33
Konfiguration eines Cisco sg250-08
Hallo,
ich versuche aktuell VLANs auf dem sg250-08 einzurichten. Leider erfolglos. Die einzelnen Tipps (z.B. Routing-Tipp) habe ich schon gelesen. Einmal musste ich schon den sg250 auf die Werkseinstellungen zurück setzen. Ich hoffe es kann mir jemand mit ein paar detaillierten Tipps helfen.
Meine Konfiguration:
1. Fritzbox 7490 als Router ins Internet
2. Cisco sg250-08 als Switch in Raum 1
3. Netgear GS308E als Switch in Raum 2
Nun möchte ich Testweise (und zum Verstehen) folgendes realisieren:
1. An Port 3 soll ein PC über VLAN 200 ins Internet kommen.
2. Am Netgear-Switch soll ebenfalls an Port 2 ein PC über VLAN ins Internet (kann aber auch erst einmal entfallen)
Später sollen weitere 3 VLANs dazu kommen, die auch unter einander kommunizieren müssen. Aber erst will ich die einfachen Punkte verstehen.
Was habe ich aktuell gemacht:
1. VLAN 200 definiert.
2. IP-Interface VLAN definiert (192.168.200.254) und IP-Routing ist aktiviert
3. Der sg250 hat die IP 192.168.70.110
4. Die Fritzbox 192.168.70.100
5. DHCP-Relay ist aktiviert
6. Die DHCP-Interface Settings ist für das VLAN gesetzt
Die VLAN Interface-Settings pro Port stehen noch auf Layer2.
Die Fritzbox ist über Port 1 angebunden. an Port 8 hängt ein Netgear GS308E. Port 8 (am sg250) ist als "trunk-Port" definiert.
Wenn ich nun den Port 3 dem VLAN (untagged) zuordne, dann bekommt der PC an diesem Port einen Netzwerkfehler.
Fragen:
1. Was fehlt in meiner Konfiguration?
2. Was muss ich zusätzlich auf dem Netgear einstellen? Dort habe ich ebenfalls das VLAN 200 erstellt und ebenfalls den Port 3 diesem VLAN zugeordnet. Alle anderen Ports auf dem Switch sind dem VLAN 1 zugeordnet. Aber auch dieser PC hat in dieser Konstelllation ein Netzwerkfehler. Es funktioniert nur, wenn ich diesen Port auch dem VLAN 1 zuweise.
Viele Grüße
Jürgen
ich versuche aktuell VLANs auf dem sg250-08 einzurichten. Leider erfolglos. Die einzelnen Tipps (z.B. Routing-Tipp) habe ich schon gelesen. Einmal musste ich schon den sg250 auf die Werkseinstellungen zurück setzen. Ich hoffe es kann mir jemand mit ein paar detaillierten Tipps helfen.
Meine Konfiguration:
1. Fritzbox 7490 als Router ins Internet
2. Cisco sg250-08 als Switch in Raum 1
3. Netgear GS308E als Switch in Raum 2
Nun möchte ich Testweise (und zum Verstehen) folgendes realisieren:
1. An Port 3 soll ein PC über VLAN 200 ins Internet kommen.
2. Am Netgear-Switch soll ebenfalls an Port 2 ein PC über VLAN ins Internet (kann aber auch erst einmal entfallen)
Später sollen weitere 3 VLANs dazu kommen, die auch unter einander kommunizieren müssen. Aber erst will ich die einfachen Punkte verstehen.
Was habe ich aktuell gemacht:
1. VLAN 200 definiert.
2. IP-Interface VLAN definiert (192.168.200.254) und IP-Routing ist aktiviert
3. Der sg250 hat die IP 192.168.70.110
4. Die Fritzbox 192.168.70.100
5. DHCP-Relay ist aktiviert
6. Die DHCP-Interface Settings ist für das VLAN gesetzt
Die VLAN Interface-Settings pro Port stehen noch auf Layer2.
Die Fritzbox ist über Port 1 angebunden. an Port 8 hängt ein Netgear GS308E. Port 8 (am sg250) ist als "trunk-Port" definiert.
Wenn ich nun den Port 3 dem VLAN (untagged) zuordne, dann bekommt der PC an diesem Port einen Netzwerkfehler.
Fragen:
1. Was fehlt in meiner Konfiguration?
2. Was muss ich zusätzlich auf dem Netgear einstellen? Dort habe ich ebenfalls das VLAN 200 erstellt und ebenfalls den Port 3 diesem VLAN zugeordnet. Alle anderen Ports auf dem Switch sind dem VLAN 1 zugeordnet. Aber auch dieser PC hat in dieser Konstelllation ein Netzwerkfehler. Es funktioniert nur, wenn ich diesen Port auch dem VLAN 1 zuweise.
Viele Grüße
Jürgen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 641929
Url: https://administrator.de/contentid/641929
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
33 Kommentare
Neuester Kommentar
Zitat von @juemuc:
1. Fritzbox 7490 als Router ins Internet
2. Cisco sg250-08 als Switch in Raum 1
3. Netgear GS308E als Switch in Raum 2
1. Fritzbox 7490 als Router ins Internet
2. Cisco sg250-08 als Switch in Raum 1
3. Netgear GS308E als Switch in Raum 2
Die hängen genau wie zusammen? Der Cisco und der Netgear direkt auf der Fritzbox?
Zitat von @juemuc:
Nun möchte ich Testweise (und zum Verstehen) folgendes realisieren:
1. An Port 3 soll ein PC über VLAN 200 ins Internet kommen.
2. Am Netgear-Switch soll ebenfalls an Port 2 ein PC über VLAN ins Internet (kann aber auch erst einmal entfallen)
Nun möchte ich Testweise (und zum Verstehen) folgendes realisieren:
1. An Port 3 soll ein PC über VLAN 200 ins Internet kommen.
2. Am Netgear-Switch soll ebenfalls an Port 2 ein PC über VLAN ins Internet (kann aber auch erst einmal entfallen)
Port 3 von wem? Cisco?
Wo überall?
2. IP-Interface VLAN definiert (192.168.200.254) und IP-Routing ist aktiviert
IP-Interface .... wiederum wo? IP-Routung? Wer routet?3. Der sg250 hat die IP 192.168.70.110
4. Die Fritzbox 192.168.70.100
d.h. die sind imselben VLAN. Wo ist dann der Router, der verbindet?4. Die Fritzbox 192.168.70.100
Moin,
Welche IP hast du am Client als Default-Gateway im VLAN200 hinterlegt.
Ich hoffe die IP 192.168.200.254, also die IP des Switches in dem VLAN!?
Ferner: Hast du eine statische Route in der Fritte angelegt?
@Franz-Josef-II
Der SG250-08 ist ein LAyer3 Switch und gemäß obiger Beschreibung als Router konfiguriert.
Folglich hat der Switch, wenn ich das richtig verstanden habe, die IPs 192.168.70.110 (würde ich ebenfalls mit 254 belegen) und 192.168.200.254
Gruß
em-pie
Welche IP hast du am Client als Default-Gateway im VLAN200 hinterlegt.
Ich hoffe die IP 192.168.200.254, also die IP des Switches in dem VLAN!?
Ferner: Hast du eine statische Route in der Fritte angelegt?
