4
LANCOM 1781VA-4G + Cisco SG200 50FP VLAN Konfiguration
Hallo zusammen,
ich hoffe auf eure Hilfe. Ich habe mich intensiv durch alle möglichen VLAN Tutorials und Hilfen gelesen die ich gefunden habe, einiges hat auch schon geholfen, aber mein aktueller Stand ist einfach noch nicht ganz so wie ich es möchte.
Hintergrund:
LANCOM 1781VA-4G + Cisco SG200 50FP
Ich möchte 4 Netze haben, die alle ins Internet können und ansonsten voneinander getrennt sind. Evtl. möchte ich später mal Netze routen, aber das ist erst mal zweitrangig
Mgmt: 192.168.2.1/24 VLAN 2, LANCOM Port 2
Netz A: 192.168.100.0/24 VLAN 100, LANCOM Port 3
Netz B: 192.168.122.0/24 VLAN 122, LANCOM Port 4
Netz C: 192.168.222.0/24 VLAN 222, Kein Port auf dem LANCOM
Momentan bekomme ich immerhin auf jedem Switch Port per DHCP die richtige IP zugewiesen. Aber die Netze finden sich untereinander und auf dem LANCOM kann ich den Ports jetzt kein VLAN mehr zuweisen.
CISCO---------------------------
Auf dem Cisco Switch ist meine Konfiguration denke ich schon mal nicht ganz falsch. (IP: 192.168.2.254) Default VLAN: 1
Interface Settings Port 1 welcher der UPLINK ist:
- VLAN Mode: TRUNK
- PVID: 2
- Frame Type: Admit All
- Ingress Filtering Enabled
Port to VLAN:
Port 1, alle VLANs tagged, außer VLAN 2 ist UP (Untagged PVID)
Alle anderen Ports sind VLAN Mode "Access", Untagged und PVID entsprechend dem VLAN in dem ich den Port möchte.
Ich würde jetzt nach allem was ich gelesen habe sagen, dass eigentlich auf Port 1 alle VLANs Tagged gehören - dann legt der Cisco ein VLAN 4095P automatisch an und dann geht gar nichts mehr
Ansonsten wurde am Cisco nichts verstellt gegenüber Auslieferung.
LANCOM-----------------------
Hier habe ich erst mal ein Tag Zeit wegen der Zuordnung ETH-1 und LAN-1 verbraten - bis heute ist mir nicht ganz klar wofür diese Trennung ist. Klar, ETH=physik, LAN=Schnittstelle aber warum diese Auftrennung ist mir schleierhaft, nun gut:
Schnittstellen, LAN:
ETH-1=LAN-1
ETH-2=LAN-1
ETH-3=LAN-1
ETH-4=LAN-1
VLAN Modul aktiv:
Alle VLANs angelegt, jeweils alle VLANs in "Port-Schnittstelle" allen LAN-Schnittstellen zugewiesen
VLAN Port Tabelle:
LAN-1, Hybrid(Gemischt), Alle VLANs:Nein, Port-ID:2
LAN-2, Hybrid(Gemischt), Alle VLANs:Nein, Port-ID:122
LAN-3, Hybrid(Gemischt), Alle VLANs:Nein, Port-ID:2
LAN-4, Hybrid(Gemischt), Alle VLANs:Nein, Port-ID:2
IP-Netzwerke:
Name: INTRANET IP:192.168.2.1;Maske: 255.255.255.0;Typ:Intranet;VLAN2;Schnittstelle:LAN-1;Adressprüfung:Flexibel;Tag:0
Name: NetzA IP:192.168.100.1;Maske: 255.255.255.0;Typ:Intranet;VLAN100;Schnittstelle:LAN-1;Adressprüfung:Flexibel;Tag:0
Name: NetzA IP:192.168.122.1;Maske: 255.255.255.0;Typ:Intranet;VLAN122;Schnittstelle:LAN-1;Adressprüfung:Flexibel;Tag:0
usw.
