85807
02.09.2010, aktualisiert am 18.10.2012
24811
13
1
Gateway bei VLANs
Hallo Admins.
Mir ist kein besserer Berreich für meine Frage eingefallen.
So mal sehen ob ich hier meine Antwort bekomme.
Ich bin gerade dabei ein VLAN Netzwerk einzurichten.
Ich habe eine USG 100 von Zyxel und ein ES-1528 Switch von Zyxel.
Der Switch ist in 3 VLANs eingeteilt. wobei Port 26 immer der Tagging Port ist.
Einfacher halber für den Testaufbau habe ich Port 1 = VLAN 101, Port 2 = VLAN 102 und Port 3 = VLAN 102 gesetzt.
So nun bin ich dabei auf der USG die VLANs einzutragen und jedem VLAN eine fixe IP zuzuweißen damit ich dann später in der Firewall Regeln erstellen kann wie zB VLAN 101 zu 102 darf
und VLAN 101 zu 103 darf nicht.
Mein Problem und Frage ist, welche IP Konfig ich nach dem ganzen auf den PCs in den jeweiligen VLANs einstellen muss.
sprich Gateway und DNS???
VLAN 101 -> IP-Range: 10.1.20.0
VLAN 102 -> IP-Range: 10.1.21.0
VLAN 103 -> IP-Range: 10.1.22.0
So meine Kernfrage ist:
Was ist nun der Gateway?
Egal ob ich jetzt die LAN IP von der Zyxel USG (192.168.1.254) oder die VLAN-IP (10.1.20.1) eintrage, kann ich dann sofort die anderen Netzte pingen.
Ist also diese Fixe VLAN IP auch mein Gateway?
Ich hoffe jmd kann das mit eigenen Worten erklären ohne einen google oder wiki Link zu posten.
Ich bedanke mich schon mal im vorraus.
mit freudnlichen Grüßen
Christian
Mir ist kein besserer Berreich für meine Frage eingefallen.
So mal sehen ob ich hier meine Antwort bekomme.
Ich bin gerade dabei ein VLAN Netzwerk einzurichten.
Ich habe eine USG 100 von Zyxel und ein ES-1528 Switch von Zyxel.
Der Switch ist in 3 VLANs eingeteilt. wobei Port 26 immer der Tagging Port ist.
Einfacher halber für den Testaufbau habe ich Port 1 = VLAN 101, Port 2 = VLAN 102 und Port 3 = VLAN 102 gesetzt.
So nun bin ich dabei auf der USG die VLANs einzutragen und jedem VLAN eine fixe IP zuzuweißen damit ich dann später in der Firewall Regeln erstellen kann wie zB VLAN 101 zu 102 darf
und VLAN 101 zu 103 darf nicht.
Mein Problem und Frage ist, welche IP Konfig ich nach dem ganzen auf den PCs in den jeweiligen VLANs einstellen muss.
sprich Gateway und DNS???
VLAN 101 -> IP-Range: 10.1.20.0
VLAN 102 -> IP-Range: 10.1.21.0
VLAN 103 -> IP-Range: 10.1.22.0
So meine Kernfrage ist:
Was ist nun der Gateway?
Egal ob ich jetzt die LAN IP von der Zyxel USG (192.168.1.254) oder die VLAN-IP (10.1.20.1) eintrage, kann ich dann sofort die anderen Netzte pingen.
Ist also diese Fixe VLAN IP auch mein Gateway?
Ich hoffe jmd kann das mit eigenen Worten erklären ohne einen google oder wiki Link zu posten.
Ich bedanke mich schon mal im vorraus.
mit freudnlichen Grüßen
Christian
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 150246
Url: https://administrator.de/forum/gateway-bei-vlans-150246.html
Ausgedruckt am: 09.04.2025 um 22:04 Uhr
13 Kommentare
Neuester Kommentar
Moin,
ganz einfach:
Als Gateway musst du die IP eintragen, die die USG im jeweiligen Subnetz (=VLAN) hat. DNS ist dann dein DNS Server wie bisher auch.
lg,
Slainte
ganz einfach:
Als Gateway musst du die IP eintragen, die die USG im jeweiligen Subnetz (=VLAN) hat. DNS ist dann dein DNS Server wie bisher auch.
lg,
Slainte
Hallo Christian,
wenn ich dich richtig verstanden habe, müsste deine Gateway-Adresse die IP-Adresse des VLAN-Interfaces am Router sein.