- Zielnetz: 192.168.200.0
- Zielnetzmaske 255.255.255.0
- Next Hop/ Gateway: 192.168.70.110
@Franz-Josef-II
1. VLAN 200 definiert.
Wo überall?2. IP-Interface VLAN definiert (192.168.200.254) und IP-Routing ist aktiviert
IP-Interface .... wiederum wo? IP-Routung? Wer routet?3. Der sg250 hat die IP 192.168.70.110
4. Die Fritzbox 192.168.70.100
d.h. die sind imselben VLAN. Wo ist dann der Router, der verbindet?4. Die Fritzbox 192.168.70.100
Folglich hat der Switch, wenn ich das richtig verstanden habe, die IPs 192.168.70.110 (würde ich ebenfalls mit 254 belegen) und 192.168.200.254
Gruß
em-pie
Das hiesige VLAN Tutorial zum Thema VLANs hast du genau durchgelesen und das dortige SG250 Beispiel entsprechend umgesetzt ??
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Kollege @Franz-Josef-II hat es oben schon geschrieben. Leider hast du nicht mitgeteilt ob du ein Layer 2 Konzept (Tutorial oben !) oder ein Layer 3 Konzept auf dem Cisco umsetzen willst. Der SG250 ist auch Layer 3 fähig. Solle es also ein Layer 3 Konzept sein gilt dieses Tutorial:
Verständnissproblem Routing mit SG300-28
Nach deinem o.a. Konfig Versuch raten wir mal das es letzteres ist also Layer 3 Konzept. Dann sind deine Schritte falsch. Richtig ist:
Was ist an so einer banalen Sache so schwer ? Steht alles haarklein im obigen Layer 3 Tutorial und muss man eigentlich nur noch dumpf abtippen oder "abklicken" !
Mehr Silbertablett geht nun wahrlich nicht mehr...
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Kollege @Franz-Josef-II hat es oben schon geschrieben. Leider hast du nicht mitgeteilt ob du ein Layer 2 Konzept (Tutorial oben !) oder ein Layer 3 Konzept auf dem Cisco umsetzen willst. Der SG250 ist auch Layer 3 fähig. Solle es also ein Layer 3 Konzept sein gilt dieses Tutorial:
Verständnissproblem Routing mit SG300-28
Nach deinem o.a. Konfig Versuch raten wir mal das es letzteres ist also Layer 3 Konzept. Dann sind deine Schritte falsch. Richtig ist:
- IPv4 Routing im Switch global aktivieren
- IP Adresse im Switch VLAN 1 aus dem FritzBox LAN konfigurieren 192.168.70.254 (Man gibt als guter Netzwerker einem Layer 3 Switch niemals eine IP "mittendrin" wie du mit der .70.110 !)
- Default Route 0.0.0.0/0 auf die FritzBox IP 192.168.70.1 konfigurieren (Auch hier gibt man als guter Netzwerker einem Router niemals eine IP "mittendrin" wie du mit der .70.100 !)
- Statische Route auf der FritzBox konfigurieren für dein VLAN 200: Ziel: 192.168.200.0, Maske: 255.255.255.0, Gateway: 192.168.70.254 (Switch)
- VLAN 200 definieren
- Endgeräte Ports im Access Mode dem VLAN 200 zuweisen
- IP-Interface VLAN definiert (192.168.200.254) und IP-Routing ist aktiviert
- DHCP Relay ist Blödsinn, denn der FritzBox DHCP kann nicht für mehrere Scopes vergeben. Ausnahme ist du hast einen separaten lokalen DHCP Server der das kann dann muss Relay aktiviert sein.
- Das SG250 Modell supportet kein DHCP Server. Diese Funktion bietet erst der 350er oder 550er ! (Siehe Datenblatt)
- Endgeräte im VLAN 200 haben als Gateway die .200.254 und als DNS IP die IP der FritzBox .70.1
- Fertisch
Was ist an so einer banalen Sache so schwer ? Steht alles haarklein im obigen Layer 3 Tutorial und muss man eigentlich nur noch dumpf abtippen oder "abklicken" !
Mehr Silbertablett geht nun wahrlich nicht mehr...
Hallo zusammen,
danke für die schnellen Antworten und sorry für die unvollständigen Infos. Ich habe nun noch ein paar Einstellungen angepasst.
Ich versuche sie hier noch einmal zu ergänzen:
1. Router FB 7490 (192.168.70.1 - geändert) ist die Schnittstelle ins Internet. Dort hängt am LAN 1 der Cisco sg250 (192.168.70.254 - geändert)
2. FB 7490 LAN1 geht an Cisco sg250 PORT1
3. Am Cisco-Port 8 hängt der Netgear GS308E (192.168.70.120). Eingang am Netgear GS308E ist Port 1
4. Am Port 3 des Cisco und des Netgear-Switches soll das VLAN 200 zur Verfügung stehen.
5. VLAN 200 ist auf beiden Switches definiert.
Das Routing soll der Cisco-Switch übernehmen.
Die Clients an den Ports für das VLAN 200 sollen die IPs per DHCP beziehen.
Route 0.0.0.0/0 Remote 192.168.70.1 ist definiert.
Route 192.168.200.0/24 Remote 192.168.70.1 definiert (ist das so korrekt?)
Port 3 am Cisco-Switch dem VLAN 200 zugeordnet (untagged) allerdings steht hier Layer 2. Auch mit Layer 3 keine Änderung.
Aktuell bekommt der PC keine korrekte IP (er hat 169.254.178.98) auch die manuelle Zuweisung eine IP und des Gateway war erfolglos.
Was mache ich falsch?
Viele Grüße
Jürgen
danke für die schnellen Antworten und sorry für die unvollständigen Infos. Ich habe nun noch ein paar Einstellungen angepasst.
Ich versuche sie hier noch einmal zu ergänzen:
1. Router FB 7490 (192.168.70.1 - geändert) ist die Schnittstelle ins Internet. Dort hängt am LAN 1 der Cisco sg250 (192.168.70.254 - geändert)
2. FB 7490 LAN1 geht an Cisco sg250 PORT1
3. Am Cisco-Port 8 hängt der Netgear GS308E (192.168.70.120). Eingang am Netgear GS308E ist Port 1
4. Am Port 3 des Cisco und des Netgear-Switches soll das VLAN 200 zur Verfügung stehen.
5. VLAN 200 ist auf beiden Switches definiert.
Das Routing soll der Cisco-Switch übernehmen.
Die Clients an den Ports für das VLAN 200 sollen die IPs per DHCP beziehen.
Route 0.0.0.0/0 Remote 192.168.70.1 ist definiert.
Route 192.168.200.0/24 Remote 192.168.70.1 definiert (ist das so korrekt?)
Port 3 am Cisco-Switch dem VLAN 200 zugeordnet (untagged) allerdings steht hier Layer 2. Auch mit Layer 3 keine Änderung.
Aktuell bekommt der PC keine korrekte IP (er hat 169.254.178.98) auch die manuelle Zuweisung eine IP und des Gateway war erfolglos.
Was mache ich falsch?
Viele Grüße
Jürgen
Dass dein PC keine IP bekommt, liegt daran, dass du keinen DHCP-Server in dem VLAN 200 hast...
Die FRITZ!Box kann das nicht leisten..
Gib dem PC zum Test mal eine feste IP, nachdem du das nachfolgende korrigiert hast.
Zu deinen Routen:
Deine FRITZ!Box kennt aber selbst das Netz nicht.
An der FRITZ!Box musst du „nur“ die statische Route
192.168.200.0/ 24 via 192.168.70.254
anlegen.
Die FRITZ!Box kann das nicht leisten..
Gib dem PC zum Test mal eine feste IP, nachdem du das nachfolgende korrigiert hast.
Zu deinen Routen:
Route 0.0.0.0/0 Remote 192.168.70.1 ist definiert.
