23
HP 1920 VLAN Layer3 Internetzugang über Firewall
Erst mal ein freundliches Hallo in die Rund von einem Neuling hier und bei den Switches
Ich habe eine Frage, die Euch wahrscheinlich etwas banal vorkommt, für mich, der sich seit 2 Tagen durchs Netz liest, etwas verwirrend ist.
Folgende Voraussetzung(Stand derzeit):
Netzwerk mit ca. 20 Clients, die an einem "dummen" Switch hängen und über eine Firewall ins I-Net gehen.
Die Firewall (SW auf einem PC, kann ich nicht ändern, habe keinen Zugriff), liegt auf 192.168.0.254
Einige Clients haben statische Adressen, die auch gleich bleiben müssen.
Morgen kommt ein HP 1920 48g Switch
Ziel ist:
2 VLANs die untereinander nicht kommunizieren müssen, aber ins I-Net sollen.
Für die Clients mit statischer Adresse und auch einem Teil dynamisch zugewiesener Clients lege ich ein VLAN XY mit dem Subnetz 192.168.0.0/24 an.
Der Rest der Clients kommt ins VLAN XX
Meine Überlegung:
Ich packe Gruppe 1 in das bestehende VLAN1. eigentlich müsste der DHCP-Server der Firewall hier greifen.
Gruppe 2 kommt ins andere VLAN, von mir aus 192.168.2.0/24
Meine Frage:
Stimmen meine Überlegungen bis jetzt und würde es reichen wenn ich jetzt noch ein IP Routing eintrage. Aber was ist mit den DHCP für das zweite VLAN?
Wie gesagt, ich habe in den letzten Tagen so viel gelesen, dass ich jetzt mehr verwirrt bin als früher.
Wie würdet ihr vorgehen?
Danke schon mal und entschuldigt die Fragen eines Newbies
Ich habe eine Frage, die Euch wahrscheinlich etwas banal vorkommt, für mich, der sich seit 2 Tagen durchs Netz liest, etwas verwirrend ist.
Folgende Voraussetzung(Stand derzeit):
Netzwerk mit ca. 20 Clients, die an einem "dummen" Switch hängen und über eine Firewall ins I-Net gehen.
Die Firewall (SW auf einem PC, kann ich nicht ändern, habe keinen Zugriff), liegt auf 192.168.0.254
Einige Clients haben statische Adressen, die auch gleich bleiben müssen.
Morgen kommt ein HP 1920 48g Switch
Ziel ist:
2 VLANs die untereinander nicht kommunizieren müssen, aber ins I-Net sollen.
Für die Clients mit statischer Adresse und auch einem Teil dynamisch zugewiesener Clients lege ich ein VLAN XY mit dem Subnetz 192.168.0.0/24 an.
Der Rest der Clients kommt ins VLAN XX
Meine Überlegung:
Ich packe Gruppe 1 in das bestehende VLAN1. eigentlich müsste der DHCP-Server der Firewall hier greifen.
Gruppe 2 kommt ins andere VLAN, von mir aus 192.168.2.0/24
Meine Frage:
Stimmen meine Überlegungen bis jetzt und würde es reichen wenn ich jetzt noch ein IP Routing eintrage. Aber was ist mit den DHCP für das zweite VLAN?
Wie gesagt, ich habe in den letzten Tagen so viel gelesen, dass ich jetzt mehr verwirrt bin als früher.
Wie würdet ihr vorgehen?
Danke schon mal und entschuldigt die Fragen eines Newbies
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 288469
Url: https://administrator.de/contentid/288469
Ausgedruckt am: 25.11.2024 um 18:11 Uhr
23 Kommentare
Neuester Kommentar
Moin zurück...
Kurz und knapp...
du brauchst gar kein IP-Routing auf dem Switch, wenn die VLan´s nicht miteinander kommunizieren sollen...
In den DHCP Optionen gibst du das jeweilige Gateway (für Vlan 1 das 192.168.0.254 und für das Vlan 2 das 192.168.2.254) mit.
Diese beiden IP Adressen liegen ja auf der Firewall und somit übernimmt die das Routing zum Internet.
Absichern der Netze auf übergriff aus dem jeweiligen anderen Netz machst du dann auf der Firewall mit Access Listen.
Auf dem HP Switch brauchst du nur den Ports das entsprechende Vlan konfigurieren und fertig ist der Lack.
Gruß Keksdieb
Kurz und knapp...
du brauchst gar kein IP-Routing auf dem Switch, wenn die VLan´s nicht miteinander kommunizieren sollen...
