VLAN Problem mit HP 1810-24 G (v2)

Hallo d3rChri5
Bei den kleinen Netgears, musst du ja zusätzlich die Portconfiguration einstellen, bei der definierst du ein VLAN, in das er die Daten sendet, wenn er nicht weiss wohin.
Darum ist diese merkwürdige Konfig mit mehreren Untagged Ports möglich.

Stefan

Hallo

Ich habe die 1810 v2 8 Port im Einsatz. Kannte vorher nur die Procurve Serie mit Konsole.

Bei der 1810Serie musste ich erst auch die Logik verstehen.

Du hast U,T und E zur auswahl.

Sollte ein Gerät hinter dem Switch kein Vlan verstehen muss der Port auf U sein.
Versteht das Gerät hinter dem Switch Vlan IDs so kannst du Ihn auf Tagged setzen

Taggen kannst du mehrere Vlans auf einen Port.

Im Normal Fall wird das Tagging aber verwendet um Switches untereinander zu verbinden.
Denn nomalerweise verstehen die Endgeräte/Clients kein Vlan.
U wird verwendet um EIN genanntes Vlan auf einen Port zu schalten.
E nimmts du damit ein Vlan nicht wo Untagged wird wo es nicht soll.

Edit: 10:53
Ein Szenario welches mit diesem Switch nicht möglich ist;
zb ein Port mit Vlan 2 Untaggen und mit Vlan 3 Taggen.

Wird zb, gebraucht um ein IP Telefon über welches ein Rechner abgeschlauft wird mit einer Zuleitung zu speisen jedoch trotzdem getrennte Netze.
Das IP-Tel hört auf Vlan2 getaggte Pakete und der Rechner ist normal in einem Untaggten Netz.

Diese Konstelation ist nicht möglich.

Edit: 11:31
Beispiel aus der Praxis:

-Firewall
2x HP 1810

Firewall handelt die Vlans
Firewall Lan Port an Port1 von HP Switch 1
Firewall Taggt Lanport mit Vlan 1/2/3/4/5..

Switch 1
Firewall auf Port1
Trunk1 auf Port 2/3 geht auf Switch 2 Trunk1 Port 1/2
Vlan 1 T auf Port1 und Trunk1
Vlan 1 U Ports 8 (Management / muss gemacht werden sonst motzt der Switch ausser man nimmt ein anderes Vlan als Management Vlan)
Vlan 2 T Port 1 und Trunk 1
Vlan 2 U Port 4 und 5
Vlan 3 T Port 1 und Trunk 1
Vlan 3 U Port 6 und 7
Alle anderen immer auf E

Switch 2
Trunk 1 auf Port 1/2 geht auf Switch 1 Trunk1 Port 2/3
Vlan 1 T Trunk1
Vlan 1 U Ports 8 (Management / muss gemacht werden sonst motzt der Switch ausser man nimmt ein anderes Vlan als Management Vlan)
Vlan 2 T Trunk 1
Vlan 2 U Port 3 und 4
Vlan 3 T Trunk 1
Vlan 3 U Port 5 und 6
Vlan 4 T Trunk1
Vlan 4 U Port 7
Alle anderen immer auf E

Der Switch kann nur aus einem Vlan gemanagt werden, Standard ist Vlan 1, voraussetzung ist dass Minimum 1 Port aus dem Management Vlan auf U ist.
Andere Vlans können alle Ports auf E sein ausser ein Port muss auf T oder u sein (ist auch logisch sonst bringt das Vlan ja nichts)

Gruss

Nur mal kurz nachgefragt: Das Tutorial zu dem Thema hast du gelesen ??
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Mmmhhh...dir ist aber schon klar das die VLAN Konfiguration auf beiden Seiten also Switch UND Router passsieren muss (Tagged Uplinks beidseitig)
Siehe obiges Tutorial !
Ha ha ha...den Schrott nennst du gut ?! Der kann ja noch nichtmal STP. Mit einem Cisco SG-200-8 hättest du diesen Thread gar nicht erst schreiben müssen...soviel zum Thema HP !
Achte darauf das diese üble Gurke die aktuellste Firmware geflasht hat denn ältere Versionen sind buggy !!
Das geht logischerweise natürlich nur wenn diese VLANs auch analog auf dem Router konfiguriert sind mit Tagged Subinterfaces (Parents) wie es im obigen Tutorial ja auch genau erklärt ist !
Du musst diese VLANs ja an den Router bringen das er sie "sieht" anders kanns ja nicht gehen. Die HP Gurke ist ja keine L3 Switch der selber die VLANs routen könnte.
Röchel...noch schlimmer. Den tut sich nur ein Masochist an, da ist HP noch die Hölle und NetGear das Fegefeuer... Ist auch ein Irrglaube das der irgendwas anderes, geschweige denn besser könnte als der HP. Das ist nur NGs oberkrankes GUI zur VLAN Administration !
Ja, das ist richtig, deshalb nimmt man ja für andere VLANs diese Ports auch aus dem VLAN 1 raus und setzt sie eben Untagged in das andere VLAN.
Bei Port basierten VLANs kann ein Untagged Port immer nur Mitglied eines VLANs sein...!
Geht, aber was sollte der tiefere Sinn davon sein ?? Bzw. WAS willst du damit erreichen ?
Deshalb lässt der kundige Netzwerker auch immer einen Port, nämlich den wo er den Konfig PC dran hat, unkonfiguriert den er nicht anrührt in der Konfig !!
Oder benutzt sinnvollerweise die serielle Konsole....falls die HP Gurke überhaupt sowas hat ?!
Was meinst oder bezeichenst du mit "Target" ??

