4
Mehere VLANs in einem Switch Routen
Hallo Zusammen,
mittlerweile habe ich mehrere Stunden damit verbracht mein Netzwerkproblem zu lösen komme aber zu keinem funktionierenden Ergebnis. Folgende Szenario ist als Ziel festgelegt:
Hinter meiner FritzBox die den Anschluss ans Internet herstellt soll ein VPN-Router angeschlossen werden. Dieser stellt drei VLAN's mit je einem DHCP-Server zur Verfügung:
VLAN 1: 192.168.0.0 (Standard VLAN)
VLAN 10: 192.168.50.0 (Gast-Netz)
VLAN 20: 192.168.150.0 (Standard Netz)
Die FritzBox wird an den VPN-Router über die WAN-Schnittstelle angeschlossen:
FritzBox: 192.168.178.1 (DHCP-Server auf FritzBox ist aktiv)
WAN-VPN-Router: 192.168.178.2
Der gesamte Internetverkehr soll aus meinem Netzwerk über den VPN-Router laufen.
Der Router wird über den LAN-Port auf meinen Switch1 geschaltet und zwar dort auf den Port G1/0/1 ins VLAN1.
Auf dem Switch1 sollen die Ports 2,3,7,8,9,10,11,12,13,14,15,16,17,18,19,20 das VLAN 20 zur Verfügung stellen. Diese Ports habe ich auch als Untagged deklariert.
An den Ports 5,6 sind meine beiden Wifi-AP's geschaltet die je zwei WLAN aufspannen. Ein WLAN Gast, als VLAN 10, und ein VLAN Standard, also VLAN 20.
An Port 4 wird ein WIFI-Controller von TP-LINK angeschlossen (OC200). Bei Einwahl in das WLAN-gast_Netzwerk stellt dieser eine Portal-Seite zur Verfügung über die man sich dann am GastNetz sozusagen Einbuchen kann.
Der Port 25 (LWL-Port) soll alle VLAN's weiterleiten auf einen separaten kleineren Switch2. Dort soll auf den Ports 2-6 das VLAN 20 geschaltet werden und auf den Port 7 das VLAN 10 (Gast).
Als Besonderheit kommt jetzt noch ein IP-Telefon das eigentlich an die Fritz!Box im Adressegment 192.168.178.0 geschaltet werden muss. Dadurch habe ich mir überlegt die FritzBox auf den Port 21 des Switches1 als RoutedPort aufzulegen und ein VLAN 30 zu definieren. VLAN 30 soll nur für das Telefon sein. Dieses wird dann an den kleinen Switch2 auf Port 8 aufgeschaltet.
Technische Daten:
VPN-Router: TP-LINK TL-ER605
Switch 1: TP-LINK T2600G-28TS 4.0 L2+ Managed
Switch 2: TP-LINK TL-SG108E
Folgende Vorgehensweise habe ich bereits ausprobiert:
Variante 1:
Switch 1:
Ports:2,3,7,8,9,10,11,12,13,14,15,16,17,18,19,20 => VLAN 20 Untagged
Ports: 4,5,6 => VLAN 20, VLAN 10, VLAN1 Tagged
Port 1: VLAN 1, VLAN 10, VLAN 20 Tagged
Hierbei kommt es zu Problemen mit den WIFI-AP's diese leiten teilw. die Adressenvergabe nicht weiter. Im WLAN-Gast-Netz öffnet sich das Portal nicht.
Variante 2:
Switch 1:
Ports:2,3,7,8,9,10,11,12,13,14,15,16,17,18,19,20 => VLAN 20 Untagged
Ports: 4,5,6 => VLAN 20, VLAN 10, VLAN1 Tagged
Port 1: VLAN 1, VLAN 10, VLAN 20 Tagged
Installation eines DHCP-Relays auf Switch1 ohne Erfolg.
