gelöst Verständnisfragen zum VLAN-Tutorial

Mitglied: 144144

144144 (Level 1)

30.04.2020, aktualisiert 21:51 Uhr, 521 Aufrufe, 8 Kommentare

Hallo!

Vor dem Hintergrund der baldigen Nutzung von FTTH möchte ich mein LAN neu strukturieren und habe mich durch zahlreiche Artikel und Turorials gewühlt. Vielen Dank an dieser Stelle für das Erstellen derselbigen.

Mein Setup derzeit ist eine Routerkaskade:

Fritzbox 7490 ---> Cisco SG250 (2 portbased VLANs)
|--> TP-Link OpenWRT ---^---> WLAN-AP

Ich möchte nun die Funktionen des Switches besser nutzen und daher auf mindestens einen Router verzichten. Mein derzeit geplantes Setup:

Modem ---> Firewall (mglw. APU3C4 oder der TP-Link) ---> Cisco SG250 (L3) ---> WLAN-APs

Nun habe ich noch folgende Verständnisfragen:

- Falls ich während einer Übergangsphase statt der FW noch die Fritzbox nutzen sollte, da derzeit noch keine VoIP-Telefone vorhanden sind, dann müsste der Uplink ohne eigenes VLAN, sondern stinknormal (nativ?), ablaufen. Ist das problematisch bzw. was ist die Überlegung hinter einem separaten VLAN für den Uplink gemäß Tutorial?
- Das Gästenetz soll keine IP-Adresse auf dem routenden Switch bekommen, sondern auf der FW terminieren. Welche Überlegung steckt hier dahinter? Weshalb wäre es ein Fehler, hier eine Adresse zu vergeben?
- Wie implementiere ich ein Managementnetz? Beim DNS-Server ist es mir noch irgendwie klar. Der kommt in das Mgmt-Netz und per ACL wird Port 53 aus den anderen Netzen erlaubt. Aber das NAS bspw. ist sowohl für Nutzer als auch zum Administrieren über https erreichbar, wie kann ich das separieren bzw. ist es bei solch einem Gerät überhaupt sinnvoll, es ins Mgmt-Netz zu setzen?

Ich hoffe, mich kann jemand erleuchten.


Gruß Marco


:wq
Mitglied: th30ther
LÖSUNG 01.05.2020 um 00:57 Uhr
Moinsen,
vorweg: bin selber kein Profi nur Hobby admin und keine Ahnung von glasfaser Besonderheiten.
Dennoch kann ich dir zu deiner Netzwerk Topologie sagen, dass der Aufbau mit apu und pfsense plus Cisco dahinter deinen Anforderungen gerecht werden müsste.
damit kannst du VLANs nutzen (ohne dynamische Zuteilung allerdings), vpn einrichten, explizit den Verkehr zwischen den Netzwerk Segmenten routen (und im kleineren Netz vielleicht den switch auf L2 laufen lassen....), DNS und dhcp anbieten und...

Zu deinen Fragen :
Ich nutze hier weiter eine oft verpöhnte Router kaskade, fritzbox, dahinter pfSense. Läuft problemlos und für meine persönlichen Bedürfnisse ausreichend gut. Deswegen hab ich auch kein Stress mit Telefonie. So als fallback vielleicht...
Bei zb pfSense auf apu könntest du den gesamten Gäste Bereich auf ein eigens physisches Interface legen und hättest auch ganz ohne vlan ne Trennung. Es geht aber bei korrekter Firewall Konfiguration auch über vlan und ein physisches Interface... Ist heimnetz keine Firma.
Ins Management Netz würde ich nur die Geräte stellen, die das strukturelle Rückgrat deines Netzwerks bilden... Router, switch, AP... Server nicht, entweder ins eigene Netz, oder dahin, wo die clients oft drauf zugreifen (Heimnetz), spart routing da in einem vlan... Ob du jetzt ein eigenes vlan fürs Management willst oder dass default VLAN1 in dem die Geräte meist ja liegen nutzt, habe ich mich hier auch gefragt. Bin nach guten Erklärungen hier davon ab und hab den Zugriff auf die Geräte so reglementiert, dass nur aus demselben vlan mit nur einer IP zugegriffen werden kann, alles andere blockiert und somit für meine bescheidenen Erwartungen und Anwendungen ausreichend...
Soviel aus dem hobbykeller, mal sehen was die Profis sagen.
Viel spass beim Aufbau und einrichten...