In den DHCP Optionen gibst du das jeweilige Gateway (für Vlan 1 das 192.168.0.254 und für das Vlan 2 das 192.168.2.254) mit.
Diese beiden IP Adressen liegen ja auf der Firewall und somit übernimmt die das Routing zum Internet.
Absichern der Netze auf übergriff aus dem jeweiligen anderen Netz machst du dann auf der Firewall mit Access Listen.
Auf dem HP Switch brauchst du nur den Ports das entsprechende Vlan konfigurieren und fertig ist der Lack.
Gruß Keksdieb
Stimmen meine Überlegungen bis jetzt und würde es reichen wenn ich jetzt noch ein IP Routing eintrage. Aber was ist mit den DHCP für das zweite VLAN?
Ja, die Überlegungen stimmen !Allerdings musst du außer einer Default Route die zur Firewall zeigt auf dem Switch keinerlei Routing konfigurieren.
Die beiden IP Segmente (VLANs) sind ja direkt am Switch dran, folglich "kennt" der Switch also beide Netze und routet von sich aus.
Einzig was du machen musst ist in jedem VLAN eine Switch IP anlegen und die Gateways der Clients in den VLANs jeweils auf die korrespondierende Switch IP in dem VLAN zeigen lassen.
Default Route auf dem Switch...
Fertig ist der Lack !
Wie es genau geht steht hier:
http://vmfocus.com/2012/09/26/how-to-configure-layer-3-static-routes-vl ...
Grundlagen dazu findest du auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wobei du dir den externen Router wegdenken kann wenn deine HP Billiggurke ein Layer 3 sprich also ein Routing fähiger Switch ist ?!
Kurzer Einspruch aqui,
da er die Netze ja eh trennen will, braucht er auf der HP Gurke gar keine Interfaces mit IP-Routing
Das Routing übernimmt ja eh die FW und der HP braucht nur eine IP für das Management.
Es sei denn, er will aus beiden Netzen den Switch managen, dann brauch er tatsächlich auf beiden VLan´s eine IP.
Alles andere auf Layer 3 macht er ja eh auf der FW / Router...
da er die Netze ja eh trennen will, braucht er auf der HP Gurke gar keine Interfaces mit IP-Routing
Das Routing übernimmt ja eh die FW und der HP braucht nur eine IP für das Management.
Es sei denn, er will aus beiden Netzen den Switch managen, dann brauch er tatsächlich auf beiden VLan´s eine IP.
Alles andere auf Layer 3 macht er ja eh auf der FW / Router...
OK, das ist natürlich dann richtig !
Dann gilt eben doch wieder all das was im obig zitierten VLAN Tutorial hier im Forum mit externem Router bzw. Firewall steht.
Sorry für die Verwirrung.
Dann gilt eben doch wieder all das was im obig zitierten VLAN Tutorial hier im Forum mit externem Router bzw. Firewall steht.
Sorry für die Verwirrung.
War ja auch nur ein Einwand, um den Aufwand so gering wie möglich zu halten...
Wahrschinlich hätte es ein einfacher Baumarktswitch genauso getan...
Wahrschinlich hätte es ein einfacher Baumarktswitch genauso getan...
Also erst mal Vielen dank für die zahlreichen Tipps.
Ja, ich habe durch die viele Lektüre viel zu kompliziert gedacht.
Der Switch läuft jetzt gerade mal in meinem Netz und ich bin dabei, mich ein wenig zu orientieren.
Eines ist mir beim Lesen der Antworten allerdings jetzt schon aufgefallen.
Ihr schreibt, das Routing soll die FW übernehmen.
Nur leider habe ich darauf keinen Zugriff. Ich denke, das muss ich mit dem DHCP Interface, oder wie sich das nennt, am Switch managen.
Aber jetzt erst mal die basics einrichten, dann schau ich weiter.
Nochmals vielen Dank für Eure Hilfe. Ich hoffe ich nerve bald nicht mehr so sehr.
Nebenbei, das ding steht gerade bei mir zu Hause, macht einen Höllenlärm
Ja, ich habe durch die viele Lektüre viel zu kompliziert gedacht.
Der Switch läuft jetzt gerade mal in meinem Netz und ich bin dabei, mich ein wenig zu orientieren.
Eines ist mir beim Lesen der Antworten allerdings jetzt schon aufgefallen.
Ihr schreibt, das Routing soll die FW übernehmen.
Nur leider habe ich darauf keinen Zugriff. Ich denke, das muss ich mit dem DHCP Interface, oder wie sich das nennt, am Switch managen.
