vailfire
Goto Top

VLAN-Konfiguration LANCOM - Aruba InstantOn

Hallo, ich komme eigentlich aus der Webentwicklung und scheitere deshalb kläglich face-smile

Ich versuche aktuell ein Netzwerk auf einer Büroetage sinnvoll zu segmentieren. Es gibt mehrere Bereiche, die voneinander getrennt werden können und so möchte ich etwa VoIP, Workstations, Zentrale mit eigenen VLAN's abbilden.

Mein aktuelles Zielbild wäre:

VLAN 1 - Standard
VLAN 11 - Management
VLAN 20 - Workstations
VLAN 30 - VoIP
VLAN 40 - Technik

Die Hardware setzt sich aus einem LANCOM 1803VA-4G als Router und einen Aruba InstantOn 1930 Layer 2+ Switch (Cloud-Managed) zusammen. Die Arbeitsplätze sollen später per Daisy-Chaining über Yealink-Telefone ins Netzwerk gespeist werden, d.h. ist für VoIP wohl auf jeden Fall Tagged wichtig, damit Telefon und PC in seperate VLANs können.

Im Hinblick auf die Adressvergabe stelle ich mir folgendes vor:

VLAN 1 172.25.1.1 255.255.255.0
VLAN 11 172.25.11.1
VLAN 20 172.25.20.1
etc.

Am Switch habe ich deshalb die VLAN's entsprechend angelegt. Aus VLAN1 habe ich alle anderweitig vergebenen Ports entfernt. In VLAN 40 habe ich z.B. Port 17 und 19 als Untagged gesetzt.

Soweit so gut, am LANCOM scheint es als würde man das VLAN-Modul nicht brauchen - so war mein Eindruck aus anderen Threads. Was wohl konfiguriert werden müsste, wären wohl unter IPv4 > Allgemein > IP-Netzwerke. Dort habe ich die Netze entsprechend angelegt und die VLAN-IDs vergeben.

bildschirmfoto 2024-06-16 um 21.21.08

Sobald ich einen Port am Switch nun dem VLAN hinzufüge, wird kein IP-Adresse bezogen. Deshalb habe ich im LANCOM für das entsprechende Netzwerk einen DHCP-Server aktiviert.

Adressraum 172.25.40.1 - 272.25.40.254
Netzmaske 255.255.255.0
Broadcast 172.25.40.255
Standard-Gateway 172.25.40.254 (! die IP-Adresse des Routers ist 172.25.56.254)

Der Rechner bezieht nun wie gewünscht eine IP-Adresse dieses DHCP-Servers, während alle anderen Geräte in anderen Netzen den Standard-DHCP und Adressraum nutzen. Allerdings ist kein Zugriff auf das Internet möglich.

Der Schnittstellen-Tag ist bei allen Netzwerken auf 0 gesetzt. Firewall testweise schon komplett deaktiviert.

Woran könnte das liegen? Denke ich grundlegend falsch?

Content-Key: 5840382562

Url: https://administrator.de/contentid/5840382562

Printed on: July 21, 2024 at 01:07 o'clock

Member: tikayevent
tikayevent Jun 16, 2024 at 19:50:35 (UTC)
Goto Top
Standard-Gateway 172.25.40.254 (! die IP-Adresse des Routers ist 172.25.56.254)
Was möchtest du damit mitteilen?

Wenn du 172.23.56.254 geschrieben hättest, wüsste ich, was du meinst. Dass ist ein falsch konfigurierter Router, der ein Schnittstelle ohne IP-Konfiguration und mit DHCP-Server auf "automatisch". Vermutlich hast du für das IP-Netz für VLAN-Tag 0 nicht konfiguriert oder zugeordnet. (wichtig bei inaktivem VLAN-Modul für den untagged-Betrieb, bei aktiviertem VLAN-Modul müsste es Tag 1 sein für den untagged-Betrieb).

Ich würde aktuell behaupten, dass du eine fehlerhafte Switch-Konfiguration hast. Was genau, keine Ahnung.

Der Router ist im VLAN-Betrieb ohne VLAN-Modul eigentlich sehr einfach. VLAN-Tag eintragen, fertig.

