12
VLAN Port in anderes VLAN
Hallo zusammen,
folgende Konstellation:
Cisco CBS350er Switche
3 Konfigurierte VLANs sagen wir mal 10, 20, 30
10 ist mein Internes hier sitzt auch mein Radius Server
20 soll für die APs sein dort befindet sich auch der Router fürs Gäste Internet
30 anderweitig verwendet
Switche werden aus dem VLAN 10 verwaltet haben also nur für dieses Netz ein IPv4 interface
Die VLAN sind physikalisch getrennt was ja out oft he box so ist… jetzt möchte ich aber Radius für den Zugang zum internen Netz nutzen dazu müsst ich aus dem 20er VLAN den Port 1812 im VLAN 10 erreichen und auf meinen Radius Server leiten.
Und nun steh ich auf dem Schlauch… wie stell ich das an bzw. bau ich mir hier ein großes Sicherheitsrisiko rein? Routing?
Hoffe ihr zerreißt mich jetzt nicht in der Luft 😊 wenn doch viel Spaß
Freue mich auf konstruktive Hilfe und sag schon mal vielen Dank
folgende Konstellation:
Cisco CBS350er Switche
3 Konfigurierte VLANs sagen wir mal 10, 20, 30
10 ist mein Internes hier sitzt auch mein Radius Server
20 soll für die APs sein dort befindet sich auch der Router fürs Gäste Internet
30 anderweitig verwendet
Switche werden aus dem VLAN 10 verwaltet haben also nur für dieses Netz ein IPv4 interface
Die VLAN sind physikalisch getrennt was ja out oft he box so ist… jetzt möchte ich aber Radius für den Zugang zum internen Netz nutzen dazu müsst ich aus dem 20er VLAN den Port 1812 im VLAN 10 erreichen und auf meinen Radius Server leiten.
Und nun steh ich auf dem Schlauch… wie stell ich das an bzw. bau ich mir hier ein großes Sicherheitsrisiko rein? Routing?
Hoffe ihr zerreißt mich jetzt nicht in der Luft 😊 wenn doch viel Spaß
Freue mich auf konstruktive Hilfe und sag schon mal vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8110167021
Url: https://administrator.de/contentid/8110167021
Printed on: April 27, 2024 at 20:04 o'clock
12 Comments
Latest comment
VLANs sind eigene IP-Subnetze. Kommunikation über Subnetz Grenzen setzt Routing voraus: also L3-Switch oder dedizierter Router. Dann kann man noch über ACLs im Switch die Kommunikation einschränken.
Oder wenn der dedizierte Router die Firewall ist, über FW-Regeln.
Jürgen
Oder wenn der dedizierte Router die Firewall ist, über FW-Regeln.
Jürgen
Moin,
wie @chiefteddy schon sagte: Du kannst Dir die VLAns wie einzelne (physikalisch) getrennte Netze vorstellen, die i.d.R. auch getrennte IP-Subnetze haben. Damit diese miteinander kommunizieren können mußt Du dies über einen Router verbninden. Das kann ein eigenständiger Router sein, ein layer-3-switch oder eine Firewall.
Die "falsche" Methode wäre es , zwei VLANs ins gleiche IP-netz zu packen und diese einfach "kurzzuschlißen, auch wenn man über Filterregeln am switch das Ganze einschränken könnte.
lks
wie @chiefteddy schon sagte: Du kannst Dir die VLAns wie einzelne (physikalisch) getrennte Netze vorstellen, die i.d.R. auch getrennte IP-Subnetze haben. Damit diese miteinander kommunizieren können mußt Du dies über einen Router verbninden. Das kann ein eigenständiger Router sein, ein layer-3-switch oder eine Firewall.
Die "falsche" Methode wäre es , zwei VLANs ins gleiche IP-netz zu packen und diese einfach "kurzzuschlißen, auch wenn man über Filterregeln am switch das Ganze einschränken könnte.
lks
Das Wichtigste hast du leider nicht gesagt! 
Betreibst du mit dem Switch ein Layer 2 VLAN Konzept oder ein Layer 3 VLAN Konzept??
Davon ist massgeblich abhängig wie eine Lösung aussieht.
Grundsätzlich ist Routing und eine Firewall Regel oder Accessliste ein gangbarer Weg.
Noch sinnvoller wäre es aber wenn deine APs MSSID fähig sind. Auch dazu machst du leider keinerlei hilfreiche Angaben.