Grüssle
th30ther
Bitte warten ..
Mitglied: 144144
01.05.2020, aktualisiert um 01:09 Uhr
damit kannst du VLANs nutzen (ohne dynamische Zuteilung allerdings),
Den Bedarf nach dynamischer Zuteilung sehe ich derzeit zum Glück noch nicht.

Ich nutze hier weiter eine oft verpöhnte Router kaskade, fritzbox, dahinter pfSense. Läuft problemlos und für meine persönlichen Bedürfnisse ausreichend gut. Deswegen hab ich auch kein Stress mit Telefonie. So als fallback vielleicht...
Hatte ich auch schon drüber nachgedacht und ist auch noch nicht komplett verworfen. Telefonie über die Fritzbox läuft halt stressfrei...

Bei zb pfSense auf apu könntest du den gesamten Gäste Bereich auf ein eigens physisches Interface legen und hättest auch ganz ohne vlan ne Trennung.
Möchte nur so wenig APs wie nötig kaufen, daher werde ich wohl trotzdem über den Switch gehen.

Ins Management Netz würde ich nur die Geräte stellen, die das strukturelle Rückgrat deines Netzwerks bilden... Router, switch, AP...
Check

Server nicht, entweder ins eigene Netz, oder dahin, wo die clients oft drauf zugreifen (Heimnetz), spart routing da in einem vlan...
Sehe ich ein, ist auch logisch.

Ob du jetzt ein eigenes vlan fürs Management willst oder dass default VLAN1 in dem die Geräte meist ja liegen nutzt, habe ich mich hier auch gefragt.
Hab immer noch im Hinterkopf, dass man VLAN 1 gar nicht nutzen soll, um ein Double Tagging zu vermeiden!?

Viel spass beim Aufbau und einrichten...
Danke. Der Teufel wird wie immer im Detail stecken.


:wq
Bitte warten ..
Mitglied: aqui
01.05.2020, aktualisiert um 10:09 Uhr
Der Teufel wird wie immer im Detail stecken.
Nein, das ist falsch. Jedenfalls nicht wenn man vorher sauber plant und mit dem richtigen Kozept vorgeht. Das ist immer in der IT so.
Kollege @th30ether hat oben ja schon alles ausführlich zu dem Thema gesagt.
Grundsätzlich musst du dich vorher festlegen was für ein VLAN Design du umsetzen willst.
Entweder ein zentrales Routing über den Router oder Firewall und der Switch arbeitet rein nur als Layer 2 VLAN Switch wie es im von dir angesprochenen VLAN_Tutorial beschrieben ist. Oder...
Du setzt ein Layer 3 Switching Konzept auf auf deinem SG-250, der ja auch ein Layer 3 Switch ist.
Wie das geht erklärt dir das Layer 3 Tutorial hier:
https://www.administrator.de/forum/verständnissproblem-routing-sg30 ...

Letzteres hätte den Vorteil das dein Internet Router, was auch immer das ist, keinerlei 802.1q VLAN Funktionalität benötigt wie es in der zentralen Option aber Voraussetzung wäre. Damit kannst du dann völlig frei entscheiden ob du da FriztBüx, OpenWRT, Mikrotik oder eine pfSense etc. einsetzt.
Nachteil ist das du mit Access Listen auf dem L3 Switch die VLANs abschotten musst. Performanceseitig hat das Switch L3 Konzept einen klaren Vorteil aber auch nur dann wenn man sehr viel VLAN übergreifenden Traffic hat. Ist dieser eher gering und eher Internet bezogen ist das zentrale Konzept besser.
Im Switch Konzept hättest du zusätzlich auch noch die Anforderung das du Sicherheits relevante VLANs nie auf dem Switch routingtechnisch terminierst sondern immer direkt auf der FW. Diese VLANs müsste man dann so oder so wieder zentral über den Uplink auf den Router oder Firewall terminieren und ist dann wieder bei der 802.1q VLAN Anforderung im Uplink was dich dann doch wieder auch entsprechende Router HW festnagelt.

