VLAN mit NETGEAR GS724T und Fritzbox 7490

Die FritzBüx supportet gar keine VLANs auf ihrem LAN Port insofern hat sich das Thema VLAN mit der FB schon erledigt.
Den Rest erklärt das hiesige VLAN Tutorial was alle deine Fragen beantworten sollte.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Wenn der gruselige NG Switch eh ein Layer 3 Routing Switch ist, dann stellt sich die Frage VLAN und FritzBox ja auch gar nicht erst.
Dieser Thread beschreibt wie man so einen Router richtig an ein L3 VLAN Switch anschliesst. Denk dir nur einfach statt "SG-300" dann "NetGear". Die ToDos sind wie immer identisch.
Die FritzBox liegt dabei immer in einem dedizierten Internet VLAN und niemals in den Produktiv Traffic VLANs. Dort will man ja keinen Internet Traffic haben.
Verständnissproblem Routing mit SG300-28

Wie immer vermutlich die klassischen Fehler gemacht:

• Auf dem NetGear MUSS eine default Route auf die FritzBox LAN IP eingetragen sein !!
• Auf der FritzBox MUSS jeweils einen Route auf die VLANs 10 und 20 Netze eingetragen sein mit Gateway IP des NetGear im FritzBox LAN

Eins davon oder beides hast du garantiert vergessen !?!
Eine Route ?? Das ist ja nur die halbe Miete ! Wo ist die Route dort für dein VLAN 20 ???
Bei der FritzBox muss folgendes stehen:
Zielnetz: 192.168.10.0, Maske: 255.255.255.0, Gateway: 192.168.1.62
Zielnetz: 192.168.20.0, Maske: 255.255.255.0, Gateway: 192.168.1.62
Man kann aber statt alle Netze einzeln auch beide Netze und ggf. noch mehr die du einrichten willst mit einer Summary Route zusammenziehen auf der FB:
Zielnetz: 192.168.0.0, Maske: 255.255.224.0, Gateway: 192.168.1.62
Man achte auf die Maske...!
Das routet dann alle IP Adressen von 192.168.0.1 bis 192.168.31.254 auf den NetGear in seine VLANs.
Auf dem NetGear Switch selber dann NICHT die Default Route auf die 192.168.1.1 (LAN IP FritzBox) vergessen !!
Traceroute (tracert) und Pathping sind hier deine besten Freunde beim Troubleshooting.

Nochwas:
Ein Netzwerker vergibt Infrastrukturgeräten wie Routern niemals IP Adressen die "mittendrin" in einer Range liegen sondern immer IP ganz oben oder ganz unten.
Damit sind IP Adressüberschneidungen und daraus resultierendes Chaos per se sicher ausgeschlossen.
Wenn du also dein FritzBox Netz auf 192.168.1.0 /24 umgestellt hast (was übrigens vollkommen unnötig war, denn es klappt auch mit dem .178.0er Netz) dann nimmt man dort am besten:
192.168.1.1 /24 = FritzBüx
192.168.1.254 /24 = NetGear
Das ist aber nur kosmetisch und zur erleichterten Orientierung. Klappen tuts natürlich auch mit der .62
Wenn....ja wenn man die IP Routen oben nicht vergisst wie du es sehr wahrscheinlich gemacht hast.

Das .1.0er IP Netz an der FB ist auch eine nicht gerade besonders intelligente Wahl wenn du mal das VPN Feature auf der FB nutzen willst oder musst.
Warum das so ist kannst du hier genau nachlesen:
VPNs einrichten mit PPTP

Das sind KEINE IP Adressen sondern Netzwerke !! (Alle Hostbits auf 0)
Die Switch VLANs müssen IP Hostadressen haben also:
VLAN10 IP Adresse: 192.168.10.254
VLAN20 IP Adresse: 192.168.20.254
Beides richtig !
Das liegt wohl daran das du unsinnigerweise die 2 VLANs auch im NetGear als statische Routen eingetragen hast, diese Routen aber völliger Quatsch sind, da du da z..B. das 10er Netz auf sich selbst als Next Hop ins eigene Netz routet.
Sowas ist natürlich logisch und routigtechnischer Blödsinn. Müsste auch einen Laien einleuchten und klar das auch ein NetGear über soviel Unsinn meckert.
Die VLAN 10 und 20 IP Netze "kennt" der Switch doch, da sie an ihm direkt selber angeschlossen sind. Routen dahin sind also überflüssig.
Lösche den Quatsch also im NetGear, dann meckert der Netgear auch nicht mehr und alles kommt sofort zum Fliegen.
Dort muss einzig nur die Default Route stehen mehr nicht !

OK, das darf dann natürlich nicht sein und dann muss das logischerweise bleiben.
Das ist der Flucht des gruseligen und unlogischen NetGear GUIs
Dann zeigt das die local connected IP Adressen vermutlich so an...also lassen.

Die Frage ist was die schwachsinnige Fehlermeldung bedeutet. Die next Hop IP Adresse muss zwangsweise im selben Subnetz sein wie die Management IP.
Nur mal doof nachgefragt:
Die Management IP Adresse des Switches hast du auch auf die 192.168.178.254 gesetzt ??
http://www.downloads.netgear.com/files/GDC/GS716TV3/GS716Tv3_GS724Tv4_G ...
Seite 38
Hier musst du auf "Static" gehen und die 192.168.7.254, 255.255.255.0 eintragen und als Default Gateway die 192.168.178.1 !
Als VLAN ID bleibt die "1"
Nicht das die jetzt noch auf einem anderen Wert steht ??

Was du mal probieren kannst ist den Switch auf die Factory Defaults setzen, und dann erst Management und Default Route setzen und dann danach die VLAN 10 und 20 IP Adressierung. Möglich das sich das irgendwie beisst bei dem kranken NetGear.
Auch möglich das das Default Gateway nur über ein dediziertes VLAN erreicht werden kann und nicht im Default VLAN 1...?! Da hilft wohl nur das Handbuch Studium weiter....
Ja, natürlich, das ist alles damit umsetzbar !
Dein Design ist auch ein ganz normales und weit verbreitetes und absolut realistisch so. Knackpunkt ist das du einen netGear gekauft hast. Das ziemlich Übelste und unlogischate was es als GUI gibt...siehe oben.
Aber keine Sorge wir bekommen das schon raus wie der Switch das haben will um das umzusetzen.
Deine Vorgehensweise ist auch absolut richtig das jetzt erstmal mit 2 VLAN 10 und 20 wasserdicht zu testen und wenn es dann alles klappt mit ein paar Mausklicks die anderen VLANs dazuzunehmen.
Also alles richtig gemacht bis jetzt. (außer netgear zu kaufen natürlich )
Nein nicht nötig, das zerfieselt die Infos nur.

Hier nochmal deinen ToDos:

• IP Adresse am Switch checken .178.254 ebenso Gateway IP .178.1
• VLAN Routing global aktivieren. Seite 148 im Handbuch
• In Routing > VLAN > VLAN Routing Wizard musst du ein Interface aktivieren fürs Routing. Seite 152 im Handbuch Das musst du natürlich auch fürs VLAN 1 und die .178.254er IP machen. Warum man diesen Unsinn machen muss weiss wohl nur NetGear ?!
• Es ist möglich das Routing über das VLAN 1 Interface nicht geht. Dann musst du ein dediziertes VLAN aufsetzen z.B. 100 und die Internet Router Adressierung da reinbringen. Müsste aber eigentlich auch mit VLAN 1 gehen, denn jeder andere Hersteller am Markt supportet das auch.

Vermutlich ist die globale Routing Aktivierung ganz sicher aber die Definition eines Routing Interfaces laut Seite 152 im Handbuch der Schlüssel zum Erfolg das es geht.
Warum NG das so überkompliziert und umständlich macht wissen wohl nur sie selber. Zeigt mal wieder das NG die falsche Wahl bei Switches ist.

Wäre das denn konfigtechnisch möglich ??
VLAN 1 Routing muss ja in jedem Fall zwingend aktiviert sein, denn darüber geht ja die Default Route raus zur FritzBox.
Wenn es also möglich ist in der Konfig dann natürlich aktivieren !
Die Frage ist warum NG immer einzeln will das man VLANs fürs Routing aktiviert. Eigentlich Blödsinn aber nehmen wir das mal so hin.
Die 192.168.178.254 ! Das ist ja die VLAN 1 IP des Switches
Das ist auch klar wenn du VORHER nicht die 192.168.178er IP vom VLAN 1 management Interface entfernt hast.
Wenn nicht hast du ja 2 gleiche IP netze an einem Switch und da ist es dann klar das auch NetGear meckert...
Vermutlich ist es wirklich nur das... Technisch muss das möglich sein, denn alle anderen am markt machen das auch so.
Ja, das native VLAN ist immer untagged.