Sehr hilfreicher Kommentar ...

Wieder solch ein Cisco-feti.

@aqui
1. um die gleiche Ausstattung wie der HP 1810 24v2 zu erreichen zahlt man bei Cisco locker das Doppelte (Cisco SG200-26) und trotzdem wette ich hat der HP Switch locker 90% der Leistungsmerkmale wie das Pendant von Cisco (aber egal Hauptsache VW und Porsche vergleichen)
2. Beherrscht der HP Switch sehr wohl STP (Spanning Tree)

@d3rChri5
Bei Layer 2 und Layer 3 Switch scheiden sich die Geister. Grundsätzlich bin ich für Layer 2 Switches da in meinen Augen ein Switch nichts im Layer 3 zusuchen hat. Der GW bzw. Firewall handelt layer 3 und höher. Natürlich hat auch ein Layer 3 Switch seine Berechtigung, da bei grossen Netzen ein Routing von Vlan 1 zu Vlan 2 nicht bis zur Firewall muss und somit der Traffic dezentral gehalten wird. Bei einem grossen Netz mit nur Layer 2 switchen, muss bei einem Routing von VLan1 in Vlan2 sämtlicher Traffic bis zur Firewall, was heissen soll dass die Firewall stark belastet wird.

Somit:
Kleine Netze nur Layer 2 Switches
Grosse Netze Layer 3 Switches

Für dein Anliegen damit du dein Projektlein abschließen kannst, empfehle ich dir ein mini-PC mit einer OpenSource Firewall (PFsense)
Habe ich selber im Einsatz, der Mini Rechner hat 3 Lan Ports. 1 Wan 2 Lan. Lan 1 und 2 habe ich mit LACP zu einem Trunk zusammengefasst.
Somit habe ich mehr Bandbreite und eine Ausfallsicherheit. Mit LACP wirke ich dem allfälligen aufkommenden Traffic zwischen den VLans entgegen.

Ich weis nicht ob diese Dinger in DE zu haben sind. In der Schweiz kriegst du sie hier : http://www.pcengines.ch/apu.htm
Mit PFsense kannst du soviel verschiedene Konfigurationsmöglichkeiten vornehmen bis dir schlecht wird ;)

Also ich bin mit den "angeblich soo billigen" HP 1810 Serie Switch und mit dieser Firewall APU mit PFsense mehr als zufrieden.
Da kriegst du auch die VLans unter Kontrolle.


Gruss und viel Spass beim Konfigurieren..

in der Preisklasse denke ich wirst nichts besseres finden.

man lernt nie aus..;)

Ich denke auch die Performance wird nicht die tollste sein auf dem Raspberry. Die APU hat Gigaports Dualcore CPu und 4gig Ram.
Da hast du auch noch Luft nach oben. In Verbindung mit PFsense in der Preisklasse unschlagbar.


Genau!


Falls die PFsense zu umfangreich wäre gäbe es noch die M0n0wall (PFsense basiert auf M0n0wall ist aber eine Weiterentwicklung)
Ich empfehle PFsense.

Gute Nacht

Ja, das ist der letzte Müll und hat auch noch ne schlechte Performance. Mal ganz abgesehen von den mickrigen Features und das er nichtmal PVST kann. Aber egal, jeder bekommt das netzwerk das er verdient. Andere Hersteller können das erheblich besser und HP sollte besser Server, Drucker und Laptops bauen, davon verstehen sie mehr.
Doch es gibt noch Longshine und Netgear. Aber mal ehrlich der Cisco SG ist preisgleich und hat ein weit besseres und intuitiveres GUI da beisst die Maus keinen Faden ab. Von den anderen technischen Vorteilen mal nicht zu sprechen... Auch als Nicht Feti muss man das neidlos anerkennen wenn man wirklich mal fair ist !
Macht wenig Sinn, denn Monowall wurde kürzlich abgekündigt bzw. der Support eingestellt:
http://m0n0.ch/wall/end_announcement.php
pfSense ist also schon die richtige Empfehlung !
Alternativ dann ein Mikrotik Router.
Mit dem RB750G kann man den L3 mit 40 Euronen realisieren und das auch noch mit einem hübschen GUI !