Wenn du am Switch hinterlegt ist, dann ist das OK.Route 192.168.200.0/24 Remote 192.168.70.1 definiert (ist das so korrekt?)
Das ist in jedem Fall Mist. Du sagst (wo auch immer): „wenn du ins Netz 192.168.200.0 willst, melde dich bei der FRITZ!Box“Deine FRITZ!Box kennt aber selbst das Netz nicht.
An der FRITZ!Box musst du „nur“ die statische Route
192.168.200.0/ 24 via 192.168.70.254
anlegen.
Hallo em-pie,
das Routing soll doch der Cisco-Switch übernehmen. Habe ich hier einen Denkfehler?
Viele Grüße
Jürgen
das Routing soll doch der Cisco-Switch übernehmen. Habe ich hier einen Denkfehler?
Viele Grüße
Jürgen
Moin,
jupp, du hast einen Denkfehler.
Hier mal der Weg eines Datenpaketes:
dein PC in VLAN200 sendet eine Anfrage an administrator.de (das DNS-Prozedere lasse ich mal weg):
Quelle: 192.168.200.101
Ziel: 82.149.225.19
Das Gateway für dein VLAN200 ist der Switch (192.168.200.254)
Der PC sendet die Pakete an den Switch. Der Switch weiss "Ahh, 82.149.225.19 kenne ich nicht direkt, durch die Default-Route muss das Paket aber an die FRITZ!Box, die ich wiederum kenne UND sehe, nämlich 192.168.70.1"
Das Paket geht zur FRITZ!Box. Die wiederum weiß ebenfalls "Ahh, 82.149.225.19 kenne ich nicht direkt, habe ich auch keine konkrete statische Route, also maskieren (=NAT) und ab zum Provider damit".
Irgendwann antwortet administrator.de und das Antwortpaket kommt vom Provider zurück. Die Fritte weiss, für wen das Paket urpsürünglich war, nämlich für die 192.168.200.101. Da der FRITZ!Box aber nun eine statische Route in dein VLAN200 fehlt (der Switch routet ja), wird mit Glück das Paket verworfen oder mit Pech zurück ins WAN gesendet, wo niemand etwas damit anfangen kann.
Fazit:
Du musst mit 192.168.200.0 /24 via 192.168.70.254 der FritzBox mitteilen, wohin sie die Pakete für das VLAN200 senden soll...
Deswegen musst du am Switch die statische Route
0.0.0.0/0 via 192.168.70.1 setzen und
an der FRITZ!Box die statische Route
192.168.200.0 /24 via 192.168.70.254
jupp, du hast einen Denkfehler.
Hier mal der Weg eines Datenpaketes:
dein PC in VLAN200 sendet eine Anfrage an administrator.de (das DNS-Prozedere lasse ich mal weg):
Quelle: 192.168.200.101
Ziel: 82.149.225.19
Das Gateway für dein VLAN200 ist der Switch (192.168.200.254)
Der PC sendet die Pakete an den Switch. Der Switch weiss "Ahh, 82.149.225.19 kenne ich nicht direkt, durch die Default-Route muss das Paket aber an die FRITZ!Box, die ich wiederum kenne UND sehe, nämlich 192.168.70.1"
Das Paket geht zur FRITZ!Box. Die wiederum weiß ebenfalls "Ahh, 82.149.225.19 kenne ich nicht direkt, habe ich auch keine konkrete statische Route, also maskieren (=NAT) und ab zum Provider damit".
Irgendwann antwortet administrator.de und das Antwortpaket kommt vom Provider zurück. Die Fritte weiss, für wen das Paket urpsürünglich war, nämlich für die 192.168.200.101. Da der FRITZ!Box aber nun eine statische Route in dein VLAN200 fehlt (der Switch routet ja), wird mit Glück das Paket verworfen oder mit Pech zurück ins WAN gesendet, wo niemand etwas damit anfangen kann.
Fazit:
Du musst mit 192.168.200.0 /24 via 192.168.70.254 der FritzBox mitteilen, wohin sie die Pakete für das VLAN200 senden soll...
Deswegen musst du am Switch die statische Route
0.0.0.0/0 via 192.168.70.1 setzen und
an der FRITZ!Box die statische Route
192.168.200.0 /24 via 192.168.70.254
das Routing soll doch der Cisco-Switch übernehmen. Habe ich hier einen Denkfehler?
Nein, wenn du die obigen Schritte ALLE richtig ausgeführt hast !! - IPv4 Routing im Switch global aktivieren
- IP Adresse im VLAN 1 aus dem FritzBox LAN als VLAN IP auf dem Switch konfigurieren 192.168.70.254 (Man gibt als guter Netzwerker einem Layer 3 Switch niemals eine IP "mittendrin" wie du mit der .70.110 !)
- Default Route 0.0.0.0/0 im Switch auf die FritzBox IP 192.168.70.1 konfigurieren (Auch hier gibt man als guter Netzwerker einem Router niemals eine IP "mittendrin" wie du mit der .70.100 !)
- Statische Route auf der FritzBox konfigurieren für dein VLAN 200: Ziel: 192.168.200.0, Maske: 255.255.255.0, Gateway: 192.168.70.254 (Switch)
- VLAN 200 im Switch anlegen
- Endgeräte Ports für das VLAN 200 im Access Mode auf dem Switch anlegen
- Switch IP-Interface VLAN 200 (192.168.200.254) anlegen
- Endgeräte im VLAN 200 haben als Gateway die .200.254 und als DNS IP die IP der FritzBox .70.1
Knackpunkt hier ist das der SG250 keine DHCP Server Funktion hat !! DHCP Server ist erst auf den 3xx Modellen und höher supportet wie 300er, 350er oder 550er.
Du musst also mit statischen IP Adressen im VLAN 200 arbeiten oder dir einen kleinen zentralen DHCP Server mit mehreren Scopes im Netz installieren. Raspberry Pi oder Orange Pi Zero reicht:
Netzwerk Management Server mit Raspberry Pi
Die FritzBox supportet KEINE mehrfachen IP Scopes mit ihrem internen DHCP Server als billige Consumer Box, die scheidet also als DHCP Server aus oder du ersetzt sie mit einem Router der das kann z.B. Cisco 886va usw. oder eben einem RasPi als zentralen DHCP Server.
Fazit:
Gib dem Endgerät im VLAN 200 also erstmal eine statische IP um dein Routing Konzept wasserdicht zu testen.
Hallo zusammen,
vielen Dank für Eure Geduld. Ihr habt - wie immer - recht
Wenn man alles richtig eingibt, funktioniert es auch.
Ich hatte folgende Fehler:
Nun gleich die nächste Frage;
Ich möchte den Drucker sowohl für das VLAN 1 als auch für das VLAN 200 zur Verfügung stellen. Hierzu hatte ich mir überlegt, ein VLAN 100 mit dem Drucker anzulegen.
Viele Grüße
Jürgen
PS.: Das mit dem DHCP-Server schaue ich mir dann separat an. Hier laufen bereits 2 raspberry
vielen Dank für Eure Geduld. Ihr habt - wie immer - recht
Wenn man alles richtig eingibt, funktioniert es auch.Ich hatte folgende Fehler:
- Auf dem Netgear-Switch hatte ich das VLAN 200 nicht auf dem Port 1 (Verbindungsport zum Cisco-Switch) eingetragen
- Auf dedem Endgerät hatte ich als Gateway auch die 192.168.70.254 anstatt 192.168.200.254 eingetragen. (Ja ich weiß: wer lesen kann ist klar im Vorteil.
Nun gleich die nächste Frage;
Ich möchte den Drucker sowohl für das VLAN 1 als auch für das VLAN 200 zur Verfügung stellen. Hierzu hatte ich mir überlegt, ein VLAN 100 mit dem Drucker anzulegen.
- Macht das Sinn?
- Wenn ja, wie kommen die Geräte aus den anderen VLANs auf den Drucker?
- Wenn nein, was schlagt ihr als Alternative vor?
Viele Grüße
Jürgen
PS.: Das mit dem DHCP-Server schaue ich mir dann separat an. Hier laufen bereits 2 raspberry
Nun gleich die nächste Frage;
Ich möchte den Drucker sowohl für das VLAN 1 als auch für das VLAN 200 zur Verfügung stellen. Hierzu hatte ich mir überlegt, ein VLAN 100 mit dem Drucker anzulegen.
JoppIch möchte den Drucker sowohl für das VLAN 1 als auch für das VLAN 200 zur Verfügung stellen. Hierzu hatte ich mir überlegt, ein VLAN 100 mit dem Drucker anzulegen.
- Macht das Sinn?
* Wenn ja, wie kommen die Geräte aus den anderen VLANs auf den Drucker?
Über den Switch, der ja routet.* Wenn nein, was schlagt ihr als Alternative vor?
Nichts Hinweis: willst du vom Handy im VLAN 1 etwas auf dem Drucker in VLAN100 drucken, wird ohne zusätzliche Komponenten das Handy den Drucker nicht finden (DirectPrint mal ausgenommen). Bonjour etc. sind nicht-routingfähige Protokolle, was sich aber mit nem RPi lösen lässt...
Viele Grüße
Jürgen
PS.: Das mit dem DHCP-Server schaue ich mir dann separat an. Hier laufen bereits 2 raspberry
Top, dann kann einer noch DHCP spielen Jürgen
PS.: Das mit dem DHCP-Server schaue ich mir dann separat an. Hier laufen bereits 2 raspberry
Zitat von @em-pie:
* Wenn ja, wie kommen die Geräte aus den anderen VLANs auf den Drucker?
Über den Switch, der ja routet.Dann bitte ich wieder um Hilfe. Mit dem Einrichten von Routen stehe ich noch auf "Kriegsfuss".
Was habe ich bereits eingerichtet:
- VLAN 100 ist definiert (192.168.100.0/24)
- Drucker ist im VLAN 100 (192.168.100.1).
- VLAN 100 hat keinen Internetzugang (kein Routing auf der FB 7490), da nur intern gedruckt wird und der Drucker keine Internetverbindung benötigt
- PC ist im VLAN 200 (192.168.200.1)
- Test-PC im VLAN 100 kann bereits drucken
Geräte aus dem VLAN 200 sollen nun auf den Drucker zugreifen können. Ein PC, der ggf. temporär dort hängt aber nicht auf das VLAN 200.
Und nun komme ich nicht weiter.
Geht das über IPV4-Based ACL/ACE?
Viele Grüße
Jürgen
Dann bitte ich wieder um Hilfe. Mit dem Einrichten von Routen stehe ich noch auf "Kriegsfuss".
Guckst du wieder hier, da ist das doch alles haarklein beschrieben !!!Verständnissproblem Routing mit SG300-28
- Statische Default Route auf dem Cisco: 0.0.0.0/0 Gateway: 192.168.70.1 (FritzBox IP, Bedeutet: Alles was der Switch lokal nicht routen kann an IP Adressen schickt er an die FritzBox zum Routing)
- Statische Route in deine VLANs auf der FritzBox: Ziel: 192.168.0.0, Maske:255.255.0.0, Gateway: 192.168.70.254 (Bedeutet: Wenn die FritzBox irgendwas mit Zieladresse 192.168.x.x hat soll sie das an den Switch 192.168.70.254 senden, sprich alle 192.168.x.y IP Netze sendet die FritzBox an den Switch zum routen)
- Fertisch...
Nur das du das nicht vergisst: Für dein Drucker VLAN 100 musst du auch ein IP Interface auf dem Switch anlegen: 192.168.100.254 und dein Drucker mit der .100.1 muss als Gateway natürlich die Switch IP .100.254 konfiguriert haben ! Wenn du die Drucker IP aus allen deinen VLANs 1, 100 und 200 pingen kannst hast du alles richtig gemacht !
Zitat von @juemuc:
Dann bitte ich wieder um Hilfe. Mit dem Einrichten von Routen stehe ich noch auf "Kriegsfuss".
Du musst dir nur das Prinzip einmal verinnerlichen. Siehe dazu auch meine Analogie oben.Dann bitte ich wieder um Hilfe. Mit dem Einrichten von Routen stehe ich noch auf "Kriegsfuss".
Wenn du das einmal verstanden hast, ist Routing ein Klacks
Was habe ich bereits eingerichtet:
OK- VLAN 100 ist definiert (192.168.100.0/24)
- Drucker ist im VLAN 100 (192.168.100.1).
- VLAN 100 hat keinen Internetzugang (kein Routing auf der FB 7490), da nur intern gedruckt wird und der Drucker keine Internetverbindung benötigt
* PC ist im VLAN 200 (192.168.200.1)
OK* Test-PC im VLAN 100 kann bereits drucken
OK. Er sieht die Drucker ja auch ohne RoutingGeräte aus dem VLAN 200 sollen nun auf den Drucker zugreifen können. Ein PC, der ggf. temporär dort hängt aber nicht auf das VLAN 200.
OKUnd nun komme ich nicht weiter.
Geht das über IPV4-Based ACL/ACE?
Im Standard funktioniert das Inter-VLAN-Routing ungefiltert auf dem Switch.
Wenn du verhindern möchtest, dass Teile eines Subnetzes/ VLANs in andere Netze dürfen, musst du mit ACLs arbeiten.
Hallo aqui,
wir haben hier aneinander vorbei geredet. Ich bin davon ausgegangen, dass die Kommunikation zwischen den VLANs per default verhindert wird. Deshalb hatte ich dies gar nicht erst getestet. em-pi hat mir dazu nun die Infos geliefert.
Somit ist der aktuelle Status wie folgt:
Somit muss ich nun die Zugriffsmöglichkeiten einschränken. Somit werde ich mich nun mit den ACLs auseinandersetzen. Ich möchte, dass das VLAN 200 nur auf den Drucker im VLAN 100 zugreifen kann und zusätzlich ins Internet kommt. Die Geräte sollen keine Geräte in einem anderen VLAN erreichen dürfen (Ausnahme Drucker)
Ich hoffe, ich bin (noch) auf dem richtigen Weg,
VIele Grüße
Jürgen
wir haben hier aneinander vorbei geredet. Ich bin davon ausgegangen, dass die Kommunikation zwischen den VLANs per default verhindert wird. Deshalb hatte ich dies gar nicht erst getestet. em-pi hat mir dazu nun die Infos geliefert.
Somit ist der aktuelle Status wie folgt:
- VLAN 200 funktioniert mit Internetzugriff (alles ok)
- VLAN 100 funktioniert ohne Internetzugriff, da keine Route in der FB 7490 (alle ok da so gewollt)
- Alle Geräte aus allen VLANs können auf die Geäte im anderen VLAN zugreifen (nicht ok)
Somit muss ich nun die Zugriffsmöglichkeiten einschränken. Somit werde ich mich nun mit den ACLs auseinandersetzen. Ich möchte, dass das VLAN 200 nur auf den Drucker im VLAN 100 zugreifen kann und zusätzlich ins Internet kommt. Die Geräte sollen keine Geräte in einem anderen VLAN erreichen dürfen (Ausnahme Drucker)
Ich hoffe, ich bin (noch) auf dem richtigen Weg,
VIele Grüße
Jürgen
Zitat von @em-pie:
Im Standard funktioniert das Inter-VLAN-Routing ungefiltert auf dem Switch.