Das mit den Telefonen ist auch eine Switch-Sache, hier muss dann das Voice-VLAN konfiguriert und LLDP-MED verfügbar sein.
Member: Vailfire
Vailfire Jun 17, 2024 at 06:33:08 (UTC)
Goto Top
Also am Router wären zwei IP-Netzwerke definiert.

Intranet 172.23.56.254 VLAN0
Technik 172.23.40.254 VLAN40

Ich werde es heute Abend noch einmal testen.

An der VLAN-Tabelle ist nichts zu ändern, weil das Modul sowieso deaktiviert ist. VLAN40 bekommt einen eigenen DHCP (nicht auf "automatisch"). Alle weiteren Einstellungen sind am Switch zu machen und bei diesem ist nur einzustellen, welcher Port von VLAN40 als Untagged rausgeht. Cleint sollte dann IP-Adresse im 172.23.40.xxx Bereich bekommen und Zugriff auf das Internet haben.
Member: aqui
aqui Jun 17, 2024 updated at 07:30:44 (UTC)
Goto Top
Intranet 172.23.56.254 VLAN0
Das ist Blödsinn, denn ein VLAN mit der ID "0" sieht der 802.1q VLAN Standard nicht vor! Vergiss diesen Unsinn.

Die grundlegenden Konfig Schritte für eine VLAN Segmentierung mit einem "one armed Router" (oder Firewall) werden dir hier inkl. Switch Konfigs erklärt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Idealerweise bindet man den Switch und Router auch mit einem LACP LAG an um einerseits Redundanz zu haben und andererweits eine größere Bandbreite beim Routing der lokalen LANs was in einem Firmennetz ja nicht ganz unwichtig ist!
Member: aqui
aqui Jun 19, 2024 at 07:40:50 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
How can I mark a post as solved?
Member: Vailfire
Solution Vailfire Jun 20, 2024 at 07:03:23 (UTC)
Goto Top
Ich habe nochmal lange rumprobieren müssen und es hat sich herausgestellt, dass Clients zwar Zugriff auf das Internet hatten, vgl. "tracert 8.8.8.8". Ein nslookup hat gezeigt, dass es Probleme mit dem Zugriff auf den DNS gab. Der hinterlegte DNS-Server ist von interner Natur und per VPN aus einer Zweigstelle angebunden - dass man aus einem VLAN keinen direkten Zugriff auf ihn hat ist absolut sinnvoll.

Dann hat alles wie gewünscht funktioniert und ich musste nur das IP-Netzwerk am Router anlegen. Aus dem Intranet mit Vlan-Tag 0 (ja, das ist das standardmäßig im Router angelegte und wurde zum Testen nicht rausgenommen @aqui) konnte ich auf alle Geräte zugreifen. Die Unterscheidung per Schnittstellen-Tag hat auch funktioniert.

Ich muss also vermutlich nur noch das Routing zwischen DNS-Server und dem neu angelegten IP-Netzwerk gestatten.

Danke.
Member: aqui
aqui Jun 20, 2024 updated at 07:53:44 (UTC)
Goto Top
mit Vlan-Tag 0 (ja, das ist das standardmäßig im Router angelegte und wurde zum Testen nicht rausgenommen
Ist dennoch unsinnig weil ein VLAN Tag "0" nicht definiert ist im 802.1q Standard. Du hast dich vermutlich laienhaft ausgedrückt und meinst damit ein Ethernet Paket was keinen 802.1q VLAN Header und damit auch generell keinen VLAN Tag hat, also UNgetagged ist. Damit hat es dann ebenso keinen VLAN Tag mit dem Wert "0" den es aus o.g. Gründen auch nicht geben darf.
Das sind alles Frames die aus dem sog. Default oder Native VLAN (PVID) kommen, sprich also einen stinknormalen Access VLAN ohne einen VLAN Tag.
Die VLAN Schnellschulung klärt diesen Sachverhalt und lesen hilft! face-wink

Fazit:
Es bleibt dabei, es gibt keinen "VLAN 0" Tag. face-wink