Du solltest dann in alle VLANs (sofern du es noch nicht eingeschränkt hast) pingen können.
Schönen Gruß
wenn ich dich richtig verstanden habe, müsste deine Gateway-Adresse die IP-Adresse des VLAN-Interfaces am Router sein.
Du solltest dann in alle VLANs (sofern du es noch nicht eingeschränkt hast) pingen können.
Schönen Gruß
Bei Routern ohne VLANs ist das jeweilige Routerinterface bzw. die IP auf dem Interface das def. GW.
Bei Routern mit VLANs ist das VLAN Interface bzw. die IP auf dem Interface das def. GW.
Ebenso ist der Unterschied in einem grösseren Netzwerk zwische...
1. ....netzen, die an der FW hängen,
und
2. Netzen die NICHT an der FW hängen,
nur der, dass...
...das layer3 Interface auf dem Backbone ODER auf der Firewall liegt.
Für jedes Netz das man mit der FW schützen will, verlagert man das def. gw. dieses Netzes einfach auf der Firewall,
und jedes Paket das aus oder in dieses netz will, muss die FW und ihre Regeln passieren.
So einfach ist die netzwerk-welt!
Bei Routern mit VLANs ist das VLAN Interface bzw. die IP auf dem Interface das def. GW.
Ebenso ist der Unterschied in einem grösseren Netzwerk zwische...
1. ....netzen, die an der FW hängen,
und
2. Netzen die NICHT an der FW hängen,
nur der, dass...
...das layer3 Interface auf dem Backbone ODER auf der Firewall liegt.
Für jedes Netz das man mit der FW schützen will, verlagert man das def. gw. dieses Netzes einfach auf der Firewall,
und jedes Paket das aus oder in dieses netz will, muss die FW und ihre Regeln passieren.
So einfach ist die netzwerk-welt!
Hallo,
je nachdem wie du es als Standard definierst kannst du die Gateway Adresse des jeweiligen VLAN's eintragen.
In den meisten fällen wird die erste Adresse im Netz als Gateway angenommen. d.h. bei dir wäre das dann:
VLAN 101 -> IP-Range: 10.1.20.0 -> Gateway 10.1.20.1
VLAN 102 -> IP-Range: 10.1.21.0 -> Gateway 10.1.21.1
VLAN 103 -> IP-Range: 10.1.22.0 -> Gateway 10.1.22.1
Da du keine Aussage über die größe der Netze machst, gehe ich mal von einer Maske 255.255.255.0 (/24) aus.
Du kannst allerdings auch jede andere IP Adresse des jeweiligen Netzes nehmen.
Wenn der Switch Layer3 Funktionalität besitzt und diese aktiviert ist kannst du sofort in alle direkt angeschlossenen
Netze pingen und die Geräte in diesen VLAN's erreichen.
Deine "Fixe VLAN IP" is damit immer auch deine Gateway Adresse, denn diese Adresse ist dem Switch als "Tor" zu diesem
Netz ja durch die Konfiguration bekannt gemacht worden.
Mein Problem und Frage ist, welche IP Konfig ich nach dem ganzen auf den PCs in den jeweiligen VLANs einstellen muss.
sprich Gateway und DNS???
VLAN 101 -> IP-Range: 10.1.20.0 -> Gateway 10.1.20.1
Die Endgeräte bekommen dann die IP Adressen 10.1.20.2 - 254 zugeordnet
VLAN 102 -> IP-Range: 10.1.21.0 -> Gateway 10.1.21.1
Die Endgeräte bekommen dann die IP Adressen 10.1.21.2 - 254 zugeordnet
VLAN 103 -> IP-Range: 10.1.22.0 -> Gateway 10.1.22.1
Die Endgeräte bekommen dann die IP Adressen 10.1.22.2 - 254 zugeordnet
Als DNS kannst du dann die IP Adresse des Routers eintragen.