Die Konzepte sind aber grundverschieden und man sollte immer VORHER festlegen für welches man sich entscheidet sofern man die entsprechende HW besitzt. Mit einem reinen Layer 2 only VLAN Switch stellt sich diese Frage logischerweise gar nicht erst.
Bitte warten ..
Mitglied: 144144
01.05.2020, aktualisiert um 11:36 Uhr
Nein, das ist falsch. Jedenfalls nicht wenn man vorher sauber plant und mit dem richtigen Kozept vorgeht. Das ist immer in der IT so.
Ja, ich bezog mich auch auf die Planung. Umgesetzt wird erst, wenn klar ist, wie es funktioniert und ob genügend Dosen vorhanden sind.

Also, die Unterschiede zwischen den beiden Optionen sind schon klar, da hab ich mich zwar noch nicht wirklich entschieden, aber Vor- und Nachteile sind bekannt.

Die Frage, warum sicherheitsrelevante VLANs nicht auf dem Switch terminieren sollten, ist allerdings noch nicht befriedigend beantwortet worden. Welche Überlegungen stecken dahinter? Ist die Firewall eher in der Lage, den Traffic in diese VLANs abzuschotten, oder was ist der Grund?

Ansonsten haben die beiden Antworten schon einiges geklärt, vielen Dank!
Bitte warten ..
Mitglied: coltseavers
LÖSUNG 01.05.2020 um 12:23 Uhr
Zitat von 144144:

Die Frage, warum sicherheitsrelevante VLANs nicht auf dem Switch terminieren sollten, ist allerdings noch nicht befriedigend beantwortet worden. Welche Überlegungen stecken dahinter? Ist die Firewall eher in der Lage, den Traffic in diese VLANs abzuschotten, oder was ist der Grund?

Ahoi!
Also ich komme aus der Mikrotik-Welt und terminiere dort die VLANs fast immer an einem (ausreichend starken) Router.
Waurm?
Nun, da ich nur auf dem Router alle Möglichkeiten des Firewallings habe, Ausnahmen definieren und Pakete markieren und routen kann usw.
Auf nem Switch ist das in dem Umfang i.d.R. nicht möglich (kenne das Cisco-Gerät allerdings auch nicht, muss ich einräumen), denn sonst wäre es ja bereits ein Router.

Beispiel für Dein Netz:
Alle User sollen auf die Netzwerkfreigaben des NAS zugreifen können, aber sie sollen nicht auf die Weboberfläche des NAS kommen, um es auch nicht administrieren zu können. Joa gut, also dann ist der Zugriff aus dem Gäste-VLAN nur per SMB-Protokoll möglich, nicht per https.
Kann das der Switch? Der Router kann es.
(Diese Idee ist nicht durchdacht, sondern soll nur nen Denkanstoss geben bezüglich der Möglichkeiten).

Kurzum: regelst Du alle VLANs über den Router, hast Du auch immer alle Möglichkeiten, auch dann, wenn sich am Netzwerk mal was ändert - Du regelst immer alles schön zentral am Router. Terminierst Du VLANs am Switch nimmst Du Dir selbst einige Optionen.

Das ist nicht im jedem Szenario der Weisheit letzter Schluss, aber es funktioniert immer.

Gruß,
Colt
Bitte warten ..
Mitglied: 144144
01.05.2020 um 12:55 Uhr
Hallo!

Okay, also ist die "richtige" Firewall der Grund. SMB von HTTPS könnte ich zwar auch am Switch trennen, aber tiefergehende Regeln, vor allem wenn sie stateful sein sollen, kann der natürlich nicht.

Das dachte ich mir schon, nur wollte ich sichergehen, dass ich nichts übersehe, da ich gerne den Sinn hinter solchen "isso"-Regeln verstehe.

Besten Dank an alle!


