TP Link Layer2 Switch VLAN Problem
Hallo zusammen,
ich habe mir um meinen Horizont zu erweitern ein Layer 2 Switch von TP-Link gekauft.
Ich will dort VLANs einrichten. Nur wo kann ich den einzelnen VLAN´s die IP Adresse des DHCP Servers mitteilen?
DHCP Server ist ein Windows Server 2008 R2 mit aktuell 2 Scopes
Switch ist ein TP Link TL-SG3216
Hat jemand eine Idee?
ich habe mir um meinen Horizont zu erweitern ein Layer 2 Switch von TP-Link gekauft.
Ich will dort VLANs einrichten. Nur wo kann ich den einzelnen VLAN´s die IP Adresse des DHCP Servers mitteilen?
DHCP Server ist ein Windows Server 2008 R2 mit aktuell 2 Scopes
Switch ist ein TP Link TL-SG3216
Hat jemand eine Idee?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 216325
Url: https://administrator.de/forum/tp-link-layer2-switch-vlan-problem-216325.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
32 Kommentare
Neuester Kommentar
Hallo,
Aber wo ist denn nun das Problem? Man hat in der Regel zwei Möglichkeiten so wie ich das sehe:
- Zum Einen kann man die VLANs anlegen und dann vergibt der Switch die IP Adressen und verwaltet bzw. routet die VLANs selber,
aber dafür müsste der Switch ein Layer3 Switch sein was Deiner nicht ist!
- Zum Anderen kann man dann die VLANs an einem Router oder einer Firewall terminieren, die dann die VLANs routen und auch von dort
mit IP Adressen versorgen, das kann sicherlich auch von einem DHCP Server erledigt werden, aber wo genau das eingetragen wird steht
dann eigentlich immer Handbuch des Switches und das erweitert dann auch Deinen Horizont.
routen, aber das ist eben auch immer eine Sache die man mit sich selber abmacht!
Gruß
Dobby
ich habe mir um meinen Horizont zu erweitern ein Layer 2 Switch von TP-Link gekauft.
Also ich würde mal sagen damit erweiterst Du Dein Netzwerk sicherlich, netter Switch.Ich will dort VLANs einrichten. Nur wo kann ich den einzelnen VLAN´s die IP Adresse des DHCP Servers mitteilen?
??? Also die Frage verstehe ich irgend wie nicht richtig, aber das kann auch gut an meinen Kenntnissen liegen.Aber wo ist denn nun das Problem? Man hat in der Regel zwei Möglichkeiten so wie ich das sehe:
- Zum Einen kann man die VLANs anlegen und dann vergibt der Switch die IP Adressen und verwaltet bzw. routet die VLANs selber,
aber dafür müsste der Switch ein Layer3 Switch sein was Deiner nicht ist!
- Zum Anderen kann man dann die VLANs an einem Router oder einer Firewall terminieren, die dann die VLANs routen und auch von dort
mit IP Adressen versorgen, das kann sicherlich auch von einem DHCP Server erledigt werden, aber wo genau das eingetragen wird steht
dann eigentlich immer Handbuch des Switches und das erweitert dann auch Deinen Horizont.
Hat jemand eine Idee?
- Als alternative wäre da noch eine andere Möglichkeit, Du aktivierst direkt am Server das Routing und lässt diesen dann die VLANsrouten, aber das ist eben auch immer eine Sache die man mit sich selber abmacht!
Gruß
Dobby
DHCP (v4) funktioniert per Broadcast - der Client kennt keine IP von irgendeinem DHCP-Server.
Er brüllt einfach ins Netzwerk dass er eine IP haben will und nimmt sie von dem DHCP-Server der am schnellsten und sinnvollsten antwortet. Per Broadcast.
Stichwort im Zusammenhang mit VLANs ist hier: Broadcastdomäne - dann verstehst du vielleicht besser was ein Switch mit den VLANs anstellt
Sinnvollerweise sollte dein Server also nun entweder zwei Netzwerkkarten haben die dann jeweils in den VLANs stecken oder (was sinnvoller ist) du versuchst dem Server beizubringen dass er auf mehreren VLANs getagged arbeiten soll. Wie das unter Windows geht weiß ich allerdings nicht...
Dafür müsste dann auch der Switchport des Servers so konfiguriert sein, dass der Server in die entsprechenden VLANs getagged hineindarf.
Er brüllt einfach ins Netzwerk dass er eine IP haben will und nimmt sie von dem DHCP-Server der am schnellsten und sinnvollsten antwortet. Per Broadcast.
Stichwort im Zusammenhang mit VLANs ist hier: Broadcastdomäne - dann verstehst du vielleicht besser was ein Switch mit den VLANs anstellt
Sinnvollerweise sollte dein Server also nun entweder zwei Netzwerkkarten haben die dann jeweils in den VLANs stecken oder (was sinnvoller ist) du versuchst dem Server beizubringen dass er auf mehreren VLANs getagged arbeiten soll. Wie das unter Windows geht weiß ich allerdings nicht...
Dafür müsste dann auch der Switchport des Servers so konfiguriert sein, dass der Server in die entsprechenden VLANs getagged hineindarf.
Dein TP-Link Switch ist ein reiner Layer 2 VLAN Switch:
http://www.tp-link.com/ch/products/details/?model=TL-SG3216#fea
Alles was der kann ist also eine reine Segmentierung in VLANs aber keine Kommunikation unter den VLANs an sich. Letzteres wäre aber zwingend erforderlich für das was du anstrebst, nämlich Forwarding von DHCP Broadcasts der VLAN Clients zu einem zentralen DHCP Server.
Dieses Feature nennt man "ip-helper Adressen" oder "DHCP Relay". Generell ist das rein eine Funktion von Layer 3 VLAN Switches, also Switches die zwischen den VLANs auch routen können, denn du musst diese DHCP Broadcasts ja in den einzelnen VLANs IP seitig erkennen, und an den zentralen DHCP forwarden.
Das kann aber ein reiner Layer 2 VLAN Switch wie dein TP-Link oben nicht, denn eine Kommunikation der VLANs ist damit ja nicht vorgesehen, da rein L2 !
Es gibt 2 Lösungen für dich:
1.) In jedes VLAN Segment einen einzelnen DHCP Server plazieren.
Der Vorschlag von "Lord Gurke" wäre auch unsinnig mit n NICs im Server, vergiss das, denn wenn dein Server ein VLAN tagging an seiner NIC supportet im Treiber reicht auch eine einzelne NIC. Dieses Tutorial sagt dir wie es geht:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
2.) Mit einem kleinen externen Router (oder deinem Internet Router wenn er VLANs supportet) die Layer 3 Funktion nachrüsten und die DHCP Request Broadcasts dann entsprechend auf deinen zentralen DHCP Server forwarden.
Dieses Forums Tutorial erklärt dir alle Details zur Lösung 2 die du dazu wissen musst um das schnell umzusetzen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Such dir die schönste Lösung aus !
http://www.tp-link.com/ch/products/details/?model=TL-SG3216#fea
Alles was der kann ist also eine reine Segmentierung in VLANs aber keine Kommunikation unter den VLANs an sich. Letzteres wäre aber zwingend erforderlich für das was du anstrebst, nämlich Forwarding von DHCP Broadcasts der VLAN Clients zu einem zentralen DHCP Server.
Dieses Feature nennt man "ip-helper Adressen" oder "DHCP Relay". Generell ist das rein eine Funktion von Layer 3 VLAN Switches, also Switches die zwischen den VLANs auch routen können, denn du musst diese DHCP Broadcasts ja in den einzelnen VLANs IP seitig erkennen, und an den zentralen DHCP forwarden.
Das kann aber ein reiner Layer 2 VLAN Switch wie dein TP-Link oben nicht, denn eine Kommunikation der VLANs ist damit ja nicht vorgesehen, da rein L2 !
Es gibt 2 Lösungen für dich:
1.) In jedes VLAN Segment einen einzelnen DHCP Server plazieren.
Der Vorschlag von "Lord Gurke" wäre auch unsinnig mit n NICs im Server, vergiss das, denn wenn dein Server ein VLAN tagging an seiner NIC supportet im Treiber reicht auch eine einzelne NIC. Dieses Tutorial sagt dir wie es geht:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
2.) Mit einem kleinen externen Router (oder deinem Internet Router wenn er VLANs supportet) die Layer 3 Funktion nachrüsten und die DHCP Request Broadcasts dann entsprechend auf deinen zentralen DHCP Server forwarden.
Dieses Forums Tutorial erklärt dir alle Details zur Lösung 2 die du dazu wissen musst um das schnell umzusetzen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Such dir die schönste Lösung aus !
Zitat von @TheOnlyOne:
Ich erstelle zwei Scopes. Einmal 192.168.3.1 - 50 mit VLAN1
Einmal 192.168.10.1 - 50 VLAN2
Ich erstelle zwei Scopes. Einmal 192.168.3.1 - 50 mit VLAN1
Einmal 192.168.10.1 - 50 VLAN2
Netzmasken?
Wird zwischen den VLANs geroutet? Wenn nein, brauchst Du zwei DHCP-Server, die jeweils in das jeweilige VLAN gesteckt werden und alles wird gut.
Wenn geroutet wird, hat der Router in den jeweiligen VLANs je ein "Beinchen" (gg füber die Tags). Ist der Router auch gleichzeitig DHCP-Server, weiß der Router automtaisch über das hereinkommende Beinchen, was er antworten muß. Ansonsten müssen entweder zwei DHCP-Server eingerichtet werden (für das jeweilige VLAN) oder der Router muß zusätzlich DHCP-Proxy spielen. Dann kann der DHCP-Server automtisch den Scope richtig zuordnen.
Dieser Router könnte auch der Switch sein, sofern der ein L3-Switch ist.
Wie bringe ich jetzt dem Scope bei das er VLAN 1 oder 2 ist und net VLAN X
Gar nicht.
Das leuchtet wir irgendwie nicht ein.
Beschäftige Dich mit dem DHCP-Protokoll. Dann wird Dir ein Osram oder Philips aufgehen.
Andersrum wie kann ich dem TPLink Switch sagen welche die IP Adresse meines DHCP Servers ist?
Gar nicht. Ist auch nicht notwendig. (s.o.).
lks
edit: Aqui war schneller.
..."Das was ich mir auch noch gekauft habe, womit ich mich aber noch nicht befasst habe ist eine monowall Firewall."
Ja, wie oben bereits schon bemerkt ist das eine mögliche Lösung:
Siehe hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw. im Detail hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
oder wenn du den Server verwenden willst hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Jetzt musst du für dich entscheiden was für dich das sinnvollste ist !
Es gibt mehrere Wege nach Rom...!
Ja, wie oben bereits schon bemerkt ist das eine mögliche Lösung:
Siehe hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw. im Detail hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
oder wenn du den Server verwenden willst hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Jetzt musst du für dich entscheiden was für dich das sinnvollste ist !
Es gibt mehrere Wege nach Rom...!
Fritzbox kann Layer 3. Denn sonst würde sie nicht routen können. Das Problem ist nur, daß der Umgang mit VLANs etwas "fummelig" ist.
lks
Sie kann aber m.E. kein VLAN Tagging am LAN Port und dort multiple IP Segmente routen. Jedenfalls nicht mit der original Firmware. Vermutlich aber mit Freetz:
http://freetz.org/
http://freetz.org/
Ganz sicher mit freetz. Allerdings abhängig vom Modell mehr oder weniger fummelig, wie ich schon sagte. Da ist die Alix Lösung deutlich nervenschonender.
lks
Ergänzend zu @LordGurke:
Zu so einem Netzwerk gehört eben auch noch ein Router. In vielerlei Ausführungen.
Auf dem Switch muss man dazu sogenannten DHCP-Helper Pakete aktivieren. Damit wird dem Broadcast die Information über das VLAN mit gegeben und der DHCP Server hinter dem Router kann anhand der Bereiche diese IPs korrekt zuordnen.
Im Handbuch koann ich mittesl Überfliegen noch nichts finden. Es hört sich nur nach der richtigen Fährte an: ip dhcp snooping information remote-id - von der Suppport-Seite: http://www.tp-link.com.de/products/details/?model=TL-SG3216#down
GRuß
Netman
Zu so einem Netzwerk gehört eben auch noch ein Router. In vielerlei Ausführungen.
Auf dem Switch muss man dazu sogenannten DHCP-Helper Pakete aktivieren. Damit wird dem Broadcast die Information über das VLAN mit gegeben und der DHCP Server hinter dem Router kann anhand der Bereiche diese IPs korrekt zuordnen.
Im Handbuch koann ich mittesl Überfliegen noch nichts finden. Es hört sich nur nach der richtigen Fährte an: ip dhcp snooping information remote-id - von der Suppport-Seite: http://www.tp-link.com.de/products/details/?model=TL-SG3216#down
GRuß
Netman
Wenn die Monowall / pfSense das zentrale Routing der VLANs macht über einen tagged Link, dann haben alle Geräte in den VLANs natürlich immer die Firewall IP Adresse des jeweilgen VLAN Segments als Default Gateway IP !
Ist ja auch klar und logisch, denn die Firewall erledigt ja dann zentral die ganze Routing Kommunikation.
Bedenke zudem das du die Firewall Regeln an den Parent und VLAN Interfaces entsprechend anpasst, denn per Default verbietet die Firewall erstmal alles.
Ggf. machst du mit "any zu any" dort erstmal alles auf um grundsätzlich die Kommunikation zu testen und dann nach Bedarf langsam wieder zu.
Für das DHCP Relay auf den zentralen DHCP Server benutzt du eben die DHCP Relay Konfiguration.
Alternativ kannst du natürlich auch die DHCP Server auf der Firewall nutzen.
Nur... eine Kombination beider Features solltest du möglichst vermeiden. Also wenn Relay dann nur mit zentralem externen DHCP Server. Siehe:
http://doc.pfsense.org/index.php/DHCP_Relay
Als Relay IP Adresse trägst du dann die deines zentralen DHCP Servers ein der alle Scopes für die VLANs hält.
Ist ja auch klar und logisch, denn die Firewall erledigt ja dann zentral die ganze Routing Kommunikation.
Bedenke zudem das du die Firewall Regeln an den Parent und VLAN Interfaces entsprechend anpasst, denn per Default verbietet die Firewall erstmal alles.
Ggf. machst du mit "any zu any" dort erstmal alles auf um grundsätzlich die Kommunikation zu testen und dann nach Bedarf langsam wieder zu.
Für das DHCP Relay auf den zentralen DHCP Server benutzt du eben die DHCP Relay Konfiguration.
Alternativ kannst du natürlich auch die DHCP Server auf der Firewall nutzen.
Nur... eine Kombination beider Features solltest du möglichst vermeiden. Also wenn Relay dann nur mit zentralem externen DHCP Server. Siehe:
http://doc.pfsense.org/index.php/DHCP_Relay
Als Relay IP Adresse trägst du dann die deines zentralen DHCP Servers ein der alle Scopes für die VLANs hält.
..."Nun möchte ich den kompletten eingehenden Verkehr aus dem "WAN" ins LAN sperren..."
Das ist bei der Monowall oder pfSense Standard im Default !
Auf dem WAN Port (und auch allen anderen Ports) läuft per se eine SPI Firewall mit NAT die keinerlei inbound Verbindungen also vom WAN Netzwerk (und allennetzwerken die dahinter sind) ins lokale LAN zulässt !
Kannst du auch ganz einfach selber testen:
Deine stundenlangen Versuche sind also überflüssiger Unsinn, denn das ist das Default Setting am WAN Port
Was du übrigens in den Default Firewall Regeln am WAN Port auch selber sehen kannst !
Bedenke das Firewall Regeln immer nur inbound also eingehend ins Interface gelten. Wenn du deinen PC also das Internet filtern und verbieten willst das der nur auf lokalen Interfacen der Firewall arbeiten darf, dann erstellst du nicht am WAN sondern am LAN Port folgende Regel in folgender Reihenfolge:
Achtung: Der Teufel lauert hier im Detail: Wenn du IPs vergibst per DHCP kann es sein das dein PC mal eine andere IP bekommt und dann greift die Regel oben nicht mehr..logisch
Dafür gibt es aber mehrere Workarounds:
Generell ist aber immer der Zugriff vom WAN in sämtliche lokalen Interface per default geblockt !! Da musst du also gar nix frickeln !!
Das ist bei der Monowall oder pfSense Standard im Default !
Auf dem WAN Port (und auch allen anderen Ports) läuft per se eine SPI Firewall mit NAT die keinerlei inbound Verbindungen also vom WAN Netzwerk (und allennetzwerken die dahinter sind) ins lokale LAN zulässt !
Kannst du auch ganz einfach selber testen:
- Hänge einen PC ins WAN was ja bei dir die 192.168.0.0 /24 ist also das Transfernetz zw. Fritzbox und Firewall !
- Dann versuchst du von diesem PC im WAN Netzwerk mal auf den PC im lokalen LAN zuzugreifen....das scheitert ganz sicher, was du auch dann in der Monowall im Firewall Log sofort sehen kannst !! Immer also die Logs checken, die zeigen dir die bösen Angreifer am WAN Port !
