16
VLAN hinter O2 HomeBox
Hi zusammen,
ich als Netzwerk-Laie habe ich mich soweit eingelesen und glaube das Wesentliche verstanden zu haben, komme aber gerade nicht weiter. Ein kleiner Schubs in die richtige Richtung würde mir hier denke ich reichen.
Unser Vermieter hat uns einen D-Link DSG 1210-24 (Layer 3 Switch) und einen Cisco WAP571 (WLAN-AP) mitvermietet. Der Plan ist nun 3 VLANs aufzubauen (Office, Privat & Gast) die jeweils nicht untereinander kommunizieren können, aber alle über den Router (O2 HomeBox) ins Internet kommen.
Der Cisco WLAN-AP kann tagged VLAN, sodass er die VLANs Gast und Privat über 2 verschiedene SSIDs ausstrahlt. Im Moment hängt der Router noch untagged im Privat und Gast VLAN (asymetric VLAN), würde ihn später dann aber in ein separates VLAN legen, sobald es grundsätzlich läuft.
Im Switch ist DHCP Relay konfiguriert, WLAN Clients im Gast-VLAN erhalten ein IP vom DHCP-Server im Router, haben aber keinen Internetzugang und ein Ping auf die Gateway-IP des Routers bleibt unbeantwortet. Soweit ich es verstanden habe, ist es hierzu nötig, statische Routen im Router zu setzen. (Was aufgrund der eingeschränkten Möglichkeiten der O2 HomeBox nicht geht.) Hinzu kommt, dass der DHCP der HomeBox nur ein Subnetz versorgen kann. Hier kann ich nicht nachvollziehen, wie statistische Routen funktionieren sollten, wenn die Clients in mehren VLANs aber in einem gemeinsamen Subnetz liegen.
Nun zur eigentlichen Frage. Besteht überhaupt die Chance, mit der Gurke von Router eine sinnvolle Trennung zu erreichen, indem man ausschließlich den Switch konfiguriert? Falls ja, was mache ich falsch.
Falls es aussichtslos ist, würde ich mir wahrscheinlich einen mikrotik hex kaufen und zwischen HomeBox und Switch hängen. Da traue ich mir dann auch zu, es ohne Hilfe zu schaffen. Ich möchte mir selbst aber nicht vorwerfen müssen, ein Gerät anzuschaffen zu müssen, um meine Unfähigkeit zu kompensieren.
Vielleicht hat jemand von euch einen erleuchtenden Tipp für mich.
VG
Brumm
ich als Netzwerk-Laie habe ich mich soweit eingelesen und glaube das Wesentliche verstanden zu haben, komme aber gerade nicht weiter. Ein kleiner Schubs in die richtige Richtung würde mir hier denke ich reichen.
Unser Vermieter hat uns einen D-Link DSG 1210-24 (Layer 3 Switch) und einen Cisco WAP571 (WLAN-AP) mitvermietet. Der Plan ist nun 3 VLANs aufzubauen (Office, Privat & Gast) die jeweils nicht untereinander kommunizieren können, aber alle über den Router (O2 HomeBox) ins Internet kommen.
Der Cisco WLAN-AP kann tagged VLAN, sodass er die VLANs Gast und Privat über 2 verschiedene SSIDs ausstrahlt. Im Moment hängt der Router noch untagged im Privat und Gast VLAN (asymetric VLAN), würde ihn später dann aber in ein separates VLAN legen, sobald es grundsätzlich läuft.
Im Switch ist DHCP Relay konfiguriert, WLAN Clients im Gast-VLAN erhalten ein IP vom DHCP-Server im Router, haben aber keinen Internetzugang und ein Ping auf die Gateway-IP des Routers bleibt unbeantwortet. Soweit ich es verstanden habe, ist es hierzu nötig, statische Routen im Router zu setzen. (Was aufgrund der eingeschränkten Möglichkeiten der O2 HomeBox nicht geht.) Hinzu kommt, dass der DHCP der HomeBox nur ein Subnetz versorgen kann. Hier kann ich nicht nachvollziehen, wie statistische Routen funktionieren sollten, wenn die Clients in mehren VLANs aber in einem gemeinsamen Subnetz liegen.