Ein kleiner Tipp am Rande: Zur einfacheren Suche und Fehlerbehebung solltest du dir es mit den IP Adressen und VLAN ID etwas einfacher machen
VLAN 101 = 10.1.101.0
VLAN 102 = 10.1.102.0
VLAN 103 = 10.1.103.0
Ist natürlich bei VLAN 401 nicht mehr so möglich, da könnte man dann aber zum Beispiel folgendes verwenden:
VLAN 401 = 10.4.101.0
brammer
je nachdem wie du es als Standard definierst kannst du die Gateway Adresse des jeweiligen VLAN's eintragen.
In den meisten fällen wird die erste Adresse im Netz als Gateway angenommen. d.h. bei dir wäre das dann:
VLAN 101 -> IP-Range: 10.1.20.0 -> Gateway 10.1.20.1
VLAN 102 -> IP-Range: 10.1.21.0 -> Gateway 10.1.21.1
VLAN 103 -> IP-Range: 10.1.22.0 -> Gateway 10.1.22.1
Da du keine Aussage über die größe der Netze machst, gehe ich mal von einer Maske 255.255.255.0 (/24) aus.
Du kannst allerdings auch jede andere IP Adresse des jeweiligen Netzes nehmen.
Wenn der Switch Layer3 Funktionalität besitzt und diese aktiviert ist kannst du sofort in alle direkt angeschlossenen
Netze pingen und die Geräte in diesen VLAN's erreichen.
Deine "Fixe VLAN IP" is damit immer auch deine Gateway Adresse, denn diese Adresse ist dem Switch als "Tor" zu diesem
Netz ja durch die Konfiguration bekannt gemacht worden.
Mein Problem und Frage ist, welche IP Konfig ich nach dem ganzen auf den PCs in den jeweiligen VLANs einstellen muss.
sprich Gateway und DNS???
VLAN 101 -> IP-Range: 10.1.20.0 -> Gateway 10.1.20.1
Die Endgeräte bekommen dann die IP Adressen 10.1.20.2 - 254 zugeordnet
VLAN 102 -> IP-Range: 10.1.21.0 -> Gateway 10.1.21.1
Die Endgeräte bekommen dann die IP Adressen 10.1.21.2 - 254 zugeordnet
VLAN 103 -> IP-Range: 10.1.22.0 -> Gateway 10.1.22.1
Die Endgeräte bekommen dann die IP Adressen 10.1.22.2 - 254 zugeordnet
Als DNS kannst du dann die IP Adresse des Routers eintragen.
Ein kleiner Tipp am Rande: Zur einfacheren Suche und Fehlerbehebung solltest du dir es mit den IP Adressen und VLAN ID etwas einfacher machen
VLAN 101 = 10.1.101.0
VLAN 102 = 10.1.102.0
VLAN 103 = 10.1.103.0
Ist natürlich bei VLAN 401 nicht mehr so möglich, da könnte man dann aber zum Beispiel folgendes verwenden:
VLAN 401 = 10.4.101.0
brammer
WoW
Vielen Dank, jetzt hat es klick gemacht bei mir.
Das war alles überaus verständlich.
Zudem hab ich noch eine Frage bezüglich des Aufwandes.
So wie ich das jetzt einrichte, kann jedes VLAN zu jedem anderen.
Also muss ich dann ziemlich viele Regeln erstellen damit ne Kommunikation untereinander nicht möglich ist.
Und das wichtigste wäre dann die Kommuinikation zwischen LAN1 und Zywall selbst auf das notwendigste (Port 80) zu beschränken.
Laut diesem Konfigurationsbeispiel bin ich vorgegangen:
http://www.zyxel.ch/files/knowledgebase/USG100_200-VLAN-Zone.pdf
Vielen Dank, jetzt hat es klick gemacht bei mir.
Das war alles überaus verständlich.
Zudem hab ich noch eine Frage bezüglich des Aufwandes.
So wie ich das jetzt einrichte, kann jedes VLAN zu jedem anderen.