Ist dem so dann würde man als Netzwerker das Management der APs auch immer in dein Management VLAN 10 legen ohne das auf dieses VLAN eine WLAN SSID gemappt wird. Das ist auch übliche Best Practise in so einem Setup. Siehe o.a. L 2 Tutorial.
Die VLAN IDs bzw. ggf. auch dynamische VLANs weist du dann im er über den Radius Server in VLAN 10 zu so das ein IP Interfaces und o.a. Regelwerk gar nicht erforderlich ist!
Betreibst du mit dem Switch ein Layer 2 VLAN Konzept oder ein Layer 3 VLAN Konzept??
Davon ist massgeblich abhängig wie eine Lösung aussieht.
Grundsätzlich ist Routing und eine Firewall Regel oder Accessliste ein gangbarer Weg.
Noch sinnvoller wäre es aber wenn deine APs MSSID fähig sind. Auch dazu machst du leider keinerlei hilfreiche Angaben.
Ist dem so dann würde man als Netzwerker das Management der APs auch immer in dein Management VLAN 10 legen ohne das auf dieses VLAN eine WLAN SSID gemappt wird. Das ist auch übliche Best Practise in so einem Setup. Siehe o.a. L 2 Tutorial.
Die VLAN IDs bzw. ggf. auch dynamische VLANs weist du dann im er über den Radius Server in VLAN 10 zu so das ein IP Interfaces und o.a. Regelwerk gar nicht erforderlich ist!
Wow cool erst mal vielen Dank für die Produktiven Beiträge.
Und sorry für meine spärlichen Auskünfte.
Würde es gerne auf dem Switch lösen von dem her komme ich wenn ich es richtig verstanden hab nicht um Layer 3 rum darum wurden auch diese Switche beschafft.
Da VLAN 10 und 20 über eigene Router laufen.
Setzte diverse LANCOM APs ein die alle MSSID fähig sind was in dem Fall auch der Hauptgrund aktuell für VLANs ist… Segmentierung des Netztes steht auch noch auf der 2DO.
Hätte gerne die APs im VLAN 10 dann hätte ich viele Probleme nicht wie von aqui angesprochen…
Leider wie so oft gibt es einen Haken.
Im VLAN 10 gibt es einen Proxy welcher vom RZ verwaltet wird was Cloud Management, Updates.
IPV4 Routing ist aktiv…
Dann müsste ich die Ports auf Layer 3 Umstellen und mir das Routing bauen… beschränken auf RADIUS Port muss ich dann über ACLs
Und sorry für meine spärlichen Auskünfte.
Würde es gerne auf dem Switch lösen von dem her komme ich wenn ich es richtig verstanden hab nicht um Layer 3 rum darum wurden auch diese Switche beschafft.
Da VLAN 10 und 20 über eigene Router laufen.
Setzte diverse LANCOM APs ein die alle MSSID fähig sind was in dem Fall auch der Hauptgrund aktuell für VLANs ist… Segmentierung des Netztes steht auch noch auf der 2DO.
Hätte gerne die APs im VLAN 10 dann hätte ich viele Probleme nicht wie von aqui angesprochen…
Leider wie so oft gibt es einen Haken.
Im VLAN 10 gibt es einen Proxy welcher vom RZ verwaltet wird was Cloud Management, Updates.
IPV4 Routing ist aktiv…
Dann müsste ich die Ports auf Layer 3 Umstellen und mir das Routing bauen… beschränken auf RADIUS Port muss ich dann über ACLs
Ein Haken bzw. „Showstopper“ ist das ja nicht. Du hast es aber schon richtig erkannt das du dann zw. den Segmenten routen musst und den Traffic dann mit Accesslisten entsprechend steuern musst. Ob L2 oder L3 Mode wie oben beschrieben ist dabei erstmal zweitrangig solange es nur ein Verfahren ist. Beides parallel geht natürlich nicht!
Letztlich ja kein Problem und im Handumdrehen erledigt!
Letztlich ja kein Problem und im Handumdrehen erledigt!
Ich bin wohl doch zu doof.
Hab mittlerweile einen CBS 350 auf Werkseinstellung.
Smartport ist inaktiv.
Sonst nur 2 VLANs angelegt 10 und 20
Interface den VLANs zugewiesen
IPv4 Routing ist aktiv
VLAN 10 Interface 172.16.0.1
PC 172.16.0.5
GW 10 172.16.0.1
Subnetz 255.255.255.224
VLAN 20 Interface 172.16.0.33
PC 172.16.0.34
GW 172.16.0.33
Subnetz 255.255.255.224
VLANs auf die entsprechenden Port gelegt
PCs dran GW ist der Switch... kann von beiden PC jeweils beide GW Adressen pingen aber nicht den PC.. SMB auch ohne Erfolg
IPv4 Forwarding Table legt er ja selbst an sind die beiden Netze drin.