Nun zur eigentlichen Frage. Besteht überhaupt die Chance, mit der Gurke von Router eine sinnvolle Trennung zu erreichen, indem man ausschließlich den Switch konfiguriert? Falls ja, was mache ich falsch.
Falls es aussichtslos ist, würde ich mir wahrscheinlich einen mikrotik hex kaufen und zwischen HomeBox und Switch hängen. Da traue ich mir dann auch zu, es ohne Hilfe zu schaffen. Ich möchte mir selbst aber nicht vorwerfen müssen, ein Gerät anzuschaffen zu müssen, um meine Unfähigkeit zu kompensieren.
Vielleicht hat jemand von euch einen erleuchtenden Tipp für mich.
VG
Brumm
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 602699
Url: https://administrator.de/contentid/602699
Printed on: April 24, 2024 at 20:04 o'clock
16 Comments
Latest comment
Dann schubsen wir mal etwas...
Zuallererst: Der DGS 1210 Switch ist KEIN Layer 3 Switch wie du oben fälschlicherweise schreibst ! Er kann nicht routen und ist ein Layer 2 only VLAN Switch. Guckst du auch hier ins Datenblatt ("Layer = Layer 2"):
https://eu.dlink.com/de/de/products/dgs-1210-series-gigabit-smart-switch ...
Könnte er L3 wäre dein Thread hier überflüssig...
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wie man es mit dem MT im Detail löst kannst du hier sehen an einer Übersichts Skizze:
Bzw. hier wie man es dann im Detail konfiguriert:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Zuallererst: Der DGS 1210 Switch ist KEIN Layer 3 Switch wie du oben fälschlicherweise schreibst ! Er kann nicht routen und ist ein Layer 2 only VLAN Switch. Guckst du auch hier ins Datenblatt ("Layer = Layer 2"):
https://eu.dlink.com/de/de/products/dgs-1210-series-gigabit-smart-switch ...
Könnte er L3 wäre dein Thread hier überflüssig...
über 2 verschiedene SSIDs ausstrahlt.
Wie fast alle aktuellen VLANs. Dies Praxisbeispiel erklärt so ein klassisches Standad Design:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Soweit ich es verstanden habe, ist es hierzu nötig, statische Routen im Router zu setzen.
Ja, das ist zwingend nötig, zudem muss der Router auch 802.1q VLANs supporten was deine O2 Billigbox vermutlich garantiert nicht kann, oder ? Du musst ja zwischen den VLANs routen können. Der Switch kann es wie du oben ja im Datenblat sehen kannst nicht und die O2 Home Box ist wie alle umsonst Router Dreingaben von Providern der billigste Schrott mit mieser Performance, unsicher und noch mieserem Feature Set. Provider sind keine Menschenfreunde, die wollen nur das du dich mit Vertrag langfristig bindest alles andere sind lästige Mehrkosten die die Bilanz und Gewinn verhageln...weisst du auch selber. Deshalb nimmt der weise Netzwerker niemals Routerdreingaben von Providern sondern beschafft immer etwas eigenes !Besteht überhaupt die Chance, mit der Gurke von Router eine sinnvolle Trennung zu erreichen
Ja, aber nur wenn du einen 2ten Router kaskadierst. Ohne zusätzliche HW wirst du das so mit dem vorhandenen Equipment technisch nicht hinbekommen.indem man ausschließlich den Switch konfiguriert?
Nein, denn der kann ja rein nur Layer 2 ! Er kann NICHT routen weil ihm das L3 Feature fehlt ! Keine Chance also mit dem Switch.Falls es aussichtslos ist, würde ich mir wahrscheinlich einen mikrotik hex kaufen
Es IST mit der vorhandenen HW aussichtlos und der MT eine der gangbaren Lösungen (Kaskade). Hast du richtig erkannt. Ich möchte mir selbst aber nicht vorwerfen müssen
Keine Sorge...du hast alles richtig gemacht und bedacht...Wie man es mit dem MT im Detail löst kannst du hier sehen an einer Übersichts Skizze:
Bzw. hier wie man es dann im Detail konfiguriert:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Hi Aqui, vielen Dank! Dann war ich zumindest nicht so sehr auf dem Holzweg wie ich zwischenzeitlich vermutet habe.