Tu uns bitte einen großen Gefallen und lasse den Blödsinn mit externen Bilderlinks !
Bei der Erstellung deines Threads kann dir nicht entgangen sein das es hier eine wunderbare Bilder Upload Funktion im Forum gibt oder du hast recht große Tomaten auf den Augen, sorry !
Klicke also auf "meine Fragen" wähle deinen Thread oben aus und dann auf "Bearbeiten"...dann siehst du diese Klickbuttons.
Den Hochladen Button klickst du dann lädst dein Bild hoch und den dir dann präsentierten Bilder Link markierst du und copy und pastest den per Rechtsklick.
Diesen Bilderlink kannst du dann in jeglichen Text hier bringen auch Antworten !!
Die Forumscommunity wird es dir danken denn das erspart uns die Zwangswerbung die mit solchen völlig überflüssigen Links daherkommt.

P.S.: Man kann das übrigens wunderbar noch nachträglich machen

Zu deinen Fragen:
Das ist ja erstmal noch kein Mist und OK
Ist Richtig !
OK, wenn man sicher davon ausgehen kann das zw. 13 und 15 in dem VLAN Verbindung ist dann ist zielich sicher das der Router falsch konfiguriert ist.
Stark zu vermuten ist das der Router KEIN Tagging auf seinem Port macht und deshalb die tagged Pakete vom Switch bei ihm nicht ankommen !
Der Router ist vermutlich DHCP Server, richtig ?
Vermutlich wenn der Router hier wie beim anderen VLAN auch nicht tagged ! Mehr oder minder ein weiteres Indiz das der Routerport falsch konfiguriert ist !
Das ist einen gute Frage und die Schlüsselfrage zu deinem Problem.
Aber das bekommst du sofort wasserdicht raus !!!
Nimm dir einen Wireshark Sniffer und schliesse den an dem Port 11 des Switches an. Achte darauf das deine Netzwerkkarte im Wireshark Rechner so eingestellt ist das die 802.1q tagged Frames anzeigt.
Den Wireshark klemmst du nun an Port 11 und siehst dir mal ausgehende Pakete dort an !
Hier müssen Pakete aus den beiden VLANs kommen mit einem VLAN Tag !! Das kannst du deutlich im Wireshark sehen. Hier sollten natürlich Endgeräte in einem oder beiden VLANs sein !
Analog machst du das am Router !
So kannst du in 5 Minuten feststellen WELCHE deiner beiden Seiten vermutlich KEIN Tagging macht und das entsprechend fixen !
Welche DD-WRT Version hast du im Einsatz ??

Dann lässt du schlicht und einfach den Router weg, damit ist dann jegliche Kommunikaton zw. den VLANs vollkommen unterbunden wenn du das nicht willst !
Oha...die Art und Weise dieser Aussage lässt leider vermuten das du das Prinzip VLAN nicht wirklich verstanden hast, sorry.
Erstmal solltest du genau definieren WAS du mit der Bezeichnung "Trunk" genau meinst, denn da gibt es mehrere Optionen:
1.) ist das ein aggregierter Uplink also die Bündelung von mehreren Switchport zu einem virtuellen um mehr Bandbreite zu erzielen
2.) Einfach ein tagged Uplink auf dem tagged VLANs übertragen werden wie bei dir am Port 11
BEIDES hat aber rein GAR NICHTS mit irgendwelchen Verbindungen oder Kommunikation zwischen VLANs zu tun !!!
Deshalb hier die Frage WAS du mit der Bezeichnung "Trunk" meinst.

Nur so viel: Generell sind VLANs auf einem reinen Layer 2 Switch immer vollkommen physisch getrennt und werden auch physisch getrennt übertragen !! Sie bleiben dabei auch immer vollkommen getrennt ohne jegliche Möglichkeit der Kopplung.
Eine Kopplung von VLANs egal ob sie ins Internet müssen oder zw. ihnen geroutet wird MUSS in jedem Falle ein Layer 3 Gerät machen. Ob das eine Layer 3 Option (Routing) im Switch selber ist (Layer 3 Switch) oder ein externer Router oder Firewall wie im Tutorial beschrieben ist dabei völlig egal !
Vermutlich ist dir diese Tatsache nicht bewusstt oder bekannt oder du hast sie noch nicht verstanden und verinnerlicht, kann das sein ?!