Hat hier vielleicht jemand eine Idee?
mittlerweile habe ich mehrere Stunden damit verbracht mein Netzwerkproblem zu lösen komme aber zu keinem funktionierenden Ergebnis. Folgende Szenario ist als Ziel festgelegt:
Hinter meiner FritzBox die den Anschluss ans Internet herstellt soll ein VPN-Router angeschlossen werden. Dieser stellt drei VLAN's mit je einem DHCP-Server zur Verfügung:
VLAN 1: 192.168.0.0 (Standard VLAN)
VLAN 10: 192.168.50.0 (Gast-Netz)
VLAN 20: 192.168.150.0 (Standard Netz)
Die FritzBox wird an den VPN-Router über die WAN-Schnittstelle angeschlossen:
FritzBox: 192.168.178.1 (DHCP-Server auf FritzBox ist aktiv)
WAN-VPN-Router: 192.168.178.2
Der gesamte Internetverkehr soll aus meinem Netzwerk über den VPN-Router laufen.
Der Router wird über den LAN-Port auf meinen Switch1 geschaltet und zwar dort auf den Port G1/0/1 ins VLAN1.
Auf dem Switch1 sollen die Ports 2,3,7,8,9,10,11,12,13,14,15,16,17,18,19,20 das VLAN 20 zur Verfügung stellen. Diese Ports habe ich auch als Untagged deklariert.
An den Ports 5,6 sind meine beiden Wifi-AP's geschaltet die je zwei WLAN aufspannen. Ein WLAN Gast, als VLAN 10, und ein VLAN Standard, also VLAN 20.
An Port 4 wird ein WIFI-Controller von TP-LINK angeschlossen (OC200). Bei Einwahl in das WLAN-gast_Netzwerk stellt dieser eine Portal-Seite zur Verfügung über die man sich dann am GastNetz sozusagen Einbuchen kann.
Der Port 25 (LWL-Port) soll alle VLAN's weiterleiten auf einen separaten kleineren Switch2. Dort soll auf den Ports 2-6 das VLAN 20 geschaltet werden und auf den Port 7 das VLAN 10 (Gast).
Als Besonderheit kommt jetzt noch ein IP-Telefon das eigentlich an die Fritz!Box im Adressegment 192.168.178.0 geschaltet werden muss. Dadurch habe ich mir überlegt die FritzBox auf den Port 21 des Switches1 als RoutedPort aufzulegen und ein VLAN 30 zu definieren. VLAN 30 soll nur für das Telefon sein. Dieses wird dann an den kleinen Switch2 auf Port 8 aufgeschaltet.
Technische Daten:
VPN-Router: TP-LINK TL-ER605
Switch 1: TP-LINK T2600G-28TS 4.0 L2+ Managed
Switch 2: TP-LINK TL-SG108E
Folgende Vorgehensweise habe ich bereits ausprobiert:
Variante 1:
Switch 1:
Ports:2,3,7,8,9,10,11,12,13,14,15,16,17,18,19,20 => VLAN 20 Untagged
Ports: 4,5,6 => VLAN 20, VLAN 10, VLAN1 Tagged
Port 1: VLAN 1, VLAN 10, VLAN 20 Tagged
Hierbei kommt es zu Problemen mit den WIFI-AP's diese leiten teilw. die Adressenvergabe nicht weiter. Im WLAN-Gast-Netz öffnet sich das Portal nicht.
Variante 2:
Switch 1:
Ports:2,3,7,8,9,10,11,12,13,14,15,16,17,18,19,20 => VLAN 20 Untagged
Ports: 4,5,6 => VLAN 20, VLAN 10, VLAN1 Tagged
Port 1: VLAN 1, VLAN 10, VLAN 20 Tagged
Installation eines DHCP-Relays auf Switch1 ohne Erfolg.
Hat hier vielleicht jemand eine Idee?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1536954030
Url: https://administrator.de/forum/mehere-vlans-in-einem-switch-routen-1536954030.html
Ausgedruckt am: 21.04.2025 um 19:04 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
kurz und knapp: Lesen, verstehen und umsetzen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Viele Grüße, commodity
kurz und knapp: Lesen, verstehen und umsetzen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Viele Grüße, commodity
Wer macht den DHCP Server in den jeweiligen VLANs?