Wenn du verhindern möchtest, dass Teile eines Subnetzes/ VLANs in andere Netze dürfen, musst du mit ACLs arbeiten.
Und nun komme ich nicht weiter.
Geht das über IPV4-Based ACL/ACE?
Korrekt.Geht das über IPV4-Based ACL/ACE?
Im Standard funktioniert das Inter-VLAN-Routing ungefiltert auf dem Switch.
Wenn du verhindern möchtest, dass Teile eines Subnetzes/ VLANs in andere Netze dürfen, musst du mit ACLs arbeiten.
Danke. Dies war mir nicht bewusst. Ich bin davon ausgegangen, dass hier erst ein Routing zwischen den VLANs explizit eingerichtet werden muss.
Jetzt werde ich mit den ACLs testen.
Viele Grüße
Jürgen
Zitat von @juemuc:
Somit ist der aktuelle Status wie folgt:
Somit muss ich nun die Zugriffsmöglichkeiten einschränken. Somit werde ich mich nun mit den ACLs auseinandersetzen. Ich möchte, dass das VLAN 200 nur auf den Drucker im VLAN 100 zugreifen kann und zusätzlich ins Internet kommt. Die Geräte sollen keine Geräte in einem anderen VLAN erreichen dürfen (Ausnahme Drucker)
Ich hoffe, ich bin (noch) auf dem richtigen Weg,
Jo, passtSomit ist der aktuelle Status wie folgt:
- VLAN 200 funktioniert mit Internetzugriff (alles ok)
- VLAN 100 funktioniert ohne Internetzugriff, da keine Route in der FB 7490 (alle ok da so gewollt)
- Alle Geräte aus allen VLANs können auf die Geäte im anderen VLAN zugreifen (nicht ok)
Somit muss ich nun die Zugriffsmöglichkeiten einschränken. Somit werde ich mich nun mit den ACLs auseinandersetzen. Ich möchte, dass das VLAN 200 nur auf den Drucker im VLAN 100 zugreifen kann und zusätzlich ins Internet kommt. Die Geräte sollen keine Geräte in einem anderen VLAN erreichen dürfen (Ausnahme Drucker)
Ich hoffe, ich bin (noch) auf dem richtigen Weg,
Tipp:
Wenn du die ACLs per se verstanden hast, würde ich dennoch eine Route FRITZ!Box -> VLAN100 hinterlegen.
Falls du mal per VPN verbunden bist und etwas Drucken willst. du kannst ja alles per ACL auf dem Switch abfrühstücken.
Das würde ich dann aber als zweiten Schritt vorsehen.
Zitat von @em-pie:
Tipp:
Wenn du die ACLs per se verstanden hast, würde ich dennoch eine Route FRITZ!Box -> VLAN100 hinterlegen.
Falls du mal per VPN verbunden bist und etwas Drucken willst. du kannst ja alles per ACL auf dem Switch abfrühstücken.
Das würde ich dann aber als zweiten Schritt vorsehen.
Tipp:
Wenn du die ACLs per se verstanden hast, würde ich dennoch eine Route FRITZ!Box -> VLAN100 hinterlegen.
Falls du mal per VPN verbunden bist und etwas Drucken willst. du kannst ja alles per ACL auf dem Switch abfrühstücken.
Das würde ich dann aber als zweiten Schritt vorsehen.
Danke.
Jetzt habe ich die ersten Rechte eingerichtet. Dabei bin ich auf folgende Probleme gestoßen:
- Für den Drucker wollte ich zwei TCP-Ports frei geben (515 und 9100). Ich kann aber nur einen Port definieren. Mache ich da etwas falsch?
- Um mit den PCs weiterhin mit allen Funktionen (Browser, FTP, VPN usw,) muss ich ja eine weitere Berechtigung definieren. Hier komme ich aber nicht zurecht. Welche IP muss ich hier als Zieladresse angeben?
Viele Grüße
Jürgen
Dabei bin ich auf folgende Probleme gestoßen:
Sinnvoll und sehr hilfreich für alle Beteiligten hier wäre es wenn du die aktuelle ACL Konfig hier einmal posten würdest. Das würde das Troubleshooting sehr vereinfachen. HIER in diesem Thread kannst du einmal sehen wie man das macht.Um dir eine laufende ACL auf dem Silbertablett zu präsentieren solltest du hier nochmal genau definieren WAS du VON welchem IP Netz IN welches IP Netz zulassen willst.
Hallo aqui,
ich habe aktuell eine ACL-Tabelle VLAN200 definiert und dem VLAN 200 mit "Default Denay any" zugeordnet. Dieser ACL-Tabelle habe ich nun folgende Regeln zugeordnet:
Zusätzlich möchte ich im VLAN 200 noch für den Drucker den LPD-Port 515 frei geben.
Bei der Definition erhalte ich die Meldung "Entry already exists". Ich versuche es so zu definieren "2 Permit TCP ANY 192.168.100.1 (Drucker) LPD (Port 515)".
Desweiteren sollen ja alle Geräte weiterhin ins Internet kommen.
Hier hatte ich versucht mit "3 Permit TCP ANY 192.168.70.254 (Gateway) www" den Zugriff zu erlauben.
Viele Grüße
Jürgen
ich habe aktuell eine ACL-Tabelle VLAN200 definiert und dem VLAN 200 mit "Default Denay any" zugeordnet. Dieser ACL-Tabelle habe ich nun folgende Regeln zugeordnet:
- 1 Permit TCP ANY 192.168.100.1 (Drucker) Port 9100
Zusätzlich möchte ich im VLAN 200 noch für den Drucker den LPD-Port 515 frei geben.
Bei der Definition erhalte ich die Meldung "Entry already exists". Ich versuche es so zu definieren "2 Permit TCP ANY 192.168.100.1 (Drucker) LPD (Port 515)".
Desweiteren sollen ja alle Geräte weiterhin ins Internet kommen.
Hier hatte ich versucht mit "3 Permit TCP ANY 192.168.70.254 (Gateway) www" den Zugriff zu erlauben.
Viele Grüße
Jürgen
Das ist jetzt etwas wirr...sorry ! WAS meinst du mit "Desweiteren sollen ja alle Geräte weiterhin ins Internet kommen." ???
Alle Geräte im VLAN 200 oder welche ?!
Waren die Drucker jetzt nicht im VLAN 100 ??
Du siehst, es ist alles etwas wirr und durcheinander WAS du genau von welchem VLAN in welches willst und welches VLAN ins Internet soll ?!
Bedenke das Drucker auch oft Update Funktionen oder Cloud Printing Funktionen haben die Internet Zugang erfordern so das diese Geräte Internet haben sollten. Es sei denn du willst das strikt unterbinden.
Vielleicht ordnest du nochmals Gedanken, VLANs und Regelvorhaben neu und listest sie hier nochmal logisch auf was aus welchem VLAN wohin mit welchen Port das wir zielgerichtet helfen können.
Alle Geräte im VLAN 200 oder welche ?!
Waren die Drucker jetzt nicht im VLAN 100 ??
Du siehst, es ist alles etwas wirr und durcheinander WAS du genau von welchem VLAN in welches willst und welches VLAN ins Internet soll ?!
Bedenke das Drucker auch oft Update Funktionen oder Cloud Printing Funktionen haben die Internet Zugang erfordern so das diese Geräte Internet haben sollten. Es sei denn du willst das strikt unterbinden.
