Routerumstellung Statische Route vs. Router im Management-VLAN
Hi,
Vor 3 Jahren habe ich mit eurer Hilfe mein Heimnetz geplant und seitdem läuft alles makellos! Allerdings steht nun eine Infrastrukturveränderung an, die ich in meinem Kopf "logisch" nicht sortiert bekomme.
Aktuelle Infrastruktur:
Die Herausforderung:
Vom Mikrotik geht aktuell eine statische Route zur Kabel-Fritte (inkl. doppeltem NAT) um die Internetverbindung aus dem LAN heraus herzustellen. Am Montag kommt die Glasfaser und habe mir von Ubiquiti das "Cloud Gateway Fiber (CGF) gegönnt um die Kabel-Fritte abzulösen. Da ich im LAN 3 UBi APs und auch Protect am laufen habe, ist ein Cloud Key Gen2+(CKG2+) der Ubi-Controller was zukünftig auch das CGF übernehmen soll. Das CKG2+ ist derzeit im MGMT-VLAN und die Kernfrage, die ich nicht sortiert bekomme, ist:
Kann ich sorgenlos das CGF aus dem Management VLAN heraus die Internetverbindung aufbauen lassen, oder wäre es aus bestimmten Gründen besser die CGF in ein eigenes VLAN (logisch) abzutrennen?
Vor 3 Jahren habe ich mit eurer Hilfe mein Heimnetz geplant und seitdem läuft alles makellos! Allerdings steht nun eine Infrastrukturveränderung an, die ich in meinem Kopf "logisch" nicht sortiert bekomme.
Aktuelle Infrastruktur:
Die Herausforderung:
Vom Mikrotik geht aktuell eine statische Route zur Kabel-Fritte (inkl. doppeltem NAT) um die Internetverbindung aus dem LAN heraus herzustellen. Am Montag kommt die Glasfaser und habe mir von Ubiquiti das "Cloud Gateway Fiber (CGF) gegönnt um die Kabel-Fritte abzulösen. Da ich im LAN 3 UBi APs und auch Protect am laufen habe, ist ein Cloud Key Gen2+(CKG2+) der Ubi-Controller was zukünftig auch das CGF übernehmen soll. Das CKG2+ ist derzeit im MGMT-VLAN und die Kernfrage, die ich nicht sortiert bekomme, ist:
Kann ich sorgenlos das CGF aus dem Management VLAN heraus die Internetverbindung aufbauen lassen, oder wäre es aus bestimmten Gründen besser die CGF in ein eigenes VLAN (logisch) abzutrennen?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671689
Url: https://administrator.de/forum/routerumstellung-statische-route-vs-router-im-management-vlan-671689.html
Ausgedruckt am: 30.04.2025 um 17:04 Uhr
7 Kommentare
Neuester Kommentar
Wenn man deine Zeichnung recht versteht hast du oben ein Layer 3 Konzept umgesetzt wo der zentrale Mikrotik als Layer 3 Routing Switch deine VLANs routet, ist das richtig? Bzw. dann HIER mit einem entsprechenden VLAN Konzept auf dem CRS.
Das soll auch alles so bleiben und lediglich nur die Fritte gegen die UBQT Gurke ausgetauscht werden, auch richtig?
Wenn dem so ist kannst du das so machen. Kosmetisch am saubersten ist es wenn man das Koppelnetz vom CRS zum Router bzw. UBQT immer trennt und natürlich NICHT in das Management VLAN legt. So hat man den Internetzugang, wie du auch schon richtig selber sagst, sauber von den Produktivnetzen getrennt.
Das NATsolltest du auf dem CRS dann auch gleich mit deaktivieren, denn das ist vollkommen überflüssig und performancetechnisch kontraproduktiv!
Das soll auch alles so bleiben und lediglich nur die Fritte gegen die UBQT Gurke ausgetauscht werden, auch richtig?
Wenn dem so ist kannst du das so machen. Kosmetisch am saubersten ist es wenn man das Koppelnetz vom CRS zum Router bzw. UBQT immer trennt und natürlich NICHT in das Management VLAN legt. So hat man den Internetzugang, wie du auch schon richtig selber sagst, sauber von den Produktivnetzen getrennt.
Das NATsolltest du auf dem CRS dann auch gleich mit deaktivieren, denn das ist vollkommen überflüssig und performancetechnisch kontraproduktiv!
Moin @Tricorax,
ähm, kannst du das mit "Private VLAN" bitte irgendwie abändern, danke.
Denn als "Private VLAN" bezeichnet man bereits schon eine bestimmte VLAN Technologie ...
https://learningnetwork.cisco.com/s/article/a-quick-summarized-view-to-p ...
https://www.it-bildungsnetz.de/fileadmin/media/Akademietag_2012/Private% ...
... die der CRS wahrscheinlich gar nicht unterstützt. 🙃
Gruss Alex
Aktuelle Infrastruktur:
ähm, kannst du das mit "Private VLAN" bitte irgendwie abändern, danke.
Denn als "Private VLAN" bezeichnet man bereits schon eine bestimmte VLAN Technologie ...
https://learningnetwork.cisco.com/s/article/a-quick-summarized-view-to-p ...
https://www.it-bildungsnetz.de/fileadmin/media/Akademietag_2012/Private% ...
... die der CRS wahrscheinlich gar nicht unterstützt. 🙃
Gruss Alex
1
Zitat von @aqui:
Wenn man deine Zeichnung recht versteht hast du oben ein Layer 3 Konzept umgesetzt wo der zentrale Mikrotik als Layer 3 Routing Switch deine VLANs routet, ist das richtig? Bzw. dann HIER mit einem entsprechenden VLAN Konzept auf dem CRS.
Wenn man deine Zeichnung recht versteht hast du oben ein Layer 3 Konzept umgesetzt wo der zentrale Mikrotik als Layer 3 Routing Switch deine VLANs routet, ist das richtig? Bzw. dann HIER mit einem entsprechenden VLAN Konzept auf dem CRS.
Genau so. Allerdings ist es mit der jetzigen strukturellen Änderung so, dass der neue UBQT Router ins 99er Management-VLAN rutscht (dort sind lediglich die APs, Kameras, der Switch und das Steuerungsgerät für die UBQT-Infrastruktur enthalten) und nicht mehr mittels statischer Route angekoppelt würde.
Das soll auch alles so bleiben und lediglich nur die Fritte gegen die UBQT Gurke ausgetauscht werden, auch richtig?
"Jein". Die UBQT Gurke vereint nun die Internet-Router Funktion und Management-Konsole für die Konfiguration/Strg. der UBQT Hardware (was vorher zwei physische Geräte waren). Die Anbindung im Switch über eine statische Route entfällt, da der Router (mit neuer angedachter Konfig) im Management-VLAN verweilt.
Wenn dem so ist kannst du das so machen. Kosmetisch am saubersten ist es wenn man das Koppelnetz vom CRS zum Router bzw. UBQT immer trennt und natürlich NICHT in das Management VLAN legt. So hat man den Internetzugang, wie du auch schon richtig selber sagst, sauber von den Produktivnetzen getrennt.
Unter Beachtung allem vorangeschriebenen eine Rückfrage: Wie trenne ich sauber den UBQT-Router von den Produktivnetzen bei gleichzeitigem (notwendigen) Zugriff auf die Infrastruktur-Management Funktionen für die APs, IP-Kameras etc. (die sich ja physisch nun in einem Gerät befinden?) Und wenn ich das nicht sauber trenne, welche sicherheitskritischen/negativen Konsequenzen folgen daraus?
Das NAT solltest du auf dem CRS dann auch gleich mit deaktivieren, denn das ist vollkommen überflüssig und performancetechnisch kontraproduktiv!
Das war mit der Fritte nicht anders lösbar, da ich ja über die Fritte die VLAN-Separierung/L3-Funktionen nicht realisieren konnte. Jetzt, wäre der Router allerdings logisch im Management-VLAN vorhanden und konsequenterweise dann auch kein Doppel-NAT mehr die Folge, oder habe ich hier einen Denkfehler?Zitat von @MysticFoxDE:
ähm, kannst du das mit "Private VLAN" bitte irgendwie abändern, danke.
Denn als "Private VLAN" bezeichnet man bereits schon eine bestimmte VLAN Technologie ...
ähm, kannst du das mit "Private VLAN" bitte irgendwie abändern, danke.
Denn als "Private VLAN" bezeichnet man bereits schon eine bestimmte VLAN Technologie ...
Diese von mir gewählte Bezeichnung sollte kein Verweis auf die PVLAN Semantik sein, sondern die Art der Daten im VLAN spezifizieren. In diesem VLAN sind nur die vertrauenswürdigsten Endgeräte mit dem sensibelsten privaten Datenverkehr enthalten. Entschuldige, wenn das zu Missverständnissen geführt hat.
Das war mit der Fritte nicht anders lösbar,
Das ist natürlich so nicht richtig aus IP Sicht und weisst du auch selber. Natürlich ist sowas auch mit der Fritte problemlos lösbar, denn wenn du das performancefressende NAT am CRS ausschaltest benötigst du lediglich nur die statischen Routen auf die Netze hinter dem CRS und fertig ist der Lack. Ist mit deinem UBQT Geraffel ja nicht anders.Siehe dazu auch das Routing Tutorial.
Grundsätzlich erstmal Danke für deine in jeder Hinsicht kompetente hilfsbereite Hilfestellungen. Das mit dem NAT habe ich in der Tat falsch verstanden. Aber um die Sache an dieser Stelle vllt. zügig abzuschließen:
Es erzeugt keine eklatante "Schwachstelle" bei der Netzwerkstrukturierung wenn ich den Router im Management-VLAN integriere, in dem lediglich alle anderen Netzwerkkomponenten enthalten sind, und keine Endgeräte?
Es erzeugt keine eklatante "Schwachstelle" bei der Netzwerkstrukturierung wenn ich den Router im Management-VLAN integriere, in dem lediglich alle anderen Netzwerkkomponenten enthalten sind, und keine Endgeräte?
Na ja, Du musst ja aus den anderen Netzen eine Verbindung schaffen, dh bei Sicherheitslücken im Router wäre es unschön. Das muss man im Hinterkopf behalten. Ansonsten hat eine Firewall oder ein Router ja in so einer Konstellation denknotwendig ein Bein in jedem Netz.
1