DHCP für alle Netze an.
Internet habe ich mit dem Assistent eingerichtet.
Aktuell funktioniert jetzt quasi alles, bis auf das ich an den LAN-Ports der LANCOM-Router auch immer im VLAN2 stecke. Das wundert mich mit der Konfiguration aber auch nicht, hab ich ja oben eingestellt, leider bin ich offensichtlich zu dumm es korrekt zu machen
Das Problem, ich sitze seit fast 2 Tagen dran und habe etliche Konfigurationen durch.
Am meisten machen mich die "LAN-Schnittstellen" fertig, die für mich irgendwie nicht ins Bild passen. Zum testen nutze ich immer 2 Clients, einer am LANCOM einer am Switch und idr. in VLAN2, nach meiner logik sollte am schluss
a) sich beide Clients pingen können
b) beide sowohl die Router IP (192.168.2.1) als auch Switch IP (192.168.2.254) pingen können
c) Je nach VLAN die richtige IP zugewiesen bekommen
d) wenn man z.B. im VLAN122 bin, sollte man auf 192.168.2.1 nicht mehr zugreifen können, aber sehr wohl auf 192.168.122.1
In der aktuellen Konfiguration funktioniert a), b), c) aber leider auch d). Und ich glaube meine Netze sind aktuell überhaupt nicht von einander getrennt.
Ich bin über jegliche Hilfe dankbar. Der entscheidende Tipp ist mir auch ein paar Euro wert...!
Ansonsten an alle die das hier lesen einen guten Rutsch ins neue Jahr
ich hoffe auf eure Hilfe. Ich habe mich intensiv durch alle möglichen VLAN Tutorials und Hilfen gelesen die ich gefunden habe, einiges hat auch schon geholfen, aber mein aktueller Stand ist einfach noch nicht ganz so wie ich es möchte.
Hintergrund:
LANCOM 1781VA-4G + Cisco SG200 50FP
Ich möchte 4 Netze haben, die alle ins Internet können und ansonsten voneinander getrennt sind. Evtl. möchte ich später mal Netze routen, aber das ist erst mal zweitrangig
Mgmt: 192.168.2.1/24 VLAN 2, LANCOM Port 2
Netz A: 192.168.100.0/24 VLAN 100, LANCOM Port 3
Netz B: 192.168.122.0/24 VLAN 122, LANCOM Port 4
Netz C: 192.168.222.0/24 VLAN 222, Kein Port auf dem LANCOM
Momentan bekomme ich immerhin auf jedem Switch Port per DHCP die richtige IP zugewiesen. Aber die Netze finden sich untereinander und auf dem LANCOM kann ich den Ports jetzt kein VLAN mehr zuweisen.
CISCO---------------------------
Auf dem Cisco Switch ist meine Konfiguration denke ich schon mal nicht ganz falsch. (IP: 192.168.2.254) Default VLAN: 1
Interface Settings Port 1 welcher der UPLINK ist:
- VLAN Mode: TRUNK
- PVID: 2
- Frame Type: Admit All
- Ingress Filtering Enabled
Port to VLAN:
Port 1, alle VLANs tagged, außer VLAN 2 ist UP (Untagged PVID)
Alle anderen Ports sind VLAN Mode "Access", Untagged und PVID entsprechend dem VLAN in dem ich den Port möchte.
Ich würde jetzt nach allem was ich gelesen habe sagen, dass eigentlich auf Port 1 alle VLANs Tagged gehören - dann legt der Cisco ein VLAN 4095P automatisch an und dann geht gar nichts mehr
Ansonsten wurde am Cisco nichts verstellt gegenüber Auslieferung.