:wq
Bitte warten ..
Mitglied: aqui
LÖSUNG 01.05.2020 um 14:40 Uhr
Die Frage, warum sicherheitsrelevante VLANs nicht auf dem Switch terminieren sollten
Da gibt es kein KO Kriterium ! Rein technisch kann man das natürlich machen.
Großer Nachteil ist das ACLs auf den Switches nicht stateful sind und du dann 2 kritische Punkte hast wo du Security pflegen musst. Switch und Firewall.
Bricht z.B. jemand aus dem Gastnetz aus liegt er dann gleich am Switch mit zentralem Access in alle anderen VLANs. Keine ganz so gute Idee aber für jemand der weiss was er tut natürlich so machbar. Oder eben mit einem hybriden Ansatz also alles Switch basierend lokal routen was sicher ist und alles andere via Layer 2 auf die Firewall "durchschleifen". So wird es in der Regel auch in Firmennetzen gemacht weil einen Firewall doch immer etwas wasserdichter ist.
Es ist aber alles immer rein nur von deiner eigenen Sicherheits Policy abhängig. Wenn DU damit leben kannst und DU das für ausreichend sicher hältst dann ist es gut so und du kannst das auch so umsetzen. Solche Überlegungen sind meist rein Sicherheits relevant.
Bitte warten ..
Mitglied: 144144
01.05.2020 um 14:47 Uhr
Alles klar, vielen Dank!
Bitte warten ..
Heiß diskutierte Inhalte
Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu37 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyFrageMultimedia27 Kommentare

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

LAN, WAN, Wireless
Wlan Messgerät
gelöst fizlibuzliFrageLAN, WAN, Wireless23 Kommentare

Hallo, gibt es erschwingliche Messgeräte um vorhanden W-Lan ausleuchtungen in ihrer Signalstärke und Bandbreite zu messen. Es sollen einfache ...

Microsoft
Failover Cluster Network
samreinFrageMicrosoft21 Kommentare

Hallo zusammen, toller Freitag heute vielleicht kann mir jemand unter die Arme greifen. Ich habe einen Failover Cluster gebaut. ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

Router & Routing
Kaufempfehlung WLAN Router mit VLAN Unterstützung
ccreccFrageRouter & Routing19 Kommentare

Hallo zusammen, ich wollte mal nach einer Kaufempfehlung für einen WLAN Access Point mit halbwegs vernünftiger VLAN Unterstützung fragen. ...

Ähnliche Inhalte
Netzwerkmanagement
VLAN - vom Default vLan ins vLAN 10
gelöst DaPeddaFrageNetzwerkmanagement2 Kommentare

Hallo zusammen, ich stehe vor der Aufgabe, VM's hosted by iSCSI von einem Rack in ein neues umzusiedeln; und ...

Humor (lol)
Tutorial: Wie man ins Darknet geht
LochkartenstanzerAnleitungHumor (lol)3 Kommentare

Moin, Ich habe ein schöbes Tutorial gefunden, daß ich euch nicht vorenthalten wollte: Wie man ins Darknet geht. Schönen ...

Router & Routing

Miktrotik VLAN - trunk shared (Uplink Internet VLAN + Internal VLAN)

gelöst siouxmeFrageRouter & Routing17 Kommentare

Hallo Ich habe jedes auffindbare Turorial gelesen, komme aber nicht dahinter wie ich meinen Usecase abbilden kann. Darunter natürlich ...

Netzwerkgrundlagen

VLAN Struktur - Switches in welches VLAN

ITF02FrageNetzwerkgrundlagen4 Kommentare

Hallo zusammen, ich benötige ein paar Tipps und Anregungen bzlg. der VLAN Struktur. Ich habe folgende Struktur, welche auch ...

Netzwerke

VLAN-Konfiguration

Markus220FrageNetzwerke4 Kommentare

Hallo zusammen, ich bin derzeit ein bisschen am Ausprobieren und noch etwas neu auf dem Gebiet, weshalb ich hoffe, ...

Netzwerke

VLAN Tagging

DerNoob89FrageNetzwerke5 Kommentare

Hallo zusammen, ich habe aktuell folgendes Problem und bin mir nicht sicher wie es zu lösen ist. Scenario : ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT