kartoffelesser
Goto Top

Seminarnetz in 20 VLANs unterteilt - neuer Notebookkoffer soll nur in drei VLANs funktionieren - wie?

Hallo Admins,
nachdem ich jetzt das Seminarnetz mit 20 Seminarräumen (mit z.T. 10 - 15 PCs mit Internetanschluss) in 20 VLANs unterteilt habe und alles soweit läuft möchte ich einen Laptopkoffer (15 Notebooks) mit eingebauten AP in das Netz integrieren. Die Beschränkung auf 3 VLANs (=3 Seminarräume) ist notwendig da ansonsten der Laptopkoffer von den "lieben" Kollegen im gesamten Haus eingesetzt wird.

Das Netz:
Modem -> Firewall (PFSense mit NAT) -> Router (Mikrotik 1100ahx2 mit VLAN Regeln und Radiusserver onboard - hier beginnt der VLAN Trunk -> Switchs (1x Cisco SG200 und 2* Zyxel GS-1910) vom MT geht es in den Cisco und von dort jeweils eine Trunkleitung zu den beiden Zyxel -> Clients - die Clients hängen jeweils an einem untagged Port an den einzelnen Switch.

Jetzt meine Frage:
wie kam ich das Netz jetzt so konfigurieren, dass ich nur in drei Seminarräumen den Laptopkoffer inkl. Internetanschluss nutzen kann? Also die Seminarleiter sollen sich mit ihrem Notebook an das jeweilige VLAN hängen (VLAN10 oder VLAN20 oder VLAN30). Zusätzlich soll es möglich sein, den Notebookwagen (VLAN250) in den drei Räumen nutzen zu können. Die drei Seminarräume sind mit jeweils einer Netzwerkdose versorgt. Diese hängen wie gesagt jeweils an einem untagged Port.

Vorgabe: sämtliche Notebooks, auch die von den Seminarleitern können nicht die VLAN Tags auswerten

Was ich bis jetzt erledigt habe:
1. VLAN250 - 192.168.250.0/24 (für den Notebookkoffer) auf dem MT erstellt, in die Trunkleitung gelegt und über die Switch verteilt.

Was ich bis jetzt versucht habe:
1. den Notebooks eigene IP (192.168.250.x) gegeben und dann im Seminarraum 10 über den AP angeschlossen. KEIN Netz an den Notebooks. Seminarleiter bekommt dank VLAN10 an seinem Notebook die IP 192.168.10.1 und kann somit auch ins Internet.
2. auf dem Zyxel den Port der für das VLAN10 zuständig ist auch das VLAN 250 erlaubt - kein Erfolg
3. auf dem AP (Router auf DD-WRT umgeflacht) versucht IPTABLES zu erstellen die nur den Zugriff auf die DHCP-Server von VLAN10 - 30 erlauben.

Einstellungen auf dem Router: WAN Connection Type: disable, Operating Mode: Gateway. Greifen bei WAN disable überhaupt iptables??

Könnte ggf. QinQ funktionieren?

Könnt ihr mir bitte helfen? Freue mich über jeden Tipp!

kartoffelesser

Content-Key: 341768

Url: https://administrator.de/contentid/341768

Printed on: July 20, 2024 at 06:07 o'clock

Member: aqui
aqui Jun 27, 2017 updated at 16:38:54 (UTC)
Goto Top
Eigentlich ganz einfach....
DHCP machst du auch über den MT ? Dann gehst du folgendermaßen vor:
  • Den Laptops über den MT DHCP Server und deren Mac Adressen feste IPs zuordnen oder einen festen Pool für die Laptops definieren so das die in jedem VLAN bestimmte feste IPs bekommen per DHCP
  • Am VLAN Router entsprechende Regeln einrichten das diese IP Adressen ausschliesslich nur in den 3 VLANs kommunizieren können.
  • Fertig ist der Lack

Wenn du den DHCP Pool in den 3 VLANs entsprechend intelligent einrichtest also z.B. in einem /27er Bereich (255.255.255.224) Hostadressen .1 bis .30 oder .33 bis .62 usw. dann kannst du das Regelwerk in den IP Accesslisten erheblich vereinfachen weil du dann nur einen /27er Subnetzbereich filtern musst mit einem einzigen Eintrag statt 15 Hostadressen einzeln einzutragen.
Das ist so schnell und einfach umsetzbar.
Was du da bis jetzt gemacht hast ist eigentlich nur dilettantisches Rumfrickeln ohne strategischen Plan... face-sad
Member: chiefteddy
chiefteddy Jun 27, 2017 at 16:35:38 (UTC)
Goto Top
Hallo,

zum Verständnis:

- In den Seminarräumen ist jeweils ein Dose, die untagged im jeweiligen VLAN liegt.
- Der Dozenten-Laptop wird über Kabel an diese Dose angeschlossen und bekommt über DHCP eine IP-Konfiguration, die den
Internetzugriff ermöglicht.
- Im "Notbook-Wagen" ist ein AP integriert. Über diesen sollen die restlichen Notbooks in den 3 zugelassenen Räumen ins Internet.

Fragen:

Wo wird der AP angeschlossen, wenn es nur eine Dose im Raum gibt und da der Dozenten-Laptop angeschlossen ist?
Ist der AP Multi-SSID-fähig?

Lösungsansatz:

Die MAC-Adressen der Laptops sind doch bekannt. Schon mal an einen MAC-Filter in den verbotenen VLANs nachgedacht?

Jürgen
Member: kartoffelesser
kartoffelesser Jun 27, 2017 updated at 19:17:31 (UTC)
Goto Top
Hallo aqui und chiefteddy,
erstmal VIELEN Dank für die Antworten!!
@ aqui
"Was du da bis jetzt gemacht hast ist eigentlich nur dilettantisches Rumfrickeln ohne strategischen Plan... " da hast Du Recht. Deshalb auch die Fragen an Euch. DHCP macht der MT für alle VLANs.
Verstehe ich das so, dass die Laptops in dieser VLAN-Konstallation nur IPs aus den jeweiligen VLANs bekommen können? Also steht der Wagen (Koffer) in Raum 10 dann nur aus VLAN10 also 192.168.10.x. Raum 20 nur VLAN 20 mit 192.168.20.x..... An einem untagged Port können nur die jeweiligen IP-Adressen aus dem jeweiligen Pool ausgegeben werden?
Würde der Wagen in den "verbotenen" Raum 50 gefahren /getragen werden bekommen sie dann (natürlich) IPAdressen aus dem 50-Pool. Um dies zu verhindern muss jetzt derAP ein umgeflashter DD-WRT Router mit entsprechenden Firewallregeln ran? Wie ich oben geschrieben habe sind folgende Einstellungen auf dem Router: WAN Connection Type: disable, Operating Mode: Gateway. Greifen dabei eigentlich überhaupt die iptables?

"Wenn du den DHCP Pool in den 3 VLANs entsprechend intelligent einrichtest also z.B. in einem /27er Bereich (255.255.255.224) Hostadressen .1 bis .30 oder .33 bis .62 usw. dann kannst du das Regelwerk in den IP Accesslisten erheblich vereinfachen weil du dann nur einen /27er Subnetzbereich filtern musst mit einem einzigen Eintrag statt 15 Hostadressen einzeln einzutragen."
Du meinst in JEDEM der drei Subnetze die Maske auf 255.255.255.224 setzen und dadurch einen Pool von jeweils 192.168.X.1 bis 192.168.X.30 erstellen?

@ chiefteddy,
nur in diesen drei Räumen ist z.Zt. nur eine Dose. Also entweder Seminarleiter mit seinem Notebook via LAN oder der Notebookwagen (Koffer). Ggf. kann der Leiter mit ins WLAN des Koffers/Wagens oder Multi-SSID. Der Notebookwagen hat einen eigenen AP (eigentlich ein Router mit DDWRT). An den MAC Filter habe ich auch schon gedacht. Wäre für mich aber erstmal zweite Wahl wegen der Tipperei face-smile

kartoffelesser
Mitglied: 108012
108012 Jun 28, 2017 at 01:03:04 (UTC)
Goto Top
Hallo,

ich würde mal ein MAC basierendes VLAN ausprobieren wollen.