Ums querzuchecken hab ich mal einen Testaufbau gemacht. DD-WRT (v24 preSP2 Build 14826 vom 9.8.2010) auf WRT54GLv.1.1 Hardware an einem Cisco Catalyst 2950.
Switchport 1 => Routerport 1, Switchport 10 und 11 sind Endgeräteports in den VLANs 3 und 10 mit Windows 7 Clients.

DD-WRT Konfig:

VLAN Einstellung:
Switchkonfig:
!
interface FastEthernet0/1
description Uplink DD-WRT Router
switchport mode trunk
switchport trunk allow vlan all
switchport nonegotiate
!
interface FastEthernet0/10
description VLAN 3 Port
switchport mode access
switchport access vlan 3
spanning-tree portfast
!
interface FastEthernet0/11
description VLAN 10 Port
switchport mode access
switchport access vlan 10
spanning-tree portfast
!
monitor session 1 source interface Fa0/1
monitor session 1 destination interface Fa0/13 encapsulation dot1q

Damit hat das Setup sofort funktioniert ! Bzw. nach einem finalen Reboot !
Hier kannst du sehen das die Pakete ein entsprechendes VLAN Tagging haben (Wireshark Trace aus VLAN 10 an Switchport 1 der tagged auf den DD-WRT Router geht !
Wireshark Trace an Switchport 1:
Zeigt also das der Switch sauber die Pakete mit der VLAN ID 10 tagged ! Was er übrigens auch mit dem VLAN 3 entsprechend so macht !
Der Ping (Paket 33 und 35) und folgende DHCP Request (Paket 37 und 40) wird automatisch ausgelöst wenn man am Windows 7 Rechner das Kabel am Switchport 11 zieht und wieder steckt !
(Warum passiert das: Nach dem Kabel ziehen und stecken macht Winblows mit dem Ping ein Check ob andere Geräte ggf. zwischenzeitlich die IP bekommen haben um Doppelvergaben zu verhindern und der DHCP Request erneuert den Lease am Router DHCP für das VLAN 10.)

WICHTIG: Ich musste nach der DD-WRT VLAN Konfig den Router rebooten !
Ohne den Reboot funktionierte das Setup nicht ! Ggf. musst oder solltest du das mit deiner Kiste auch mal machen !

Ansonsten finktioniert das Setup tadellos wie es soll ohne irgendwelche Kinken !

Prüfe bitte nochmal die VLAN Zuordnung am DD-WRT unter Tagging wie da VLAN1 und VLAN2 zugeordnet sind UND der korrespondierenden Tag Number ob das auf die Interfaces vlan3 und vlan10 zeigt ! Den Screenshot hast du leider vergessen !

Ist dir recht spät aufgefallen, denn das ist Grundlage jeglichen VLAN Designs, egal ob man Switches koppelt über einen tagged Uplink oder einen Switch und Router oder irgendwie anderes geartetes Endgeräte was tagged VLAN Pakete versteht !
Diese Uplink Switch muss immer tagged für alle VLANs außer den Default VLAN (Siehe dazu auch hier !) eingerichtet sein. Entsprechend identisch natürlich die andere Seite auch !
Wenn dem nicht so ist können die VLAN Tags nicht mehr zugeordnet werden und es kommt zu einer Fehlfunktion, das ist doch logisch !
Genau so ist es ! Du bestimmst in der Konfig ja nur welche VLANs dort mit einem VLAN Tag versehen werden und dort übertragen werden. VLANs die du dort einträgst werden übertragen und mit einem VLAN Tag versehen. VLANs die du nicht einträgst ignoriert der Port und verwirft sie. Nicht mehr und nicht weniger. Eigentlich ganz einfach !
Die Frage hier ist WAS du genau mit der Bezeichnung "Gesamt Kommunikaton" meinst und "Gateway" ???
Du würfelst hier gnadenlos Layer 2 und Layer 3 Begriffe wild durcheinander... Versuchen wir das mal zu ordnen.....
Wenn "Gesamt Kommunikaton" die Layer 3 Kommunikation meint also das Erhalten von IP Adressen via DHCP und das Routing zw. den VLANs dann ist dem so.
Das ist doch auch sonnenklar...!! Wenn dein Laptop im VLAN 3 einen DHCP Broadcast losschickt um vom DD-WRT Router bzw. dessen DHCP Server in VLAN 3 eine gültige IP Adresse und damit die Gateway IP des DD-WRT in VLAN 3 zu erfahren, dann setzt der Switch ja an Port 1 an dieses Paket was aus VLAN 3 kommt eine VLAN ID "3" als Tag an dieses Paket. Das kannst du ja auch mit dem Wireshark sehen !!
Dieses Paket rennt nun über den Draht an Switchport 1 mit dem VLAN 3 Tag zum Router an Port 1 !
Der sieht sich das Paket an und erkennt dort im Paket den VLAN 3 Tag und "weiss" damit das er dieses Paket intern in sein VLAN 3 weiterleiten muss.
Das macht er dann auch und sein interner DHCP Server im VLAN 3 antwortet nun auf den DHCP Broadcast mit einem Lease Reply für den Client.
Das Paket wird dann wieder am Routerport 1 vom Router mit einem VLAN 3 Tag versehen und geht wieder auf den Draht, kommt am Switch an und der "sieht" wieder den Tag, forwardet das Paket ins VLAN 3 und so landet es am Client.
Wenn du nun irgendwo an den Ports vergisst das richtige VLAN Tagging einzutragen wird dir vermutlich auch klar anhand des obigen Ablaufes das da irgendwas dann logischerweise nicht klappen kann !?!
Meintest du das mit "Gesamt Kommunikaton" ??
Vergiss mal den Unsinn mit dem IP "Klassen". Das ist Schnee von gestern und gibt es schon lange nicht mehr !! Seit 1993 ist weltweit CIDR gültig und damit sind die IP Adressklassen schon lange obsolet !!
http://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Das kann niemals sein wenn du die jeweiligen Gateway IPs auf dem DD-WRT Router anpingen kannst !
Hier bist du vermutlich in die üblichen 2 Fallen getappt:
1.) ICMP Echo Reply (Ping) ist bei Winblows ab Win 7 per Default deaktiviert in der Firewall !!! Das musst du erst wieder aktivieren und wie das einfach geht steht hier:
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
2.) Die Windows Firewall blockt in der Regel alles was nicht aus dem eigenen IP Segment kommt. Wenn du nun einen Zugriffsversuch aus einem anderen IP Netz sprich VLAN machst über den Router sagt die Windows Firewall NJET !
Du musst diese also IMMER entsprechend customizen das sie diese Zugriffe auch zulässt !!
Im obigen Testaufbau funktioniert das übrigens fehlerlos so das dein problem zu 99% an der lokalen Win Firewall liegt !
Das ist ein Fehler, da das Default VLAN in der Regel bei ALLEN Herstellern immer untagged auf Tagged Uplinks übertragen wird. So gut wie keiner tagged das default oder native VLAN auf tagged Uplinks !
Das default oder native VLAN sollte auf solchen Uplinks also immer untagged sein ! (sog. Dual Mode)
Das ist auch der Grund warum die VLAN 3 und 10 Clients nicht auf die Management IPs der Geräte zugreifen können in VLAN 1 wenn du das taggst ! Der Routerport erwartet das untagged. Kommt dieser Frame aber mit einem VLAN Tag 1 "versteht" der Routerport das nicht und verwirft den Frame mit dem Ergebnis was du siehst.
Das findest du auch nicht sondern dafür MUSST du einen Eingriff in die Registry machen wenn du z.B. Intel basierte NICs hast:
http://wiki.wireshark.org/CaptureSetup/VLAN#Windows
bzw. Intel:
http://www.intel.com/support/network/sb/CS-005897.htm
Bei billigen Chipsets von Realtek ist das z.B. per Default aktiviert. Das musst du im Detail klären.
Welchen Chipsatz verwendest du auf dem Wireshark Rechner ??
Mit dem Intel Patch funktioniert das sofort ! Irgendwelche .1q Filter ist natürlich Unsinn, das gibt es nicht ! Allein der Registry Eintrag bestimmt wie mit den .1q Frames in der NIC verfahren wird !
Ja, richtig ! Wenn du den Registry Patch nicht machst siehst du KEINE 802.1q VLAN Tags bei Intel.
Bei anderen NIC Chipherstellern ist das ggf. anders ! Deshalb die Frage WELCHEN du da verwendest ? (Siehe Gerätemanager)
Das war auch nicht gemeint sondern der Eintrag ganz OBEN im Reiter "Networking". Dieser Screenshot fehlt leider auch im Tutorial !
Oben aber ist er hier zu sehen beim Testsetup !!
Ääähhh... Bahnhof ??
Was du damit genau meinst ist vollkommen unverständlich... ?! Was ist "Umweg" ?? Versteht kein netzwerker...sorry
Das weiss wohl nur HP. Das ist ein krankes VLAN Setup in dem Switch und branchenunüblich.
Wie gesagt am besten mit dem Wireshark nachsehen was der Switch dann an dem Port macht bei den Varianten.
Für den Router MUSS es so sein an Switchport 1:
VLAN 1 = untagged
VLAN 3 = tagged
VLAN 10 = tagged

Ohhhh shi.... das istd er böse Buhmann. Diese SW ist mit Vorsicht zu geniessen !
Du solltest das Routing deshalb erstmal mit Endgeräten austesten die KEINE solche SW an Bord haben also mit Druckern, Switch IPs oder sowas wo keine versteckte Filterung oder Blocking durch solche SW droht.
Kaspersky ist noch um den Faktor 100 schlimmer als die Windows Firewall.
Was bitte daran ist merkwürdig ???
Es macht doch absolut Sinn von VLAN A die Gateway IP am Router von VLAN B zu pingen und vice versa.
Damit kann man doch sofort auf einen Schlag sehen ob dieses IP Netz erreichbar ist oder ob da nicht wieder irgendwelche Filterlisten, Firewalls oder Kasperskys dieser Welt zuschlagen.
Klar sollte man logischerweise davor sein eigenes VLAN Gateway pingen können und checken das seine eigene Gateway IP Adresse auf diese Router IP Adresse zeigt.
Das ist doch einen sinnvolle und strategische Vorgehensweise. Erklär dem Forum bitte mal was daran "merkwürdig" sein soll ?
WELCHE denn ?? Die iegene lokale oder die des jeweils anderen VLANs ??
Wenn du die des anderen VLANs nicht pingen kannst dann schlägt irgendwo irgendwelche Filterliste, Firewall oder Kaspersky zu.
Da musst du dann herausfinden wo. Deshalb auch der Tip erstmal mti Geräten OHNE jegliche Firewall Fussfallen das wasserdicht zu testen.
Das ist auch klar und verstanden nur....
Du musst VORHER erstmal wasserdicht verifizieren das dein Routing fehlerfrei funktioniert. Und wenn du am Router KEINE Accesslisten konfiguriert hast, dann hast du ja ein absolut transparentes Routing, d.h. jeder kann mit jedem.
Erst DANACH macht man dann die Schotten dicht mit Accesslisten ! Ansonsten könntest du ja logischerweise niemals sagen WO der Fehler später mal liegt beim Routing oder bei den ACLs...logisch.
Das ist verstanden, dann darfst du sie aber auch NICHT mit einem Router kombinieren.
Denn die VLAN Trennung gilt ja nur einzig auf dem Layer 2 ! Sowie du einen L3 Kopplung der Netze machst hast du sie wieder zusammen und musst einen ACL verwenden um sie zu trennen...logisch.
Na ja wenn man als Anfänger sich in ein Administrator Forum wagt wo ja ein gewisses "Niveau" herrschen sollte sollte man einen etwas rauheren Ton schon mal abkönnen. Ist ja nicht böse gemeint sondern eher mal der Appell etwas Grundlagen sich anzueigenen und nachzudenken
...ok back to Topic.
Kein Mensch weiss was das "excluded" dann macht oder was der Hersteller sich drunter vorstellt... Vermutlich werden hier auch Outbound und Inbound Traffic getrennt betrachtet was eher verwirrt denn hilft. Das ist jetzt aber als bekennender HP Abstinenzler nur geraten
Wie gesagt...das kann wohl nur HP beantworten

Lies dir die zahllosen Leidensthreads hier durch dann weisst du warum wir hier bei sowas immer skeptisch sind. Nichtmal wenn man das Teil deinstalliert bekommt man den Amok laufenden Filter wieder auf Normalbetrieb.
Sowas ist dann schon recht bedenklich....
Aber gut wenns bei dir rennt ist alles OK. Nur...deinstallieren hilft nicht bei der SW was die Erfahrung hier bestätigt.
Sie sind ja eben NICHT getrennt. Hier begehst du einen hartnäckigen Verständnisfehler, denn das Tutorial geht immer von einem Router aus und das ist ja DD-WRT der die VLANs verbindet und da sind sie dann auch wieder verbunden !!
Ums nochmal zu wiederholen: Sobald ein Router in den VLANs hängt sind sie wieder verbunden.
Keine Router = keine Verbindung und vollständige Trennung der VLANs.
Eigentlich ganz einfache und simple VLAN Philosophie und Technik der letzten Netzwerk Jahrzehnte !
Und ganz genau DA liegt dein fataler Denkfehler. Ohne dir jetzt zu nahe zu treten solltest du dann aber dringenst nochmal die simplen Grundlagen zum Thema IP Routing lesen wie hier z.B.:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Fataler Denkfehler ! Fazit: Nacjlesen was Router und Routing ist und wie es funktioniert.
VLAN ist immer nur einzig einen Trennung der L2 Broadcast Domains. Das weiss man aber auch eigentlich als Netzwerk Anfänger
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
Nicht denken sondern nachdenken
Routen sind ja überflüssig in diesem Design, da die IP Netze ja bei einem VLAN Router immer direkt an dem Router nageschlossen sind. Der Router "weiss" damit ja dann WO seine IP Netze sind....wozu also brauch er denn noch Routen ?? Wäre ja überflüssiger Unsinn, da er ja alle Forwarding Infos hat.
Die einzige Route die er braucht ist die Default Route ins Internet, die ihm sagt: "Alles was du hier nicht lokal routen kannst schick zum Internet Router, der weiss schon wohin damit..."
Hier holen dich dann wieder die IP Routing Grundlagen ein...
Bingo !
Genau darum ging es und zeigt dir das dein Router damit wunderbar funktioniert !
Da du jetzt aber keine Kommunikation zw.deinen VLANs wünscht kommen jetzt die IP Accesslisten die die IP VLAN Netze untereinander abschotten.

Wir sind gespannt auf Montag...

Wie bereits gesagt: Sieh dir dieses Forums Tutorial an:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort werden wirklich alle Fragen zu diesem Thema beantwortet
Und das alles garantiert OHNE Kopfschmerzen !

Wenn du routen willst oder musst zwischen den VLANs ja, denn der 1810 supportet m.W. kein Layer 3 ist also kein Routing fähiger Switch.
Musst du ja auch nicht, ein 30 Euro Mikrotik 750 Router macht dasgleiche für ein kleineres Salär. Wie gesagt du brauchst das nur wenn du routen sprich kommunizieren willst zw. den VLANs. Wenn nicht brauchst du das auch nicht...logisch !
Natürlich reicht der !
Wie kommst du auf den Unsinn das der das NICHT könnte ??? Vergiss den Unsinn.
Wenn du mal die Suchfunktion hier benutzt hättest dann hättest du auch diese Anleitung zum Abtippen für den RasPi gefunden:
Netzwerk Management Server mit Raspberry Pi
Das brauchst du nur noch Abtippen, dann routet dein Raspi und kann gleich auch noch DHCP Server machen für die VLANs
Auch das steht dir ja offen...siehe VLAN Tutorial !!
Wie kommst du darauf ?? Auch das ist einen falsche Behauptung. Natürlich klappt das !
Das hat ja auch rein gar nichts mit statischen Routen zu tun. Auch das völliger Blödsinn, denn statische Routen brauchst du gar nicht ! An dem Router sind alle IP Netze ja direkt dran ! Folglich "kennt" der Router ja alle Netze so das statische Routen logischerweise völlig überflüssig und sinnfrei sind.
Das was du willst sind IP Accesslisten und die konfiguriert man mit der Firewall sprich iptables auf dem DD-WRT. Und das klappt wunderbar wenn man denn weiss was man macht.
Bei dir kommen einem da leise Zweifel....

Ooops...sorry !
OK, dann vergiss ALLES was oben geschrieben ist ! Wenn die VLANs vollkommen getrennt sein sollen reicht ein simpler Layer 2 Switch und du brauchst definitiv keinen Router, klar !
Das war dann ein Missverständnis. Sorry für die Verwirrung.
Brauchst du ja doch gar nicht !! Kein Router, keine iptables ! Jetzt fängst DU aber wieder an mit dem Router
Mit dem Mikrotik auch aber vergiss mal diesen Router Unsinn ! Du willst getrennte VLANs ohne Kommunikation also kein Router, keine Firewall, keine pfSense, kein Raspberry Router und auch kein Mikrotik. Das hast du ja nun final geklärt !
Unsinn, vergiss das ! Ist natürlich falsch ! Sehr wohl kann der Raspberry Pi VLANs routen. Siehst du ja am zitierten Tutorial oben. Der Hahn sollte sich besser um seinen Hennen kümmern als solche falschen Halbgarheiten zu verbreiten...
Aber...wie gesagt überflüssig...kein Router erforderlich bei dir
Kommt drauf an....
Wenn hinter der 100 Mbit Komponente ein 3, 6, 10, 50 Mbit xDSL oder sowas ist dann macht das schon Sinn. Wenn man GiG Ethernet routen will dann nicht so wirklich..keine Frage.
Deshalb kann man aber mit dem DD-WRT totzdem wunderbar ein VLAN Routing machen ! Das Tutorial hat einen entsprechende in der Praxis laufende Konfig dazu die auch fehlerlos funktioniert.
Ich kann ich auch noch einen MPEG Film drehen und den posten damit du es glaubst. Lies einfach das Tutorial da steht es doch.
Aber auch hier wieder: Warum das ganze. Ist für dich NICHT erforderlich bei getrennten VLANs.
Somit ist also jeglich Diskussion müssig. Abgesehen von der Tatsache das DD-WRT sehr wohl VLAN Routing kann (wenn man es denn benutzen möchte)
Das ist so erstmal richtig, da hast du Recht was die statischen Routen anbetrifft die du nicht brauchst bei VLAN Routing in sofern ist diese Tatsache bezogen auf die Frage nicht relevant.
Was das Thema: "Interface wl01 mit IP Adresse A nicht auf Lan Interface mit IP Adresse B zugreifen darf." anbetrifft geht das sehr wohl nur eben nicht über die GUI.
Dazu macht man einen Telnet Zugriff oder besser SSH auf das System und richtet sich das mit iptables auf dem CLI ein !
Mit 2 Kommandos kann man das entsprechend in einer Minute customizen aber das ist dir ja auch bekannt.
Bei dir ja nicht gefordert...ja genau...da getrennte VLANs.
Fazit: Wo ist jetzt eigentlich das "Problem" geblieben.
Irgendwie reden wir ja um des Kaisers Bart und längst ist alle geklärt...?!

Nun bist DU aber wieder mit dem Router angefangen...
Und das ist der Casus Knacktus an dem sich die o.a. Diskussion entzündet hat.
Dadurch das du für jedes VLAN Internet willst musst du für jedes VLAN auch ein Router Interface konfigurieren, denn klar...jedes VLAN muss ja dann zum Router und dann ins Internet.
Ob du die VLANs nun mit einem tagged Trunk oder dediziertem Draht pro VLAN zum Router bringst ist dabei erstmal völlig unerheblich.
Wichtig ist das sie am Router ankommen um ins Internet zu kommen.

Nun ist es aber so das jedes VLAN Interface für den Router ja erstmal ein separates IP Interface ist. Wie das an ihm eingerichtet wird als Subinterfaces auf einem Tagged Port oder Einzelinterfaces ist dabei auch erstmal völlig egal.
Er hat soviele Interfaces wie du VLANs hast die ins Internet wollen.

OHNE IP Filterlisten (Accesslisten oder FW Regeln) "sieht" der Router aber logischerweise jedes VLAN Interface als Routing fähiges Interfaces und routet per se darüber, logisch, denn er ist ja ein Router.
Das Anflanschen der Interfaces bedeutet also immer auch erstmal gleichzeitig ein Routing zwischen den VLANs. Das ist immer so egal obs ein Router oder ne Firewall ist wo du diese Interfaces terminierst.
Mit anderen Worten: Du kommst in so einem Design gar nicht um IP Accesslisten drum rum wenn du NUR den Zugriff der VLANs ins Internet willst aber nie untereinander !
Der Router oder Firewall weiss ja nicht von selbst das du bestimmte Interfaces nur in eine Richtung geroutet haben willst.
Den Drucker oben auf dem alle drucken sollen ignorieren wir dabei jetzt mal, denn das ist nur eine entsprechende Regel (ACL) das das klappt.

Ich denke aber mal das diese technischen Fakten und Tatsachen dir im Laufe der o.a. Diskussion ebenso klar geworden sind. Ansonsten musst du zum Thema VLAN nochmal etwas lesen...
Hier kann man jetzt leider die Ziel IP Adresse bzw. Netz nicht richtig erkennen weil du oben einen Tippfehler begangen hast...
Das zeigt das dort keine Accessliste aktiv ist. Wie gesagt der Router routet IMMER zwischen allen Interfaces solange du ihm das nicht mit Accesslisten, iptables, FW Regeln oder was auch immer verbietest ! Siehe Erklärung oben...
Nein ! Gateways nicht zu erreichen ist eh Blödsinn, sorry...
Du musst an jedem VLANx Router Port sagen:
Absender: VLANx IP Netz zu Ziel: VLANy IP Netz und VLANz IP Netz = VERBOTEN
Absender: VLANx IP Netz zu Ziel: IP Netz Überall = ERLAUBT
Das unterbindet dann sofort die VLAN interne Kommunikation erlaubt das Internet (Überall)
Dein "Layer 3 Switch" ist ja der Router an dem sich alle VLAN Interfaces mit ihren IP Adressen "sehen".
Nimm ne pfSense da kannst du das bequem per Mausklick übers GUI machen
Da hilft dann nur eins: IPtables Tutorial lesen oder wenn du das partout nicht verstehst...andere Router oder FW Hardware die ein GUI hat. Nützt ja nix wenn du nur Klicki Bunti Knecht bist
http://wiki.ubuntu-forum.de/index.php?title=IPtables
oder Dann musst du ein Cubie Board nehmen. Aber lass das. Wenn, dann investier lieber die 40 Euro in einen Mikrotik Gigabit Router RB 750GL.
Das Geld ist da besser angelegt und...er hat ein GUI
Oder wenn du noch mehr Komfort willst strick dir ne pfSense_Firewall auf einem ALIX APU1D Board zusammen.

Hi Chris
Steht dir ja frei ! Es funktioniert fehlerlos mit beiden Optionen, das ist klar.
Die Accessregeln teste ich vorher mit dem Wireshark aus bevor ich sie hier poste

Leider keine Zeit gehabt...
Die Beispielsyntax sieht aber gut aus !