Vielleicht ordnest du nochmals Gedanken, VLANs und Regelvorhaben neu und listest sie hier nochmal logisch auf was aus welchem VLAN wohin mit welchen Port das wir zielgerichtet helfen können.
Alle aqui,
ich versuche es noch einmal
1. PCs sind in VLAN 200 (Bsp.: 192.168.200.2).
2. Drucker ist in VLAN 100 (192.168.100.1). Hierbei soll zusätzlich auf den Port 9100 und 515 eingeschränkt werden.
3. Die PCs aus dem VLAN 200 sollen nur ins Internet und den Drucker im VLAN 100 erreichen. Der Zugriff dieser PCs auf andere VLANs soll unterbunden werden.
4. per ACL möchte ich dies nun umsetzen.
Ich hatte deshalb eine Regel definiert, die den Zugriff auf den Drucker erlaubt. Dies funktioniert auch für den Druckerzugriff (über TCP und Port 9100). Allerdings kann ich keinen weiteren Zugriff (TCP und Port 515) einrichten. Auch meine Versuche, den Zugriff aus demm VLAN 200 per ACL ins Internet zuzulassen, sind bisher gescheitert.
Ich hoffe, dass ich die Punkte korrekt beschrieben habe.
Viele Grüße
Jürgen
ich versuche es noch einmal
1. PCs sind in VLAN 200 (Bsp.: 192.168.200.2).
2. Drucker ist in VLAN 100 (192.168.100.1). Hierbei soll zusätzlich auf den Port 9100 und 515 eingeschränkt werden.
3. Die PCs aus dem VLAN 200 sollen nur ins Internet und den Drucker im VLAN 100 erreichen. Der Zugriff dieser PCs auf andere VLANs soll unterbunden werden.
4. per ACL möchte ich dies nun umsetzen.
Ich hatte deshalb eine Regel definiert, die den Zugriff auf den Drucker erlaubt. Dies funktioniert auch für den Druckerzugriff (über TCP und Port 9100). Allerdings kann ich keinen weiteren Zugriff (TCP und Port 515) einrichten. Auch meine Versuche, den Zugriff aus demm VLAN 200 per ACL ins Internet zuzulassen, sind bisher gescheitert.
Ich hoffe, dass ich die Punkte korrekt beschrieben habe.
Viele Grüße
Jürgen
OK, Das Wort "zusätzlich" in VLAN 100 ist sehr verwirrend. Vielleicht klärst du das nochmal. Auch ob die Ports TCP oder UDP oder beides sein sollen. Bedenke auch immer das Geräte fast immer Host Namen auflösen müssen also TCP/UDP 53 solltest du also besser auch freigeben.
Punkt 2 wäre dann einfach. Wenn die Default Regel DENY ist dann gilt:
permit tcp/udp host 192.168.100.1 any port 53
permit tcp/udp host 192.168.100.1 any port 515
permit tcp/udp host 192.168.100.1 any port 9100
Damit kann der Drucker dann rein nur mit 53, 515 und 9100 in den Rest der Welt sprechen und sonst kein anderer Host im VLAN 100.
An VLAN 200 musst du gar keine ACL definieren denn die sollen ja überall hin.
Ein WebGUI des Druckers z.B. was TCP 80 oder TCP 443 nutzt ist dann logischerweise aus anderen Netzen unereichbar mit dieser ACL weil nur 515 und 9100 durchkommen.
Du konfigurierst dort schlicht und einfach gar keine ACL auf dem VLAN 200. Oder was soll für dich "Internet" denn bedeuten an Protokollen und IP Adressen ?!
Punkt 2 wäre dann einfach. Wenn die Default Regel DENY ist dann gilt:
permit tcp/udp host 192.168.100.1 any port 53
permit tcp/udp host 192.168.100.1 any port 515
permit tcp/udp host 192.168.100.1 any port 9100
Damit kann der Drucker dann rein nur mit 53, 515 und 9100 in den Rest der Welt sprechen und sonst kein anderer Host im VLAN 100.
An VLAN 200 musst du gar keine ACL definieren denn die sollen ja überall hin.
Allerdings kann ich keinen weiteren Zugriff (TCP und Port 515) einrichten
Was ist denn "Zugriff" ?? Wenn "Zugriff" andere Protokolle als TCP 515 oder TCP 9100 nutzt geht das natürlich auch nicht, logisch denn du lässt ja ausschliesslich nur 515 und 9100 zu sonst nix.Ein WebGUI des Druckers z.B. was TCP 80 oder TCP 443 nutzt ist dann logischerweise aus anderen Netzen unereichbar mit dieser ACL weil nur 515 und 9100 durchkommen.
Auch meine Versuche, den Zugriff aus demm VLAN 200 per ACL ins Internet zuzulassen, sind bisher gescheitert.
Dazu musst du doch nichts zulassen ?!Du konfigurierst dort schlicht und einfach gar keine ACL auf dem VLAN 200. Oder was soll für dich "Internet" denn bedeuten an Protokollen und IP Adressen ?!
Hallo aqui,
momentan bin ich etwas irritiert. Ich glaube, ich muss erst noch einmal ein paar grundlegende Dinge verstehen.
Ich habe aktuell drei VLANs:
1. VLAN 1 (default)
2. VLAN 102 (nur Drucker)
3. VLAN 200 (nur Gast-PCs)
4. VLAN 101 (mit Test-PC und geplant für Fernseher usw.). Dies ist aber noch nicht komplett definiert.
Nun habe ich die statistischen Routen pro VLAN in der FB7490 für den Zugriff ins bzw. aus dem Internet und die Route im Switch für VLAN1.
Somit komme ich aus jedem VLAN ins Internet. Soweit alles klar.
Jetzt habe ich noch einmal alle ACL/ACE-Einträge gelöscht, damit ich die default-Zugriffe verstehen lerne.
Aktuell komme ich aus dem VLAN 200 ins VLAN 102 aber nicht ins VLAN 1. Das verstehe ich nicht. Auch vom VLAN1 komme ich ins VLAN 102 aber nicht ins VLAN 101.
Ist das korrekt oder ist das durch meine ACL/ACE-Tests entstanden?
Ich habe leider aus zeitgründen nicht den Weg vom VLAN 101 getestet.
Ich hätte erwartet, dass jedes VLAN die Geräte im eigenen VLAN kapselt und nur die Route ins Internet definiert ist oder alle VLANs können per default untereinander kommunizieren und dies muss über ACL/ACE eingeschränkt werden. Aktuell habe ich das Gefühl, das ich von jedem ein bisschen habe
Ich hoffe, jemand versteht was ich meine und kann es mir erklären. Vielen Dank hierfür im voraus
Ich muss jetzt erst einmal das verstehen.
Viele Grüße
Jürgen
momentan bin ich etwas irritiert. Ich glaube, ich muss erst noch einmal ein paar grundlegende Dinge verstehen.
Ich habe aktuell drei VLANs:
1. VLAN 1 (default)
2. VLAN 102 (nur Drucker)
3. VLAN 200 (nur Gast-PCs)
4. VLAN 101 (mit Test-PC und geplant für Fernseher usw.). Dies ist aber noch nicht komplett definiert.
Nun habe ich die statistischen Routen pro VLAN in der FB7490 für den Zugriff ins bzw. aus dem Internet und die Route im Switch für VLAN1.
Somit komme ich aus jedem VLAN ins Internet. Soweit alles klar.
Jetzt habe ich noch einmal alle ACL/ACE-Einträge gelöscht, damit ich die default-Zugriffe verstehen lerne.