Der DHCP in der Fritzbox ist sowieso arbeitslos, wenn der WAN Port des VPN Routers eine feste 192.168.178.2 hat. Da hilft auch kein DHCP Relay bis zur Fritzbox, da der VPN Router NATtet.
Der DHCP in der Fritzbox ist sowieso arbeitslos, wenn der WAN Port des VPN Routers eine feste 192.168.178.2 hat. Da hilft auch kein DHCP Relay bis zur Fritzbox, da der VPN Router NATtet.
Guten Morgen
Also am Switch1 Port 25 VLAN 1,10,20,30 tagged, Switch2 dementsprechen VLAN's anlegen und den Uplink Port auf tagged. Port 2-6 untagged 20, Port 7 untagged 10, Port 8 untagged 30
Kann man so machen, wobei eine direktverkabelung zum Telefon besser wäre.
Beginnen zu testen würde ich mit VLAN20 und einem Endgerät direkt am Switch1, dann das WLAN usw.
Gruß
Hinter meiner FritzBox die den Anschluss ans Internet herstellt soll ein VPN-Router angeschlossen werden. Dieser stellt drei VLAN's mit je einem DHCP-Server zur Verfügung
Für jedes VLAN muss dann auch eine IP-Adresse im VPN-Router vergeben werden, welche im DHCP-Release als Gateway dann eingetragen wirdAuf dem Switch1 sollen die Ports 2,3,7,8,9,10,11,12,13,14,15,16,17,18,19,20 das VLAN 20 zur Verfügung stellen. Diese Ports habe ich auch als Untagged deklariert.
Das ist korrekt. Alle Endgeräte werden am Switch "untagged" konfiguriert.An den Ports 5,6 sind meine beiden Wifi-AP's geschaltet die je zwei WLAN aufspannen. Ein WLAN Gast, als VLAN 10, und ein VLAN Standard, also VLAN 20.
An Port 4 wird ein WIFI-Controller von TP-LINK angeschlossen (OC200). Bei Einwahl in das WLAN-gast_Netzwerk stellt dieser eine Portal-Seite zur Verfügung über die man sich dann am GastNetz sozusagen Einbuchen kann.
Da die Konfiguration nicht bekannt ist von den AP's, musst du selbst schauen, wie die Netzwerke im AP konfiguriert ist. Die Ports am Switch müssen dementsprechend als tagged/untagged gesetzt werden.An Port 4 wird ein WIFI-Controller von TP-LINK angeschlossen (OC200). Bei Einwahl in das WLAN-gast_Netzwerk stellt dieser eine Portal-Seite zur Verfügung über die man sich dann am GastNetz sozusagen Einbuchen kann.
Der Port 25 (LWL-Port) soll alle VLAN's weiterleiten auf einen separaten kleineren Switch2. Dort soll auf den Ports 2-6 das VLAN 20 geschaltet werden und auf den Port 7 das VLAN 10 (Gast). Als Besonderheit kommt jetzt noch ein IP-Telefon das eigentlich an die Fritz!Box im Adressegment 192.168.178.0 geschaltet werden muss. Dadurch habe ich mir überlegt die FritzBox auf den Port 21 des Switches1 als RoutedPort aufzulegen und ein VLAN 30 zu definieren. VLAN 30 soll nur für das Telefon sein. Dieses wird dann an den kleinen Switch2 auf Port 8 aufgeschaltet.
Also am Switch1 Port 25 VLAN 1,10,20,30 tagged, Switch2 dementsprechen VLAN's anlegen und den Uplink Port auf tagged. Port 2-6 untagged 20, Port 7 untagged 10, Port 8 untagged 30
Kann man so machen, wobei eine direktverkabelung zum Telefon besser wäre.
Port 1: VLAN 1, VLAN 10, VLAN 20 Tagged
Switch1 und der VPN-Router müssen an Ihrem Port die gleiche Konfiguration haben! Sprich LAN-Port am VPN-Router VLAN1, 10, 20 Tagged. Ansonsten läuft nichts im Netzwerk.Beginnen zu testen würde ich mit VLAN20 und einem Endgerät direkt am Switch1, dann das WLAN usw.
Gruß
Wie so ein einfaches Layer 3 VLAN Switching Design auszusehen hat wenn man es sauber implementiert erklärt dir dieser Forenthread:
Verständnissproblem Routing mit SG300-28
Wie Kollege @commodity oben schon treffend sagt: Lesen und verstehen...
Da siehst du dann auch welche fatalen Kardinalsfehler im Design und besonders Routing du gemacht hast.
Dein o.a. Design krankt an dem Fakt das du das Voice VLAN quasi als Backdoor Route auf der FB terminierst. Das ist so recht unsauber und laienhaft und es besteht eigentlich auch gar kein Grund dafür das so zu lösen denn die FB ist für die VoIP Telefone ja auch so über das Routing erreichbar.
Besser wäre es die FritzBox aus der Kaskade zu entfernen und das Internet direkt auf dem VPN Router zu terminieren.
Die FritzBox betreibt man dann als einfachen IP Host im lokalen Netzwerk (Voice VLAN 30) als normale nur VoIP Telefon Anlage.
Das wäre ein erheblich besseres und sauberes L3 Design.
Wenn du es dennoch so unschön wie oben lösen willst musst du darauf achten das VLAN 30 keinesfalls ein IP Interface auf dem Layer 3 VLAN Switch hat. Das .178er Netz darf dort niemals geroutet werden.
Du siehst ja schon woran das ganze krankt, denn das dein Koppelnetz zw. den Routern das .178er ist und das du quasi als "Backdoor" parallel dieses IP Netz auch noch am Kaskaden Router vorbei dann ins interne Nets schleifst so das das dort quasi doppelt vorhanden ist.
Ein extrem unsauberes und laienhaftes Design was dir immer und immer wieder Probleme bereiten wird da du es nur mit quick and dirty Fricklei adaptiert bekommst aufgrund der unsauberen IP Adressierung und dem damit verbundenen unsauberen Routing.
Besser du löst es langfristig so wie oben beschrieben.
Verständnissproblem Routing mit SG300-28
Wie Kollege @commodity oben schon treffend sagt: Lesen und verstehen...
Da siehst du dann auch welche fatalen Kardinalsfehler im Design und besonders Routing du gemacht hast.
Dein o.a. Design krankt an dem Fakt das du das Voice VLAN quasi als Backdoor Route auf der FB terminierst. Das ist so recht unsauber und laienhaft und es besteht eigentlich auch gar kein Grund dafür das so zu lösen denn die FB ist für die VoIP Telefone ja auch so über das Routing erreichbar.
Besser wäre es die FritzBox aus der Kaskade zu entfernen und das Internet direkt auf dem VPN Router zu terminieren.
Die FritzBox betreibt man dann als einfachen IP Host im lokalen Netzwerk (Voice VLAN 30) als normale nur VoIP Telefon Anlage.
Das wäre ein erheblich besseres und sauberes L3 Design.
Wenn du es dennoch so unschön wie oben lösen willst musst du darauf achten das VLAN 30 keinesfalls ein IP Interface auf dem Layer 3 VLAN Switch hat. Das .178er Netz darf dort niemals geroutet werden.
Du siehst ja schon woran das ganze krankt, denn das dein Koppelnetz zw. den Routern das .178er ist und das du quasi als "Backdoor" parallel dieses IP Netz auch noch am Kaskaden Router vorbei dann ins interne Nets schleifst so das das dort quasi doppelt vorhanden ist.
Ein extrem unsauberes und laienhaftes Design was dir immer und immer wieder Probleme bereiten wird da du es nur mit quick and dirty Fricklei adaptiert bekommst aufgrund der unsauberen IP Adressierung und dem damit verbundenen unsauberen Routing.
Besser du löst es langfristig so wie oben beschrieben.
1