Ich bin tatsächlich von Layer 3 ausgegangen, weil er "L3 Functions" in der GUI anbietet. (u.A. "IPv4 static route") Da ich im Grunde (noch) kein Routing zwischen den VLANs brauche, sondern vorerst nur allen VLANs einen Gateway ins Internet geben möchte, hatte ich gehofft, dass es irgendwie trotzdem geht.
Viele Grüße
Brumm
Ich bin tatsächlich von Layer 3 ausgegangen, weil er "L3 Functions" in der GUI anbietet. (u.A. "IPv4 static route") Da ich im Grunde (noch) kein Routing zwischen den VLANs brauche, sondern vorerst nur allen VLANs einen Gateway ins Internet geben möchte, hatte ich gehofft, dass es irgendwie trotzdem geht.
Viele Grüße
Brumm
weil er "L3 Functions" in der GUI anbietet. (u.A. "IPv4 static route")
Mmhhh...da müsste man jetzt nochmal genau das Datenblatt studieren. Stimmt das dann kann er wirklich L3 und dann könnte man ein Routing damit lösen.Allerdings erfordert es dann zwingend eine statische Route im Internet Router ! Siehe das Grundprinzip einer solchen Installation:
Laut deinen Aussagen oben supportet aber deine O2 Box keinerlei statische Routen, was dann für diese dann eigentlich ideale Lösung, ebenso das sofortige technische AUS bedeutet !
So oder so...der D-Link Switch supportet definitiv kein Layer 3 (Beispiel Revision G):
ftp://ftp.dlink.de/dgs/dgs-1210-24/documentation/DGS-1210-24_man_revD_4-10_all_en_20130723.pdf
Appendix B - Technical Specifications sagt das eindeutig !
L3 Funktionen sind lediglich DHCP Relay und ein paar IPv6 Management Funktionen. Routing zwischen den VLANs ist de facto nicht dabei.
Es bleibt also beim oben bereits Gesagtem.
Hallo @aqui,
ich muß Dich leider korrieren:
Siehe Datenblat ftp://ftp.dlink.de/dgs/dgs-1210-24/documentation/DGS-1210_Smart_Serie_ds_revG_en_01-2018.pdf Seite 5
L3 Features • IP Interface • Static Routing
• Supports 4 interface • 124/50 IPv4/6 Static Route Entries
• IPv6 Neighbor Discovery (ND)
Und Handbuch ftp://ftp.dlink.de/dgs/dgs-1210-24/documentation/DGS-1210-24_man_revG_7-00_eu_en_20170606.pdf Seite 69
L3 Functions > IPv4 Static Route
TheSwitch supports static routing for IPv4 formatted addressing. User can create up to 256 static route entries for IPv4. For IPv4 static routes, once a static route has been set, the Switch will send an ARP request packet to the next hop router that has been set by the user. Once an ARP response has been retrieved by the Switch from that next hop, the route becomes enabled. However, if the ARP entry already exists, an ARP request will not be sent. The Switch also supports a floating static route, which means that the user may create an alternative static route to a different next hop. This secondary next hop device route is considered as a backup static route for when the primary static route is down. If the primary route is lost, the backup route will uplink and its status will become active. Entries into the Switch’s forwarding table can be made using both an IP address subnet mask and a gateway.The IPv4 Static Route page allows user to enable and configure the IPv4 route settings
Die DSG 1210-Serie ist also ein L2+ Switch, wie es so schön heißt.
Die Anforderungen des TO müßten also auch ohne zusaätzlichen Router (Router-Kaskade) umsetzbar sein.