Aber jetzt erst mal die basics einrichten, dann schau ich weiter.
Nochmals vielen Dank für Eure Hilfe. Ich hoffe ich nerve bald nicht mehr so sehr.
Nebenbei, das ding steht gerade bei mir zu Hause, macht einen Höllenlärm
Ihr schreibt, das Routing soll die FW übernehmen.
Da hast du wohl was falsch verstanden... Wir dachten DU hattest das so gemeint aber egal....Natürlich kann der Switch auch routen das ist kein Thema. Es ist sogar noch etwas performanter wenn der Switch das macht.
Allerdings gibt es einen Wermutstropfen für dich:
OHNE einen Zugang zur Firewall kannst du dein Vorhaben NICHT umsetzen !
Auch wenn der Switch statt der FW routet musst du zwingend eine statische Route für das zu routende VLAN auf der Firewall eintragen.
Also so oder so ob du die eine oder die andere Option nutzt das umzusetzen, benötigst du zwingend immer Zugang zur Firewall um deren Konfig etwas anzupassen.
Ohne diesen Zugang ist dein Vorhaben so nicht umsetzbar.
Dieses Routing Tutorial im Forum erklärt dir warum das so ist:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Dr routenede Server oder Router netspricht dann deinem L3 Routing Switch.
Zitat von @aqui:
Dieses Routing Tutorial im Forum erklärt dir warum das so ist:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Dr routenede Server oder Router netspricht dann deinem L3 Routing Switch.
Dieses Routing Tutorial im Forum erklärt dir warum das so ist:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Dr routenede Server oder Router netspricht dann deinem L3 Routing Switch.
Leider gibt es mit dem Typen, der die Firewall eingerichtet hat, derzeit Probleme, aber vlt. gibt es da auch eine Lösung.
Inzwischen werde ich mir morgen das Tutorial in Ruhe durchlesen.
Für heute aber allen eine Gute Nacht.
Leider gibt es mit dem Typen, der die Firewall eingerichtet hat, derzeit Probleme
Deshalb darf er aber nicht dir als Admin das Passwort vorenthalten !!!Abgesehen davon hat jedes Produkt eine Passwort Recovery Prozedur mit der du das Passwort auf einen neuen dir bekannt Wert setzen kannst !!
Gut...weisst du sicher auch alles selber ?!
Gut...weisst du sicher auch alles selber ?!
ja, ich denke, es wird auch eine Lösung geben.
Das mit dem PW Recovery müsste ich mir genauer ansehen.
Die FW ist auf einem PC, auf dem scheinbar das DD-WRT lauft. Zumindest gibt mir ein IP-Scan die Kennung dazu aus.
Ich möchte da aber gar nicht rein pfuschen.
Dachte, ich kann alles direkt am Switch managen, aber so sieht es derzeit leider nicht aus.
Nicht denken sondern nachdenken..! 
DD-WRT ist keine Firewall sondern ein Router und kann so direkt nicht auf einem PC laufen.
Es ist ein Ableger von OpenWRT einer alternativen Firmware für diverse Router Plattformen am Markt die erheblich mehr Features bieten als die meist mickrige Hersteller Firmware:
http://www.dd-wrt.com/site/index
http://www.dd-wrt.com/wiki/index.php/Supported_Devices
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
Vielleicht solltest du erstmal klären was da wirklich drauf läuft statt im freien Fall zu raten ?!
DD-WRT ist keine Firewall sondern ein Router und kann so direkt nicht auf einem PC laufen.
Es ist ein Ableger von OpenWRT einer alternativen Firmware für diverse Router Plattformen am Markt die erheblich mehr Features bieten als die meist mickrige Hersteller Firmware:
http://www.dd-wrt.com/site/index
http://www.dd-wrt.com/wiki/index.php/Supported_Devices
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
Vielleicht solltest du erstmal klären was da wirklich drauf läuft statt im freien Fall zu raten ?!
Und auch bei so einem kleinen Thema steht das Konzept VOR der Umsetzung!
Sammel erstmal die Zugangsdaten und Informationen für alle benötigten Komponenten, mach dir eine Skizze, wie das Konstrukt nachher aussehen soll und dann merkst du recht schnell, wo es schwierig oder sogar unmöglich wird.
Notier dir Änderungen und Anpassungen, Dokumentiere deinen Test und dann hast du später keine Probleme ein neues Gerät einzubinden oder das Netzwerk zu erweitern.
Gruß
Keks
Sammel erstmal die Zugangsdaten und Informationen für alle benötigten Komponenten, mach dir eine Skizze, wie das Konstrukt nachher aussehen soll und dann merkst du recht schnell, wo es schwierig oder sogar unmöglich wird.
Notier dir Änderungen und Anpassungen, Dokumentiere deinen Test und dann hast du später keine Probleme ein neues Gerät einzubinden oder das Netzwerk zu erweitern.
Gruß
Keks
ja, mein Fehler,
ich habe mich in der Tabelle in einer Zeile geirrt. Statt xxx.254(Firewall) habe ich bei xxx.253 gelesen.
Dort ist ein Linksys AP
Und ja, Keks, Planung ist wichtig. Deshalb experimentiere ich derzeit ja auch noch herum.
Sonntag soll der Switch einbaut werden und sollte bis dahin keine Lösung mit der Firewall zustande gekommen sein, werde ich ihn vorerst ohne VLANs laufen lassen.
ist auch nicht schlimm, weil eigentlich nur 5 Clients in das 2te VLAN rein sollten. ich war/bin einfach nur neugierig, wie das prinzipiell funktioniert.
ich habe mich in der Tabelle in einer Zeile geirrt. Statt xxx.254(Firewall) habe ich bei xxx.253 gelesen.
Dort ist ein Linksys AP
Und ja, Keks, Planung ist wichtig. Deshalb experimentiere ich derzeit ja auch noch herum.
Sonntag soll der Switch einbaut werden und sollte bis dahin keine Lösung mit der Firewall zustande gekommen sein, werde ich ihn vorerst ohne VLANs laufen lassen.
ist auch nicht schlimm, weil eigentlich nur 5 Clients in das 2te VLAN rein sollten. ich war/bin einfach nur neugierig, wie das prinzipiell funktioniert.
Hier übrigens für dich noch ein kleiner Tip für eine Firewall die DU dann problemlos per Mausklick administrieren kannst
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Und mit der sich dein Vorhaben mit 5 Mausklicks im GUI im Handumdrehen umsetzen lässt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Und mit der sich dein Vorhaben mit 5 Mausklicks im GUI im Handumdrehen umsetzen lässt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
WIe aqui bereits vorgeschlagen hat...
Wenn es Ärger mit dem Firewall Admin gibt und er nicht mehr greifbar ist, tausch die FW gegen eine eigene Lösung aus!
Das ganze holt dich am Sonntag sonst wieder ein, und dann fehlt dir die Zeit für Planung und Umsetzung!
Gruß Keksd
Wenn es Ärger mit dem Firewall Admin gibt und er nicht mehr greifbar ist, tausch die FW gegen eine eigene Lösung aus!
Das ganze holt dich am Sonntag sonst wieder ein, und dann fehlt dir die Zeit für Planung und Umsetzung!
Gruß Keksd
Danke Euch beiden,
ja, in der Tat schau ich mir jetzt Alternativen an.
Lese mir dann die beiden Artikel von aqui durch und werde es wohl auf diese Weise angehen.
ja, in der Tat schau ich mir jetzt Alternativen an.
Lese mir dann die beiden Artikel von aqui durch und werde es wohl auf diese Weise angehen.
So, neuer Zwischenbericht,
Der Vorschlag mit der preisgünstigen Firewall gefällt mir sehr gut. Allerdings wird sich das bis Sonntag nicht mehr ausgehen.
Ich habe mir aber für Testzwecke und um das ganze auch besser zu verstehen, einen gebrauchten Linksys Router um 10 € besorgt und DD-WRT darauf installiert und 2 VLANS angelegt.
Im Moment teste ich die Konfig noch ohne Switch. Bisher funktioniert alles, so wie ich das möchte.
Habe mal einen Plan gemacht, wie es dann fertig aussehen soll.
Sicher bin ich mir nur noch nicht, wie ich die VLANS vom Linksys zum Switch verbinden soll.
Am linksys die beiden Ports taggen und ein Kabel zum Switch
oder die Vlans getrennt lassen und 2 Kabel zu Switch.
Dank eurer Hilfe sehe ich endlich Licht am Ende des Tunnels(oder Switches)
Aqui - welches Programm verwendest du eigentlich für die Diagramme, die sehen echt gut aus?
Der Vorschlag mit der preisgünstigen Firewall gefällt mir sehr gut. Allerdings wird sich das bis Sonntag nicht mehr ausgehen.
Ich habe mir aber für Testzwecke und um das ganze auch besser zu verstehen, einen gebrauchten Linksys Router um 10 € besorgt und DD-WRT darauf installiert und 2 VLANS angelegt.