Deine stundenlangen Versuche sind also überflüssiger Unsinn, denn das ist das Default Setting am WAN Port
Was du übrigens in den Default Firewall Regeln am WAN Port auch selber sehen kannst !
Bedenke das Firewall Regeln immer nur inbound also eingehend ins Interface gelten. Wenn du deinen PC also das Internet filtern und verbieten willst das der nur auf lokalen Interfacen der Firewall arbeiten darf, dann erstellst du nicht am WAN sondern am LAN Port folgende Regel in folgender Reihenfolge:
- 1.) Allow Source IP 192.168.3.199 Destination OPT1
- 2.) Allow Source IP 192.168.3.199 Destination OPTx (wenn du weitere FW Ports erlauben willst)
- 3.) Deny Source IP 192.168.3.199 Destination: any
- 4.) Allow Source IP LAN Netz Destination any
Achtung: Der Teufel lauert hier im Detail: Wenn du IPs vergibst per DHCP kann es sein das dein PC mal eine andere IP bekommt und dann greift die Regel oben nicht mehr..logisch
Dafür gibt es aber mehrere Workarounds:
- Deinem PC über seine MAC Adresse im DHCP immer einen feste DHCP IP zuweisen
- Den DHCP Bereich generell sperren und nur statische IPs durchlassen
- Über die Mac Adresse Geräte filtern
Generell ist aber immer der Zugriff vom WAN in sämtliche lokalen Interface per default geblockt !! Da musst du also gar nix frickeln !!
..."Warum zeigt mir dann der Rechner im LAN 192.168.3.199 an das ich Internetzugriff habe? "
MMmmhhh, sind dir überhaupt generell die Mechanismen von IP Adresstranslation (NAT) bewusst ?? Vermutlich nicht, also bitte unbedingt lesen bevor wir hier weitermachen:
http://de.wikipedia.org/wiki/Network_Address_Translation
speziell Source NAT:
http://de.wikipedia.org/wiki/Network_Address_Translation#Source_NAT
Wenn du generell nicht willst das IP Adressen im WAN Segment angesprochen werden können aus dem lokalen LAN Netz, dann machst du einen ganz einfache Firewall Regel am LAN Port:
WAN Port bleibt wie er ist im Default ! Einfach mal ein wenig logisch nachdenken WIE IP Pakete fliessen in dem Netzwerk !
MMmmhhh, sind dir überhaupt generell die Mechanismen von IP Adresstranslation (NAT) bewusst ?? Vermutlich nicht, also bitte unbedingt lesen bevor wir hier weitermachen:
http://de.wikipedia.org/wiki/Network_Address_Translation
speziell Source NAT:
http://de.wikipedia.org/wiki/Network_Address_Translation#Source_NAT
Wenn du generell nicht willst das IP Adressen im WAN Segment angesprochen werden können aus dem lokalen LAN Netz, dann machst du einen ganz einfache Firewall Regel am LAN Port:
- 1.) Deny Source IP LAN network Destination: WAN network
- 2.) Allow Source IP LAN network Destination any
- 1.) Deny Source IP 192.168.3.199 Destination: WAN network
- 2.) Allow Source IP LAN network Destination any
WAN Port bleibt wie er ist im Default ! Einfach mal ein wenig logisch nachdenken WIE IP Pakete fliessen in dem Netzwerk !
...zudem bekomme ich meine SCSI Laufwerke von der QNAP die im WAN steht verbunden?
Jo und greifen die Klienten denn darauf zu?Ist dort ein VPN Tunnel hin eingerichtet oder einfach so ungeschützt über das Internet?
Ich habe nur die beiden Regeln definiert wie oben beschrieben.
Jo das stimmt wohl, aber Du kommst mit den ganzen Informationen erst recht spät und auch nur Stück fürStück raus und das sollte dann doch wohl immer erst der Fall sein.
Informationen sind eine Bringschuld und keine Holschuld!
Gruß
Dobby
Zitat von @MrNetman:
Ergänzend zu @LordGurke:
Zu so einem Netzwerk gehört eben auch noch ein Router. In vielerlei Ausführungen.
Auf dem Switch muss man dazu sogenannten DHCP-Helper Pakete aktivieren. Damit wird dem Broadcast die Information über das
VLAN mit gegeben und der DHCP Server hinter dem Router kann anhand der Bereiche diese IPs korrekt zuordnen.
Ergänzend zu @LordGurke:
Zu so einem Netzwerk gehört eben auch noch ein Router. In vielerlei Ausführungen.
Auf dem Switch muss man dazu sogenannten DHCP-Helper Pakete aktivieren. Damit wird dem Broadcast die Information über das
VLAN mit gegeben und der DHCP Server hinter dem Router kann anhand der Bereiche diese IPs korrekt zuordnen.
Ich arbeite hier nur auf Linux-Systemen und weiß nicht was sich Microsoft für die Windows-Welt für diesen Fall ausgedacht hat.
Wenn ich möchte, dass ein Linux-System Kontakt zu mehreren VLANs bekommen soll, richte ich den Switchport so ein dass alle VLANs getagged rausfallen (bei Cisco heißt das VLAN-Trunking).
Unter Linux habe ich dann die Möglichkeit für jedes VLAN ein eigenes Device zu erstellen, welches dann entsprechend getaggete Pakete "annimmt" und mit entsprechendem Tag versehen auch wieder raussendet.
Statt einem Netzwerkinterface habe ich dann also im Zweifelsfalle fünf Interfaces, die jeweils in ein eigenes VLAN kommunizieren. Sobald ich das habe, kann ich dann z.B. dem DHCP-Server ganz einfach mitteilen, auf welchem Interface (=VLAN) er welches Subnetz aus welchem Pool verteilen soll.
Auf dem Switch muss dann nur der Switchport entsprechend konfiguriert sein, dass die passenden VLANs getagged herausfallen
Finde ich persönlich angenehmer, weil wir teilweise VLANs über mehrere Switches spannen und uns dann nicht auf jedem Switch mit dem DHCP-Helper oder DHCP-Snooping auseinandersetzen müssen.
Wie gesagt, ich kenne das so nur aus der Linux-Welt und habe mit solchen Trunking-Ports noch nie unter Windows ernsthaft zu tun gehabt. Wenn es geht, würde ich mich über ein Stichwort aber freuen - dann könnte ich auf meiner Workstation nämlich endlich mal virtuelle Maschinen zu testzwecken in ein anderes VLAN schmeißen und denen so Zugriff auf ein geroutetes öffentliches Netz geben
Moin,
Einfach mal Deinen Beitrag bearbeiten und dann Bilder hochladen. Diese Referenz auf diese Bilder kannst Du dann im beitrag oder in einem Kommentar einfügen..
Siehe auch udn speziell Formatierungen in den Beiträgen
lks
Einfach mal Deinen Beitrag bearbeiten und dann Bilder hochladen. Diese Referenz auf diese Bilder kannst Du dann im beitrag oder in einem Kommentar einfügen..
Siehe auch udn speziell Formatierungen in den Beiträgen
lks
Und wie man Windows oder Linux VLAN fähig macht auf der NIC erklärt dir dieses Forums Tutorial im Detail:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Hallo Eure Lordschaft (@LordGurke ),
hier noch eine Netzwerkkarte für "eure" Linux Maschine, so das man auch jeder VM einen eigenen LAN Port
spendieren kann, aber nicht gleich arm wird. Soekris LAN Board 1841
Gruß
Dobby
hier noch eine Netzwerkkarte für "eure" Linux Maschine, so das man auch jeder VM einen eigenen LAN Port
spendieren kann, aber nicht gleich arm wird. Soekris LAN Board 1841
Gruß
Dobby
Hat fast jeder NIC Karten Hersteller im Angebot:
http://compare.ebay.de/like/150947331327?var=lv<yp=AllFixedPriceI ...
Muss man aber wie gesagt nicht wenn man auch mit einen 802.1q Trunk leben knn:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
http://compare.ebay.de/like/150947331327?var=lv<yp=AllFixedPriceI ...
Muss man aber wie gesagt nicht wenn man auch mit einen 802.1q Trunk leben knn:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Zitat von @TheOnlyOne:
Ich vermute schwer das es aufgrund von Routing Geschichten nicht geht
Ists es überhaupt möglich zwischen zwei pysischen Netzwerkanschlüssen und Netzbereichen zu routen.
Ich vermute schwer das es aufgrund von Routing Geschichten nicht geht
Ists es überhaupt möglich zwischen zwei pysischen Netzwerkanschlüssen und Netzbereichen zu routen.
Ja.
einfach eine Firewall-regel für die zwei netze definieren.
lks
..."Ich vermute schwer das es aufgrund von Routing Geschichten nicht geht" Nein !!....
Diese Vermutung ist grundfalsch und zeigt eigentlich das du dich mit dem Thema Firewall nicht richtig beschäftigt hast !
Was eine Kommunikation verhindert sind schlicht und einfach die Firewall Regeln !!
Am LAN Port hast du wie du selber sehen kannst eine any * zu any * Regel, das heist jeglicher Traffic ist zu jeglichem erlaubt.
Monowall / pfSense richtet diese Regel als Default ein !
Alle anderen Ports aber wie dein LAN2 und ggf. VLAN Parent Ports haben aber eine deny * zu deny * Regel, d.h. alles ist verboten wie bei einer Firewall üblich !!
Passe also die Firewall Regel am LAN2 Port an dann klappt das auch !
Entweder machst du da auch erstmal eine Scheunentor Regel ala any * zu any * wie an LAN1 oder du definierst das dediziert ala
source: LAN2 network, Port:any destination:LAN1 network, Port: any
Damit klappt es auf Anhieb !
Wenn nicht immer ins Firewall Log sehen ! Das sagt dir genau wo es kneift !!
Bitte lies dir nochmals das VLAN Tutorial und seinen Thread genau durch !! Das beschreibt alle diese Schritte und bewahrt dich vor Frust !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Diese Vermutung ist grundfalsch und zeigt eigentlich das du dich mit dem Thema Firewall nicht richtig beschäftigt hast !
Was eine Kommunikation verhindert sind schlicht und einfach die Firewall Regeln !!
Am LAN Port hast du wie du selber sehen kannst eine any * zu any * Regel, das heist jeglicher Traffic ist zu jeglichem erlaubt.
Monowall / pfSense richtet diese Regel als Default ein !
Alle anderen Ports aber wie dein LAN2 und ggf. VLAN Parent Ports haben aber eine deny * zu deny * Regel, d.h. alles ist verboten wie bei einer Firewall üblich !!
Passe also die Firewall Regel am LAN2 Port an dann klappt das auch !
Entweder machst du da auch erstmal eine Scheunentor Regel ala any * zu any * wie an LAN1 oder du definierst das dediziert ala
source: LAN2 network, Port:any destination:LAN1 network, Port: any
Damit klappt es auf Anhieb !
Wenn nicht immer ins Firewall Log sehen ! Das sagt dir genau wo es kneift !!
Bitte lies dir nochmals das VLAN Tutorial und seinen Thread genau durch !! Das beschreibt alle diese Schritte und bewahrt dich vor Frust !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
..Hacken ???
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
oder
http://de.wikipedia.org/wiki/Ferse
oder meintest du:
http://www.duden.de/suchen/dudenonline/haken
Was du mit dem "Hacken" bezeichnest ist Blödsinn, denn das Routing wird auf einer Firewall niemals blockiert ! Wenn auf einer Firewall was blockt, dann sind das immer die Regeln !!
Siehe oben dein Fauxpas mit den fehlenden ICMP Regeln !!
Übrigens: Wenn du nur rein "IP" genommen hättest in den Regeln inkludiert das alle IP relevanten Protokolle wie UDP, TCP und ICMP. Da hättest du dir die spezielle ICMP Regel erspart !
Den "Hacken" den du meinst ist sicher der default Blocker für RFC 1918 IP Netze, also private IP Adressen (10., 172.16-32. 192.168) am WAN Port !!
Der hat aber mit Routing logischerweise nicht das geringste zu tun.
Hört sich nicht wirklich so an als ob du weisst was du da tust, sorry ?!
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
oder
http://de.wikipedia.org/wiki/Ferse
oder meintest du:
http://www.duden.de/suchen/dudenonline/haken
Was du mit dem "Ha
Siehe oben dein Fauxpas mit den fehlenden ICMP Regeln !!
Übrigens: Wenn du nur rein "IP" genommen hättest in den Regeln inkludiert das alle IP relevanten Protokolle wie UDP, TCP und ICMP. Da hättest du dir die spezielle ICMP Regel erspart !
Den "Ha
Der hat aber mit Routing logischerweise nicht das geringste zu tun.
Hört sich nicht wirklich so an als ob du weisst was du da tust, sorry ?!