Lancom 1711 VLAN einrichten
Hallo,
ich möchte gerne an einem Lancom 1711+ VLAN's einrichten.
Zwei Notebooks sollen Zugriff auf das Internet bekommen, das Ganze möchte ich aber vom restlichen LAN (192.168.10.0) abschotten.
Leider ist mir nicht ganz klar, wie ich die Einstellungen setzen muss.
Im LANconfig sehe unter dem Menüpunkt Schnittstellen die Registerkarte VLAN.
Muss ich zunächst einen eigenen IP-Bereich für das VLAN erstellen und diesem eine ID vergeben?
Wie kann ich dann festlegen, an welchem Port vom Lancom sich welches VLAN befindet?
Freue mich auf Antworten.
Vielen Dank im Voraus.
Alforno
ich möchte gerne an einem Lancom 1711+ VLAN's einrichten.
Zwei Notebooks sollen Zugriff auf das Internet bekommen, das Ganze möchte ich aber vom restlichen LAN (192.168.10.0) abschotten.
Leider ist mir nicht ganz klar, wie ich die Einstellungen setzen muss.
Im LANconfig sehe unter dem Menüpunkt Schnittstellen die Registerkarte VLAN.
Muss ich zunächst einen eigenen IP-Bereich für das VLAN erstellen und diesem eine ID vergeben?
Wie kann ich dann festlegen, an welchem Port vom Lancom sich welches VLAN befindet?
Freue mich auf Antworten.
Vielen Dank im Voraus.
Alforno
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 140874
Url: https://administrator.de/forum/lancom-1711-vlan-einrichten-140874.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
13 Kommentare
Neuester Kommentar
Moin,
schau doch erstmal hier: http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
schau doch erstmal hier: http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
Ja, das musst du machen ! Du erzeugst 2 VLANs mit einer eigenen ID z.B. 10 und 20 oder behälst einmal das default VLAN 1 und konfigurierst eins dazu wie z.B. 10.
In beiden VLAN musst du dann mit 2 separaten IP Netzen arbeiten z.B. 192.168.1.0 /24 und 192.168.10.0 /24. Der Router fügt beide VLANs dann entsprechend wieder zusammen...
Ggf. musst du im Router eine Accessliste definieren, die den Zugriff auf ein VLAN unterbindet so wie du es haben willst !
Grundlagen zu VLANs findest du hier:
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
bzw. ist das ggf.noch hilfreich fürs Verständnis:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
In beiden VLAN musst du dann mit 2 separaten IP Netzen arbeiten z.B. 192.168.1.0 /24 und 192.168.10.0 /24. Der Router fügt beide VLANs dann entsprechend wieder zusammen...
Ggf. musst du im Router eine Accessliste definieren, die den Zugriff auf ein VLAN unterbindet so wie du es haben willst !
Grundlagen zu VLANs findest du hier:
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
bzw. ist das ggf.noch hilfreich fürs Verständnis:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
NEEEEIN!!!! Sonst passiert dir das gleiche wie mir damals.. das wäre unschön.. lol
1. Mach das VLAN Modul komplett aus.
2. Geh unter Schnittstellen und definiere ETH-1 als LAN-1 und ETH-2 als LAN-2 beide setze mit dem Haken in den Private Mode.
3. Geh unter TCP/IP und definiere unter netze das vordefinierte DMZ Netz als LAN-2 mit z.b. 192.168.44.1 für den Router, das setzt du als Intranet und bindest es an LAN-2. Das INTRANET Netz bindest du an LAN-1. Dann weißt du INTRANET den Routing Tag 1 zu und DMZ den Routing Tag 2. Die VLAN Tags bleiben bei beiden 0.
4. Nun richtest du unter DHCP noch einen weitren DHCP Server ein welchen du an DMZ und LAN-2 bindest.
5. Nun unter DNS falls gewünscht noch jedem der Netze eigene Subdomains zuweisen wegen Auflösung und unter Netbios auch die jeweiligen Netze anlegen.
Nun hast du 2 getrennte Netze. Das macht der Lancom über Routing udn nicht über VLAN. VLAN solltest du nur in einem VLAN Netzwerk aktivieren. Für deinen Zweck lass es unbedingt aus.
Habe diese Konstellation selber mehrfach im Einsatz. Dabei habe ich beim ersten Versuch auch das VLAN Modul aktiviert und das Ende war nicht sehr glorreich..^^
MfG
k4p00d
1. Mach das VLAN Modul komplett aus.
2. Geh unter Schnittstellen und definiere ETH-1 als LAN-1 und ETH-2 als LAN-2 beide setze mit dem Haken in den Private Mode.
3. Geh unter TCP/IP und definiere unter netze das vordefinierte DMZ Netz als LAN-2 mit z.b. 192.168.44.1 für den Router, das setzt du als Intranet und bindest es an LAN-2. Das INTRANET Netz bindest du an LAN-1. Dann weißt du INTRANET den Routing Tag 1 zu und DMZ den Routing Tag 2. Die VLAN Tags bleiben bei beiden 0.
4. Nun richtest du unter DHCP noch einen weitren DHCP Server ein welchen du an DMZ und LAN-2 bindest.
5. Nun unter DNS falls gewünscht noch jedem der Netze eigene Subdomains zuweisen wegen Auflösung und unter Netbios auch die jeweiligen Netze anlegen.
Nun hast du 2 getrennte Netze. Das macht der Lancom über Routing udn nicht über VLAN. VLAN solltest du nur in einem VLAN Netzwerk aktivieren. Für deinen Zweck lass es unbedingt aus.
Habe diese Konstellation selber mehrfach im Einsatz. Dabei habe ich beim ersten Versuch auch das VLAN Modul aktiviert und das Ende war nicht sehr glorreich..^^
MfG
k4p00d
1. Das sind keine VLANs dann, das sind einfach verschiedene Netze!
2. Ja du kannst den Zugriff nach belieben regulieren, einfach in der Firewall eine Deny All Strategie und die Freigaben dementsprechend.
3. Der Router hängt dann in allen Netzen die du anlegst:
z.B.
Intranet: 192.168.2.0 > Lancom z.B. 192.168.2.1
DMZ: 192.168.4.0 > Lancom z.B. 192.168.4.1
Das sind keine VLANs!
Du gibst dem Router unter TCP/IP Netzwerke ja im jeweiligen Netz eine Adresse. Wenn du das Routing Tag bei beiden auf 0 hast routet er zwischen den Netzen. Wenn du für Intranet 1 und DMZ 2 sind sie getrennt.
In der Routing Tabelle kannst du dann auch für jedes Netz eine eigene Default Route anlegen in dem du selbiger das Routing Tag des jeweiligen Netzes gibst.
Unter DHCP Netzwerke legst du dann für jedes Netz einen separaten DHCP an. Im DMZ wäre der Gateway dann ja logischerweise 192.168.4.1 und im Netz Intranet 192.168.2.1..
Wie du dir das jetzt für dein Netz zusammenwürfeln musst sollte ersichtlich sein.. hoffe ich..
MfG
k4p00d
2. Ja du kannst den Zugriff nach belieben regulieren, einfach in der Firewall eine Deny All Strategie und die Freigaben dementsprechend.
3. Der Router hängt dann in allen Netzen die du anlegst:
z.B.
Intranet: 192.168.2.0 > Lancom z.B. 192.168.2.1
DMZ: 192.168.4.0 > Lancom z.B. 192.168.4.1
Das sind keine VLANs!
Du gibst dem Router unter TCP/IP Netzwerke ja im jeweiligen Netz eine Adresse. Wenn du das Routing Tag bei beiden auf 0 hast routet er zwischen den Netzen. Wenn du für Intranet 1 und DMZ 2 sind sie getrennt.
In der Routing Tabelle kannst du dann auch für jedes Netz eine eigene Default Route anlegen in dem du selbiger das Routing Tag des jeweiligen Netzes gibst.
Unter DHCP Netzwerke legst du dann für jedes Netz einen separaten DHCP an. Im DMZ wäre der Gateway dann ja logischerweise 192.168.4.1 und im Netz Intranet 192.168.2.1..
Wie du dir das jetzt für dein Netz zusammenwürfeln musst sollte ersichtlich sein.. hoffe ich..
MfG
k4p00d
1. Ja der Router kann in jedem Netz angesprochen werden. Aber der Router hat natürlich auch in jedem Netz eine eigene IP. Ist das Intranet 192.168.0.0 hat er da z.B. 192.168.0.1. Hat DMZ 192.168.254.1 kann er dort z.B. 192.168.254.234 haben. Welche du ihm in diesem Netz eben vergibst.
2. Das hängt vom Routing Tag ab. Routing Tag 0 ist sozusagen "root", von einem Netz mit diesem Tag kommt man in alle anderen Netze. Mit z.B. Tag 1,2,3,4 etc. kommt man nur in Netze die den selben Tag haben. Wenn du Intranet also Tag 1 gibst und DMZ Tag 2 sind diese getrennt. VLAN bleibt bei allen Tag 0.
3. In der Ausgangssituation verlässt sich der Router in Sachen Sicherheit auf NAT und IDS. Die Firewall musst du einrichten. Das einzig sinnvolle ist dabei eine Deny All. Diese gilt wenn du eine richtige Deny All Regel definierst logischerweise in beide Richtungen. Dann solltest du eben nur das freigeben was du auch wirklich brauchst. Auch von innen nach außen. Dabei kannst du verschiedenen Netzen und VPN Eiwnahlen ja unterschiedliche Rechte zuweisen.
Du kannst auch einzelne Regeln anlegen die bestimmten Netzen/Usern bestimmte Sachen verbieten. Das ist aber eine unsaubere Lösung und von daher Pfusch.
MfG
k4p00d
2. Das hängt vom Routing Tag ab. Routing Tag 0 ist sozusagen "root", von einem Netz mit diesem Tag kommt man in alle anderen Netze. Mit z.B. Tag 1,2,3,4 etc. kommt man nur in Netze die den selben Tag haben. Wenn du Intranet also Tag 1 gibst und DMZ Tag 2 sind diese getrennt. VLAN bleibt bei allen Tag 0.
3. In der Ausgangssituation verlässt sich der Router in Sachen Sicherheit auf NAT und IDS. Die Firewall musst du einrichten. Das einzig sinnvolle ist dabei eine Deny All. Diese gilt wenn du eine richtige Deny All Regel definierst logischerweise in beide Richtungen. Dann solltest du eben nur das freigeben was du auch wirklich brauchst. Auch von innen nach außen. Dabei kannst du verschiedenen Netzen und VPN Eiwnahlen ja unterschiedliche Rechte zuweisen.
Du kannst auch einzelne Regeln anlegen die bestimmten Netzen/Usern bestimmte Sachen verbieten. Das ist aber eine unsaubere Lösung und von daher Pfusch.
MfG
k4p00d
2. Du kannst die beiden editieren wie du willst. Nur solltest du ihnen die Namen INTRANET und DMZ lassen. Man kann sie zwar löschen/umbenennen, aber damit habe ich bereits mehrmal schlechte erfahrungen gemacht.
3. Ja meiner Meinung nach nur erlauben was nötig ist.
Neue z.b. allow_vpnuser_to_intern Regel - Priorität 1 (deny-all hat ja 0), erkauben - von gegenstelle vpn01 (kann man auch mehrere eintragen) an intranet/192.168.x.x - unter Dienste dann unter Protokolle/Zieldienste deine Ports eintragen und fertig.
Ja die fertigen Skripte kann man verwenden, ich mache es lieber selber.
MfG
k4p00d
3. Ja meiner Meinung nach nur erlauben was nötig ist.
Neue z.b. allow_vpnuser_to_intern Regel - Priorität 1 (deny-all hat ja 0), erkauben - von gegenstelle vpn01 (kann man auch mehrere eintragen) an intranet/192.168.x.x - unter Dienste dann unter Protokolle/Zieldienste deine Ports eintragen und fertig.
Ja die fertigen Skripte kann man verwenden, ich mache es lieber selber.
MfG
k4p00d