Im Moment teste ich die Konfig noch ohne Switch. Bisher funktioniert alles, so wie ich das möchte.
Habe mal einen Plan gemacht, wie es dann fertig aussehen soll.
Am linksys die beiden Ports taggen und ein Kabel zum Switch
oder die Vlans getrennt lassen und 2 Kabel zu Switch.
Dank eurer Hilfe sehe ich endlich Licht am Ende des Tunnels(oder Switches)
Aqui - welches Programm verwendest du eigentlich für die Diagramme, die sehen echt gut aus?
Bitte lasse den Unsinn mit externen Bilderlinks !
Das Forum hat selber eine wunderbare Bilder Upload Funktion mit der du Bilder direkt in deine Postings einbetten kannst. Die kann dir nicht entgangen sein beim Erstellen deines obigen Beitrags, es sei denn du hast Tomaten auf Selbigen ?!
Wenn man die FAQs liest ist es kinderleicht:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Was das Maleprogramm angeht verwende ich Omnigraffle auf dem Mac und auch Visio wenn ich mit Winblows arbeiten muss
Draw aus dem kostenlosen Libre Office Paket kann es genausogut. Für letzteres gibt es sogar spezielle Netzwerk Icons.
Das Forum hat selber eine wunderbare Bilder Upload Funktion mit der du Bilder direkt in deine Postings einbetten kannst. Die kann dir nicht entgangen sein beim Erstellen deines obigen Beitrags, es sei denn du hast Tomaten auf Selbigen ?!
Wenn man die FAQs liest ist es kinderleicht:
- Deinen Originalthread mit "Meine Inhalte - Fragen" auswählen und auf "Bearbeiten" klicken !
- Nun kannst du oben den Button "Bilder" nicht übersehen. Anklicken und dein Bild hochladen
- Den nach dem Upload erscheinenden Bilder Link mit einem Rechtsklick und Copy und Paste sichern.
- Diesen Bilder Link kannst du hier in jeglichen Text bringen ! Ja, auch Antworten..! Statt des Links kommt dann ...et voila.. Dein Bild im Browser!
Sicher bin ich mir nur noch nicht, wie ich die VLANS vom Linksys zum Switch verbinden soll.
Ganz einfach mit einem tagged Uplink wie man es gemeinhin als Netzwerker macht. Hier steht genau wie es geht:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Was das Maleprogramm angeht verwende ich Omnigraffle auf dem Mac und auch Visio wenn ich mit Winblows arbeiten muss
Draw aus dem kostenlosen Libre Office Paket kann es genausogut. Für letzteres gibt es sogar spezielle Netzwerk Icons.
So, Alles läuft
Vielen dank an alle, hoffe, ich habe euch nicht zu sehr genervt.
Auf alle fälle habe ich eine Menge dazu gelernt
lg
Chris
Vielen dank an alle, hoffe, ich habe euch nicht zu sehr genervt.
Auf alle fälle habe ich eine Menge dazu gelernt
lg
Chris
Immer gerne wieder !
Hast du dafür nun die Firewall geknackt oder neu installiert ? Nur der Neugier halber....
Hast du dafür nun die Firewall geknackt oder neu installiert ? Nur der Neugier halber....
Für morgen ist geplant den Switch erst einmal ohne VLANs an die Firewall zu hängen.
Das müsste ohne Probleme funktionieren.
Alternativ habe ich eine Sicherung vom Switch mit VLAN, der an einem DD-WRT Router hängt. Das funktioniert auch ganz gut, hat dann aber halt keine Firewall.
Geplant ist, ein PC Engines APU1D Bundle, zu bestellen und die alte Firewall raus zu werfen.
Das müsste ohne Probleme funktionieren.
Alternativ habe ich eine Sicherung vom Switch mit VLAN, der an einem DD-WRT Router hängt. Das funktioniert auch ganz gut, hat dann aber halt keine Firewall.
Geplant ist, ein PC Engines APU1D Bundle, zu bestellen und die alte Firewall raus zu werfen.
Geplant ist, ein PC Engines APU1D Bundle, zu bestellen und die alte Firewall raus zu werfen.
Das ist in jedem Falle der richtige Weg !
Sehe ich wie aqui...
Bist auf dem Weg zur hellen Seite der Macht..!
Weiter so und fragen, wenn was unklar ist
Gruß Keks
Bist auf dem Weg zur hellen Seite der Macht..!
Weiter so und fragen, wenn was unklar ist
Gruß Keks