LANCOM-----------------------
Hier habe ich erst mal ein Tag Zeit wegen der Zuordnung ETH-1 und LAN-1 verbraten - bis heute ist mir nicht ganz klar wofür diese Trennung ist. Klar, ETH=physik, LAN=Schnittstelle aber warum diese Auftrennung ist mir schleierhaft, nun gut:
Schnittstellen, LAN:
ETH-1=LAN-1
ETH-2=LAN-1
ETH-3=LAN-1
ETH-4=LAN-1
VLAN Modul aktiv:
Alle VLANs angelegt, jeweils alle VLANs in "Port-Schnittstelle" allen LAN-Schnittstellen zugewiesen
VLAN Port Tabelle:
LAN-1, Hybrid(Gemischt), Alle VLANs:Nein, Port-ID:2
LAN-2, Hybrid(Gemischt), Alle VLANs:Nein, Port-ID:122
LAN-3, Hybrid(Gemischt), Alle VLANs:Nein, Port-ID:2
LAN-4, Hybrid(Gemischt), Alle VLANs:Nein, Port-ID:2
IP-Netzwerke:
Name: INTRANET IP:192.168.2.1;Maske: 255.255.255.0;Typ:Intranet;VLAN2;Schnittstelle:LAN-1;Adressprüfung:Flexibel;Tag:0
Name: NetzA IP:192.168.100.1;Maske: 255.255.255.0;Typ:Intranet;VLAN100;Schnittstelle:LAN-1;Adressprüfung:Flexibel;Tag:0
Name: NetzA IP:192.168.122.1;Maske: 255.255.255.0;Typ:Intranet;VLAN122;Schnittstelle:LAN-1;Adressprüfung:Flexibel;Tag:0
usw.
DHCP für alle Netze an.
Internet habe ich mit dem Assistent eingerichtet.
Aktuell funktioniert jetzt quasi alles, bis auf das ich an den LAN-Ports der LANCOM-Router auch immer im VLAN2 stecke. Das wundert mich mit der Konfiguration aber auch nicht, hab ich ja oben eingestellt, leider bin ich offensichtlich zu dumm es korrekt zu machen
Das Problem, ich sitze seit fast 2 Tagen dran und habe etliche Konfigurationen durch.
Am meisten machen mich die "LAN-Schnittstellen" fertig, die für mich irgendwie nicht ins Bild passen. Zum testen nutze ich immer 2 Clients, einer am LANCOM einer am Switch und idr. in VLAN2, nach meiner logik sollte am schluss
a) sich beide Clients pingen können
b) beide sowohl die Router IP (192.168.2.1) als auch Switch IP (192.168.2.254) pingen können
c) Je nach VLAN die richtige IP zugewiesen bekommen
d) wenn man z.B. im VLAN122 bin, sollte man auf 192.168.2.1 nicht mehr zugreifen können, aber sehr wohl auf 192.168.122.1
In der aktuellen Konfiguration funktioniert a), b), c) aber leider auch d). Und ich glaube meine Netze sind aktuell überhaupt nicht von einander getrennt.
Ich bin über jegliche Hilfe dankbar. Der entscheidende Tipp ist mir auch ein paar Euro wert...!
Ansonsten an alle die das hier lesen einen guten Rutsch ins neue Jahr
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 359540
Url: https://administrator.de/contentid/359540
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
4 Kommentare
Neuester Kommentar
Die Auftrennung von ETH-x (Physik) zu LAN-x (Logik im Router) hat seinen Grund. Wenn der Router ausgeliefert wird, sind alle ETH-x in LAN-1 enthalten, also die vier Ports am Router sind ein Switch. Du kannst aber auch hingehen und ETHx auf irgendein LAN-y mappen, also ETH-1 auf LAN-4, ETH-2 auf LAN-1 und und und. Du kannst aber auch ETH-x auf DSL-z mappen, also weitere WAN-Ports anlegen. Daher die Trennung.