Also muss ich dann ziemlich viele Regeln erstellen damit ne Kommunikation untereinander nicht möglich ist.
Und das wichtigste wäre dann die Kommuinikation zwischen LAN1 und Zywall selbst auf das notwendigste (Port 80) zu beschränken.
Laut diesem Konfigurationsbeispiel bin ich vorgegangen:
http://www.zyxel.ch/files/knowledgebase/USG100_200-VLAN-Zone.pdf
Hallo,
Drei Regeln würde ich nicht als "ziemlich viele" bezeichnen...
brammer
Drei Regeln würde ich nicht als "ziemlich viele" bezeichnen...
brammer
Hallo,
Wie kommst du nur auf 3?
Wenn ich ne Regeln mache Zone:LAN1 zu Zone:LAN2 ist das eine Richtung.
Ich muss dann natürlich auch eine machen für LAN2 zu LAN1.
Das sind mind 9 Regeln dann.
Chris
Wie kommst du nur auf 3?
Wenn ich ne Regeln mache Zone:LAN1 zu Zone:LAN2 ist das eine Richtung.
Ich muss dann natürlich auch eine machen für LAN2 zu LAN1.
Das sind mind 9 Regeln dann.
Chris
Zitat von @85807:
Zudem hab ich noch eine Frage bezüglich des Aufwandes.
So wie ich das jetzt einrichte, kann jedes VLAN zu jedem anderen.
Also muss ich dann ziemlich viele Regeln erstellen damit ne Kommunikation untereinander nicht möglich ist.
Zudem hab ich noch eine Frage bezüglich des Aufwandes.
So wie ich das jetzt einrichte, kann jedes VLAN zu jedem anderen.
Also muss ich dann ziemlich viele Regeln erstellen damit ne Kommunikation untereinander nicht möglich ist.
Das liegt schlicht daran, dass die Default-Config der USG absolut Sch***e ist. Ein wesentlicher Kritikpunkt ist z.B., dass das Default-Firewallregelwerk alles grundsätzlich erlaubt, was nicht aktiv verboten wurde.
So wäre es besser: http://www.zyxel.ch/knowledgebase/3153.html
Gruß
Steffen
Zitat von @85807:
Wie kommst du nur auf 3?
Wenn ich ne Regeln mache Zone:LAN1 zu Zone:LAN2 ist das eine Richtung.
Ich muss dann natürlich auch eine machen für LAN2 zu LAN1.
Wie kommst du nur auf 3?
Wenn ich ne Regeln mache Zone:LAN1 zu Zone:LAN2 ist das eine Richtung.
Ich muss dann natürlich auch eine machen für LAN2 zu LAN1.
Nein musst Du nicht...
Das folgende Tutorial sollte dir auch helfen im Handumdrehen zu verstehen wie die Gateways eingetragen werden:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ist zwar kein Zyxel Schr*** das Prinzip ist aber immer das gleiche.
Weitere Infos dazu findest du noch hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
und hier
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ist zwar kein Zyxel Schr*** das Prinzip ist aber immer das gleiche.
Weitere Infos dazu findest du noch hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
und hier
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
Terrific !!!
Danke Leute.
Das hat mir echt ein großes Stueck weitergeholfen und einige Stunden Kopfzerbrechen erspart.
Ja die Default Regel der USG is wirklich scheiße, und wenn man vorher nicht aufgepasst hat sperrt man sich gleich komplett aus^^
mfG
Christian
Danke Leute.
Das hat mir echt ein großes Stueck weitergeholfen und einige Stunden Kopfzerbrechen erspart.
Ja die Default Regel der USG is wirklich scheiße, und wenn man vorher nicht aufgepasst hat sperrt man sich gleich komplett aus^^
mfG
Christian
Zitat von @aqui:
Mit
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
wär das nicht passiert
Mit
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
wär das nicht passiert
Wer nicht in der Lage ist, beim Konfigurieren einer Firewall seinen Kopf zu benutzen, vor dem ist auch bei M0n0wall und pfSense das relevante Häkchen nicht sicher...