Aktuell komme ich aus dem VLAN 200 ins VLAN 102 aber nicht ins VLAN 1. Das verstehe ich nicht. Auch vom VLAN1 komme ich ins VLAN 102 aber nicht ins VLAN 101.
Ist das korrekt oder ist das durch meine ACL/ACE-Tests entstanden?
Ich habe leider aus zeitgründen nicht den Weg vom VLAN 101 getestet.
Ich hätte erwartet, dass jedes VLAN die Geräte im eigenen VLAN kapselt und nur die Route ins Internet definiert ist oder alle VLANs können per default untereinander kommunizieren und dies muss über ACL/ACE eingeschränkt werden. Aktuell habe ich das Gefühl, das ich von jedem ein bisschen habe
Ich hoffe, jemand versteht was ich meine und kann es mir erklären. Vielen Dank hierfür im voraus
Ich muss jetzt erst einmal das verstehen.
Viele Grüße
Jürgen
Jetzt habe ich noch einmal alle ACL/ACE-Einträge gelöscht, damit ich die default-Zugriffe verstehen lerne.
Sehr vernünftig !Aktuell komme ich aus dem VLAN 200 ins VLAN 102 aber nicht ins VLAN 1
Wie ?? Ganz ohne jegliche Access Liste ?? Dann stimmt irgend etwas mit deinen Routen und/oder den Gateway Eintragen der Geräte im VLAN 1 nicht.Welches ist denn dein Koppel VLAN zur FritzBox ?? Ist das das VLAN 1 ?
Sieht das so aus ??
- Geräte im VLAN 1 haben dann als Default Gateway IP dort immer die FritzBox. Logisch denn das bekommen sie ja dort per DHCP.
- Geräte in den VLANs 101, 102 und 200 haben immer die jeweilige Switch IP in ihrem VLAN als Gateway IP
- Switch hat eine Default Route auf die FritzBox
- FritzBox hat statische Routen auf alle VLAN IP Netze auf die VLAN 1 IP des Switches ! Du kannst auch eine statische Summary Route auf der FB eingeben: 192.168.0.0 Maske:255.255.0.0 Gateway: 192.168.70.254 was dann ALLE 192.168er IP Netze an den Switch routet falls du noch ein paar mehr VLANs im 192.168er Bereich da anlegen willst. (siehe Skizze oben !)
Achtung bei Winblows !!
Hier solltest du immer die lokale Firewall im Auge haben die Ping (ICMP Protokoll) generell blockt und Zugriffe aus anderen IP Netzen.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Bei Ping usw. musst du also ggf. die Winblows Firewall entsprechend customizen !
Im Zweifel also den Drucker oder etwas ohne Firewall pingen.
Wenn das alles sauber klappt dann kannst du dich an die ACLs machen !
Hallo aqui,
genau so ist meine Konfiguration. Ich bin mir auch ziemlich sicher, dass die Zugriffe genau so funktioniert haben, bevor ich mit den ACLs angefangen hatte. So war ja dann auch mein Verständnis.
Es scheint mir ein ähnliches Problem wie hier zu sein. Ich werde den Switch noch einmal auf die Werkseinstellungen zurück setzen. So viel habe ich auch noch eingerichtet. Ausserdem kann ich dann mal dokumentieren, was ich einstelle
Danke für den Tipp mit der "erweiterten" Route in der FB. Ich hatte die VLANs einzeln eingetragen
Ich melde mich, wenn ich wieder an dieser Stelle bin (und mache ein backup der Einstellungen).
Viele Grüße
Jürgen
Ps.: Das gilt doch auch für die Geräte im VLAN 1 oder?
genau so ist meine Konfiguration. Ich bin mir auch ziemlich sicher, dass die Zugriffe genau so funktioniert haben, bevor ich mit den ACLs angefangen hatte. So war ja dann auch mein Verständnis.
Es scheint mir ein ähnliches Problem wie hier zu sein. Ich werde den Switch noch einmal auf die Werkseinstellungen zurück setzen. So viel habe ich auch noch eingerichtet. Ausserdem kann ich dann mal dokumentieren, was ich einstelle
Danke für den Tipp mit der "erweiterten" Route in der FB. Ich hatte die VLANs einzeln eingetragen
Ich melde mich, wenn ich wieder an dieser Stelle bin (und mache ein backup der Einstellungen).
Viele Grüße
Jürgen
Ps.: Das gilt doch auch für die Geräte im VLAN 1 oder?
Das gilt doch auch für die Geräte im VLAN 1 oder?
WAS bitte soll auch für diese gelten ??Bahnhof ??, Ägypten ?? Die Route in der FB oder wie ??
Ja natürlich ! Die hat ja eine /24er Maske ist also spezifizierter und hat Prezendenz vor der /16er Maske in der FB Route. IP Routing Grundlagen, erste Klasse...
noch einmal auf die Werkseinstellungen zurück setzen. Ausserdem kann ich dann mal dokumentieren, was ich einstelle
Sehr vernünftig und absolut die richtige Vorgehensweise...!Wie gesagt: Gehe strategisch immer so vor das du zuallererst einmal ALLE ACLs von den Interfaces entfernst also mit einem offenen Layer 3 Switch agierst.
Hier stellst du dann sicher das aus allen VLANs sich alle VLANs pimngen und erreichen lassen und aus allen VLANs auch das Internet. Ping auf 8.8.8.8 oder www.heise.de sollte von allen Clients aus allen VLANs klappen.
Wenn das der Fall ist kannst du wasserdicht davon ausgehen das du kein Routing oder Infrastruktur Problem mehr hast und kannst mit deinen ACLs loslegen.
So weisst du immer sicher das wenn etwas nicht geht es einzig und allein nur an den ACLs liegen kann.
Hallo aqui,
so nun bin ich wieder einen Schritt weiter. Es ist einfach wichtig Deine Tipps zu beachten! Den Werksreset hätte ich mir sparen können.
Was war passiert? Ich hatte Zugriff auf alle Geräte in den VLANs bis auf die PCs im VLAN 1.
Und was war die Ursache? Ich traue es mich gar nicht zu sagen. Diese PCs sind zwei Windows 10 PCs mit aktiver Firewall . Firewall aus und die Kommunikation geht.
Nachdem das Thema VLAN erst einmal passt, will ich mich erst einmal um die Themen DHCP und DNS kümmern. Da ja der sg250-08 weder einen DHCP noch einen DNS-Server zur Verfügung stellt, werde ich diese wohl auf meinem NAS (Synology) aktivieren. Dann muss ich mich nicht mehr umd die Adressvergabe kümmern und kann die Geräte auch wieder über den Namen ansprechen. HAst Du hierzu auch einen Tipp für mich?
Viele Grüße
Jürgen
so nun bin ich wieder einen Schritt weiter. Es ist einfach wichtig Deine Tipps zu beachten! Den Werksreset hätte ich mir sparen können.
Was war passiert? Ich hatte Zugriff auf alle Geräte in den VLANs bis auf die PCs im VLAN 1.
Und was war die Ursache? Ich traue es mich gar nicht zu sagen. Diese PCs sind zwei Windows 10 PCs mit aktiver Firewall
. Firewall aus und die Kommunikation geht.Nachdem das Thema VLAN erst einmal passt, will ich mich erst einmal um die Themen DHCP und DNS kümmern. Da ja der sg250-08 weder einen DHCP noch einen DNS-Server zur Verfügung stellt, werde ich diese wohl auf meinem NAS (Synology) aktivieren. Dann muss ich mich nicht mehr umd die Adressvergabe kümmern und kann die Geräte auch wieder über den Namen ansprechen. HAst Du hierzu auch einen Tipp für mich?