Das VLAN-Thema am LANCOM kannst du ganz einfach angehen. Zu allererst lässt du die Finger von Schnittstellen => VLAN. Komplett auf Standard lassen, auch nicht das VLAN-Modul einschalten. Damit konfigurierst du den eingebauten Switch, das ist aber nicht nötig, weil du ja über den Router arbeiten willst.
Jetzt legst du unter IPv4 => Allgemein => IP-Netzwerke deine Interfaces an, die du haben willst. VLAN-ID eintragen und die Schnittstelle LAN-1, so wie du es schon gemacht hast. Aber jetzt ganz wichtig: Das Tag muss geändert werden. Tag 0 darf überall reinschauen. Ich hab mir angewöhnt, hier einfach die VLAN-ID auch als Tag zu nehmen, ist aber nicht zwingend. Jetzt dürfen nur Interfaces, die das gleiche Tag haben, miteinander kommunizieren.
Und zur VLAN-ID-Nutzung: ID 1 sollte man nicht verwenden, da dies einfach das Standardtag ist und grundsätzlich erstmal alle Ports dadrin landen. Insbesondere das Management sollte man nicht auf das Tag packen. Wie schnell bleibt ein ungenutzter Port unkonfiguriert und öffnet den Zugang zum Management. Das mit dem Tag 4095P auf Ports ohne eingetragenes VLAN ist normal.
Aus persönlicher Erfahrung empfehle ich aber, dass das Management-VLAN am Router, also bei dir scheinbar ID 2, untagged ist. Sonst steht man irgendwann da, Switch hat die Config versaubeutelt und du kommst nicht an den Router.
Ich hab jetzt einfach mal nur deinen Text überflogen, aber das war so viel. Aber dein Problem scheint eh nur ein Verständnisproblem auf der LANCOM-Seite zu sein. Da gibt es auch mehrere Wege. Herstellerspezifisch über die Tags oder herstellerunabhängig über die Firewall.
Das VLAN-Thema am LANCOM kannst du ganz einfach angehen. Zu allererst lässt du die Finger von Schnittstellen => VLAN. Komplett auf Standard lassen, auch nicht das VLAN-Modul einschalten. Damit konfigurierst du den eingebauten Switch, das ist aber nicht nötig, weil du ja über den Router arbeiten willst.
Jetzt legst du unter IPv4 => Allgemein => IP-Netzwerke deine Interfaces an, die du haben willst. VLAN-ID eintragen und die Schnittstelle LAN-1, so wie du es schon gemacht hast. Aber jetzt ganz wichtig: Das Tag muss geändert werden. Tag 0 darf überall reinschauen. Ich hab mir angewöhnt, hier einfach die VLAN-ID auch als Tag zu nehmen, ist aber nicht zwingend. Jetzt dürfen nur Interfaces, die das gleiche Tag haben, miteinander kommunizieren.
Und zur VLAN-ID-Nutzung: ID 1 sollte man nicht verwenden, da dies einfach das Standardtag ist und grundsätzlich erstmal alle Ports dadrin landen. Insbesondere das Management sollte man nicht auf das Tag packen. Wie schnell bleibt ein ungenutzter Port unkonfiguriert und öffnet den Zugang zum Management. Das mit dem Tag 4095P auf Ports ohne eingetragenes VLAN ist normal.
Aus persönlicher Erfahrung empfehle ich aber, dass das Management-VLAN am Router, also bei dir scheinbar ID 2, untagged ist. Sonst steht man irgendwann da, Switch hat die Config versaubeutelt und du kommst nicht an den Router.
Ich hab jetzt einfach mal nur deinen Text überflogen, aber das war so viel. Aber dein Problem scheint eh nur ein Verständnisproblem auf der LANCOM-Seite zu sein. Da gibt es auch mehrere Wege. Herstellerspezifisch über die Tags oder herstellerunabhängig über die Firewall.
Erst mal vielen Dank. Ich glaube dein Hinweis mit dem VLAN Modul könnte es schon gewesen sein... Ich bin mal weiter am testen und melde mich
Also, das hat mich schon mal Lichtjahre voran gebracht. VIELEN DANK!