Jürgen
ich muß Dich leider korrieren:
Der DGS 1210 Switch ist KEIN Layer 3 Switch wie du oben fälschlicherweise schreibst ! Er kann nicht routen und ist ein
Layer 2 only VLAN Switch. Guckst du auch hier ins Datenblatt ("Layer = Layer 2")
Layer 2 only VLAN Switch. Guckst du auch hier ins Datenblatt ("Layer = Layer 2")
Siehe Datenblat ftp://ftp.dlink.de/dgs/dgs-1210-24/documentation/DGS-1210_Smart_Serie_ds_revG_en_01-2018.pdf Seite 5
L3 Features • IP Interface • Static Routing
• Supports 4 interface • 124/50 IPv4/6 Static Route Entries
• IPv6 Neighbor Discovery (ND)
Und Handbuch ftp://ftp.dlink.de/dgs/dgs-1210-24/documentation/DGS-1210-24_man_revG_7-00_eu_en_20170606.pdf Seite 69
L3 Functions > IPv4 Static Route
TheSwitch supports static routing for IPv4 formatted addressing. User can create up to 256 static route entries for IPv4. For IPv4 static routes, once a static route has been set, the Switch will send an ARP request packet to the next hop router that has been set by the user. Once an ARP response has been retrieved by the Switch from that next hop, the route becomes enabled. However, if the ARP entry already exists, an ARP request will not be sent. The Switch also supports a floating static route, which means that the user may create an alternative static route to a different next hop. This secondary next hop device route is considered as a backup static route for when the primary static route is down. If the primary route is lost, the backup route will uplink and its status will become active. Entries into the Switch’s forwarding table can be made using both an IP address subnet mask and a gateway.The IPv4 Static Route page allows user to enable and configure the IPv4 route settings
Die DSG 1210-Serie ist also ein L2+ Switch, wie es so schön heißt.
Die Anforderungen des TO müßten also auch ohne zusaätzlichen Router (Router-Kaskade) umsetzbar sein.
Jürgen
Hi Jürgen,
Danke auch an Dich. Aber ein workaround ohne zusätzliche Hardware ergibt sich dadurch für mich nicht oder?
VG
Brumm
Danke auch an Dich. Aber ein workaround ohne zusätzliche Hardware ergibt sich dadurch für mich nicht oder?
VG
Brumm
ich muß Dich leider korrieren:
Das hatte ich auch gesehen aber ich verstehe das Handbuch so das der Switch an sich (Management) statische Routen in andere IP Netze supportet statt einer einfachen default Route.Um wirklich zwischen den VLANs routen zu können müsste man pro VLAN immer eine dedizierte IP Adresse auf dem Switch setzen. Genau DAS supportet er aber nicht ! In den VLAN Settings ab Seite 38ff. ist das nirgendwo erwähnt (oder ich habe es übersehen).
Das ist aber eine Grundvoraussetzung das Routing auf einem Switch klappt, denn bekanntermaßen ist die VLAN spezifische IP des Switches immer die Gateway Adresse der Endgeräte in den VLANs. Diese Option ist aber auf dem o.a. D-Link nicht gegeben. Also damit dann auch kein 2+ oder 3.
Die Anforderungen des TO müßten also auch ohne zusätzlichen Router (Router-Kaskade) umsetzbar sein.
Nein !Denn der TO schreibt oben auch das die O2 Box keinerlei statische Routen supportet wie z.B. auch die Speedport Router der Telekom. Das wäre aber zwingend erforderlich würde der D-Link L2+ oder L3 wider Erwarten supporten und damit routen können.
Spätestens daran würde dann auch diese Option scheitern.
Bleibt also m.E. dabei das es mit der aktuellen Hardware des TO nicht lösbar ist.
Hallo.
OK, kann ich mitgehen. ABER: Da Steht auch, der Switch unterstützt 4 Interfaces.
Das interpretiere ich so, dass man sehrwohl dedizierte IP-Adressen auf dem Switch setzen kann. Allerdings ist man dann auf 4 VLANs beschränkt.
Was dem TO allerdings reichen würde.
Im Zweifel muß der TO es eben ausprobieren oder den Support kontaktieren.
Alternativ müßte der DGS 1210 gegen einen Switch aus der Serie DGS 1510 getauscht werden. Der kann definitiv L3 bzw L2+.
Jürgen
OK, kann ich mitgehen. ABER: Da Steht auch, der Switch unterstützt 4 Interfaces.
• Supports 4 interfaces
Das interpretiere ich so, dass man sehrwohl dedizierte IP-Adressen auf dem Switch setzen kann. Allerdings ist man dann auf 4 VLANs beschränkt.
Was dem TO allerdings reichen würde.
Im Zweifel muß der TO es eben ausprobieren oder den Support kontaktieren.