Viele Grüße
Jürgen
Diese PCs sind zwei Windows 10 PCs mit aktiver Firewall
Der Klassiker ! ICMP (Ping) ist immer per Default deaktiviert. Das muss man in der Firewall freischalten und die IP Adress Range dort richtig setzen:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Gleiches gilt natürlich auf für Dienste (Date- und Druckerdinest usw.) die man nutzen will.
weder einen DHCP noch einen DNS-Server zur Verfügung stellt
Na ja....ein DNS Server auf einem Switch ist natürlich Unsinn, das gibt es bei keinem Hersteller weltweit.und kann die Geräte auch wieder über den Namen ansprechen.
Das Sinnvollste dafür ist: Du setzt dir einen PiHole ins Netzwerk als DNS.Raspberry Pi Zero W als Pi-hole Adblocker
Damit filterst du nicht nur alle Werbung und sparst Bandbreite auf deinem Internet Anschluss sondern schützt dich auch noch sicher gegen Malware, Trojaner usw.
Natürlich löst er dir auch alle lokalen Namen wieder zentral im Netz auf:
https://discourse.pi-hole.net/t/howto-using-pi-hole-as-lan-dns-server/53 ...
Zentraler DHCP Server für deine VLANs spielt der natürlich gleich nebenbei auch noch:
Netzwerk Management Server mit Raspberry Pi
3 Fliegen also mit einer Klappe. Besser gehts nicht...
Ein kleiner RasPi Zero mit USB Ethernet Adapter reicht dafür:
https://buyzero.de/collections/boards-kits/products/neu-pi-zero-w-essent ...
https://buyzero.de/products/usb-ethernet-adapter-10-100-mbit-s?variant=3 ...
Hallo aqui,
kurzer Zwischenbericht.
Viele Grüße
Jürgen
kurzer Zwischenbericht.
- DHCP-Server ist eingerichtet und funktioniert. Ich habe hier mein NAS verwendet. Da war bereits alles vorhanden. Das Einrichten eines pi war mir jetzt erst einmal zu komplex. Werde ich aber nachholen, wenn die die Grundfunktionen eingerichtet habe.
- Das Einrichten des DNS-Server hat noch nicht funktioniert. Ich kann aktuell die Geräte nur über die IP-Adresse erreichen. Den Switch als Ursache kann ich ausschließen, da ich einen PC und das NAS zum Testen direkt an der FB angeschlossen habe.
Viele Grüße
Jürgen
Das Einrichten eines pi war mir jetzt erst einmal zu komplex.
Nicht dein Ernst, oder ?? Cut and Paste aus dem o.a. Tutorial und in 10 Minuten erledigt... Aber egal, oder das NAS oder der rasPi das macht ist letztlich Wumpe. NAS macht dann noch eher Sinn denn das rennt ja so oder so immer in deinem Netz wozu also noch ein zusätzliches Device wie den RasPi ?!
Das Einrichten des DNS-Server hat noch nicht funktioniert.
WO richtest du den denn ein ? Das hast du uns ja leider noch nicht mitgeteilt. Auch auf dem NAS ???Wenn es das NAS ist musst du logischerweise ja auch die NAS IP an den Testrechnern als DNS IP Adresse eingestellt haben und der DNS Server auf dem NAS braucht dann eine DNS Weiterleitung auf die FritzBox IP.
Hast du das berücksichtigt ??
Zitat von @aqui:
Nicht dein Ernst, oder ?? Cut and Paste aus dem o.a. Tutorial und in 10 Minuten erledigt...
Nicht dein Ernst, oder ?? Cut and Paste aus dem o.a. Tutorial und in 10 Minuten erledigt...
Hi aqui,
DHCP auf dem NAS einrichten waren 5 Miuten
(Da habe ich mich erst einmal "heimischer" gefühlt).Da hier auch ein DNS-Server eingerichtet werden kann und es auch Tutioriels im Netz gibt, dachte ich, das kann doch nicht so schwer sein. Zumal ja DHCP sofort auch für die VLANs funktioniert hat.
Ich werde mir das morgen noch einmal in Ruhe ansehen.
Warum soll ich am Testrechner (W10) die IP-Adresse des DNS-Servers manuell eintragen? Die zieht er sich doch selbst, Zumindest unter ipconfig /all ist der DNS-Server definiert. Wenn ich nicht weiter komme installiere ich pi-hole mal testweise auf meinem Ubuntu-Testsystem in der VM. Ich hoffe der grätscht keine Firewall rein.
Viele Grüße
Jürgen
Hallo aqui,
nach vielen Testversuchen und einigen Einträgen auch in anderen Foren bin ich an dem Punkt angelangt, den Du von Anfang an empfohlen hast Die Syno ist hierfür nicht geeignet!
Ich habe jetzt folgenden Status:
1. DHCP / DNS über raspberrypi mit pi-hole
2. VLANs über CISCO-250
Alles funktioniert (bisher).
Ich habe folgende VLANs definiert:
VLAN1 - default
Router / Switche / pi-hole / private PCs / Hausautomation / NAS
VLAN100 - noch leer
Ziel: private PCs / NAS / pi-hole?
VLAN101 - Fritzbox7270 (für WLAN) / TV / HUE-Bridge
VLAN102 - Drucker
VLAN200 - GAST (Firmenrechner)
Nun überlege ich, ob ich pi-hole ein eigenes VLAN spendieren soll. Hier könnte ich ggf dann auch noch eine Firewall implementieren, wenn es das für den pi gibt und es sinnvoll ist.
Was hälts Du von der Aufteilung?
Viele Grüße
Jürgen
nach vielen Testversuchen und einigen Einträgen auch in anderen Foren bin ich an dem Punkt angelangt, den Du von Anfang an empfohlen hast
Die Syno ist hierfür nicht geeignet!Ich habe jetzt folgenden Status:
1. DHCP / DNS über raspberrypi mit pi-hole
2. VLANs über CISCO-250
Alles funktioniert (bisher).
Ich habe folgende VLANs definiert:
VLAN1 - default
Router / Switche / pi-hole / private PCs / Hausautomation / NAS
VLAN100 - noch leer
Ziel: private PCs / NAS / pi-hole?
VLAN101 - Fritzbox7270 (für WLAN) / TV / HUE-Bridge
VLAN102 - Drucker
VLAN200 - GAST (Firmenrechner)
Nun überlege ich, ob ich pi-hole ein eigenes VLAN spendieren soll. Hier könnte ich ggf dann auch noch eine Firewall implementieren, wenn es das für den pi gibt und es sinnvoll ist.
Was hälts Du von der Aufteilung?
Viele Grüße
Jürgen
Da ja alle VLANs so oder so über das VLAN 101 (FritzBox) ins Internet gehen macht es Sinn den PiHole auch dort zu plazieren.
Ansonsten ist die Aufteilung absolut OK. Sie ist ja so oder so immer eher eine individuelle Sache denn eine technische. Wie man es gerne für sein eigenes Netz umsetzen möchte ist letztlich also immer eine Frage des persönlichen Geschmacks und seiner individiuellen Netz- oder Security Policy.
Ansonsten ist die Aufteilung absolut OK. Sie ist ja so oder so immer eher eine individuelle Sache denn eine technische. Wie man es gerne für sein eigenes Netz umsetzen möchte ist letztlich also immer eine Frage des persönlichen Geschmacks und seiner individiuellen Netz- oder Security Policy.
1