Hallo zusammen,



Also das Layer3 light Menü muss das dann aber auch hergeben! Denn einfach nur behaupten man hat ein Gerät das statische Routen
vergeben kann und unterstützt ist eventuell auch nicht ok. Man müsste jetzt eigentlich folgendes auf dem Switch und der AVM FB 7490
konfigurieren. Denn die AVM FB kann keine VLANs bzw. nur am WAN Port zur Trennung von IPTV, VOIP und Internetdaten und der Switch
ist leider nur ein Layer3 light oder besser noch ein Layer2+ Switch der Layer2 plus statischem Routing beherrscht.

So wie ich das weiter oben mitgelesen bzw. heraus gelesen habe, muss ein Transfernetz her dass dann die IP Adresse der AVM FB 7490
als Gateway IP hat.

AVM Fritz!Box 7490:
Netz 192.168.11.0/24 (255.255.255.0)
IP Adresse 192.168.11.253/24
Switch Port 1 - AVM Port LAN 1

Netgear Switch:
VLAN1 - 192.168.1.0/24 - ID Management VLAN - alle Netzwerkgeräte Geräte sind hier Mitglied
VLAN2 - 192.168.2.0/24 - ID VOIP - alle VOIP Geräte sind hier Mitglied
VLAN3 - 192.168.3.0/24 - ID Drucker - alle Drucker sind hier Mitglied
VLAN4 - 192.168.4.0/24 - ID Kameras - alle Kameras sind hier Mitglied
VLAN5 - 192.168.5.0/24 - ID PC1 - PC1 ist hier nur Mitglied
VLAN6 - 192.168.6.0/24 - ID PC2 - PC2 ist hier nur Mitglied
VLAN7 - 192.168.7.0/24 - ID PC3 - PC3 ist hier nur Mitglied
VLAN8 - 192.168.8.0/24 - ID PC4 - PC4 ist hier nur Mitglied
VLAN9 - 192.168.9.0/24 - ID PC5 - PC5 ist hier nur Mitglied
VLAN10 - 192.168.10.0/24 - ID PC6 & PC7 - PC6 & PC7 sind hier Mitglied
VLAN11 - 192.168.11.0/24 - ID AVM Router - nur der AVM FB Router ist Mitglied und seine IP Adresse ist 192.168.11.253

Das sollte jetzt so passen, für jedes VLAN sollte eine DHCP Adresse vergeben werden können und auch eine Gateway IP Adresse!
Ist das nicht der Fall, ist das Layer3 Menü des Switches zu sehr "kastriert" worden und man sollte das alles mittels eines kleinen
MikroTik Routers oder gar eines RaspBerry PI´s erledigen lassen, dazu hat das @aqui hier auch Anleitungen und ist sicherlich auch
behilflich denn das ist vor gfut und gerne einem Monat heir schon einmal durchgekaut worden mit einem RaspBerry PI und einem
Switch hinsichtlich des PIM Routings und IGMPv3 was zum routen von IPTV Inhalten herhalten musste.


Gruß
Dobby

Das ist ja auch gar nicht gewollt, denn der NG ist ja ein L3 Switch. DER soll also routen zwischen den VLANs und soll dann den Internet Traffic über VLAN 1 bzw. seine IP da zentral auf die FritzBüx routen.
Ein klassisches Design also mit einem L3 fähigen Switch.
VLANs auf der FB zu terminieren würde bei Verwendung eines L3 Switches wie hier ja keinen Sinn machen.

Komisch war ja nur die o.a. Fehlermeldung die dem handbuch diametral widerspricht. Dort wurde angemeckert das das Gateway im gleichen IP Netz liegt was aber im Handbuch (richtigerweise) so vorausgesetzt wird.
Vermutlich lag es aber wohl daran das man das VLAN explizit fürs IP Forwarding markieren muss. Warum das so sein muss weiss keiner.

Ja schon, aber was gibt sein Layer3 Menü an Funktionen her, eigentlich nur Layer2 plus statischem Routing (L2+) und
das wird entweder zu wenig sein wenn man und auf jeden Fall darf man es nicht mit dem Layer3 Menü eines Cisco SG300/SG350
das nämlich nur so strotzt vor Funktionen, Optionen und Möglichkeiten. und das des Netgear Switches ist starkt eingeschränkt (kastriert)!

Richtig und dann ist doch ein Transfernetz (VLAN) von Nöten in dem nur die AVM FB vorhanden ist und die IP Adresse
des AVM FB Routers ist dann die Gateway IP Adresse von diesem VLAN.

Also das Layer3 Menü eines Cisco SG300 und dem Netgear Switch ist nicht das gleiche!

Man kann auch ohne das Transfernetz einfach von allen VLANs eine Route auf den Netgear legen, wenn denn so
viele Routen dort hinterlegt werden können!

Gruß
Dobby

Warum hast du schon wieder so eine "mittendrin" IP genommen und nicht die .254 für das Gateway ??
Aber das design zeigt, das NetGear hier wohl wie schon anfangs vermutet ein Problem mit dem VLAN 1 hat Netgear eben....
Du hast ja den Internet Zugang jetzt wie oben schon angedacht in ein separates VLAN gezogen (10) und damit entkoppelt von VLAN 1
Vermutlich war das dann wirklich die Lösung. Du hast soweit alles richtig gemacht dafür. Das du den Drucker anpingen kannst ist der eindeutige Beweis dafür.
Du solltest dann ggf. das Management VLAN auch auf 10 setzen im Management IP Setup, damit du den NetGear Switch aus dem .178.0er Netz fürs Management erreichen kannst !
Übrigens: von WO und mit welcher Absender IP pingst du den ???
Das ist auch klar, denn 2 Dinge verhindern das:

• Die lokale Firewall die seit Win 7 das ICMP Protokoll (Ping) generell blockiert: https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
• Weiterhin blockiert die lokale Win Firewall alles was aus Fremdnetzen wie anderen VLANs kommt und NICHT der lokalen IP Adresse entspricht. Hier musst du also anpassen.

Dein Drucker hat keine Firewall deshalb funktioniert das da problemlos und zeigt auch gleichzeitig das du nur noch ein Firewall Problem hast.

Das ist ganz einfach und machst du unter Security > ACL > Advanced > IP ACL Handbuch Seite 215 !
Es reicht eine einfache IP Accessliste mit der Indexnummer 1 bis 99 wenn du komplette Netze verbieten willst.
Die Indexlisten 100 bis 199 sind granularer, da kannst du auf UDP und TCP Dienste filtern wenn du doch irgendwo detailierte Anwendungen von Einzelsystemen zulassen willst.

Um z.B. Traffic aus VLAN 10 auf VLAN 20 zu blockieren ins Internet aber zu erlauben brauchst du sowas:
Rule 100
Rule ID 1
deny src 192.168.10.0 srcmask 255.255.255.0 dst 192.168.20.0 dstmask 255.255.255.0
Rule ID 2
permit src 192.168.10.0 srcmask 255.255.255.0 dst any
Fertisch.
Diese Rule aktiviert man dann am VLAN 10 IP Interface.

Hier macht es sind sich eine geschickte IP Adressierung auszudenken so das du nicht 30 Subnetze eintragen musst zum DENYen sondern das mit einer entsprechen geschickten Wildcard Maske mit einem einzigen Eintrag macht.
Erspart ne Menge Tipparbeit

Du könntest es auch vereinfachen:
Rule 100
Rule ID 1
deny src 192.168.10.0 srcmask 255.255.192.0 dst 192.168.20.0 dstmask 255.255.255.0
Rule ID 2
permit src 192.168.10.0 srcmask 255.255.255.0 dst any
Blockt alle Netze bis 192.168.63.0 oder 255.255.128.0 als Maske blockt alles bis 192.168.127.0.
So musst du statt x mal deny nur eine einzige Rule für die Subnetze eintragen pro Interface.
Das ist generell so bei ACLs. //First match wins..."
Jein. Ist technisch falsch ausgedrückt, vermutlich meinst du aber das richtige.
Inbound checkt der Switch anhand der ACL die Regeln was in Absender IP und Ziel IP steht.
Matcht eine Regel schmeisst der Switch das Paket weg.
Matcht es nicht lässt er es passieren, Da Internet IP Adressen keine 192.168er IPs als Ziel sind passieren die also.
Ganz einfache Logik