Hersteller VLAN1 untagged ist, taggst. Vielleicht bringt Dich das schon auf den Weg.
Jedenfalls hilfreich, wenn nicht unerlässlich, ist es, das hiesige VLAN-Tutorial des Kollegen aqui durchzuarbeiten und zu verstehen. Du sparst Dir (und uns) eine Menge Lebenszeit, wenn Du Dir das einmal vernünftig zu Gemüte führst und durchdringst. Das kostet ein paar Stunden, statt eines Vielfachen davon des frustrierenden Debuggens, weil Du es nie richtig verstanden hast.
Wenn Du dann noch Hilfe brauchst, beglücke uns neben einer ausführlichen Information und der präzisen Beantwortung hier gestellter Fragen auch bitte mit einem kleinen Netzwerkplan, aus dem klar wird, wer womit verbunden ist, insbesondere auch der/die Client/s, mit denen Du den Zugriff versuchst.
Viele Grüße, commodity
ich fange mal mit How to correctly ask a question an. Bitte anschauen und dann ergänzen. Sodann:
Die Router unter sich funktionieren und auch Geräte am GS108Ev3 teilweise, aber ich kann bspw. nicht auf das Webinterface des GS108Ev3 zugreifen und ihn nicht anpingen.
- Was funktioniert "teilweise", was nicht. Was konkret bedeutet "bspw.". Wir brauchen hier Fakten.
- Warum fummelst Du an VLAN1 rum?
Ich hatte im GS108Ev3 die VLAN-ID 1 auch schon komplett rauskonfiguriert
- wozu das? Was ist das Ziel? Was hast Du konkret gemacht?
- Wie machst Du Bilder von einem WebUI, auf das Du nicht kommst? Irgendwie kommst Du also doch drauf? Wie?
- Bekommt dein Switch eine IP-Adresse? Wenn ja, woher? Welche? Wenn nein, warum nicht? Wo ist der DHCP-Server (falls es einen gibt)?
- Kann Dein Switch-UI (theoretisch) über ein VLAN erreicht werden? Ggf.: Muss das konfiguriert werden? Hast Du das konfiguriert? Für welches VLAN?
Ohne Geräte und Konfiguration zu kennen:
Derzeit hängt Dein Switch mit einem tagged Trunkport (1,3,4,5, PVID 1) am untagged Port2 des Routers. Vom Router ankommen könnten nur die VLANs 3-5, die dort tagged konfiguriert sind (wenn ich die komischen Bildchen der Konfig richtig verstehe). Das auf dem Switchport ebenfalls getaggte VLAN1 hingegen wird am Router nicht weitergeleitet, denn dieses VLAN liegt am Port ja gar nicht an.
Ich tippe jetzt mal, dass das SwitchUI auf VLAN1 untagged erreicht werden möchte. Zudem wird der Switch wahrscheinlich auch nicht damit klar kommen, dass Du sein default VLAN, das praktisch bei jedem Hersteller VLAN1 untagged ist, taggst. Vielleicht bringt Dich das schon auf den Weg.
Jedenfalls hilfreich, wenn nicht unerlässlich, ist es, das hiesige VLAN-Tutorial des Kollegen aqui durchzuarbeiten und zu verstehen. Du sparst Dir (und uns) eine Menge Lebenszeit, wenn Du Dir das einmal vernünftig zu Gemüte führst und durchdringst. Das kostet ein paar Stunden, statt eines Vielfachen davon des frustrierenden Debuggens, weil Du es nie richtig verstanden hast.
Wenn Du dann noch Hilfe brauchst, beglücke uns neben einer ausführlichen Information und der präzisen Beantwortung hier gestellter Fragen auch bitte mit einem kleinen Netzwerkplan, aus dem klar wird, wer womit verbunden ist, insbesondere auch der/die Client/s, mit denen Du den Zugriff versuchst.
Viele Grüße, commodity
1
Kollege @commodity hat es schon gesagt. Mit Netgear hast du dir in Bezug auch VLANs leider keinen Gefallen getan, keine gute HW Wahl. Das verwirrende Setup ist für Anfänger nicht gerade einfach und andere können das deutlich besser...nundenn.
Typischer Fehler ist das du das Default VLAN 1 fälschlicherweise zum PVID Setting zusätzlich getagged hast was aus VLAN Sicht Unsinn ist. (Port 1)
Dieser Fehler führt immer zur Nichtfunktion des Trunks besonders natürlich dem VLAN 1 Zugriff an den Das Management IP Interface gebunden ist. Das Default oder Native PVID VLAN ist immer UNtagged an einem Trunk Port.
Hilfreich ist noch einmal die VLAN Schnellschulung in aller Ruhe zu lesen und zu verstehen.
Auch die entsprechenden Tutorial Links am Anfang des o.a. VLAN Tutorials solltest du dir ansehen.
Typischer Fehler ist das du das Default VLAN 1 fälschlicherweise zum PVID Setting zusätzlich getagged hast was aus VLAN Sicht Unsinn ist. (Port 1)
Dieser Fehler führt immer zur Nichtfunktion des Trunks besonders natürlich dem VLAN 1 Zugriff an den Das Management IP Interface gebunden ist. Das Default oder Native PVID VLAN ist immer UNtagged an einem Trunk Port.
Hilfreich ist noch einmal die VLAN Schnellschulung in aller Ruhe zu lesen und zu verstehen.
Auch die entsprechenden Tutorial Links am Anfang des o.a. VLAN Tutorials solltest du dir ansehen.
Vielen Dank für die Antworten - und die Fragen natürlich auch.
Hier erstmal die Antworten auf commodities Fragen:
Nun zu aquis Fragen:
Solange die angeschlossenen Clients jetzt wie geplant funktionieren kann ich mit der manuell vergebenen IP-Adresse leben und auch damit, dass ich den PC direkt an den Switch anschließen muss um auf die UI zu kommen. Wie ihr geschrieben habt liegt das wahrscheinlich daran, dass ich VLAN 1 nicht nutze.
Anbei nochmal Screenshots der aktuellen Konfig des Switches mit kleinen Änderungen zum ersten Durchlauf. Die Konfig des Routers ist unverändert.
Weitere Ideen und Kritik sind natürlich gerne willkommen.
Hier erstmal die Antworten auf commodities Fragen:
* Was funktioniert "teilweise", was nicht. Was konkret bedeutet "bspw.". Wir brauchen hier Fakten.
Teilweise heißt, dass am Switch angeschlossene Clients erwartungsgemäß funktionieren. Was nicht funktioniert ist die Vergabe der Switch-IP per DHCP, der Zugriff auf die Switch-UI wenn die Verbindung über Port 1 erfolgt und das anpingen des Switches wenn die Verbindung über Port 1 erfolgt.* Warum fummelst Du an VLAN1 rum?
Weil auf der FreshTomato-Seite steht, dass man VLAN 1 meiden soll, siehe https://wiki.freshtomato.org/doku.php/advanced-vlan- wozu das? Was ist das Ziel? Was hast Du konkret gemacht?
* Wie machst Du Bilder von einem WebUI, auf das Du nicht kommst? Irgendwie kommst Du also doch drauf? Wie?
Wenn ich den PC direkt mit dem Switch (Ports 2-8) verbinde, komme ich auf das UI.* Bekommt dein Switch eine IP-Adresse? Wenn ja, woher? Welche? Wenn nein, warum nicht? Wo ist der DHCP-Server (falls es einen gibt)?
Geplant war per DHCP, das funktioniert aber nicht siehe oben. Manuelle Vergabe klappt, aber der Router listet ihn dennoch nicht bei den verbundenen Geräten. Der R6400 ist der DHCP-Server und für die meisten Clients vergebe ich dort eine fixe IP zur zugehörigen MAC-Adresse.* Kann Dein Switch-UI (theoretisch) über ein VLAN erreicht werden? Ggf.: Muss das konfiguriert werden? Hast Du das konfiguriert? Für welches VLAN?
Über die Ports 2-8 (VLAN 3/4/5) kann ich das UI öffnen. Über den Router und Port 1 vom Switch geht es nicht. Konfigurationsmöglichkeit habe ich keine gefunden.Ohne Geräte und Konfiguration zu kennen:
Derzeit hängt Dein Switch mit einem tagged Trunkport (1,3,4,5, PVID 1) am untagged Port2 des Routers. Vom Router ankommen könnten nur die VLANs 3-5, die dort tagged konfiguriert sind (wenn ich die komischen Bildchen der Konfig richtig verstehe). Das auf dem Switchport ebenfalls getaggte VLAN1 hingegen wird am Router nicht weitergeleitet, denn dieses VLAN liegt am Port ja gar nicht an.
Das interpretierst du richtig.Derzeit hängt Dein Switch mit einem tagged Trunkport (1,3,4,5, PVID 1) am untagged Port2 des Routers. Vom Router ankommen könnten nur die VLANs 3-5, die dort tagged konfiguriert sind (wenn ich die komischen Bildchen der Konfig richtig verstehe). Das auf dem Switchport ebenfalls getaggte VLAN1 hingegen wird am Router nicht weitergeleitet, denn dieses VLAN liegt am Port ja gar nicht an.
Ich tippe jetzt mal, dass das SwitchUI auf VLAN1 untagged erreicht werden möchte. Zudem wird der Switch wahrscheinlich auch nicht damit klar kommen, dass Du sein default VLAN, das praktisch bei jedem Hersteller VLAN1 untagged ist, taggst. Vielleicht bringt Dich das schon auf den Weg.
Ich habe auf deinen Beitrag hin VLAN 1 auf Port 1 auf U gestellt, auch wenn ich es nicht nutze.Jedenfalls hilfreich, wenn nicht unerlässlich, ist es, das hiesige VLAN-Tutorial des Kollegen aqui durchzuarbeiten und zu verstehen. Du sparst Dir (und uns) eine Menge Lebenszeit, wenn Du Dir das einmal vernünftig zu Gemüte führst und durchdringst. Das kostet ein paar Stunden, statt eines Vielfachen davon des frustrierenden Debuggens, weil Du es nie richtig verstanden hast.
Ich habe mir schwerpunktmäßig vorher schon die Aufgabenstellung und den Teil für meinen Switch durchgelesen und hatte nicht das Gefühl gar nichts verstanden zu haben. Aus der Lektüre und meiner bisherigen Erfahrung mit FreshTomato wäre ich jedoch nicht auf die Idee gekommen, dass PVID und T sich beißen.Wenn Du dann noch Hilfe brauchst, beglücke uns neben einer ausführlichen Information und der präzisen Beantwortung hier gestellter Fragen auch bitte mit einem kleinen Netzwerkplan, aus dem klar wird, wer womit verbunden ist, insbesondere auch der/die Client/s, mit denen Du den Zugriff versuchst.
Ich hoffe die Fragen sind zufriedenstellend beantwortet. Welches Tool kannst du zum Zeichnen eines solchen Planes empfehlen?Nun zu aquis Fragen:
Kollege @commodity hat es schon gesagt. Mit Netgear hast du dir in Bezug auch VLANs leider keinen Gefallen getan, keine gute HW Wahl. Das verwirrende Setup ist für Anfänger nicht gerade einfach und andere können das deutlich besser...nundenn.
Ich hatte mir deinen Beitrag vorher durchgelesen und war dennoch erstmal nicht abgeneigt - und bin es auch jetzt noch nicht. Mal sehen ob es dabei bleibt Typischer Fehler ist das du das Default VLAN 1 fälschlicherweise zum PVID Setting zusätzlich getagged hast was aus VLAN Sicht Unsinn ist. (Port 1)
Dieser Fehler führt immer zur Nichtfunktion des Trunks besonders natürlich dem VLAN 1 Zugriff an den Das Management IP Interface gebunden ist. Das Default oder Native PVID VLAN ist immer UNtagged an einem Trunk Port.
Das habe ich jetzt so umgesetzt. Ich nutze VLAN 1 nach wie vor nicht, es schadet an der Stelle aber auch nicht. Wenn ich den PC direkt mit dem Switch (Port 2-8) verbinde, kann ich auf das UI zugreifen, egal welchem VLAN der Port zugeteilt ist. Nur über Port 1 geht es nicht, auch nicht bei einer Direktverbindung zum PC ohne Umweg über den Router. Vielleicht klappt der Zugriff nicht über Ports, die irgendwo geTagged sind?Dieser Fehler führt immer zur Nichtfunktion des Trunks besonders natürlich dem VLAN 1 Zugriff an den Das Management IP Interface gebunden ist. Das Default oder Native PVID VLAN ist immer UNtagged an einem Trunk Port.
Hilfreich ist noch einmal die VLAN Schnellschulung in aller Ruhe zu lesen und zu verstehen.
Auch die entsprechenden Tutorial Links am Anfang des o.a. VLAN Tutorials solltest du dir ansehen.
Das mache ich, danke für die Hinweise.Auch die entsprechenden Tutorial Links am Anfang des o.a. VLAN Tutorials solltest du dir ansehen.
Solange die angeschlossenen Clients jetzt wie geplant funktionieren kann ich mit der manuell vergebenen IP-Adresse leben und auch damit, dass ich den PC direkt an den Switch anschließen muss um auf die UI zu kommen. Wie ihr geschrieben habt liegt das wahrscheinlich daran, dass ich VLAN 1 nicht nutze.
Anbei nochmal Screenshots der aktuellen Konfig des Switches mit kleinen Änderungen zum ersten Durchlauf. Die Konfig des Routers ist unverändert.
Weitere Ideen und Kritik sind natürlich gerne willkommen.
Hallo,
Das Tool zum zeichnen nennt sich Hand
(wenn man kein PC-Tool kennt, jedenfalls). Eine gute Wahl ist auch draw.io, aber es gibt zig andere.
Du hast nun VLAN1 untagged auf dem Switch - fein. Du kommst dennoch nicht drauf, ja, warum nur?
Schau mal bitte Dein Bild von der Netzvergabe auf dem Routerport 2 an (oben erstes Bild), dann kommst Du ganz sicher selbst drauf.
Und kannst dann das "wahrscheinlich" aus der folgenden Aussage streichen:
Kann die Tomate DHCP in VLANs? Wenn ja, brauchst Du natürlich noch einen DHCP-Server für VLAN1. Im Plan dann bitte auch die IP-Adressbereiche und Adressen aufnehmen. Solange das mit dem DHCP nicht läuft, kannst Du dem Switch ja auch manuell eine Adresse geben. Natürlich im Adressbereich Deines VLAN1. (Später können wir das bei Bedarf auch noch ändern, aber Netzwerk muss schrittweise durchdrungen werden, jetzt bitte VLAN1 nehmen).
Was hat das mit Deinem Setup zu tun? Gemeint ist da sicher, dass Du AccesPoints nicht auf VLAN1 taggen sollst, weil das genau zu dem Problem führt, dass Du bis vor kurzem auf dem Kabel produziert hast, nämlich dass das selbe VLAN getagged und untagged auftritt.
Vielleicht erklärt es dieser Satz:
Es sei denn, man kann an dem Switch das UI nicht über tagged Ports erreichen. Ungewöhnlich, aber bei den Billigheimern muss man mit vielem rechnen. Oder die Firewall der Tomate verhindert das.
Edit:
Haha, und ich schreib es noch...
Da schreibt ein User dann passend:
Ob die Aussage dort stimmt, steht nicht fest, aber Du bist nicht allein
Da Du offenbar bei dem Gerät immer die gültige VLAN1-IP-Adresse (DHCP oder fest vergeben) aufrufen musst, Dein Router diese aber sicher nicht in eines der VLANs 3-5 weiter leitet, kommst Du schon deshalb nicht auf den Switch.
Ziel ist es aber doch, mit dem PC auch von den anderen Routern zum Switch zu kommen - und dazusolltest musst Du (offenbar hier) durchgehend das VLAN1 untagged verwenden. Achtung: DHCP, wie oben von mir beschrieben, wird bei diesem Gerät wahrscheinlich auch nicht zuverlässig klappen. Bleib bei der statischen.
Viele Grüße, commodity
Das Tool zum zeichnen nennt sich Hand
(wenn man kein PC-Tool kennt, jedenfalls). Eine gute Wahl ist auch draw.io, aber es gibt zig andere.
Du hast nun VLAN1 untagged auf dem Switch - fein. Du kommst dennoch nicht drauf, ja, warum nur?
Schau mal bitte Dein Bild von der Netzvergabe auf dem Routerport 2 an (oben erstes Bild), dann kommst Du ganz sicher selbst drauf.
Und kannst dann das "wahrscheinlich" aus der folgenden Aussage streichen:
Wie ihr geschrieben habt liegt das wahrscheinlich daran, dass ich VLAN 1 nicht nutze.
Ein Netz, das nicht genutzt wird, kann schlecht erreicht werden. Das bitte reparieren.Kann die Tomate DHCP in VLANs? Wenn ja, brauchst Du natürlich noch einen DHCP-Server für VLAN1. Im Plan dann bitte auch die IP-Adressbereiche und Adressen aufnehmen. Solange das mit dem DHCP nicht läuft, kannst Du dem Switch ja auch manuell eine Adresse geben. Natürlich im Adressbereich Deines VLAN1. (Später können wir das bei Bedarf auch noch ändern, aber Netzwerk muss schrittweise durchdrungen werden, jetzt bitte VLAN1 nehmen).
Weil auf der FreshTomato-Seite steht, dass man VLAN 1 meiden soll, siehe https://wiki.freshtomato.org/doku.php/advanced-vlan
Bitte genauer lesen: In dem Link stehtAvoid using VID: “1” .
unter der Überschrift"Vlan Wireless".
Über die Ports 2-8 (VLAN 3/4/5) kann ich das UI öffnen.
Was soll das heißen? Du steckst den Switch dann mit Port 2 oder 3 oder 4 usw. an Port 2 des Routers? Bitte alle Schritte genauer erläutern. Wir kennen Deine Gedanken nicht. Aus der Nase ziehen macht auf Dauer keinen Spaß. How to correctly ask a questionVielleicht erklärt es dieser Satz:
... dass ich den PC direkt an den Switch anschließen muss um auf die UI zu kommen
Du gehst also gar nicht über den Router, sondern steckst den PC am Switch rein. Das klappt dann, weil Dein PC an den untagged Ports den Switch erreicht. Wahrscheinlich kann man die UI auf dem Gerät von allen VLANs erreichen (vielleicht findest Du da noch eine Ausschlussmöglichkeit), dann klappt das natürlich. Andererseits müsstest Du dann bereits auch von anderen Stellen im LAN (also den anderen Routern) auf den Switch kommen, denn die VLANs 3-5 werden ja an Port 1 des Switches von der Tomate entgegen genommen und funktionieren ja auch, wie Du schreibst.Es sei denn, man kann an dem Switch das UI nicht über tagged Ports erreichen. Ungewöhnlich, aber bei den Billigheimern muss man mit vielem rechnen. Oder die Firewall der Tomate verhindert das.
Edit:
Haha, und ich schreib es noch...
(if a second or third VLAN are tagged on the same port), no GUI management possible.
https://community.netgear.com/t5/Plus-and-Smart-Switches-Forum/GS108Ev3- ...Da schreibt ein User dann passend:
Sweet lord, I can't even begin to express how bad this design is.
Es hat schon Gründe, dass der Kollege @aqui hier immer wieder predigt, nicht solche Geräte zu kaufen. Aber gut.Ob die Aussage dort stimmt, steht nicht fest, aber Du bist nicht allein
Da Du offenbar bei dem Gerät immer die gültige VLAN1-IP-Adresse (DHCP oder fest vergeben) aufrufen musst, Dein Router diese aber sicher nicht in eines der VLANs 3-5 weiter leitet, kommst Du schon deshalb nicht auf den Switch.
Ziel ist es aber doch, mit dem PC auch von den anderen Routern zum Switch zu kommen - und dazu
Viele Grüße, commodity
Es sei denn, man kann an dem Switch das UI nicht über tagged Ports erreichen.
Nicht mit einem Endgerät was keine tagged Frames versendet. Endgeräte sind in der Regel ja immer UNtagged und dieser Traffic wird dann immer in das an dem Switchport aktive PVID VLAN geforwardet. Siehe "VLAN" Schnellschulung. Getagged geht das nur über einen per tagged Uplink angeschlossenen Switch oder wenn man Tagging auf dem Endgerät aktiviert.
M.W. supportet dies Netgear Modell nicht das Umhängen des Management Interfaces in ein anderes VLAN. Es ist immer fest mit dem VLAN 1 verbunden so das das Switch GUI dann ausschliesslich nur übers Routing via externem Router aus anderen VLANs erreichbar ist.
Das setzt dann natürlich bei allen Beteiligten eine gültige IP in dem spezifischen VLAN und eine Gateway IP (Router) voraus. Siehe für die Routing Grundlagen auch hier.
Du hast nun VLAN1 untagged auf dem Switch - fein. Du kommst dennoch nicht drauf, ja, warum nur?
Schau mal bitte Dein Bild von der Netzvergabe auf dem Routerport 2 an (oben erstes Bild), dann kommst Du ganz sicher selbst drauf.
Und kannst dann das "wahrscheinlich" aus der folgenden Aussage streichen:
Ein Netz, das nicht genutzt wird, kann schlecht erreicht werden. Das bitte reparieren.
Das habe ich verstanden.Schau mal bitte Dein Bild von der Netzvergabe auf dem Routerport 2 an (oben erstes Bild), dann kommst Du ganz sicher selbst drauf.
Und kannst dann das "wahrscheinlich" aus der folgenden Aussage streichen:
Ein Netz, das nicht genutzt wird, kann schlecht erreicht werden. Das bitte reparieren.
Kann die Tomate DHCP in VLANs? Wenn ja, brauchst Du natürlich noch einen DHCP-Server für VLAN1. Im Plan dann bitte auch die IP-Adressbereiche und Adressen aufnehmen. Solange das mit dem DHCP nicht läuft, kannst Du dem Switch ja auch manuell eine Adresse geben. Natürlich im Adressbereich Deines VLAN1. (Später können wir das bei Bedarf auch noch ändern, aber Netzwerk muss schrittweise durchdrungen werden, jetzt bitte VLAN1 nehmen).
Ja, sie vergibt Adressen so wie für das entsprechende Subnetz konfiguriert.Weil auf der FreshTomato-Seite steht, dass man VLAN 1 meiden soll, siehe https://wiki.freshtomato.org/doku.php/advanced-vlan
Bitte genauer lesen: In dem Link stehtAvoid using VID: “1” .
unter der Überschrift"Vlan Wireless".
Über die Ports 2-8 (VLAN 3/4/5) kann ich das UI öffnen.
Was soll das heißen? Du steckst den Switch dann mit Port 2 oder 3 oder 4 usw. an Port 2 des Routers? Bitte alle Schritte genauer erläutern. Wir kennen Deine Gedanken nicht. Aus der Nase ziehen macht auf Dauer keinen Spaß. How to correctly ask a questionVielleicht erklärt es dieser Satz:
... dass ich den PC direkt an den Switch anschließen muss um auf die UI zu kommen
Du gehst also gar nicht über den Router, sondern steckst den PC am Switch rein. Das klappt dann, weil Dein PC an den untagged Ports den Switch erreicht. Wahrscheinlich kann man die UI auf dem Gerät von allen VLANs erreichen (vielleicht findest Du da noch eine Ausschlussmöglichkeit), dann klappt das natürlich. Andererseits müsstest Du dann bereits auch von anderen Stellen im LAN (also den anderen Routern) auf den Switch kommen, denn die VLANs 3-5 werden ja an Port 1 des Switches von der Tomate entgegen genommen und funktionieren ja auch, wie Du schreibst.Es sei denn, man kann an dem Switch das UI nicht über tagged Ports erreichen. Ungewöhnlich, aber bei den Billigheimern muss man mit vielem rechnen. Oder die Firewall der Tomate verhindert das.
Edit:
Haha, und ich schreib es noch...
Da schreibt ein User dann passend:
Ob die Aussage dort stimmt, steht nicht fest, aber Du bist nicht allein
Da Du offenbar bei dem Gerät immer die gültige VLAN1-IP-Adresse (DHCP oder fest vergeben) aufrufen musst, Dein Router diese aber sicher nicht in eines der VLANs 3-5 weiter leitet, kommst Du schon deshalb nicht auf den Switch.
Nein, es muss nicht die VLAN1-Adresse sein, siehe oben.Haha, und ich schreib es noch...
(if a second or third VLAN are tagged on the same port), no GUI management possible.
https://community.netgear.com/t5/Plus-and-Smart-Switches-Forum/GS108Ev3- ...Da schreibt ein User dann passend:
Sweet lord, I can't even begin to express how bad this design is.
Es hat schon Gründe, dass der Kollege @aqui hier immer wieder predigt, nicht solche Geräte zu kaufen. Aber gut.Ob die Aussage dort stimmt, steht nicht fest, aber Du bist nicht allein
Da Du offenbar bei dem Gerät immer die gültige VLAN1-IP-Adresse (DHCP oder fest vergeben) aufrufen musst, Dein Router diese aber sicher nicht in eines der VLANs 3-5 weiter leitet, kommst Du schon deshalb nicht auf den Switch.
Ziel ist es aber doch, mit dem PC auch von den anderen Routern zum Switch zu kommen - und dazu solltest musst Du (offenbar hier) durchgehend das VLAN1 untagged verwenden. Achtung: DHCP, wie oben von mir beschrieben, wird bei diesem Gerät wahrscheinlich auch nicht zuverlässig klappen. Bleib bei der statischen.
Ja so wird es sein. Das war das was ich meinte: sobald ein Port für irgendein VLAN geTagged ist, kommt man über diesen Port nicht mehr auf's UI.Der hier scheint das ganze zu bestätigen:
https://community.netgear.com/t5/Plus-and-Smart-Switches-Forum/GS108Ev3- ...
Zitat von @aqui:
Getagged geht das nur über einen per tagged Uplink angeschlossenen Switch oder wenn man Tagging auf dem Endgerät aktiviert.
M.W. supportet dies Netgear Modell nicht das Umhängen des Management Interfaces in ein anderes VLAN. Es ist immer fest mit dem VLAN 1 verbunden so das das Switch GUI dann ausschliesslich nur übers Routing via externem Router aus anderen VLANs erreichbar ist.
Das setzt dann natürlich bei allen Beteiligten eine gültige IP in dem spezifischen VLAN und eine Gateway IP (Router) voraus. Siehe für die Routing Grundlagen auch hier.
Wahrscheinlich habe ich das wieder irgendwo falsch verstanden, aber wie schon geschrieben: wenn ich den PC direkt mit einem der Switch-Ports 2-8 (VLAN 3-5) verbinde, komme ich auf das UI. Konfig siehe oben.Es sei denn, man kann an dem Switch das UI nicht über tagged Ports erreichen.
Nicht mit einem Endgerät was keine tagged Frames versendet. Endgeräte sind in der Regel ja immer UNtagged und dieser Traffic wird dann immer in das an dem Switchport aktive PVID VLAN geforwardet. Siehe "VLAN" Schnellschulung. Getagged geht das nur über einen per tagged Uplink angeschlossenen Switch oder wenn man Tagging auf dem Endgerät aktiviert.
M.W. supportet dies Netgear Modell nicht das Umhängen des Management Interfaces in ein anderes VLAN. Es ist immer fest mit dem VLAN 1 verbunden so das das Switch GUI dann ausschliesslich nur übers Routing via externem Router aus anderen VLANs erreichbar ist.
Das setzt dann natürlich bei allen Beteiligten eine gültige IP in dem spezifischen VLAN und eine Gateway IP (Router) voraus. Siehe für die Routing Grundlagen auch hier.
Ist der GS108Tv2 hier irgendwie besser?
Ok, ich verstehe Dich so:
Das entspräche dem in den Forenthreads zum Switch Gelesenen, nachdem das UI aus jedem VLAN erreicht werden kann, weil der Prozessor den Traffic wohl ausschließlich und auf allen Leitungen auf die IP-Adresse des Web-UI abhört.
a) Was spricht nun dagegen mal VLAN1 untagged auf Switchport 1 und Routerport 2 zu legen, einen PC am Router auf VLAN1 zu legen und zu schauen, um das zu verifizieren? Du willst Dein Setup nicht mehr verändern? Dann können wir das auch nicht klären. Wenn Dir der Stand so reicht, sag' das bitte, dann müssen wir hier nicht weiter schreiben.
b) Bist Du sicher, dass ein Adressaufruf für die Switch-IP auf Switchport 1 ankommt, wenn Du ihn zB aus VLAN3 von einem PC hinter einem der anderen Router absendest? Was macht Dich da sicher?
Billigswitche haben Macken, Featurebeschränkungen und sind herstellerseitig meist schlecht unterstützt. Hinzu kommt, dass sie meist von Laien verwendet werden und sich somit auch in Foren keine Fachkompetenz dazu tummelt. Das gilt natürlich auch für andere Geräte. Gut muss nicht immer teuer sein, aber es bedarf eines gewissen Verständnisses und Recherche, um den Unterschied zu erkennen. Du arbeitest gerade dran.
Viele Grüße, commodity
- am untagged Port für VLAN3 bekommt Dein PC eine IP aus dem VLAN3. Korrekt? Der Switch hingegen bekommt/hat keine IP-Adresse aus diesem VLAN, korrekt? Du erreichst das UI dennoch.
Das entspräche dem in den Forenthreads zum Switch Gelesenen, nachdem das UI aus jedem VLAN erreicht werden kann, weil der Prozessor den Traffic wohl ausschließlich und auf allen Leitungen auf die IP-Adresse des Web-UI abhört.
- Auf Switchport 1 kommst Du dennoch nicht auf das UI, korrekt? Es besteht die Vermutung, dass das UI nicht erreicht werden kann, wenn auf dem Port tagged VLANs liegen.
sobald ein Port für irgendein VLAN geTagged ist, kommt man über diesen Port nicht mehr auf's UI.
Das will ich (noch) nicht so hinnehmen.a) Was spricht nun dagegen mal VLAN1 untagged auf Switchport 1 und Routerport 2 zu legen, einen PC am Router auf VLAN1 zu legen und zu schauen, um das zu verifizieren? Du willst Dein Setup nicht mehr verändern? Dann können wir das auch nicht klären. Wenn Dir der Stand so reicht, sag' das bitte, dann müssen wir hier nicht weiter schreiben.
b) Bist Du sicher, dass ein Adressaufruf für die Switch-IP auf Switchport 1 ankommt, wenn Du ihn zB aus VLAN3 von einem PC hinter einem der anderen Router absendest? Was macht Dich da sicher?
Ist der GS108Tv2 hier irgendwie besser?
Bitte erwarte nicht, dass wir hier jeden Billigswitch auch noch quer durch die Versionsreihen kennen. Mach Dir bitte eine Vorstellung, wieviele Geräte wohl derzeit am Markt sind und dann nimm das Mal 10 Jahre... Der Kollege @aqui hat einen bemerkenswerten Erfahrungsfundus. Auch er kann aber nur einen winzigen Teil der Switche konkret kennen. Und dann sind das eher die in dem Segment, das Profis nutzen.Billigswitche haben Macken, Featurebeschränkungen und sind herstellerseitig meist schlecht unterstützt. Hinzu kommt, dass sie meist von Laien verwendet werden und sich somit auch in Foren keine Fachkompetenz dazu tummelt. Das gilt natürlich auch für andere Geräte. Gut muss nicht immer teuer sein, aber es bedarf eines gewissen Verständnisses und Recherche, um den Unterschied zu erkennen. Du arbeitest gerade dran.
Viele Grüße, commodity
1Wenn ich mit dem PC über den Router gehe, komme ich nicht auf das Switch-UI
Vermutlich fehlt dann deim einen oder anderen Ende (oder beiden) ein Default Gateway Eintrag.Zu den Grundlagen dazu siehe HIER.
Lesen und Verstehen...
Der hier scheint das ganze zu bestätigen:
Nur dann wenn kein einziger Port mehr im PVID 1 liegt. Ist das denn bei dir der Fall? Dein Trunk (Uplink) Port vom Router liegt doch im PVID 1, oder? Damit hättest du dann weiter eine gültige Verbindung auf das Management. Zwingend ist natürlich dann das die andere Seite auch dieses untagged PVID VLAN IPtechnisch bedient!wenn ich den PC direkt mit einem der Switch-Ports 2-8 (VLAN 3-5) verbinde, komme ich auf das UI
Liegt vermutlich daran das dort ein direkter Zugang zum VLAN 1 (PVID) besteht.Bestärkt die Befürchtung das das untagged VLAN an Port 1 IPtechnisch nicht mit dem Router verbunden ist (fehlende IP etc.) so das eine Verbindung über den Router in das VLAN nicht möglich ist. Damit scheitert dann auch der Management Zugriff. Einfache Logik...
Checke also die Routerseite. Den Rest hat Kollege @commodity oben schon im Detail beschrieben.
Dein Trunk (Uplink) Port vom Router liegt doch im PVID 1, oder?
Nein. Der Switch ist aber so blöde, dass er auf allen VLANs auf die Management-IP für das Web-UI anspringt. Wird auf mehreren Forenseiten (siehe auch den Link oben) bestätigt und beanstandet.Es müsste also schon reichen, überhaupt aus irgendeinem VLAN draufzukommen, vorausgesetzt die Management-IP wird bis zum Switch weiter geleitet.
Aber das ist die hier noch offene Frage. In dem einen Beitrag wird behauptet, dass ein Port, der tagged VLANs hat, das UI gar nicht mehr erreicht, auch wenn VLAN1 untagged anliegt.
Das könnten wir verifizieren, wenn der TO unseren Hinweisen zum VLAN1 mal folgen würde. Mal sehen
Viele Grüße, commodity
auf allen VLANs auf die Management-IP für das Web-UI anspringt.
Oha...wie gruselig. Na ja, no comment... Netgear eben. 
Ich erinnere mich noch an den ellenlangen Fred zu TP-Link, der sich auf DHCP immer zufällig ein VLAN ausgesucht hat, aus dem er DHCP bezieht. Nach jedem Start ein anderes
Viele Grüße, commodity
Viele Grüße, commodity
Der Switch-Port-1 ist ja mit dem Router-Port-2 verbunden.
Sobald ich Port-2 auf dem Router untagge, kann ich auf das UI vom Switch zugreifen. Und zwar unabhängig von der VLAN-ID, d.h. es spielt dann keine Rolle ob LAN0 vom Router die VLAN/VID 1 oder 3 hat. In beiden Fällen geht es. Auch die IP-Vergabe an den Switch per DHCP funktioniert dann.
Ich habe daher die VLAN/VID im Router auf 3 belassen. Die VLAN-Konfig im Switch ist noch wie in meinem 2. Beitrag.
Allerdings bekommen dann am Switch angeschlossene Clients keine DHCP-IP-Adresse mehr an den Switch-Ports 2-4. Ich müsste dann wahrscheinlich im Router LAN0 als Default-VLAN setzen, das will ich aber nicht, da LAN1 das Gäste-LAN ist.
Habt ihr noch Ideen was ich probieren könnte oder seid ihr selber noch neugierig und wollt was spezielles wissen?
Ansonsten bedanke ich mich herzlich für eure Tipps und eure Zeit und lebe mit dem Status-Quo. Ich werde die Switch-Konfiguration ohnehin nicht oft ändern und im Fall der Fälle auch damit klarkommen, dass ich den PC dann direkt mit dem Switch verbinden muss.
Sobald ich Port-2 auf dem Router untagge, kann ich auf das UI vom Switch zugreifen. Und zwar unabhängig von der VLAN-ID, d.h. es spielt dann keine Rolle ob LAN0 vom Router die VLAN/VID 1 oder 3 hat. In beiden Fällen geht es. Auch die IP-Vergabe an den Switch per DHCP funktioniert dann.
Ich habe daher die VLAN/VID im Router auf 3 belassen. Die VLAN-Konfig im Switch ist noch wie in meinem 2. Beitrag.
Allerdings bekommen dann am Switch angeschlossene Clients keine DHCP-IP-Adresse mehr an den Switch-Ports 2-4. Ich müsste dann wahrscheinlich im Router LAN0 als Default-VLAN setzen, das will ich aber nicht, da LAN1 das Gäste-LAN ist.
Habt ihr noch Ideen was ich probieren könnte oder seid ihr selber noch neugierig und wollt was spezielles wissen?
Ansonsten bedanke ich mich herzlich für eure Tipps und eure Zeit und lebe mit dem Status-Quo. Ich werde die Switch-Konfiguration ohnehin nicht oft ändern und im Fall der Fälle auch damit klarkommen, dass ich den PC dann direkt mit dem Switch verbinden muss.
Ich habe daher die VLAN/VID im Router auf 3 belassen. Die VLAN-Konfig im Switch ist noch wie in meinem 2. Beitrag.
Allerdings bekommen dann am Switch angeschlossene Clients keine DHCP-IP-Adresse mehr an den Switch-Ports 2-4. Ich müsste dann wahrscheinlich im Router LAN0 als Default-VLAN setzen, das will ich aber nicht, da LAN1 das Gäste-LAN ist.
Allerdings bekommen dann am Switch angeschlossene Clients keine DHCP-IP-Adresse mehr an den Switch-Ports 2-4. Ich müsste dann wahrscheinlich im Router LAN0 als Default-VLAN setzen, das will ich aber nicht, da LAN1 das Gäste-LAN ist.
Sieht so aus, als ob der Switch nur über (irgendein) untagged VLAN das UI erreichen kann. Deshalb solltest Du ja VLAN1 mal anlegen. Das scheinst Du aber nicht zu wollen und machst lieber solche "Erfahrungen".
Wenn Du VLAN3 an Port 2 des Routers jetzt untagged übergibst (so verstehe ich Dich), landet es im Switch als VLAN1, wenn Du dort am Port die PVID1 konfiguriert hast. Dann bekommt das VLAN3 am Switch (Ports 2-4) natürlich weder eine IP-Adresse noch Daten. Stell am Switchport 1 mal die PVID auf 3. Das sollte etwas ändern. Dann ist VLAN3 nun zugleich Dein Administrationsnetz.
Viele Grüße, commodity
Sobald ich Port-2 auf dem Router untagge, kann ich auf das UI vom Switch zugreifen.
Was ja dann bestätigt das du, wie oben schon befürchtet, auf dem Router vergessen hast das Native / PVID VLAN zu setzen!!Wenn du Switchport und Routerport unterschiedlich in Bezug auf das VLAN Handling konfigurierst muss man sich nicht groß wundern das es in die Hose geht...
Kollege @commodity hat es oben ja schon gesagt:
Lies dazu noch einmal HIER was da zum Thema "Parent Interface" steht! Das ist das PVID bzw. Native VLAN Interface was am Router mit IP Adressen versehen sein muss und untagged am Trunk gesendet wird. Diesen untagged Traffic forwardet der Switch dann in sein Default VLAN 1 sofern PVID 1 gesetzt ist. Einfache Logik....
Sieht so aus, als ob der Switch nur über (irgendein) untagged VLAN das UI erreichen kann. Deshalb solltest Du ja VLAN1 mal anlegen. Das scheinst Du aber nicht zu wollen und machst lieber solche "Erfahrungen".
Das habe ich doch gemacht und dadurch festgestellt, dass der Switch mit VLAN1 im Prinzip dasselbe Verhalten zeigt wie mit VLAN3.Wenn Du VLAN3 an Port 2 des Routers jetzt untagged übergibst (so verstehe ich Dich), landet es im Switch als VLAN1, wenn Du dort am Port die PVID1 konfiguriert hast. Dann bekommt das VLAN3 am Switch (Ports 2-4) natürlich weder eine IP-Adresse noch Daten. Stell am Switchport 1 mal die PVID auf 3. Das sollte etwas ändern. Dann ist VLAN3 nun zugleich Dein Administrationsnetz.
Prima, damit funktioniert jetzt alles!Momentan habe ich im Bild den oberen Aufbau. Angenommen ich möchte zukünftig auf den unteren wechseln, müsste ich jedem Switchport, der zu einem Router führt die PVID 3 geben und den entsprechenden Routerport untaggen, verstehe ich das richtig?
Das habe ich doch gemacht und dadurch festgestellt, dass der Switch mit VLAN1 im Prinzip dasselbe Verhalten zeigt wie mit VLAN3.
Nein, da hattest Du ja am Router das VLAN nicht gesetzt. VLAN1 war nie korrekt connected, falls ich in dem langen Fred nichts übersehe.Prima, damit funktioniert jetzt alles!
Das war nahe liegend. Wenn Du mir jetzt noch den Gefallen tust, und versuchst, das zu verstehen (ggf. nochmal mit Hilfe von @aquis Tutorial, das man besser 3x durchgeht), dann bin ich glücklich! Momentan habe ich im Bild den oberen Aufbau. Angenommen ich möchte zukünftig auf den unteren wechseln, müsste ich jedem Switchport, der zu einem Router führt die PVID 3 geben und den entsprechenden Routerport untaggen, verstehe ich das richtig?
Viele Grüße, commodity
Edit: Und ich denke, der Thread hat langsam ein How can I mark a post as solved? verdient
Vielleicht klären wir den Rest in einem neuen. Dann besteht auch die Chance, dass frisches Blut sich daran beteiligt
1Nein, da hattest Du ja am Router das VLAN nicht gesetzt. VLAN1 war nie korrekt connected, falls ich in dem langen Fred nichts übersehe.
Doch, bevor ich den Beitrag am 08.12.2023 um 15:22:32 Uhr verfasst habe. Leider habe ich das nicht eindeutig dazugeschrieben und dachte das wird aus dem 2. Absatz klar. Sorry!Auch ist (mir) noch nicht klar, ob Clients hinter den anderen Routern auch Clients im LAN erreichen sollen (und wie das gehen soll).
Ja das sollen sie und das funktioniert auch. Bspw. hängt der Drucker am Switch im VLAN3 und ich kann drucken, egal über welchen Router der PC verbunden ist.Vielen herzlichen Dank nochmal und einen schönen Adventssonntag!