Gruß
Dobby
Member: chiefteddy
chiefteddy Jun 28, 2017 at 08:01:56 (UTC)
Goto Top
Hallo.

entweder ein Switch-Port ist untagged in einem VLAN, dann sind alle daran angeschlossenen Geräte (über einen weiteren Switch oder einen AP) in diesem VLAN/IP-Subnetz und nirgendwo anders. Bei richtig konfiguriertem DHCP-Server und -Relais im Switch bekommen diese Geräte auch die "richtigen" IPs. Ein so angeschlossener AP kann nur ein WLAN sinnvoll aufspannen, nämlich das des VLANs. Multi-SSID ist da sinnlos, da ja an dem untagged Switch-Port keine VLAN-Tags weitergereicht werden (untagged!!!!) und damit der AP nichts von den VLANs "weiß".

Wenn der Switch-Port tagged ist, also die VLAN-Tags an die angeschlossenen Endgeräte weiterreicht werden, kann ein AP mit Mult-SSID für jedes VLAN ein eigenes WLAN aufspannen (ist der Sinn von Multi-SSID). Allerdings können andere Endgeräte (zB PCs und Laptops) mit den getagten Datenpaketen in der Regel nicht umgehen und sind damit natürlich nicht im gewünschten VLAN.

Du solltest Dich noch einmal ausführlich mit der Funktionsweise von VLANs auseinandersetzen. Da scheinen bei Dir doch einige Defizite zu sein.

Wenn Du Filterregel einrichten willst/mußt, wird Dir keiner die Tipperei abnehmen. Über "Optimierungs-Tricks" haben die Kollegen ja schon geschrieben.


Jürgen
Member: aqui
aqui Jun 28, 2017 updated at 13:59:13 (UTC)
Goto Top
DHCP macht der MT für alle VLANs.
Perfekt ! Dann kannst du das Konzept ja problemlos so umsetzen !
Verstehe ich das so, dass die Laptops in dieser VLAN-Konstallation nur IPs aus den jeweiligen VLANs bekommen können?
Ganz genau ! Richtig verstanden !
An einem untagged Port können nur die jeweiligen IP-Adressen aus dem jeweiligen Pool ausgegeben werden?
Yepp, ganz genau !
Und damit kannst du dann sauber filtern.
Beispiel:
VLAN 5 Netz: 192.168.5.0 /24
DHCP Laptop Pool über Mac Adresse: Hosts von .5.193 bis .5.222
Dann hast du eine ganz einfache Filterliste für die 3 Seminarräume z.B. Raum 5, Raum 7 und Raum 12:
interface vlan 5
DENY ip 192.168.5.192 0.0.0.31 192.168.1-6.0 0.0.0.255
DENY ip 192.168.5.192 0.0.0.31 192.168.8-11.0 0.0.0.255
DENY ip 192.168.5.192 0.0.0.31 192.168.13-20.0 0.0.0.255
PERMIT ip 192.168.5.0 0.0.0.255 any

In dem Sinne...
So werden nur die Pool IP Adressen gefiltert !
Würde der Wagen in den "verbotenen" Raum 50 gefahren /getragen werden bekommen sie dann (natürlich) IPAdressen aus dem 50-Pool.
Nein hier trägst du in die DHCP Server Konfig ein das diese Mac Adressen dort KEINE IPs bekommen. Man kann diese Rule auch negieren.
Damit bekommen sie dann Zeroconfig IPs 169.254.x.y da der DHCP nicht antwortet und sie können in und aus dem Netz nicht mehr kommunizieren sondern nur noch untereinander.
Du meinst in JEDEM der drei Subnetze die Maske auf 255.255.255.224
Nein !!
Nur das der DHCP Pool in einem "Subnetz konformen" Bereich liegt umd die Konfiguration der IP Accesslisten schlank und übersichtlich zu halten !!
Siehe Beispiel oben anhand der Filterliste.