Eigentlich wie im Video von Cisco bzw. in der Anleitung von aqui...steh auf dem Schlauch
ACL hab ich gar nix gemacht dann darf ich per Default mal jedes mit jedem oder?
Schon mal jetzt vielen Dank
Hab mittlerweile einen CBS 350 auf Werkseinstellung.
Smartport ist inaktiv.
Sonst nur 2 VLANs angelegt 10 und 20
Interface den VLANs zugewiesen
IPv4 Routing ist aktiv
VLAN 10 Interface 172.16.0.1
PC 172.16.0.5
GW 10 172.16.0.1
Subnetz 255.255.255.224
VLAN 20 Interface 172.16.0.33
PC 172.16.0.34
GW 172.16.0.33
Subnetz 255.255.255.224
VLANs auf die entsprechenden Port gelegt
PCs dran GW ist der Switch... kann von beiden PC jeweils beide GW Adressen pingen aber nicht den PC.. SMB auch ohne Erfolg
IPv4 Forwarding Table legt er ja selbst an sind die beiden Netze drin.
Eigentlich wie im Video von Cisco bzw. in der Anleitung von aqui...steh auf dem Schlauch
ACL hab ich gar nix gemacht dann darf ich per Default mal jedes mit jedem oder?
Schon mal jetzt vielen Dank
Das Gateway auf PC 2 in VLAN 20 ist falsch!
Das muss logischerweise auf die Switch VLAN IP gesetzt werden damit das klappt. Einfache Routing Basics die man beachten sollte!! 🧐
Beachte auch noch das, sofern diese PCs, ein Windows OS haben das dort per Default ICMP (Ping) in der lokalen Firewall per Default geblockt ist!
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Zusätzlich blockiert die lokale Windows Firewall alle Zugriffe aus fremden IP Netzen!! Auch das musst du entsprechend customizen!
Das muss logischerweise auf die Switch VLAN IP gesetzt werden damit das klappt. Einfache Routing Basics die man beachten sollte!! 🧐
Beachte auch noch das, sofern diese PCs, ein Windows OS haben das dort per Default ICMP (Ping) in der lokalen Firewall per Default geblockt ist!
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Zusätzlich blockiert die lokale Windows Firewall alle Zugriffe aus fremden IP Netzen!! Auch das musst du entsprechend customizen!
Hatte ne 3 vergessen sorry
Zeigt natürlich auf die Switch IP
Zeigt natürlich auf die Switch IP
Dann ist es routingtechnisch korrekt!
Wenn es wider Erwarten dennoch nicht klappen sollte ist der einzige Grund nur noch die Firewall.
Wenn es wider Erwarten dennoch nicht klappen sollte ist der einzige Grund nur noch die Firewall.
Es läuft vielen Dank euch 
Zumindest Routing
Am Ende hing es tatsächlich noch an der Firewall wie von aqui völlig richtig vermutet.
Auch wenn man denkt sei alles offen gibts in der Windows Firewall doch noch was wo in die Suppe spuckt
ACL kommt jetzt
Zumindest Routing
Am Ende hing es tatsächlich noch an der Firewall wie von aqui völlig richtig vermutet.
Auch wenn man denkt sei alles offen gibts in der Windows Firewall doch noch was wo in die Suppe spuckt
ACL kommt jetzt
1
Eine frage hätt ich doch noch
Wenn ich 3 Switche über einen Trunk verbunden hab muss ich das Routing auf allen konfigurieren oder reicht das auf einem?
Wenn ich 3 Switche über einen Trunk verbunden hab muss ich das Routing auf allen konfigurieren oder reicht das auf einem?
Nope, das Routing (L3 Switching) wird immer nur auf einem einzigen Switch dem Core Switch konfiguriert. Das kann auch ein Core Stack sein.
Ausnahme wäre nur wenn der Core aus 2 Systemen besteht die aus Redundanzgründen in einem HA (High Avalilability) Verbund betrieben werden mit VRRP.
Ein klassisches, einfaches und redundantes Netzwerk Allerweltsdesign mit Layer 3 sähe z.B. so aus:
Ausnahme wäre nur wenn der Core aus 2 Systemen besteht die aus Redundanzgründen in einem HA (High Avalilability) Verbund betrieben werden mit VRRP.
Ein klassisches, einfaches und redundantes Netzwerk Allerweltsdesign mit Layer 3 sähe z.B. so aus:
