Per VPN von außen in VLANs zugreifen
Im Rahmen einer Umbaumaßnahme möchte ich gerne die Netzwerkstruktur anpassen und VLANs für jeden Standort vergeben. Die VLANs sollen untereinander kommunizieren können, dies wird durch Router ermöglicht.
Soweit so gut. Jetzt haben wir nicht nur Rechner, sondern auch Notebooks, die häufig ihren Platz wechseln und vor allem auch mal per VPN von zu Hause oder Unterwegs auf das Netzwerk zugreifen.
Und genau da habe ich nen Knoten im Kopf. Wenn ich im Switch festlege, dass es meinetwegen VLAN 1, 10, 20, 30 gibt und ich diese jeweils einen Standort zuweise, wie schaffe ich es, dass ein Notebook egal von welchem Standort aus das richtige VLAN betreten kann und nicht ausgeschlossen wird?
Heißt: Wenn ich am Switch A den Port 0/1 für VLAN 10 erlaube, und ein Client mit einer Adresse eines anderen VLANs sich einklinkt, was passiert dann?
Und, lassen sich per DHCP gewisse Adressbereiche vergeben, für die unterschiedlichen VLANs?
System: CISCO und HP Switch und Router
Soweit so gut. Jetzt haben wir nicht nur Rechner, sondern auch Notebooks, die häufig ihren Platz wechseln und vor allem auch mal per VPN von zu Hause oder Unterwegs auf das Netzwerk zugreifen.
Und genau da habe ich nen Knoten im Kopf. Wenn ich im Switch festlege, dass es meinetwegen VLAN 1, 10, 20, 30 gibt und ich diese jeweils einen Standort zuweise, wie schaffe ich es, dass ein Notebook egal von welchem Standort aus das richtige VLAN betreten kann und nicht ausgeschlossen wird?
Heißt: Wenn ich am Switch A den Port 0/1 für VLAN 10 erlaube, und ein Client mit einer Adresse eines anderen VLANs sich einklinkt, was passiert dann?
Und, lassen sich per DHCP gewisse Adressbereiche vergeben, für die unterschiedlichen VLANs?
System: CISCO und HP Switch und Router
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 266446
Url: https://administrator.de/forum/per-vpn-von-aussen-in-vlans-zugreifen-266446.html
Ausgedruckt am: 27.04.2025 um 16:04 Uhr
12 Kommentare
Neuester Kommentar
Hallo killing.Apfelkuchen,
was meinst Du mit Standorten?
Die Endgeräte aus den Standorten hängen alle am gleichen Switch?
Standorte sind ja eher eigenständige LAN's, die man per VPN miteinander verbindet und dann die Zugriffe per Routing (die Standorte haben unterschiedliche IP-Netzwerke) regelt.
Also erklär mal bisschen genauer.
Gruß
LS
was meinst Du mit Standorten?
Die Endgeräte aus den Standorten hängen alle am gleichen Switch?
Standorte sind ja eher eigenständige LAN's, die man per VPN miteinander verbindet und dann die Zugriffe per Routing (die Standorte haben unterschiedliche IP-Netzwerke) regelt.
Also erklär mal bisschen genauer.
Gruß
LS
was meinst Du mit Standorten?
Die Endgeräte aus den Standorten hängen alle am gleichen Switch?
Standorte sind ja eher eigenständige LAN's, die man per VPN miteinander verbindet und dann die Zugriffe per Routing (die
Standorte haben unterschiedliche IP-Netzwerke) regelt.
Genau da ist auch mein Problem Die Endgeräte aus den Standorten hängen alle am gleichen Switch?
Standorte sind ja eher eigenständige LAN's, die man per VPN miteinander verbindet und dann die Zugriffe per Routing (die
Standorte haben unterschiedliche IP-Netzwerke) regelt.
Vielleicht ist das der Knoten im Kopf
und wenn VLAN, dann brauchst Du auch einen Router, der zwischen den VLANs routet. Das kann ein Switch sein oder die Firewall (die ist aber prinzipiell langsamer als ein Layer3 Switch).
Client macht DHCP und im VLAN 10 läuft ein DHCP --> Client kann im VLAN arbeiten...
Dann kommst Du per VPN am Router an und der routet Dich in das entsprechende VLAN (welches durch die angegebene Ziel-IP-Adresse ausgewählt wird).
Gruß
LS
Wenn ich am Switch A den Port 0/1 für VLAN 10 erlaube, und ein Client mit einer Adresse eines anderen VLANs sich einklinkt, was passiert dann?
das kommt drauf an.Client macht DHCP und im VLAN 10 läuft ein DHCP --> Client kann im VLAN arbeiten...
Und, lassen sich per DHCP gewisse Adressbereiche vergeben, für die unterschiedlichen VLANs?
VLAN ist Layer 2, DHCP Layer 3. Ein WAN/LAN Router kann z.B. DHCP und das pro VLAN (wenn VLANs unterstützt werden).Dann kommst Du per VPN am Router an und der routet Dich in das entsprechende VLAN (welches durch die angegebene Ziel-IP-Adresse ausgewählt wird).
Gruß
LS
Ok, nochmal etwas genauer:
Gebäude A <----- Glasfaser ----> Gebäude B (ROUTER) <---- Glasfaser -----> Gebäude C.
VLAN 10 ........................................... VLAN 20 .......................................... VLAN 30
Mein Problem ist jetzt folgendes. Wenn ich mich per VPN am Router anmelde, dieser Router am Switch angebunden ist, woher weis der Router bzw. der Switch, welches VLAN der VPN Nutzer bekommen soll? Über VLAN soll ja unter anderem auch geregelt werden, wer Zugriff auf bestimmte Infrastrukturen hat (z.B. Voice vlan).
Meine Erinnerung zu VLANs ist, dass wenn ein Computer mit 10.10.30.1 im VLAN 30 unterwegs ist und ich einen Port am Switch nur VLAN 20 zuweise, kann doch der Computer das Gerät hinter dem VLAN 20 Port nicht erreichen. Wenn ich einen Computer mit VLAN 20 Adresse habe, kann ich diesen Port erreichen.
Und wenn ich jetzt per VPN eine Verbindung aufbaue, bekomme ich doch eine Adresse aus einem ganz anderen Adresspool, also weder VLAN 20 noch 30 Adresse.
Irgendwie ist das schwer zu beschreiben -.- vielleicht baue ich das gleich mal fix im Packet Tracer nach.
Gebäude A <----- Glasfaser ----> Gebäude B (ROUTER) <---- Glasfaser -----> Gebäude C.
VLAN 10 ........................................... VLAN 20 .......................................... VLAN 30
Mein Problem ist jetzt folgendes. Wenn ich mich per VPN am Router anmelde, dieser Router am Switch angebunden ist, woher weis der Router bzw. der Switch, welches VLAN der VPN Nutzer bekommen soll? Über VLAN soll ja unter anderem auch geregelt werden, wer Zugriff auf bestimmte Infrastrukturen hat (z.B. Voice vlan).
Meine Erinnerung zu VLANs ist, dass wenn ein Computer mit 10.10.30.1 im VLAN 30 unterwegs ist und ich einen Port am Switch nur VLAN 20 zuweise, kann doch der Computer das Gerät hinter dem VLAN 20 Port nicht erreichen. Wenn ich einen Computer mit VLAN 20 Adresse habe, kann ich diesen Port erreichen.
Und wenn ich jetzt per VPN eine Verbindung aufbaue, bekomme ich doch eine Adresse aus einem ganz anderen Adresspool, also weder VLAN 20 noch 30 Adresse.
Irgendwie ist das schwer zu beschreiben -.- vielleicht baue ich das gleich mal fix im Packet Tracer nach.
Gebäude A <----- Glasfaser ----> Gebäude B (ROUTER) <---- Glasfaser -----> Gebäude C.
VLAN 10 ........................................... VLAN 20 .......................................... VLAN 30
Darf ich mal fragen, warum du das machst?VLAN 10 ........................................... VLAN 20 .......................................... VLAN 30
Wie viele Geräte sind in den VLANs?
Auf jeden Fall brauchst du irgendwas was zwischen den Netzen routet. Sonst wird das nichts.
Wo stehen die Server?
Hallo killing.Apfelkuchen, liest Du eigentlich was hier geschrieben wird?
Im Kommentar (16.03.2015 um 12:17 Uhr) steht drin, das das der Router machen kann (routen in das angeforderte vLAN).
Wieviele Switche sind denn im Spiel (und vielleicht, nur so zur allgemeinen Unterhaltung, welcher Switch / Modell)?
Im Kommentar (16.03.2015 um 12:17 Uhr) steht drin, das das der Router machen kann (routen in das angeforderte vLAN).
vielleicht baue ich das gleich mal fix im Packet Tracer nach
na wenn Du das kannst, sollte der Rest doch irgendwie klar sein. Ist doch alles Standard-LAN.Wieviele Switche sind denn im Spiel (und vielleicht, nur so zur allgemeinen Unterhaltung, welcher Switch / Modell)?
Hallo,
1 Layer3 Switch als Stackmaster und Router und die Switche gestapelt
(Stack) wäre jetzt mein Vorschlag.
und welche Topologie ist denn vorhanden;
Core Layer, Distributed Layer und Access Layer
oder wie gestaltet sich das Netzwerk.
Ist der Router der einzige im Netzwerk der routet oder
sind da auch Layer3 Switche mit im Spiel?
Sind die Switche Stapelbar oder etwa im Chassis?
Gruß
Dobby
CISCO und HP Switch und Router
Hmm, also geht es etwas genauer bitte!1 Layer3 Switch als Stackmaster und Router und die Switche gestapelt
(Stack) wäre jetzt mein Vorschlag.
und welche Topologie ist denn vorhanden;
Core Layer, Distributed Layer und Access Layer
oder wie gestaltet sich das Netzwerk.
Ist der Router der einzige im Netzwerk der routet oder
sind da auch Layer3 Switche mit im Spiel?
Sind die Switche Stapelbar oder etwa im Chassis?
Gruß
Dobby
Darf ich mal fragen, warum du das machst?
Wie viele Geräte sind in den VLANs?
Auf jeden Fall brauchst du irgendwas was zwischen den Netzen routet. Sonst wird das nichts.
Wo stehen die Server?
Wie viele Geräte sind in den VLANs?
Auf jeden Fall brauchst du irgendwas was zwischen den Netzen routet. Sonst wird das nichts.
Wo stehen die Server?
Weil wir 3 Gebäude haben, die nahezu bei einander stehen. Wir haben einen Router, der ins Web, VPN, usw. routed, der Rest ist alles Layer 2 Switche, die eine VLAN Funktionalität besitzen. Wir haben also ein riesen großes LAN, was ich gerne durch VLANs von einander trennen möchte. Heißt, das zwischen unseren Gebäuden nur eine Switch to Switch Verbindung läuft. Bisher sind alle PCs und Drucker und Telefone im selben Netz und in VLAN 1.
Server steht im Gebäude B. Und über den Router soll auch die VLAN Verbindung abgebildet werden.
Bisher sind alle PCs und Drucker und Telefone im selben Netz
ok da sind VLANs natürlich schon das Mittel der Wahl!und in VLAN 1.
Ok da sind in der Regel immer alle Geräte drin, denn das istfast immer das so genannte default VLAN und wird recht oft
auch zur Administration der Geräte verwendet.
Server steht im Gebäude B.
Das ist schon mal fast sekundär.Und über den Router soll auch die VLAN Verbindung
abgebildet werden.
Wenn er das alleine schafft das WAN die DMZ und die VLANsabgebildet werden.
zu routen!
Also ich würde lieber den Router nur den WAN Bereich routen lassen
und dann lieber die Switche im Ring stapeln (Stack) und pro Stapel
einen Layer3 Switch das Routing der VLANs und des LAN Verkehrs
übernehmen lassen.
Zwei redundante Core Switche dort wo der Router steht und dann
alles via LWL als LAG oder gleich mit 10 GBit/s anbinden.
Das ist aber auch recht abhängig davon, wie viele Leute dort arbeiten
und wie viel Verkehr bzw. Last im LAN vorhanden ist.
Gruß
Dobby
Es ist generell technischer Blödsinn VLANs standortbezogen aufzusetzen wenn man KEINE Backbone Infrastruktur dazwischen hat die 802.1q Tagged Frames supportet oder mindestens eine MPLS LAN Emaulation fährt wie VPLS um VLAN Infos auch über WANs übertragen zu können.
Vermutlich ist das auch beim TO nicht der Fall denn leider äußert er sich dazu ja nicht und zwingt mal wieder zum raten...
Ansonsten haben die lokalen VLANs ja überhaupt keine Ahnung welche VLANs in den anderen Standorten verwendet werden. Woher auch ? Die sehen dann so oder so nur geroutete IP Netze !
Dir fehlen vermutlich die einfachesten VLAN Basis Kenntnisse, denn sonst wüsstest du ja das VLAN Segmentierung rein eine Layer 2 Geschichte ist. Damit ist dann hinter einem Router gleich Ende Gelände mit 802.1q VLANs !
Vielleicht solltest du nochmal das entsprechende Forumstutorial dazu lesen ?!
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ansonsten ist die Lösung kinderleicht:
Alle Standorte per VPN koppeln und ide dortigen entsprechenden VLAN IP Netze über den VPN untereinander routen.
Gleichzeitig machen die VPN Router oder Firewalls noch einen netsprechenden Client Login.
Simples Standardszenario was millionenfach bei Unternehmen mit Außendienst im Einsatz ist !
Anregungen findest du hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPNs einrichten mit PPTP
usw.
Vermutlich ist das auch beim TO nicht der Fall denn leider äußert er sich dazu ja nicht und zwingt mal wieder zum raten...
Ansonsten haben die lokalen VLANs ja überhaupt keine Ahnung welche VLANs in den anderen Standorten verwendet werden. Woher auch ? Die sehen dann so oder so nur geroutete IP Netze !
Dir fehlen vermutlich die einfachesten VLAN Basis Kenntnisse, denn sonst wüsstest du ja das VLAN Segmentierung rein eine Layer 2 Geschichte ist. Damit ist dann hinter einem Router gleich Ende Gelände mit 802.1q VLANs !
Vielleicht solltest du nochmal das entsprechende Forumstutorial dazu lesen ?!
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ansonsten ist die Lösung kinderleicht:
Alle Standorte per VPN koppeln und ide dortigen entsprechenden VLAN IP Netze über den VPN untereinander routen.
Gleichzeitig machen die VPN Router oder Firewalls noch einen netsprechenden Client Login.
Simples Standardszenario was millionenfach bei Unternehmen mit Außendienst im Einsatz ist !
Anregungen findest du hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPNs einrichten mit PPTP
usw.
1
oh man, ich hab da nochmal ne nacht drüber geschlafen und ich meine Cisco Unterlagen reingeguckt. Das was ich da vorhabe ist wirklich nichts schweres.... Danke trotzdem für die Unterlagen, die lese ich mir bei Bedarf dann auch nochmal durch.
- CLOSED *
Ansonsten findest du zu Cisco VPNs hier noch ein paar Anregungen:
Cisco 800, 900, ISR1100 Router Konfiguration mit xDSL, Kabel, FTTH Anschluss und VPN
Vernetzung zweier Standorte mit Cisco 876 Router
Cisco 800, 900, ISR1100 Router Konfiguration mit xDSL, Kabel, FTTH Anschluss und VPN
Vernetzung zweier Standorte mit Cisco 876 Router