Alternativ müßte der DGS 1210 gegen einen Switch aus der Serie DGS 1510 getauscht werden. Der kann definitiv L3 bzw L2+.
Jürgen
Kurze Frage dazu, ich habe kein Plan wofür und was diese Interfaces sind. Wenn man nach "IP interface" googelt findet man alles und nichts.
Ich vermute aber hier sind es die "Switch Virtual Interfaces" (SVI) D-Link nennt sie nur anders, richtig? ... nur damit ich nicht schon beim googeln falsch abbiege...
Ich vermute aber hier sind es die "Switch Virtual Interfaces" (SVI) D-Link nennt sie nur anders, richtig? ... nur damit ich nicht schon beim googeln falsch abbiege...
Hallo,
wie @aqui schon schrieb, braucht ein L3-Switch in jedem VLAN ein virtuelles Interface mit einer IP aus dem Subnetz-Bereich des VLANs. Dieses virtuelle Interface ist in der Regel das Standard-Gateway dieses Subnetzes/ VLANs und dient als Routing-Interface.
https://en.wikipedia.org/wiki/Switch_virtual_interface
Jürgen
PS: Ob der DSG 1210 das nun unterstützt oder nicht, mußt du selber ausprobieren.
wie @aqui schon schrieb, braucht ein L3-Switch in jedem VLAN ein virtuelles Interface mit einer IP aus dem Subnetz-Bereich des VLANs. Dieses virtuelle Interface ist in der Regel das Standard-Gateway dieses Subnetzes/ VLANs und dient als Routing-Interface.
https://en.wikipedia.org/wiki/Switch_virtual_interface
Jürgen
PS: Ob der DSG 1210 das nun unterstützt oder nicht, mußt du selber ausprobieren.
Das interpretiere ich so, dass man sehrwohl dedizierte IP-Adressen auf dem Switch setzen kann.
Ja aber WO ??Ich habe das Handbuch jetzt mehrfach rauf und runter gelesen und finde keinerlei Passage wo beschrieben ist das man in einem VLAN eine IP setzen kann. DAS ist aber fürs Routing zwingend erforderlich. Deshalb denke ich das es generell nicht geht.
Hast du das was gesehen im Handbuch ??
Hallo,
ftp://ftp.dlink.de/dgs/dgs-1210-24/documentation/DGS-1210-24_man_revG_7-00_eu_en_20170606.pdf
Seite 67 Abschnitt "L3 Functions > IP Interface"
Interface Name: Specifies the name of IP interface.
VLAN Name: Specifies the VLAN name of IP interface.
IPv4 Address: Specifies the IPv4 address for the interface.
Netmask: Select the netmask of IP address.
Interface Admin State: Enables or disables the interface administration state.
Jürgen
ftp://ftp.dlink.de/dgs/dgs-1210-24/documentation/DGS-1210-24_man_revG_7-00_eu_en_20170606.pdf
Seite 67 Abschnitt "L3 Functions > IP Interface"
Interface Name: Specifies the name of IP interface.
VLAN Name: Specifies the VLAN name of IP interface.
IPv4 Address: Specifies the IPv4 address for the interface.
Netmask: Select the netmask of IP address.
Interface Admin State: Enables or disables the interface administration state.
Jürgen
1
Du hast Recht ! Das ist es !
Sorry, war so klein und nur eine halbe Seite, das ist mir glatt durchgegangen !
OK, dann kann der doch L3 oder L2+ wie die so schön sagen.
Ist dann aber ein Routing und damit ist das dann jedenfalls vom Switch her problemlos umsetzbar !
Wir dann aber letztlich wohl an der fehlenden Option von statischen Routen in der O2 Gurke scheitern...
Fazit:
O2 entsorgen und FritzBox nehmen oder doch eine Kaskade.
Sorry, war so klein und nur eine halbe Seite, das ist mir glatt durchgegangen !
OK, dann kann der doch L3 oder L2+ wie die so schön sagen.
Ist dann aber ein Routing und damit ist das dann jedenfalls vom Switch her problemlos umsetzbar !
Wir dann aber letztlich wohl an der fehlenden Option von statischen Routen in der O2 Gurke scheitern...
Fazit:
O2 entsorgen und FritzBox nehmen oder doch eine Kaskade.
1
Vielen Dank für die Zeit die ihr hier investiert, mit soviel Hilfsbereitschaft hab ich tatsächlich nicht gerechnet.
Vielleicht teste ich das mit der Kaskade mal, die Latenzerhöhung Richtung Internet ist wahrscheinlich vernachlässigbar. (Oder?)
Noch eine Verständnisfrage zur Umsetung der Lösung mit den statischen Routen (aqui, gestern 13:49). In der Lösung hat jedes VLAN ja sein eigenes IP Subnetz. (Ist ja auch Voraussetzung um verschiedene Routing-Ziele zu haben, richtig?) Lässt sich sowas mit einer FritzBox* realisieren, soweit ich weiß lässt sich der DHCP-Server der FB nur für ein Subnetz nutzen. Gerade für ein Gäste-Wlan möchte ich aber nicht auf DHCP verzichten. Muss ich dann hier irgendwo einen "besseren" DHCP-Server einhängen bzw. kann dann DHCP nur für ein VLAN verwenden?
VG
Brumm
*FritzBox, hier mal stellvertretend für einen beliebigen Consumer-Modem-Router der statisch routen kann.
Vielleicht teste ich das mit der Kaskade mal, die Latenzerhöhung Richtung Internet ist wahrscheinlich vernachlässigbar. (Oder?)
Noch eine Verständnisfrage zur Umsetung der Lösung mit den statischen Routen (aqui, gestern 13:49). In der Lösung hat jedes VLAN ja sein eigenes IP Subnetz. (Ist ja auch Voraussetzung um verschiedene Routing-Ziele zu haben, richtig?) Lässt sich sowas mit einer FritzBox* realisieren, soweit ich weiß lässt sich der DHCP-Server der FB nur für ein Subnetz nutzen. Gerade für ein Gäste-Wlan möchte ich aber nicht auf DHCP verzichten. Muss ich dann hier irgendwo einen "besseren" DHCP-Server einhängen bzw. kann dann DHCP nur für ein VLAN verwenden?
VG
Brumm
*FritzBox, hier mal stellvertretend für einen beliebigen Consumer-Modem-Router der statisch routen kann.
die Latenzerhöhung Richtung Internet ist wahrscheinlich vernachlässigbar. (Oder?)
Ja, ist sie.Lässt sich sowas mit einer FritzBox* realisieren, soweit ich weiß lässt sich der DHCP-Server der FB nur für ein Subnetz nutzen.
Wenn man auf dem FritzBox DHCP Server mehrere Scopes für unterschiedliche IP Netz konfigurieren kann geht das natürlich. Du musst dann auf dem Switch lediglich Das DHCP Relay aktivieren was er ja kann. (Seite 31).Viele L3 Switches supporten auch DHCP Server aber das ist etwas was der D-Link nun wirklich nicht kann.
Habe aber noch nie gesehen das man auf der FritzBox mehrere DHCP Ranges im DHCP Server definieren kann. Gut, bin jetzt auch nicht der FB Profi, das müsste dann jemand anderes beantworten der die FB besser kennt.
Alternativ nimmt man einen Raspberry Pi oder Orange Pi Zero mit einem zentralen ISC DHCP Server drauf der das dann kann:
Netzwerk Management Server mit Raspberry Pi
Idealerweise dann gleich in Kombination mit einem PiHole der einem das Netzwerk Werbungs und Trojaner frei macht:
Raspberry Pi Zero W als Pi-hole Adblocker
kurzes update:
MikroTik hex gekauft --> deine Anleitung befolgt --> läuft.
Mangels Konfigurationsmöglichkeit statischer Routen im Provider-Router leider noch mit Doppel-NAT aber ich hab was gelernt. Vielen Dank für die Unterstützung!
Viele Grüße
Brumm
MikroTik hex gekauft --> deine Anleitung befolgt --> läuft.
Mangels Konfigurationsmöglichkeit statischer Routen im Provider-Router leider noch mit Doppel-NAT aber ich hab was gelernt. Vielen Dank für die Unterstützung!
Viele Grüße
Brumm
Vielen Dank für die Unterstützung!
Immer gerne ! Works as designed ! 