Jetzt ist mir auch die Logik klar, LAN-1 ist einfach ein Switch, LAN-2 auch einer usw. okay - macht sinn
Ich habe jetzt zwar nicht das gleiche VLAN auf einem der Router Ports, aber damit kann ich leben. Wichtig ist mir, dass man auf einem der Router Ports notfalls ins Internet kommt und das klappt jetzt indem ich ein LAN auf Port 2 und 3 gebunden hab und dort dann ein separates Netz erstellt hab, damit komm ich auch im Notfall immer auf den Router falls mal was sein sollte.
Für die Nachwelt: der Trick war ganz klar das weglassen der VLAN Option. Ich war so versteift auf die VLANs, dabei ist ja nur die VLAN konfiguration auf dem Switch nötig, auf dem Router musste ich nur jedem Netz eine VLAN ID und eine Tag mitgeben und schon hat es wunderbar geklappt. Den Switch musste ich dann aber alle Ports auf Tagged stellen damit es sauber läuft - aber hier sehe ich auch kein Problem, an den Router komme ich ja im Notfall direkt.
Jetzt ist mir auch die Logik klar, LAN-1 ist einfach ein Switch, LAN-2 auch einer usw. okay - macht sinn
Ich habe jetzt zwar nicht das gleiche VLAN auf einem der Router Ports, aber damit kann ich leben. Wichtig ist mir, dass man auf einem der Router Ports notfalls ins Internet kommt und das klappt jetzt indem ich ein LAN auf Port 2 und 3 gebunden hab und dort dann ein separates Netz erstellt hab, damit komm ich auch im Notfall immer auf den Router falls mal was sein sollte.
Für die Nachwelt: der Trick war ganz klar das weglassen der VLAN Option. Ich war so versteift auf die VLANs, dabei ist ja nur die VLAN konfiguration auf dem Switch nötig, auf dem Router musste ich nur jedem Netz eine VLAN ID und eine Tag mitgeben und schon hat es wunderbar geklappt. Den Switch musste ich dann aber alle Ports auf Tagged stellen damit es sauber läuft - aber hier sehe ich auch kein Problem, an den Router komme ich ja im Notfall direkt.
Wenn du LAN-1 auf den Routerports haben willst, setz einfach eins der VLANs im LANCOM auf ID 1. Bei LANCOM heißt das in den IP-Netzwerken untagged. Sind so Besonderheiten, die man irgendwann alle kennt. Am Switch müsstest du dann dein VLAN mit der ID2 am Router-Port auch auf untagged setzen.
Und wenn du nochmal in die Lage kommen solltest, VLANs auf einem LANCOM-Router betreiben zu müssen. Normal sind die IP-Netzwerke ja mit VLAN ID 0 markiert. In dem Moment, wo du an einem der anderen Ports eine VLAN-ID ungleich 0 einträgst, muss das IP-Netzwerk, was ungetagged sein soll, auf VLAN ID 1 abgeändert werden. Mit VLAN ID 0 wäre keine Kommunikation mehr möglich und man müsste über die serielle Schnittstelle, ISDN oder im schlimmsten Fall per Factory Reset den Zugang zurückerlangen.
Und wenn du nochmal in die Lage kommen solltest, VLANs auf einem LANCOM-Router betreiben zu müssen. Normal sind die IP-Netzwerke ja mit VLAN ID 0 markiert. In dem Moment, wo du an einem der anderen Ports eine VLAN-ID ungleich 0 einträgst, muss das IP-Netzwerk, was ungetagged sein soll, auf VLAN ID 1 abgeändert werden. Mit VLAN ID 0 wäre keine Kommunikation mehr möglich und man müsste über die serielle Schnittstelle, ISDN oder im schlimmsten Fall per Factory Reset den Zugang zurückerlangen.
