d3rchri5
Goto Top

VLAN Problem mit HP 1810-24 G (v2)

Hallo liebe Community,

ich probiere seit Tagen lauffähige VLAN‘s am HP 1810-24 zu erstellen.
Die einzelnen VLAN's können problemlos erstellt werden und die darin eingesetzten Clients, können auch nur untereinander kommunizieren.
( PS: ist es zwingend nötig den Management Port anzulegen ? Wollte den Zugang erst auf ein VLAN begrenzen aber hab dies noch offen gelassen)

Dies habe ich in wie folgt umgesetzt:

Vlan 1 [default]
Vlan 2 [extern]

Vlan 1 Port 1-12 & Port 14,16,18,20,22,24 U
Port 13,15,17,19,21,23 E

Vlan 2 Port 1-12 & Port 14,16,18,20,22,24 E
Port 13,15,17,19,21,23 U

Clients in VLAN 1 bekommen den Zugang zum Router über Port 1.
Dieser ist jedoch in VLAN 2 auf E gesetzt und somit für diese nicht ereichbar.

Hier beginnt mein Problem.
Da jeder Port in allen VLAN's nur einen einzigen Status haben darf, kann ich beim HP eigenartiger Weise, keinen Port z.B. mit Status U gleichzeitig in verschiedenen VLANs betreiben.
Im Vergleich mit dem " NetGear Prosafe GS10xE " bezogen auf die Ports , ist das aber scheinbar doch möglich.
Nur finde ich keine Möglichkeit im HP 1810-24G ?!!?

Ich habe mir die Anleitungen von " aqui ", vielen Dank noch einmal dafür, auf " VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern " angesehen und war schon drauf und dran, das VLAN über meinen E3000 ( mit ddwrt ) zu erstellen. Dies habe ich aber wieder verworfen da mein Router nachts ausgestellt wird und leider beim E3000 mit aktueller ddrt Version , die VLAN Einstellungen nach einem Neustart immer wieder auf „default Werte „ zurück gesetzt werden.
Zudem wollte ich, wenn man schon einen guten HP Switch besitzt, die VLAN Konfiguration an diesem vornehmen face-wink.

Ich hatte auch schon einen Trunk erstellt , welcher auch funktioniert. Jedoch sehen sich dann wieder alle Clients über die VLAN's hinweg.
Das war aber nicht mein Ziel.
Ich würde daher gern wissen , wie ich den HP Switch konfigurieren kann das ich zum einen getrennte VLAN's habe aber alle VLAN's den Router für den Internetzugriff verwenden können.
Im Internet habe ich leider bisher zu dem Thema in Verbindung mit dieser Switch Serie nichts finden können.
Ich würde mich freuen, wenn mir hier ein paar erfahrene User ein paar Tipps zum Aufbau geben könnten.


Nachtrag :

" aqui " hatte einmal zu der Management Port Frage,bezüglich VLAN 1 ( default) folgendes geantwortet:

.. ."Default VLAN1 zu belassen und ein VLAN2 und VLAN 3 zu konfigurieren?.."

A.: Das kannst du so machen, denn auch das VLAN-1 ist ein VLAN. Bedenke aber das das VLAN-1 als default VLAN immer untagged an jedem Port anliegt, also auch auf den Tagged Ports !
Weiterer Nachteil: Ungenutze Ports fallen immer ins Default VLAN. Sicherheitsrelevante LANs solltest du also besser nicht ins VLAN-1 nehmen.
Am netztechnisch besten ist es das VLAN-1 nur als Management für den Switch laufen zu lassen und alle relevanten Produktivnetze auf dediziert eingerichtete VLANs zu nehmen. So geht man auf Nummer sicher.
Für nicht Sicherheitsrelevante LANs kannst du aber durchaus auch das VLAN-1 verwenden.

Wenn ich alle 24 [+2] Port's des default VLAN 1 auf U lasse, kann ich doch diesen Status der Ports nicht mehr in anderen VLANS verwenden ?
Meine Idee war es auch schon für mein Vorhaben das " default VLAN 1 " leer zu lassen und separat VLAN 2 und VLAN 3 zu erstellen.
Dummerweise habe ich mich dadurch im Nachhinein aus dem Switch ausgesperrt und ichg musste ihn resetten face-sad.
Oder kann ich alle 24 [+2] Ports im default VLAN 1 auf Target setzen da sie dennoch untagt anliegen ???

Content-ID: 264417

Url: https://administrator.de/forum/vlan-problem-mit-hp-1810-24-g-v2-264417.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

LordGurke
LordGurke 24.02.2015 aktualisiert um 23:01:58 Uhr
Goto Top
Versetze dich mal in die Lage des Switches:
Du hast da einen Port, der Mitglied in mehreren VLANs ist. Da wird nun Traffic in den Port hinein gesendet - und du als L2-Switch sollst damit unterscheiden, in welches VLAN das geht und ob das überhaupt gewünscht ist, dass das in das VLAN geht.
Du wirst feststellen: Das kann der Switch beim besten Willen nicht erraten und daher bietet er dir das auch nicht an face-wink

Was du willst:
Diese Switche unterstützen nicht nur [U] wie Untagged oder [E] wie Exclude, sondern auch [T] wie Tagged.
Wie das mit den Tagged VLANs funktioniert, kannst du hier in unzähligen Artikeln nachlesen, das mag ich nur ungern zum 500. Male redundant wiederholen.


P.S.: Wenn du mit managed Switches arbeitest, zwischendurch einfach mal eine funktionierende Config speichern. Sobald du dich aussperrst, rebootest du den Switch einfach und er arbeitet mit der zuletzt gespeicherten Version weiter face-wink
d3rChri5
d3rChri5 25.02.2015 um 00:01:52 Uhr
Goto Top
Guten Abend LordGurke ,


Zitat von @LordGurke:

Versetze dich mal in die Lage des Switches:
Du hast da einen Port, der Mitglied in mehreren VLANs ist. Da wird nun Traffic in den Port hinein gesendet - und du als L2-Switch
sollst damit unterscheiden, in welches VLAN das geht und ob das überhaupt gewünscht ist, dass das in das VLAN geht.
Du wirst feststellen: Das kann der Switch beim besten Willen nicht erraten und daher bietet er dir das auch nicht an face-wink

mich wundert das nur im Vergleich mit einem NetGear Prosafe GS10x. Der ist im Umfang wesentlich kleiner aber dort kann ich problemlos einen Port in verschieden VLAN's setzen.
Oder wird da intern ( ohne Nutzer Eingriff ) auch mit Tagged's gearbeitet?
Denn da kann sogar alles im gleichen IP Adressbereich ablaufen, es sehen sich dann lediglich die VLAN Mitglieder intern aber alle VLAN's können den Router nutzen


Was du willst:
Diese Switche unterstützen nicht nur [U] wie Untagged oder [E] wie Exclude, sondern auch [T] wie Tagged.
Wie das mit den Tagged VLANs funktioniert, kannst du hier in unzähligen Artikeln nachlesen, das mag ich nur ungern zum 500.
Male redundant wiederholen.

Wenn ich Port 1 Target setze wie bei einem Trunk, sehen sich ja alle Clients aus allen VLAN's wieder.
Das hatte ich ja schon be dem Trunk Versuchsaufbau.



P.S.: Wenn du mit managed Switches arbeitest, zwischendurch einfach mal eine funktionierende Config speichern. Sobald du dich
aussperrst, rebootest du den Switch einfach und er arbeitet mit der zuletzt gespeicherten Version weiter face-wink

auch gut zu wissen face-wink
stefan641
stefan641 25.02.2015 um 08:10:43 Uhr
Goto Top
Hallo d3rChri5
Bei den kleinen Netgears, musst du ja zusätzlich die Portconfiguration einstellen, bei der definierst du ein VLAN, in das er die Daten sendet, wenn er nicht weiss wohin.
Darum ist diese merkwürdige Konfig mit mehreren Untagged Ports möglich.

Stefan
DerHahntrut
DerHahntrut 25.02.2015 aktualisiert um 12:02:36 Uhr
Goto Top
Hallo

Ich habe die 1810 v2 8 Port im Einsatz. Kannte vorher nur die Procurve Serie mit Konsole.

Bei der 1810Serie musste ich erst auch die Logik verstehen.

Du hast U,T und E zur auswahl.

Sollte ein Gerät hinter dem Switch kein Vlan verstehen muss der Port auf U sein.
Versteht das Gerät hinter dem Switch Vlan IDs so kannst du Ihn auf Tagged setzen

Taggen kannst du mehrere Vlans auf einen Port.

Im Normal Fall wird das Tagging aber verwendet um Switches untereinander zu verbinden.
Denn nomalerweise verstehen die Endgeräte/Clients kein Vlan.
U wird verwendet um EIN genanntes Vlan auf einen Port zu schalten.
E nimmts du damit ein Vlan nicht wo Untagged wird wo es nicht soll.

Edit: 10:53
Ein Szenario welches mit diesem Switch nicht möglich ist;
zb ein Port mit Vlan 2 Untaggen und mit Vlan 3 Taggen.

Wird zb, gebraucht um ein IP Telefon über welches ein Rechner abgeschlauft wird mit einer Zuleitung zu speisen jedoch trotzdem getrennte Netze.
Das IP-Tel hört auf Vlan2 getaggte Pakete und der Rechner ist normal in einem Untaggten Netz.

Diese Konstelation ist nicht möglich.

Edit: 11:31
Beispiel aus der Praxis:

-Firewall
2x HP 1810

Firewall handelt die Vlans
Firewall Lan Port an Port1 von HP Switch 1
Firewall Taggt Lanport mit Vlan 1/2/3/4/5..

Switch 1
Firewall auf Port1
Trunk1 auf Port 2/3 geht auf Switch 2 Trunk1 Port 1/2
Vlan 1 T auf Port1 und Trunk1
Vlan 1 U Ports 8 (Management / muss gemacht werden sonst motzt der Switch ausser man nimmt ein anderes Vlan als Management Vlan)
Vlan 2 T Port 1 und Trunk 1
Vlan 2 U Port 4 und 5
Vlan 3 T Port 1 und Trunk 1
Vlan 3 U Port 6 und 7
Alle anderen immer auf E

Switch 2
Trunk 1 auf Port 1/2 geht auf Switch 1 Trunk1 Port 2/3
Vlan 1 T Trunk1
Vlan 1 U Ports 8 (Management / muss gemacht werden sonst motzt der Switch ausser man nimmt ein anderes Vlan als Management Vlan)
Vlan 2 T Trunk 1
Vlan 2 U Port 3 und 4
Vlan 3 T Trunk 1
Vlan 3 U Port 5 und 6
Vlan 4 T Trunk1
Vlan 4 U Port 7
Alle anderen immer auf E

Der Switch kann nur aus einem Vlan gemanagt werden, Standard ist Vlan 1, voraussetzung ist dass Minimum 1 Port aus dem Management Vlan auf U ist.
Andere Vlans können alle Ports auf E sein ausser ein Port muss auf T oder u sein (ist auch logisch sonst bringt das Vlan ja nichts)

Gruss
d3rChri5
d3rChri5 25.02.2015 um 20:35:38 Uhr
Goto Top
Zitat von @stefan641:

Hallo d3rChri5
Bei den kleinen Netgears, musst du ja zusätzlich die Portconfiguration einstellen, bei der definierst du ein VLAN, in das er
die Daten sendet, wenn er nicht weiss wohin.
Darum ist diese merkwürdige Konfig mit mehreren Untagged Ports möglich.

Stefan

Hallo stefan641,

im Prinzip kannst du da nur den Haken für VLAN aktiv ( dann trennt er die Ports) oder inaktiv den Haken weg lassen ( dann arbeitet er als gew. Switch) .
Setzt du den Haken aktiv , hast du 5 Ports die du trennen oder " mischen " kannst.
Du kannst mit einem IP Segment arbeiten und den Port in dem der Router steckt , den kannst du wahlweise auch in die restlichen mit rein stellen.
Keiner der dahinterliegenden Clients sieht sich untereinander aber sie können alle ins Internet.
Wäre eigentlich schön , wenn man das auch so beim HP konfigurieren könnte.
d3rChri5
d3rChri5 25.02.2015 um 20:49:55 Uhr
Goto Top
Hallo DerHahntrut,

danke für dein Feedback.
Ich komme derzeit leider nur Abends zum " basteln " so das ich mich nicht gleich melden konnte.
Würde bei meinem Router nicht das blöde Problem mit der VLAN Config Speicherung bestehen, würde ich die VLANs darüber erstellen und die an den Switch weiterleiten.
So aber muss ich auf dem Switch ausweichen.
Es muss doch auch bei diesem HP Modell die Möglichkeit geben, dass ein Router Zugang auf einem Port alle anderen VLANs mit bedienen kann.
Ich mein so etwas bekommt ein 40 € Switch hin und ein 160 € teuer bietet so etwas nicht an ??
Nicht jeder hat die Möglichkeit über ddwrt im Router dort die Einstellungen vorzunehmen. Das muss doch mit dem Switch auch klappen.

LordGurke sagt zwar das es auf Grund der Architektur des Modells nicht möglich sei aber der 40€ Netgear ist auch kein L3 Switch und trotzdem schafft der es problemlos.
aqui
aqui 26.02.2015 aktualisiert um 21:58:51 Uhr
Goto Top
Nur mal kurz nachgefragt: Das Tutorial zu dem Thema hast du gelesen ??
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

würde ich die VLANs darüber erstellen und die an den Switch weiterleiten. So aber muss ich auf dem Switch ausweichen.
Mmmhhh...dir ist aber schon klar das die VLAN Konfiguration auf beiden Seiten also Switch UND Router passsieren muss (Tagged Uplinks beidseitig)
Siehe obiges Tutorial !
schon einen guten HP Switch besitzt, die VLAN Konfiguration an diesem vornehmen
Ha ha ha...den Schrott nennst du gut ?! Der kann ja noch nichtmal STP. Mit einem Cisco SG-200-8 hättest du diesen Thread gar nicht erst schreiben müssen...soviel zum Thema HP !
Achte darauf das diese üble Gurke die aktuellste Firmware geflasht hat denn ältere Versionen sind buggy !!
VLAN's habe aber alle VLAN's den Router für den Internetzugriff verwenden können.
Das geht logischerweise natürlich nur wenn diese VLANs auch analog auf dem Router konfiguriert sind mit Tagged Subinterfaces (Parents) wie es im obigen Tutorial ja auch genau erklärt ist !
Du musst diese VLANs ja an den Router bringen das er sie "sieht" anders kanns ja nicht gehen. Die HP Gurke ist ja keine L3 Switch der selber die VLANs routen könnte.
Im Vergleich mit dem " NetGear Prosafe GS10xE "
Röchel...noch schlimmer. Den tut sich nur ein Masochist an, da ist HP noch die Hölle und NetGear das Fegefeuer... Ist auch ein Irrglaube das der irgendwas anderes, geschweige denn besser könnte als der HP. Das ist nur NGs oberkrankes GUI zur VLAN Administration !
Wenn ich alle 24 [+2] Port's des default VLAN 1 auf U lasse, kann ich doch diesen Status der Ports nicht mehr in anderen VLANS verwenden ?
Ja, das ist richtig, deshalb nimmt man ja für andere VLANs diese Ports auch aus dem VLAN 1 raus und setzt sie eben Untagged in das andere VLAN.
Bei Port basierten VLANs kann ein Untagged Port immer nur Mitglied eines VLANs sein...!
Meine Idee war es auch schon für mein Vorhaben das " default VLAN 1 " leer zu lassen und separat VLAN 2 und VLAN 3 zu erstellen.
Geht, aber was sollte der tiefere Sinn davon sein ?? Bzw. WAS willst du damit erreichen ?
Dummerweise habe ich mich dadurch im Nachhinein aus dem Switch ausgesperrt und ichg musste ihn resetten
Deshalb lässt der kundige Netzwerker auch immer einen Port, nämlich den wo er den Konfig PC dran hat, unkonfiguriert den er nicht anrührt in der Konfig !!
Oder benutzt sinnvollerweise die serielle Konsole....falls die HP Gurke überhaupt sowas hat ?!
Oder kann ich alle 24 [+2] Ports im default VLAN 1 auf Target setzen
Was meinst oder bezeichenst du mit "Target" ??
DerHahntrut
DerHahntrut 26.02.2015, aktualisiert am 27.02.2015 um 00:02:15 Uhr
Goto Top
Sehr hilfreicher Kommentar ...

Wieder solch ein Cisco-feti.

@aqui
1. um die gleiche Ausstattung wie der HP 1810 24v2 zu erreichen zahlt man bei Cisco locker das Doppelte (Cisco SG200-26) und trotzdem wette ich hat der HP Switch locker 90% der Leistungsmerkmale wie das Pendant von Cisco (aber egal Hauptsache VW und Porsche vergleichen)
2. Beherrscht der HP Switch sehr wohl STP (Spanning Tree)

@d3rChri5
Bei Layer 2 und Layer 3 Switch scheiden sich die Geister. Grundsätzlich bin ich für Layer 2 Switches da in meinen Augen ein Switch nichts im Layer 3 zusuchen hat. Der GW bzw. Firewall handelt layer 3 und höher. Natürlich hat auch ein Layer 3 Switch seine Berechtigung, da bei grossen Netzen ein Routing von Vlan 1 zu Vlan 2 nicht bis zur Firewall muss und somit der Traffic dezentral gehalten wird. Bei einem grossen Netz mit nur Layer 2 switchen, muss bei einem Routing von VLan1 in Vlan2 sämtlicher Traffic bis zur Firewall, was heissen soll dass die Firewall stark belastet wird.

Somit:
Kleine Netze nur Layer 2 Switches
Grosse Netze Layer 3 Switches

Für dein Anliegen damit du dein Projektlein abschließen kannst, empfehle ich dir ein mini-PC mit einer OpenSource Firewall (PFsense)
Habe ich selber im Einsatz, der Mini Rechner hat 3 Lan Ports. 1 Wan 2 Lan. Lan 1 und 2 habe ich mit LACP zu einem Trunk zusammengefasst.
Somit habe ich mehr Bandbreite und eine Ausfallsicherheit. Mit LACP wirke ich dem allfälligen aufkommenden Traffic zwischen den VLans entgegen.

Ich weis nicht ob diese Dinger in DE zu haben sind. In der Schweiz kriegst du sie hier : http://www.pcengines.ch/apu.htm
Mit PFsense kannst du soviel verschiedene Konfigurationsmöglichkeiten vornehmen bis dir schlecht wird ;)

Also ich bin mit den "angeblich soo billigen" HP 1810 Serie Switch und mit dieser Firewall APU mit PFsense mehr als zufrieden.
Da kriegst du auch die VLans unter Kontrolle.


Gruss und viel Spass beim Konfigurieren..
d3rChri5
d3rChri5 26.02.2015 um 23:55:35 Uhr
Goto Top
Guten Abend aqui,

vielen Dank erst einmal für dein Feedback.

Jetzt musste ich mich erst einmal im Stuhl zurück lehnen^^...ist der HP 1810 wirklich soooo schlecht ???
Da ich bisher noch keinen HP hatte und ich diesen derzeit von einem sehr versierten Arbeitskollegen empfohlen und geliehen bekommen habe ( hat selber auch HP Modelle im Einsatz) war ich der Meinung das dieses Modell in dem Preissegment doch schon etwas besseres ist face-wink


Nur mal kurz nachgefragt: Das Tutorial zu dem Thema hast du gelesen ??
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

ja das Tutorial habe ich gelesen aber noch nicht praktisch umgesetzt. Das wollte ich dieses Wochenende erledigen.
Ist nur blöd, da mein Linksys LE3000 immer die VLAN Einstellungen verliert sobald er vom Strom getrennt wird. face-sad

> würde ich die VLANs darüber erstellen und die an den Switch weiterleiten. So aber muss ich auf dem Switch
ausweichen.
Mmmhhh...dir ist aber schon klar das die VLAN Konfiguration auf beiden Seiten also Switch UND Router passieren muss (Tagged
Uplinks beidseitig)
Siehe obiges Tutorial !

Das war mir in deinem sonst super erklärten Tutorial leider noch nicht so bewusst.
Heißt also, wenn ich am ddwrt Router wie im Tutorial am Trunked Port VLAN 3 und VLAN 10 erstelle, muss im Switch auch ein VLAN 10 und ein VLAN 3 vorhanden sein ?


> schon einen guten HP Switch besitzt, die VLAN Konfiguration an diesem vornehmen
Ha ha ha...den Schrott nennst du gut ?! Der kann ja noch nichtmal STP. Mit einem Cisco SG-200-8 hättest du diesen Thread gar
nicht erst schreiben müssen...soviel zum Thema HP !

Ist das Spanning Tree Protocol nicht nur in einem Netzwerk mit mehreren Switchen relevant ?
Den Cisco SG-200-8 muss ich mir direkt man ansehen. Obwohl ich dann eher den SG200-18 nehmen würde .Mit 8 werd ich nicht ganz klar kommen.

Achte darauf das diese üble Gurke die aktuellste Firmware geflasht hat denn ältere Versionen sind buggy !!

Ich habe mir die letzte Version die verfügbar ist ( die PL.1.9 ) geflasht. Zumindest ein der Dual Versionen.

> VLAN's habe aber alle VLAN's den Router für den Internetzugriff verwenden können.
Das geht logischerweise natürlich nur wenn diese VLANs auch analog auf dem Router konfiguriert sind mit Tagged Subinterfaces
(Parents) wie es im obigen Tutorial ja auch genau erklärt ist !
Du musst diese VLANs ja an den Router bringen das er sie "sieht" anders kanns ja nicht gehen. Die HP Gurke ist ja keine
L3 Switch der selber die VLANs routen könnte.

Also so wie ich es oben erwähnt habe ? Sprich wenn VLAN 3 und 10 im ddwrt Router angelegt sind, müssen diese auch im Switch vorhanden sein.
Da du in deinem Tutorial aber nur einen UPLINK Port zum Switch vom Target Port 1 ( Router ) hast, wo verbindest du den am Switch ?
Verbindest du den im ersten VLAN oder in einem normalen freien Target Port am Switch ?? Das konnte ich aus deinem Tutorial noch nicht erkennen.

> Im Vergleich mit dem " NetGear Prosafe GS10xE "
Röchel...noch schlimmer. Den tut sich nur ein Masochist an, da ist HP noch die Hölle und NetGear das Fegefeuer... Ist
auch ein Irrglaube das der irgendwas anderes, geschweige denn besser könnte als der HP. Das ist nur NGs oberkrankes GUI zur
VLAN Administration !
Ich fand in den Screenshots und Videos das erstellen und einrichten der VLAN's sehr simpel. Vor allem konnten die Anwender problemlos das selbe Netzwerk zumindest an den Ports physisch trennen so dass sich die Clients daran nicht untereinander " sehen " aber das Gateway zum Internet konnten alle Ports gleichermaßen nutzen.


> Wenn ich alle 24 [+2] Port's des default VLAN 1 auf U lasse, kann ich doch diesen Status der Ports nicht mehr in anderen
VLANS verwenden ?
Ja, das ist richtig, deshalb nimmt man ja für andere VLANs diese Ports auch aus dem VLAN 1 raus und setzt sie eben Untagged
in das andere VLAN.

Ich wollte mir den Switch eventuell in 4 ( Port 1 auf Untagged in ein separates Netzwerk als Management Port) Teilnetze a 6 Ports ( das erste a 5 wegen Port 1 separat ) aufteilen.
Erst alle auf Exclude lassen und dann im jeweiligen VLAN die 6 Ports auf U. Bleibt nur noch offen wo der Uplink Port vom Router kommend hin muss.

Bei Port basierten VLANs kann ein Untagged Port immer nur Mitglied eines VLANs sein...!

Ist mir auch schon aufgefallen bzw. hab ich durch Tutorials gelesen und dann umgesetzt. Da musste ich mich aber auch erst einfuchsen.
Ich hatte früher nur ein VLAN über den ddwrt ( damals der WRT 54GL ) und diese waren sehr einfach zu konfigurieren.

> Meine Idee war es auch schon für mein Vorhaben das " default VLAN 1 " leer zu lassen und separat VLAN 2 und
VLAN 3 zu erstellen.
Geht, aber was sollte der tiefere Sinn davon sein ?? Bzw. WAS willst du damit erreichen ?

Das habe ich eigentlich aus deinen Infos face-wink Zum einen sagtest du das es Sicherheitsgründen besser sei und zum anderen das im default VLAN Target Ports meist trotz " Flag" nur auf Untarget laufen.

> Dummerweise habe ich mich dadurch im Nachhinein aus dem Switch ausgesperrt und ich musste ihn resetten
Deshalb lässt der kundige Netzwerker auch immer einen Port, nämlich den wo er den Konfig PC dran hat, unkonfiguriert den
er nicht anrührt in der Konfig !!

Das habe ich mir nach dem Malheur auch gedacht face-wink

Oder benutzt sinnvollerweise die serielle Konsole....falls die HP Gurke überhaupt sowas hat ?!

du meinst über den Seriellen Port ?? da ist kein dran und über Telnet hab ich noch nicht probiert drauf zu kommen.
Hab aber auch in den Einstellungen keinen Hinweis auf Telnet gefunden. Läuft also kein Dienst drauf.

> Oder kann ich alle 24 [+2] Ports im default VLAN 1 auf Target setzen
Was meinst oder bezeichnest du mit "Target" ??

War bezogen auf den möglichen Port Status " Tag "
d3rChri5
d3rChri5 27.02.2015 um 00:30:07 Uhr
Goto Top
Guten Abend DerHahntrut,

hab deinen Beitrag erst eben gelesen..sorry face-wink


Wieder solch ein Cisco-feti.

ahhhh kieck ..doch also nicht so schlecht face-wink

@aqui
1. um die gleiche Ausstattung wie der HP 1810 24v2 zu erreichen zahlt man bei Cisco locker das Doppelte (Cisco SG200-26) und
trotzdem wette ich hat der HP Switch locker 90% der Leistungsmerkmale wie das Pendant von Cisco (aber egal Hauptsache VW und
Porsche vergleichen)
2. Beherrscht der HP Switch sehr wohl STP (Spanning Tree)


Ich hatte bisher eigentlich aus verschiedenen Bewertungen recht gute Ergebnisse gelesen.


@d3rChri5
Bei Layer 2 und Layer 3 Switch scheiden sich die Geister. Grundsätzlich bin ich für Layer 2 Switches da in meinen Augen
ein Switch nichts im Layer 3 zusuchen hat. Der GW bzw. Firewall handelt layer 3 und höher. Natürlich hat auch ein Layer
3 Switch seine Berechtigung,...

.... da bei grossen Netzen ein Routing von Vlan 1 zu Vlan 2 nicht bis zur Firewall muss und somit der
Traffic dezentral gehalten wird. Bei einem grossen Netz mit nur Layer 2 switchen, muss bei einem Routing von VLan1 in Vlan2
sämtlicher Traffic bis zur Firewall, was heissen soll dass die Firewall stark belastet wird.

HAb ich von der Seite auch noch nicht betrachtet...wieder was dazu gelernt face-wink

Somit:
Kleine Netze nur Layer 2 Switches
Grosse Netze Layer 3 Switches

Layer 3 kosten auch ne kleine Mark mehr und meine derzeit 13 Clients, sollte ich auch so verwalten können face-wink
Der Funktionsumfang bei den Layer 3Switchen ist natürlich auch etwas besser.

Für dein Anliegen damit du dein Projektlein abschließen kannst, empfehle ich dir ein mini-PC mit einer OpenSource
Firewall (PFsense)

Mir kam gerade die Idee das mit einem Raspberry Pi 2 umzusetzen AAAABER der hat leider nur FastEthernet Ports face-sad

Habe ich selber im Einsatz, der Mini Rechner hat 3 Lan Ports. 1 Wan 2 Lan. Lan 1 und 2 habe ich mit LACP zu einem Trunk
zusammengefasst.
Somit habe ich mehr Bandbreite und eine Ausfallsicherheit. Mit LACP wirke ich dem allfälligen aufkommenden Traffic zwischen
den VLans entgegen.

LACP kann man doch in Verbindung mit einen Trunk im 1810 konfigurieren?


Ich weis nicht ob diese Dinger in DE zu haben sind. In der Schweiz kriegst du sie hier : http://www.pcengines.ch/apu.htm
Mit PFsense kannst du soviel verschiedene Konfigurationsmöglichkeiten vornehmen bis dir schlecht wird ;)

Also ich bin mit den "angeblich soo billigen" HP 1810 Serie Switch und mit dieser Firewall APU mit PFsense mehr als
zufrieden.
Da kriegst du auch die VLans unter Kontrolle.

PFsense muss ich mir auch erst einmal ansehen...komm nur gerade nicht viel zum basteln ..muss auch gleich wieder in die Kiste springen.
Ich wollte doch nur wieder mein gewohntes VLAN haben ^^..menno face-wink
DerHahntrut
DerHahntrut 27.02.2015 aktualisiert um 00:58:51 Uhr
Goto Top
Zitat von @d3rChri5:

Guten Abend DerHahntrut,

hab deinen Beitrag erst eben gelesen..sorry face-wink


> Wieder solch ein Cisco-feti.

ahhhh kieck ..doch also nicht so schlecht face-wink

> @aqui
> 1. um die gleiche Ausstattung wie der HP 1810 24v2 zu erreichen zahlt man bei Cisco locker das Doppelte (Cisco SG200-26) und
> trotzdem wette ich hat der HP Switch locker 90% der Leistungsmerkmale wie das Pendant von Cisco (aber egal Hauptsache VW und
> Porsche vergleichen)
> 2. Beherrscht der HP Switch sehr wohl STP (Spanning Tree)


Ich hatte bisher eigentlich aus verschiedenen Bewertungen recht gute Ergebnisse gelesen.

in der Preisklasse denke ich wirst nichts besseres finden.


> @d3rChri5
> Bei Layer 2 und Layer 3 Switch scheiden sich die Geister. Grundsätzlich bin ich für Layer 2 Switches da in meinen
Augen
> ein Switch nichts im Layer 3 zusuchen hat. Der GW bzw. Firewall handelt layer 3 und höher. Natürlich hat auch ein
Layer
> 3 Switch seine Berechtigung,...

>.... da bei grossen Netzen ein Routing von Vlan 1 zu Vlan 2 nicht bis zur Firewall muss und somit der
> Traffic dezentral gehalten wird. Bei einem grossen Netz mit nur Layer 2 switchen, muss bei einem Routing von VLan1 in Vlan2
> sämtlicher Traffic bis zur Firewall, was heissen soll dass die Firewall stark belastet wird.

HAb ich von der Seite auch noch nicht betrachtet...wieder was dazu gelernt face-wink

man lernt nie aus..;)
>
> Somit:
> Kleine Netze nur Layer 2 Switches
> Grosse Netze Layer 3 Switches

Layer 3 kosten auch ne kleine Mark mehr und meine derzeit 13 Clients, sollte ich auch so verwalten können face-wink
Der Funktionsumfang bei den Layer 3Switchen ist natürlich auch etwas besser.
>
> Für dein Anliegen damit du dein Projektlein abschließen kannst, empfehle ich dir ein mini-PC mit einer OpenSource
> Firewall (PFsense)

Mir kam gerade die Idee das mit einem Raspberry Pi 2 umzusetzen AAAABER der hat leider nur FastEthernet Ports face-sad

Ich denke auch die Performance wird nicht die tollste sein auf dem Raspberry. Die APU hat Gigaports Dualcore CPu und 4gig Ram.
Da hast du auch noch Luft nach oben. In Verbindung mit PFsense in der Preisklasse unschlagbar.


> Habe ich selber im Einsatz, der Mini Rechner hat 3 Lan Ports. 1 Wan 2 Lan. Lan 1 und 2 habe ich mit LACP zu einem Trunk
> zusammengefasst.
> Somit habe ich mehr Bandbreite und eine Ausfallsicherheit. Mit LACP wirke ich dem allfälligen aufkommenden Traffic
zwischen
> den VLans entgegen.

LACP kann man doch in Verbindung mit einen Trunk im 1810 konfigurieren?

Genau!


>
> Ich weis nicht ob diese Dinger in DE zu haben sind. In der Schweiz kriegst du sie hier : http://www.pcengines.ch/apu.htm
> Mit PFsense kannst du soviel verschiedene Konfigurationsmöglichkeiten vornehmen bis dir schlecht wird ;)
>
> Also ich bin mit den "angeblich soo billigen" HP 1810 Serie Switch und mit dieser Firewall APU mit PFsense mehr
als
> zufrieden.
> Da kriegst du auch die VLans unter Kontrolle.

PFsense muss ich mir auch erst einmal ansehen...komm nur gerade nicht viel zum basteln ..muss auch gleich wieder in die Kiste
springen.
Ich wollte doch nur wieder mein gewohntes VLAN haben ^^..menno face-wink

Falls die PFsense zu umfangreich wäre gäbe es noch die M0n0wall (PFsense basiert auf M0n0wall ist aber eine Weiterentwicklung)
Ich empfehle PFsense.

Gute Nacht face-smile
aqui
aqui 27.02.2015, aktualisiert am 01.03.2015 um 12:30:05 Uhr
Goto Top
..ist der HP 1810 wirklich soooo schlecht ???
Ja, das ist der letzte Müll und hat auch noch ne schlechte Performance. Mal ganz abgesehen von den mickrigen Features und das er nichtmal PVST kann. Aber egal, jeder bekommt das netzwerk das er verdient. Andere Hersteller können das erheblich besser und HP sollte besser Server, Drucker und Laptops bauen, davon verstehen sie mehr.
in der Preisklasse denke ich wirst nichts besseres finden.
Doch es gibt noch Longshine und Netgear. Aber mal ehrlich der Cisco SG ist preisgleich und hat ein weit besseres und intuitiveres GUI da beisst die Maus keinen Faden ab. Von den anderen technischen Vorteilen mal nicht zu sprechen... Auch als Nicht Feti muss man das neidlos anerkennen wenn man wirklich mal fair ist ! face-wink
Falls die PFsense zu umfangreich wäre gäbe es noch die M0n0wall
Macht wenig Sinn, denn Monowall wurde kürzlich abgekündigt bzw. der Support eingestellt:
http://m0n0.ch/wall/end_announcement.php
pfSense ist also schon die richtige Empfehlung !
Alternativ dann ein Mikrotik Router.
Mit dem RB750G kann man den L3 mit 40 Euronen realisieren und das auch noch mit einem hübschen GUI !
d3rChri5
d3rChri5 27.02.2015, aktualisiert am 28.02.2015 um 12:17:15 Uhr
Goto Top
Guten Abend aqui, Guten Abend DerHahntrut,

bevor ich mir zusätzlich Hardware besorge und mich mit pfSense auseinander setze, wollte ich noch einmal die Variante über ddwrt aus dem Tutorial von aqui ausprobieren. Dazu habe ich noch einen äleren Linksys WRT320 N verwendet.
Die VLAN Konfiguration am Port 1 des Routers habe ich 1:1 aus dem Tutorial zum testen übernommen.

Auf der HP Switch, habe ich die VLAN's wie folgt zum Test unterteilt:

Vlan 1 ( default ) alle Ports da noch nicht eingerichtet auf Untaged

erstellt zum test " vlan3 " und " vlan10 "

in vlan 3 sind alle Ports per default auf exluded und manuell wurden 13 & 15 auf Untaged gesetzt.
in vlan10 sind alle Ports per default auf exluded und manuell wurden 14 & 16 auf Untaged gesetzt.


... und jetzt habe ich garntiert Mist gebaut...

...als Verbindungs-Port zwischen dem RouterSwitch-Port 1 ( wie Tutorial ) und den HP Switch Port habe ich auf der HP Switch den Port 11 gewählt. Diesen habe ich auf Vlan1 ( default) , vlan3 und vlan10 auf Taged gesetzt.
Schließe ich jetzt den Router an den Port 11 an und einen anderen Client an Port 13 oder 15 im vlan3 bekommt der Client keine IP zugewiesen.
Genau so wird es auch mit vlan10 sein wenn ich port 14 oder 16 teste.
Was mache ich mit dem Trunked Port 11 ( an dem der Router in den Switch kommt) falsch ?


VLAN Konfig

d80088aaacd2d040cdabb745d52b535c

81240056de065e6444c40e83fcbdbeaa

b967ddb4a08997070f304e8e14c42985

7d1c2f1ac4725f72bbb9ebcc3d45f868

Router Konfig: ( nicht wundern. beim WRT320 N un höher wird erst ab VLAN1 per default alles verteilt. )

1d09512c776e8b08426f52d3d610aee7

b6da54453c4c5e823b7e8a10810a242c

a2c350fb48393886acfb1b1d6b4a91aa



Mit freundlichen Grüßen Chris

PS: @ aqui

du erwähnst zum Schluss folgendes im Tutorial:

Der folgende Screenshot zeigt den Ping eines Apple Mac Rechners der sich am Switch im VLAN-3 befindet mit der per DHCP vom Router vergebenen IP Adresse 172.16.3.130. Dieser Mac (kann natürlich auch ein PC >sein...) pingt erfolgreich das Router IP Interface im VLAN-10. "

Genau DAS will ich doch nicht wenn ich zwei Vlans betreibe. Ich will doch gerade dadurch Netze separieren. Wenn ich will, dass Vlan 3 sich mit vlan 10 unterhalten kann, bau ich nen Trunk damit das ermöglicht wird.
Ich will doch das die Vlans sich NICHT untereinander sehen.
aqui
aqui 28.02.2015 aktualisiert um 12:13:36 Uhr
Goto Top
Tu uns bitte einen großen Gefallen und lasse den Blödsinn mit externen Bilderlinks !
Bei der Erstellung deines Threads kann dir nicht entgangen sein das es hier eine wunderbare Bilder Upload Funktion im Forum gibt oder du hast recht große Tomaten auf den Augen, sorry !
Klicke also auf "meine Fragen" wähle deinen Thread oben aus und dann auf "Bearbeiten"...dann siehst du diese Klickbuttons.
Den Hochladen Button klickst du dann lädst dein Bild hoch und den dir dann präsentierten Bilder Link markierst du und copy und pastest den per Rechtsklick.
Diesen Bilderlink kannst du dann in jeglichen Text hier bringen auch Antworten !!
Die Forumscommunity wird es dir danken denn das erspart uns die Zwangswerbung die mit solchen völlig überflüssigen Links daherkommt.

P.S.: Man kann das übrigens wunderbar noch nachträglich machen face-wink

Zu deinen Fragen:
und den HP Switch Port habe ich auf der HP Switch den Port 11 gewählt.
Das ist ja erstmal noch kein Mist und OK
Diesen habe ich auf Vlan1 ( default) , vlan3 und vlan10 auf Taged gesetzt.
Ist Richtig !
Schließe ich jetzt den Router an den Port 11 an und einen anderen Client an Port 13 oder 15 im vlan3 bekommt der Client keine IP zugewiesen.
OK, wenn man sicher davon ausgehen kann das zw. 13 und 15 in dem VLAN Verbindung ist dann ist zielich sicher das der Router falsch konfiguriert ist.
Stark zu vermuten ist das der Router KEIN Tagging auf seinem Port macht und deshalb die tagged Pakete vom Switch bei ihm nicht ankommen !
Der Router ist vermutlich DHCP Server, richtig ?
Genau so wird es auch mit vlan10 sein wenn ich port 14 oder 16 teste.
Vermutlich wenn der Router hier wie beim anderen VLAN auch nicht tagged ! Mehr oder minder ein weiteres Indiz das der Routerport falsch konfiguriert ist !
Was mache ich mit dem Trunked Port 11 ( an dem der Router in den Switch kommt) falsch ?
Das ist einen gute Frage und die Schlüsselfrage zu deinem Problem.
Aber das bekommst du sofort wasserdicht raus !!!
Nimm dir einen Wireshark Sniffer und schliesse den an dem Port 11 des Switches an. Achte darauf das deine Netzwerkkarte im Wireshark Rechner so eingestellt ist das die 802.1q tagged Frames anzeigt.
Den Wireshark klemmst du nun an Port 11 und siehst dir mal ausgehende Pakete dort an !
Hier müssen Pakete aus den beiden VLANs kommen mit einem VLAN Tag !! Das kannst du deutlich im Wireshark sehen. Hier sollten natürlich Endgeräte in einem oder beiden VLANs sein !
Analog machst du das am Router !
So kannst du in 5 Minuten feststellen WELCHE deiner beiden Seiten vermutlich KEIN Tagging macht und das entsprechend fixen !
Welche DD-WRT Version hast du im Einsatz ??

Genau DAS will ich doch nicht wenn ich zwei Vlans betreibe. Ich will doch gerade dadurch Netze separieren.
Dann lässt du schlicht und einfach den Router weg, damit ist dann jegliche Kommunikaton zw. den VLANs vollkommen unterbunden wenn du das nicht willst !
Wenn ich will, dass Vlan 3 sich mit vlan 10 unterhalten kann, bau ich nen Trunk damit das ermöglicht wird.
Oha...die Art und Weise dieser Aussage lässt leider vermuten das du das Prinzip VLAN nicht wirklich verstanden hast, sorry.
Erstmal solltest du genau definieren WAS du mit der Bezeichnung "Trunk" genau meinst, denn da gibt es mehrere Optionen:
1.) ist das ein aggregierter Uplink also die Bündelung von mehreren Switchport zu einem virtuellen um mehr Bandbreite zu erzielen
2.) Einfach ein tagged Uplink auf dem tagged VLANs übertragen werden wie bei dir am Port 11
BEIDES hat aber rein GAR NICHTS mit irgendwelchen Verbindungen oder Kommunikation zwischen VLANs zu tun !!!
Deshalb hier die Frage WAS du mit der Bezeichnung "Trunk" meinst.

Nur so viel: Generell sind VLANs auf einem reinen Layer 2 Switch immer vollkommen physisch getrennt und werden auch physisch getrennt übertragen !! Sie bleiben dabei auch immer vollkommen getrennt ohne jegliche Möglichkeit der Kopplung.
Eine Kopplung von VLANs egal ob sie ins Internet müssen oder zw. ihnen geroutet wird MUSS in jedem Falle ein Layer 3 Gerät machen. Ob das eine Layer 3 Option (Routing) im Switch selber ist (Layer 3 Switch) oder ein externer Router oder Firewall wie im Tutorial beschrieben ist dabei völlig egal !
Vermutlich ist dir diese Tatsache nicht bewusstt oder bekannt oder du hast sie noch nicht verstanden und verinnerlicht, kann das sein ?!
d3rChri5
d3rChri5 28.02.2015 aktualisiert um 12:41:53 Uhr
Goto Top
hallo aqui,

hab die die Bilder wie gewünscht noch einmal sichtbar zur Verfügung gesellt.
Somit kannst du sehen das die Hardware nach deinem Tutorial ( Routerseitig ) richtig konfiguriert ist.
Am Switch solltest du aucch sehen das dort ebenso eine richtige Konfiguration vorgenommen wurde.

Bevor ich jetzt erst Software installiere und Messverfahren einleite, würde ich dich bitten, einen Blick auf die Bilder zu werfen.

Danke im Voraus.

PS: auf dem Testgerät , ein WRT320N von Cisco ist derzeit folgende Version istalliert: dd-wrt.v24-21061_NEWD-2_K2.6_std_usb_nas.bin


Noch einmal zu deiner Aussage im Tutorial:


Der folgende Screenshot zeigt den Ping eines Apple Mac Rechners der sich am Switch im VLAN-3 befindet mit der per DHCP vom Router vergebenen IP
Adresse 172.16.3.130. Dieser Mac (kann natürlich auch ein PC >sein...) pingt erfolgreich das Router IP Interface im VLAN-10. "

Du sagt ja selber :

Nur so viel: Generell sind VLANs auf einem reinen Layer 2 Switch immer vollkommen physisch getrennt und werden auch physisch getrennt übertragen !! Sie
bleiben dabei auch immer vollkommen getrennt ohne jegliche Möglichkeit der Kopplung.

dann frag ich mich, warum du im Beispiel, von VLAN3 auf VLAN 10 pingen kannst ? Denn das sollte dann ohne eine Trunk Verbindung oder einer Route im Router nicht möglich sein.
aqui
aqui 28.02.2015, aktualisiert am 01.03.2015 um 11:22:37 Uhr
Goto Top
Ums querzuchecken hab ich mal einen Testaufbau gemacht. DD-WRT (v24 preSP2 Build 14826 vom 9.8.2010) auf WRT54GLv.1.1 Hardware an einem Cisco Catalyst 2950.
Switchport 1 => Routerport 1, Switchport 10 und 11 sind Endgeräteports in den VLANs 3 und 10 mit Windows 7 Clients.

DD-WRT Konfig:
75bee256c424527c5b5d8de3060fb697

VLAN Einstellung:
2cceb3cb4fecf439b53552be7ff2c39a
Switchkonfig:
!
interface FastEthernet0/1
description Uplink DD-WRT Router
switchport mode trunk
switchport trunk allow vlan all
switchport nonegotiate
!
interface FastEthernet0/10
description VLAN 3 Port
switchport mode access
switchport access vlan 3
spanning-tree portfast
!
interface FastEthernet0/11
description VLAN 10 Port
switchport mode access
switchport access vlan 10
spanning-tree portfast
!
monitor session 1 source interface Fa0/1
monitor session 1 destination interface Fa0/13 encapsulation dot1q

Damit hat das Setup sofort funktioniert ! Bzw. nach einem finalen Reboot !
Hier kannst du sehen das die Pakete ein entsprechendes VLAN Tagging haben (Wireshark Trace aus VLAN 10 an Switchport 1 der tagged auf den DD-WRT Router geht !
Wireshark Trace an Switchport 1:
d47a0e38f51eb57bee069f5631c7ae3a
Zeigt also das der Switch sauber die Pakete mit der VLAN ID 10 tagged ! Was er übrigens auch mit dem VLAN 3 entsprechend so macht !
Der Ping (Paket 33 und 35) und folgende DHCP Request (Paket 37 und 40) wird automatisch ausgelöst wenn man am Windows 7 Rechner das Kabel am Switchport 11 zieht und wieder steckt !
(Warum passiert das: Nach dem Kabel ziehen und stecken macht Winblows mit dem Ping ein Check ob andere Geräte ggf. zwischenzeitlich die IP bekommen haben um Doppelvergaben zu verhindern und der DHCP Request erneuert den Lease am Router DHCP für das VLAN 10.)

WICHTIG: Ich musste nach der DD-WRT VLAN Konfig den Router rebooten !
Ohne den Reboot funktionierte das Setup nicht ! Ggf. musst oder solltest du das mit deiner Kiste auch mal machen !

Ansonsten finktioniert das Setup tadellos wie es soll ohne irgendwelche Kinken !

Prüfe bitte nochmal die VLAN Zuordnung am DD-WRT unter Tagging wie da VLAN1 und VLAN2 zugeordnet sind UND der korrespondierenden Tag Number ob das auf die Interfaces vlan3 und vlan10 zeigt ! Den Screenshot hast du leider vergessen face-sad !
d3rChri5
d3rChri5 28.02.2015 aktualisiert um 22:59:05 Uhr
Goto Top
Guten Abend aqui ,

es scheint jetzt zu funktionieren.
Allerdings habe ich deinen Test Aufbau erst jetzt eben gelesen da ich die ganze Zeit am basteln war.

Folgendes habe ich heraus bekommen.

Ich hatte Euch doch geschrieben das ich Port 11 am Switch auf Taged gesetzt hatte damit darüber der Taged Port am Router ( wie bei dir Port 1 ) seine Pakete übergeben kann.
Nur kam bei mir weder über Wireshark( dazu nachher später) noch am Client irgendetwas an.

Mit fiel auf, das das VLAN ja in jedem Vlan Bereich, auch den Router der das VLAN zur Verfügung stellt, irgendwie sehen muss.
Dies war bisher nicht gegeben da das VLAN vom Router nur am Vlan1 ( default) hing.
Folgedessen habe ich nicht nur den Port 11( ist in diesen Szenarium der Port 11 eigentlich der sogenannte Uplinkport ? ) am Switch auf Target gesetzt ( wie im Bild ) sondern auch den RouterPort1( am Switch) im Vlan3 und Vlan10.
Dieser Port 1 war zuvor im vlan3 und vlan10 auf Excluded sodass die VLAN's das Gateway gar nicht sehen konnten.
Kann es daher sein, das der Uplinkport ( RouterPort 1 & Switchport 1 ) lediglich die Information zur Verfügung steht das Taged Pakete über diesen übertragen werden?
Die Gesamt Kommunikation aber nur möglich ist, wenn der Gateway Zugang zur Verfügung gestellt wird?
Ich hatte zuvor auch den Port 1 im default VLan1 auf T gesetzt aber dann kamen nach einen Wechseln der Patch Kabel gar keine Adressen mehr im Vlan1 an.
Somit also vlan1 am Switch welches ja nicht im Router " Taget " gesetzt ist auf untaged gestellt und nur den Port 1 vom Switch in vlan3 und vlan10 am switch auf " Taged" gesetzt.
Schon lief das ganze .
Die IP Adressbereiche habe ich wie in deinem Testaufbau aqui , gleich gesezt :
Router 192.168.1.1
Switch: 192.168.1.2
vlan1 default verteilt über den Router ganz normal C Adressen
vlan3 verteilt über den Router Class B Adressen: 172.16.3.x
vlan10 verteilt über den Router auch Class B Adressen: 172.16.10.x

Der Ping erfolgt z.B. von einem Client aus dem vlan10 Netz auf das Gateway 172.16.10.1 und auch auf das Gateway des vlan3, sprich auf 172.16.3.1 .
Vlan3 und vlan 10 können logischer Weise auch auf den Hauptgateway 192.168.1.1 zugreifen.
Die Clients hinter vlan3 können jedoch nicht auf Clients in vlan10 zugreifen.

Was bei mir noch nicht gefunkt hat ist folgendes.....hab ich Port1 auf den Switch im vlan1 auf Taged stehen, können die Clients hinter vlan3 und vlan10 nicht auf den Switch 192.168.1.2 zugreifen.
Stelle ich den Port1 im vlan1 wie erwähnt auf untaged, können die Clients hinter vlan1 und vlan10 den Switch normal pingen.
Irgendwie gerade nen Knoten im Kopf ?!?!? face-wink

Zum Thema Wireshark...
Ich hatte bevor ich am Port 1 gebastelt habe, einen Client direkt an Port 11 des Swiches gehängt und hab Wireshark drauf hören lassen.
Im Übrigen habe ich unter Windows an den NIC Eigenschaften keine Einstellungen für 802.1q tagged Frames gefunden.
Im Wireshark konnte ich aber auch nichts finden ( muss aber auch sagen, daß ich den vor xxxx Jahren das letzte Mal angefasst habe ).
Dies wird garantiert der Grund sein warum ich beim hören am Port 11 nichts bekommen habe.
Wo genau wäre denn der Filter für 802.1q taged Frames ?


Prüfe bitte nochmal die VLAN Zuordnung am DD-WRT unter Tagging wie da VLAN1 und VLAN2 zugeordnet sind UND der korrespondierenden Tag Number ob
das auf die Interfaces vlan3 und vlan10 zeigt ! Den Screenshot hast du leider vergessen !

Die Zuordnung der VLANs auf den Router ist doch hier face-wink

1d09512c776e8b08426f52d3d610aee7


oh sorry jetzt sehe ich welchen Screen du meintest:

War gerade nochmal am TEST Router:

unter dem DD-WRT Konfig: für VLAN Tagging steht bei mir gar nichts drin.
Der Bereich ist bei mir leer ( hatte mich ja an dein Tutorial gehalten )

Könnte hier auch der " Umweg " über den Router Port 1 zum SwitchPort 1 am Taged Port im vlan3 und vlan10 liegen ??????
Oder sind beide Varianten möglich ???????


Nachtrag:

Hab eben mal im Routermenü die Tagging Config so vorgenommen wie in deinem neuem Testaufbau.
Wenn das so hinterlegt ist, kann ich im Switch unter vlan3 und vlan10 den Port1 wieder auf " excluded " stellen und muss ihn nicht auf Taged lassen.
Die IP Zuweisung mit wechselnden Patchkabeln an verschieden Ports ( vlan10 zu vlan 3 zu vlan 1 ) funktioniert ebenso wie beschrieben.
Wo ist hier bei der Unterschied zu beiden Varianten ?
aqui
aqui 01.03.2015 aktualisiert um 12:23:29 Uhr
Goto Top
Mit fiel auf, das das VLAN ja in jedem Vlan Bereich, auch den Router der das VLAN zur Verfügung stellt, irgendwie sehen muss.
Ist dir recht spät aufgefallen, denn das ist Grundlage jeglichen VLAN Designs, egal ob man Switches koppelt über einen tagged Uplink oder einen Switch und Router oder irgendwie anderes geartetes Endgeräte was tagged VLAN Pakete versteht !
Diese Uplink Switch muss immer tagged für alle VLANs außer den Default VLAN (Siehe dazu auch hier !) eingerichtet sein. Entsprechend identisch natürlich die andere Seite auch !
Wenn dem nicht so ist können die VLAN Tags nicht mehr zugeordnet werden und es kommt zu einer Fehlfunktion, das ist doch logisch !
Kann es daher sein, das der Uplinkport ( RouterPort 1 & Switchport 1 ) lediglich die Information zur Verfügung steht das Taged Pakete über diesen übertragen werden?
Genau so ist es ! Du bestimmst in der Konfig ja nur welche VLANs dort mit einem VLAN Tag versehen werden und dort übertragen werden. VLANs die du dort einträgst werden übertragen und mit einem VLAN Tag versehen. VLANs die du nicht einträgst ignoriert der Port und verwirft sie. Nicht mehr und nicht weniger. Eigentlich ganz einfach !
Die Gesamt Kommunikation aber nur möglich ist, wenn der Gateway Zugang zur Verfügung gestellt wird?
Die Frage hier ist WAS du genau mit der Bezeichnung "Gesamt Kommunikaton" meinst und "Gateway" ???
Du würfelst hier gnadenlos Layer 2 und Layer 3 Begriffe wild durcheinander... Versuchen wir das mal zu ordnen.....
Wenn "Gesamt Kommunikaton" die Layer 3 Kommunikation meint also das Erhalten von IP Adressen via DHCP und das Routing zw. den VLANs dann ist dem so.
Das ist doch auch sonnenklar...!! Wenn dein Laptop im VLAN 3 einen DHCP Broadcast losschickt um vom DD-WRT Router bzw. dessen DHCP Server in VLAN 3 eine gültige IP Adresse und damit die Gateway IP des DD-WRT in VLAN 3 zu erfahren, dann setzt der Switch ja an Port 1 an dieses Paket was aus VLAN 3 kommt eine VLAN ID "3" als Tag an dieses Paket. Das kannst du ja auch mit dem Wireshark sehen !!
Dieses Paket rennt nun über den Draht an Switchport 1 mit dem VLAN 3 Tag zum Router an Port 1 !
Der sieht sich das Paket an und erkennt dort im Paket den VLAN 3 Tag und "weiss" damit das er dieses Paket intern in sein VLAN 3 weiterleiten muss.
Das macht er dann auch und sein interner DHCP Server im VLAN 3 antwortet nun auf den DHCP Broadcast mit einem Lease Reply für den Client.
Das Paket wird dann wieder am Routerport 1 vom Router mit einem VLAN 3 Tag versehen und geht wieder auf den Draht, kommt am Switch an und der "sieht" wieder den Tag, forwardet das Paket ins VLAN 3 und so landet es am Client.
Wenn du nun irgendwo an den Ports vergisst das richtige VLAN Tagging einzutragen wird dir vermutlich auch klar anhand des obigen Ablaufes das da irgendwas dann logischerweise nicht klappen kann !?!
Meintest du das mit "Gesamt Kommunikaton" ??
vlan3 verteilt über den Router Class B Adressen
Vergiss mal den Unsinn mit dem IP "Klassen". Das ist Schnee von gestern und gibt es schon lange nicht mehr !! Seit 1993 ist weltweit CIDR gültig und damit sind die IP Adressklassen schon lange obsolet !!
http://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Die Clients hinter vlan3 können jedoch nicht auf Clients in vlan10 zugreifen.
Das kann niemals sein wenn du die jeweiligen Gateway IPs auf dem DD-WRT Router anpingen kannst !
Hier bist du vermutlich in die üblichen 2 Fallen getappt:
1.) ICMP Echo Reply (Ping) ist bei Winblows ab Win 7 per Default deaktiviert in der Firewall !!! Das musst du erst wieder aktivieren und wie das einfach geht steht hier:
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
2.) Die Windows Firewall blockt in der Regel alles was nicht aus dem eigenen IP Segment kommt. Wenn du nun einen Zugriffsversuch aus einem anderen IP Netz sprich VLAN machst über den Router sagt die Windows Firewall NJET !
Du musst diese also IMMER entsprechend customizen das sie diese Zugriffe auch zulässt !!
Im obigen Testaufbau funktioniert das übrigens fehlerlos so das dein problem zu 99% an der lokalen Win Firewall liegt !
hab ich Port1 auf den Switch im vlan1 auf Taged stehen,
Das ist ein Fehler, da das Default VLAN in der Regel bei ALLEN Herstellern immer untagged auf Tagged Uplinks übertragen wird. So gut wie keiner tagged das default oder native VLAN auf tagged Uplinks !
Das default oder native VLAN sollte auf solchen Uplinks also immer untagged sein ! (sog. Dual Mode)
Das ist auch der Grund warum die VLAN 3 und 10 Clients nicht auf die Management IPs der Geräte zugreifen können in VLAN 1 wenn du das taggst ! Der Routerport erwartet das untagged. Kommt dieser Frame aber mit einem VLAN Tag 1 "versteht" der Routerport das nicht und verwirft den Frame mit dem Ergebnis was du siehst.
Im Übrigen habe ich unter Windows an den NIC Eigenschaften keine Einstellungen für 802.1q tagged Frames gefunden.
Das findest du auch nicht sondern dafür MUSST du einen Eingriff in die Registry machen wenn du z.B. Intel basierte NICs hast:
http://wiki.wireshark.org/CaptureSetup/VLAN#Windows
bzw. Intel:
http://www.intel.com/support/network/sb/CS-005897.htm
Bei billigen Chipsets von Realtek ist das z.B. per Default aktiviert. Das musst du im Detail klären.
Welchen Chipsatz verwendest du auf dem Wireshark Rechner ??
Mit dem Intel Patch funktioniert das sofort ! Irgendwelche .1q Filter ist natürlich Unsinn, das gibt es nicht ! Allein der Registry Eintrag bestimmt wie mit den .1q Frames in der NIC verfahren wird !
Dies wird garantiert der Grund sein warum ich beim hören am Port 11 nichts bekommen habe.
Ja, richtig ! Wenn du den Registry Patch nicht machst siehst du KEINE 802.1q VLAN Tags bei Intel.
Bei anderen NIC Chipherstellern ist das ggf. anders ! Deshalb die Frage WELCHEN du da verwendest ? (Siehe Gerätemanager)
unter dem DD-WRT Konfig: für VLAN Tagging steht bei mir gar nichts drin.
Das war auch nicht gemeint sondern der Eintrag ganz OBEN im Reiter "Networking". Dieser Screenshot fehlt leider auch im Tutorial !
Oben aber ist er hier zu sehen beim Testsetup !!
Könnte hier auch der " Umweg " über den Router Port 1 zum SwitchPort 1 am Taged Port im vlan3 und vlan10 liegen ??????
Ääähhh... Bahnhof ??
Was du damit genau meinst ist vollkommen unverständlich... ?! Was ist "Umweg" ?? Versteht kein netzwerker...sorry face-sad
Wo ist hier bei der Unterschied zu beiden Varianten ?
Das weiss wohl nur HP. Das ist ein krankes VLAN Setup in dem Switch und branchenunüblich.
Wie gesagt am besten mit dem Wireshark nachsehen was der Switch dann an dem Port macht bei den Varianten.
Für den Router MUSS es so sein an Switchport 1:
VLAN 1 = untagged
VLAN 3 = tagged
VLAN 10 = tagged
d3rChri5
d3rChri5 02.03.2015 um 22:36:19 Uhr
Goto Top
Hallo aqui ,

ich habe heute nicht viel Zeit. Deine Antworten habe ich aber gelesen und ich werde sie diese Woche noch bearbeiten.
Zu einem Statement kann ich aber fix etwas kommentieren.

Die Clients hinter vlan3 können jedoch nicht auf Clients in vlan10 zugreifen.

Das kann niemals sein wenn du die jeweiligen Gateway IPs auf dem DD-WRT Router an pingen kannst !
Hier bist du vermutlich in die üblichen 2 Fallen getappt:
1.) ICMP Echo Reply (Ping) ist bei Winblows ab Win 7 per Default deaktiviert in der Firewall !!! Das musst du erst wieder aktivieren und wie das einfach geht steht hier:
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
2.) Die Windows Firewall blockt in der Regel alles was nicht aus dem eigenen IP Segment kommt. Wenn du nun einen Zugriffsversuch aus einem anderen IP Netz > sprich VLAN machst über den Router sagt die Windows Firewall NJET !
Du musst diese also IMMER entsprechend customizen das sie diese Zugriffe auch zulässt !!
Im obigen Testaufbau funktioniert das übrigens fehlerlos so das dein problem zu 99% an der lokalen Win Firewall liegt !

Da ich Kaspersky Internet Security verwende, ist die Windows Firewall sowieso deaktiviert.
Somit sollte die Regel die im Beitrag erwähnt wird, gar nicht greifen.
In der Kaspersky Netzwerk Paketregel Option, ist im übrigen " ICMP Echo Reply ( eingehend Paket ) erlaubt.

In deinem ersten Test Tutorial zu diesem Thema, pingst du zum Schluss auch die gegenseitigen Gateway Adressen an.
Dazu hatte ich dich bereits befragt weil ich das auch merkwürdig fand.
Wie gesagt, ich komme immer nur bis an die Gateway Adresse.
Clients die dahinter liegen, sind im Netzwerk nicht sichtbar und können auch nicht an gepingt werden.
Ich WILL das im übrigen auch gar nicht.
Durch das VLAN will ich die Netze ja trennen und will nicht das Clients von vlan3 , Clients im vlan 10 sehen oder umgekehrt.
Von daher habe ich deinen Screen im Tutorial auch nicht verstanden. Denn warum sollte man darauf hin arbeiten das sich die Clients in den verschiedenen Vlans sehen?? ( es sei dem man möcht das )
Ach siehst, etwas OffTopic...... es wäre schön, wenn du deine Sätze mal ohne " ! " beenden könntest. Das hat jedes Mal den Anschein, als ob es dir zu viel ist, eine Antwort zum Kommentar zu geben bzw. es dich nervt wenn andere nicht auf deinem IT Niveau sind.
Du antwortest zwar eigentlich immer mit guten Hinweisen aber dein Ton ist nicht immer so „ jut „ face-wink
Ist nicht böse gemeint sondern nur ein Hinweis. face-wink
Wenn ich dich damit falsch interpretiert habe, entschuldige bitte.


...ok back to Topic.

Ich melde mich zu den anderen Absätzen noch diese Woche .

Im übrigen habe ich dir im NACHTRAG doch geschrieben, dass ich die Einstellungen am Target Port ändern konnte wenn ich den Zustand im Router so konfiguriere, wie in deinem Testaufbau.
Somit ist die Notwendigkeit im vlan3 und vlan 10 den " Gateway " Port 1 ( am Switch ) auf Tagged zusetzen gar nicht gegeben.
Ich kann den Port 1 im Switch ( an dem der Gateway zum Router hängt) problemlos auf " excluded " stellen .
Das Vlan funktioniert mit der Zusatzeinstellung im Router unter " VLAN Tagging " trotzdem.
Ohne diese Einstellung im Router müsste ich den Port 1 im vlan3 und vlan10 jedoch auf " T " setzen.

Daher ja die Frage wo hier intern der Unterschied ist.
aqui
aqui 03.03.2015 um 10:57:21 Uhr
Goto Top
Da ich Kaspersky Internet Security verwende, ist die Windows Firewall sowieso deaktiviert.
Ohhhh shi.... das istd er böse Buhmann. Diese SW ist mit Vorsicht zu geniessen !
Du solltest das Routing deshalb erstmal mit Endgeräten austesten die KEINE solche SW an Bord haben also mit Druckern, Switch IPs oder sowas wo keine versteckte Filterung oder Blocking durch solche SW droht.
Kaspersky ist noch um den Faktor 100 schlimmer als die Windows Firewall.
Dazu hatte ich dich bereits befragt weil ich das auch merkwürdig fand.
Was bitte daran ist merkwürdig ???
Es macht doch absolut Sinn von VLAN A die Gateway IP am Router von VLAN B zu pingen und vice versa.
Damit kann man doch sofort auf einen Schlag sehen ob dieses IP Netz erreichbar ist oder ob da nicht wieder irgendwelche Filterlisten, Firewalls oder Kasperskys dieser Welt zuschlagen.
Klar sollte man logischerweise davor sein eigenes VLAN Gateway pingen können und checken das seine eigene Gateway IP Adresse auf diese Router IP Adresse zeigt.
Das ist doch einen sinnvolle und strategische Vorgehensweise. Erklär dem Forum bitte mal was daran "merkwürdig" sein soll ?
Wie gesagt, ich komme immer nur bis an die Gateway Adresse.
WELCHE denn ?? Die iegene lokale oder die des jeweils anderen VLANs ??
Wenn du die des anderen VLANs nicht pingen kannst dann schlägt irgendwo irgendwelche Filterliste, Firewall oder Kaspersky zu.
Da musst du dann herausfinden wo. Deshalb auch der Tip erstmal mti Geräten OHNE jegliche Firewall Fussfallen das wasserdicht zu testen.
Ich WILL das im übrigen auch gar nicht.
Das ist auch klar und verstanden nur....
Du musst VORHER erstmal wasserdicht verifizieren das dein Routing fehlerfrei funktioniert. Und wenn du am Router KEINE Accesslisten konfiguriert hast, dann hast du ja ein absolut transparentes Routing, d.h. jeder kann mit jedem.
Erst DANACH macht man dann die Schotten dicht mit Accesslisten ! Ansonsten könntest du ja logischerweise niemals sagen WO der Fehler später mal liegt beim Routing oder bei den ACLs...logisch.
Durch das VLAN will ich die Netze ja trennen und will nicht das Clients von vlan3 , Clients im vlan 10 sehen oder umgekehrt.
Das ist verstanden, dann darfst du sie aber auch NICHT mit einem Router kombinieren.
Denn die VLAN Trennung gilt ja nur einzig auf dem Layer 2 ! Sowie du einen L3 Kopplung der Netze machst hast du sie wieder zusammen und musst einen ACL verwenden um sie zu trennen...logisch.
aber dein Ton ist nicht immer so „ jut „
Na ja wenn man als Anfänger sich in ein Administrator Forum wagt wo ja ein gewisses "Niveau" herrschen sollte sollte man einen etwas rauheren Ton schon mal abkönnen. Ist ja nicht böse gemeint sondern eher mal der Appell etwas Grundlagen sich anzueigenen und nachzudenken face-wink
...ok back to Topic.
problemlos auf " excluded " stellen .
Kein Mensch weiss was das "excluded" dann macht oder was der Hersteller sich drunter vorstellt... Vermutlich werden hier auch Outbound und Inbound Traffic getrennt betrachtet was eher verwirrt denn hilft. Das ist jetzt aber als bekennender HP Abstinenzler nur geraten face-big-smile
Daher ja die Frage wo hier intern der Unterschied ist.
Wie gesagt...das kann wohl nur HP beantworten face-wink
d3rChri5
d3rChri5 03.03.2015 aktualisiert um 18:24:11 Uhr
Goto Top
Hallo aqui,


bin gerade von Arbeit gekommen und will dir mal fix antworten face-wink

Ohhhh shi.... das istd er böse Buhmann. Diese SW ist mit Vorsicht zu geniessen !

ich weiß gar nicht was alle immer auf Kaspersky herum hacken ? face-wink Ich verwende die Software schon seit der Version 2.x und hatte bis auf einen einzigen „False Positive „ Alarm NIE Probleme, Systemfehler oder anderwärtige Performance Probleme. Lief bei mir bisher immer super. Ich glaube aber, dass ist eher eine " Glaubensfrage" ..der eine mag es der andere nicht.
Dein Einwand aber mal prinzipiell betrachtet... stimmt Kaspersky war während der Testphase auf den Clients aktiv. Das kann ich diese Woche aber bei einem erneuten Test mal deaktivieren..kein Problem.


Was bitte daran ist merkwürdig ???

Ich fand es eben damals als ich Dein erstes Tutorial zu VLAN und DDWRT gelesen habe, sehr merkwürdig das obwohl die Netzte physisch getrennt sind, du von Client A das Gateway von Client B pingen konntest. Ich bin davon ausgegangen, dass sobald die Clients ihren Vlan zugeordnet ( via Port im VLAN ) sind,diese nicht mehr das andere Netz sehen können. Lediglich ihren eigenen Gateway.


Denn die VLAN Trennung gilt ja nur einzig auf dem Layer 2 ! Sowie du einen L3 Kopplung der Netze machst hast du sie wieder zusammen und musst einen ACL > verwenden um sie zu trennen...logisch.

Ok, hier habe das OSI Modell nicht in Betracht gezogen. Trotz Kopplung mit einem Router bin ich davon ausgegangen, dass die Netze durch die Vlan Struktur strikt getrennt sind.
Ich dachte eher, das die Verbindung der Netze erst explizit durch Routen gewährleistet werden. Nicht das diese per default verfügbar sind.


WELCHE denn ?? Die iegene lokale oder die des jeweils anderen VLANs ??

Ich kann von vlan3 auf das eigene Gateway und auf das Gateway des vlan10 pingen. Umgekehrt ebenso.
Clients dahinter sind bisher „ safe“

Kein Mensch weiss was das "excluded" dann macht oder was der Hersteller sich drunter vorstellt

Da an den Ports der jeweiligen Vlans dann nichts mehr passiert, gehe ich mal stark von einer " Abschaltung " aus.
Wenn ich an so einen Port im jeweiligen Vlan einen Client verbinde, bekommt dieser weder eine IP noch passiert sonst irgendetwas.
aqui
aqui 03.03.2015 um 22:35:27 Uhr
Goto Top
ich weiß gar nicht was alle immer auf Kaspersky herum hacken ?
Lies dir die zahllosen Leidensthreads hier durch dann weisst du warum wir hier bei sowas immer skeptisch sind. Nichtmal wenn man das Teil deinstalliert bekommt man den Amok laufenden Filter wieder auf Normalbetrieb.
Sowas ist dann schon recht bedenklich....
Aber gut wenns bei dir rennt ist alles OK. Nur...deinstallieren hilft nicht bei der SW was die Erfahrung hier bestätigt.
sehr merkwürdig das obwohl die Netzte physisch getrennt sind, du von Client A das Gateway von Client B pingen konntest.
Sie sind ja eben NICHT getrennt. Hier begehst du einen hartnäckigen Verständnisfehler, denn das Tutorial geht immer von einem Router aus und das ist ja DD-WRT der die VLANs verbindet und da sind sie dann auch wieder verbunden !!
Ums nochmal zu wiederholen: Sobald ein Router in den VLANs hängt sind sie wieder verbunden.
Keine Router = keine Verbindung und vollständige Trennung der VLANs.
Eigentlich ganz einfache und simple VLAN Philosophie und Technik der letzten Netzwerk Jahrzehnte !
Ich bin davon ausgegangen, dass sobald die Clients ihren Vlan zugeordnet ( via Port im VLAN ) sind,diese nicht mehr das andere Netz sehen können. Lediglich ihren eigenen Gateway.
Und ganz genau DA liegt dein fataler Denkfehler. Ohne dir jetzt zu nahe zu treten solltest du dann aber dringenst nochmal die simplen Grundlagen zum Thema IP Routing lesen wie hier z.B.:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Trotz Kopplung mit einem Router bin ich davon ausgegangen, dass die Netze durch die Vlan Struktur strikt getrennt sind.
Fataler Denkfehler ! Fazit: Nacjlesen was Router und Routing ist und wie es funktioniert.
VLAN ist immer nur einzig einen Trennung der L2 Broadcast Domains. Das weiss man aber auch eigentlich als Netzwerk Anfänger face-wink
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
Ich dachte eher, das die Verbindung der Netze erst explizit durch Routen gewährleistet werden.
Nicht denken sondern nachdenken face-wink
Routen sind ja überflüssig in diesem Design, da die IP Netze ja bei einem VLAN Router immer direkt an dem Router nageschlossen sind. Der Router "weiss" damit ja dann WO seine IP Netze sind....wozu also brauch er denn noch Routen ?? Wäre ja überflüssiger Unsinn, da er ja alle Forwarding Infos hat.
Die einzige Route die er braucht ist die Default Route ins Internet, die ihm sagt: "Alles was du hier nicht lokal routen kannst schick zum Internet Router, der weiss schon wohin damit..."
Hier holen dich dann wieder die IP Routing Grundlagen ein...face-wink
Ich kann von vlan3 auf das eigene Gateway und auf das Gateway des vlan10 pingen. Umgekehrt ebenso.
Bingo !
Genau darum ging es und zeigt dir das dein Router damit wunderbar funktioniert !
Da du jetzt aber keine Kommunikation zw.deinen VLANs wünscht kommen jetzt die IP Accesslisten die die IP VLAN Netze untereinander abschotten.
d3rChri5
d3rChri5 08.03.2015 um 17:32:56 Uhr
Goto Top
Hallo aqui,

ich bin leider noch unterwegs und komme erst später nach Hause.
Deine Infos habe ich Freitag schon aufgenommen und mich nochmal etwas eingelesen.
Ich werd mich dann Montag Abend nach der Arbeit wieder ans Werk machen.
Ich hoffe mal, du hast noch etwsa Geduld face-wink
Letzte Woche war etwas arg stressig so das ich zu nichts großen mehr privat gekommen bin.
Familie ist ja auch noch am Start und die darf auch nicht zu kurz kommen face-wink


Schönen Sonntag noch....bis Montag Abend.
aqui
aqui 08.03.2015 um 17:45:57 Uhr
Goto Top
Wir sind gespannt auf Montag... face-wink
d3rChri5
d3rChri5 09.03.2015 aktualisiert um 22:19:49 Uhr
Goto Top
Guten Abend aqui,

sorry ist leider etwas später geworden. Hatte auch erst später Feierabend und der Testrouter musste wegen eines Fehlers in der alten FW, eine neue Version aufgespielt bekommen. Bis dann wieder alles konfiguriert wurde....... na ok .


Ich wollte eigentlich noch einmal den Testaufbau wagen , bei dem alle Clients keine FW mehr aktiv hatten und auch die Einstellungen für ICMP Echo Reply gesetzt sind. In der aktiven Kaspersky Firewall sind diese zwar erlaubt aber dennoch konnte ich die Clients über die eigenen Gateways hinweg nicht anpingen.
Die Windows FW war dabei durch die Kaspersky eigene deaktiviert.
Daher wollte ich eigentlich testen, was hier den Clientzugriff über die VLANS hinweg blockiert.
Bisher ist ja immer noch der Status :

Ich kann von vlan3 auf das eigene Gateway und auf das Gateway des vlan10 pingen. Umgekehrt ebenso.


Welchen Chipsatz verwendest du auf dem Wireshark Rechner ??

Auf dem Netbook ist ein Atheros verbaut mit einem AR8132 Chipsatz.

Für das WLAN Modul ein AR9285 Chipsatz von Atheros


Das Thema Iptables macht mir ehrlich gesagt " Kopfschmerzen " .
Eine ältere FW des Cisco Routers hatte ebenso den Fehler das VLAN Konfigurationen in der GUI nicht gespeichert wurden.
Einzige Möglichkeit diesen mit konfigurierten VLANs zu nutzen, war die Vergabe der Ports und IP Adressen über die Iptables Einstellungen.
Ich hatte mich damals tagelang mit dem Thema auseinander gesetzt aber bin auf "Teufel komm raus " mit dem Thema nicht klar gekommen.
Später erfuhr ich, dass es ein Tool gibt, über das man die Einstellungen mit einer GUI vornehmen kann und diese anschließend als Befehlskette übergeben bekommt um die Einstellungen über eine Konsole einzugeben.
Gibt es diese Möglichkeit hier auch ?
Ich hatte mich schon einmal im DDWRT Wiki informiert:

http://www.dd-wrt.com/wiki/index.php/Iptables_command

Das wird mir aber gewiss wieder Kopfzerbrechen bereiten face-sad
aqui
aqui 10.03.2015 aktualisiert um 11:54:29 Uhr
Goto Top
Wie bereits gesagt: Sieh dir dieses Forums Tutorial an:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort werden wirklich alle Fragen zu diesem Thema beantwortet face-wink
Und das alles garantiert OHNE Kopfschmerzen !
d3rChri5
d3rChri5 11.03.2015, aktualisiert am 14.03.2023 um 11:14:14 Uhr
Goto Top
Guten Abend aqui,

Wie bereits gesagt: Sieh dir dieses Forums Tutorial an:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern


Du spielst gewiss auf das Routing mit der pfSense Firewall Firewall an ?
Das heißt, ich müsste mir dafür aber noch ein " Hardwarekasten" ins Netz stellen.
Ich wollte aber eigentlich für einen pfSense Unterbau nicht noch extra Geld investieren.
Der " DerHahntrut " hatte mir ja für pfSense schonmal einen Unterbau empfohlen. Dieser würdea aber mit extra 100+ € zu Buche schlagen.
Ich dachte ja das der neue Pi dafür ausreichend wäre aber dem soll wohl nicht so sein. Des Weiteren würde ich mir mit den Pi ein Flaschenhals in Punkto Netzwerkgeschwindigkeit reinbauen da auch der neue Pi nur FastEhternet Ports hat face-sad

Ich würde aus kostengründen lieber die Möglichkeit über die Routing Funktion im DDWRT nutzen.
Hast du eventuell noch einen simplen Einstieg in die für mich etwas schwierige iptables Prozedur ?
Leider kann man ja in der DDWRT GUI kein internes Routing komplett konfigurieren.
Ich kann zwar statische Routen anlegen aber nicht mit angeben das z.b. Interface wl01 mit IP Adresse A nicht auf Lan Interface mit IP Adresse B zugreifen darf.
aqui
aqui 11.03.2015 um 21:39:55 Uhr
Goto Top
ich müsste mir dafür aber noch ein " Hardwarekasten" ins Netz stellen.
Wenn du routen willst oder musst zwischen den VLANs ja, denn der 1810 supportet m.W. kein Layer 3 ist also kein Routing fähiger Switch.
Ich wollte aber eigentlich für einen pfSense Unterbau nicht noch extra Geld investieren.
Musst du ja auch nicht, ein 30 Euro Mikrotik 750 Router macht dasgleiche für ein kleineres Salär. Wie gesagt du brauchst das nur wenn du routen sprich kommunizieren willst zw. den VLANs. Wenn nicht brauchst du das auch nicht...logisch !
Ich dachte ja das der neue Pi dafür ausreichend wäre aber dem soll wohl nicht so sein.
Natürlich reicht der !
Wie kommst du auf den Unsinn das der das NICHT könnte ??? Vergiss den Unsinn.
Wenn du mal die Suchfunktion hier benutzt hättest dann hättest du auch diese Anleitung zum Abtippen für den RasPi gefunden:
Netzwerk Management Server mit Raspberry Pi
Das brauchst du nur noch Abtippen, dann routet dein Raspi und kann gleich auch noch DHCP Server machen für die VLANs face-wink
Ich würde aus kostengründen lieber die Möglichkeit über die Routing Funktion im DDWRT nutzen.
Auch das steht dir ja offen...siehe VLAN Tutorial !!
Leider kann man ja in der DDWRT GUI kein internes Routing komplett konfigurieren.
Wie kommst du darauf ?? Auch das ist einen falsche Behauptung. Natürlich klappt das !
Ich kann zwar statische Routen anlegen aber nicht mit angeben das z.b. Interface wl01 mit IP Adresse A nicht auf Lan Interface mit IP Adresse B zugreifen darf.
Das hat ja auch rein gar nichts mit statischen Routen zu tun. Auch das völliger Blödsinn, denn statische Routen brauchst du gar nicht ! An dem Router sind alle IP Netze ja direkt dran ! Folglich "kennt" der Router ja alle Netze so das statische Routen logischerweise völlig überflüssig und sinnfrei sind.
Das was du willst sind IP Accesslisten und die konfiguriert man mit der Firewall sprich iptables auf dem DD-WRT. Und das klappt wunderbar wenn man denn weiss was man macht.
Bei dir kommen einem da leise Zweifel....
d3rChri5
d3rChri5 11.03.2015 um 22:30:38 Uhr
Goto Top
stop stop stop aqui......wir reden irgendwie total aneinander vorbei.

Wenn du routen willst oder musst zwischen den VLANs ja, denn der 1810 supportet m.W. kein Layer 3 ist also kein Routing fähiger Switch.

na Moment ich will mit dem VLANs untereinander NICHT kommunizieren…war von Anfang an klar . Ich wollte die IP Adressbereiche darüber trennen und nicht aus VLAN 1 mit VLAN 2 kommunizieren.
Wir sind aber beide daraufhin konform gekommen das durch den Router ( Layer 3) sich die VLANs trotzdem sehen können. Daher sollte ich die Zugriffe über iptables regeln.
Ja stimmt, der 1810 ist kein Routing fähiger Switch.

Musst du ja auch nicht, ein 30 Euro Mikrotik 750 Router macht dasgleiche für ein kleineres Salär. Wie gesagt du brauchst das nur wenn du routen sprich > kommunizieren willst zw. den VLANs. Wenn nicht brauchst du das auch nicht...logisch !

Ich hatte den Hardwareunterbau lediglich wegen pfSense erwähnt ..darüber sollte die IP Accessliste geregelt werden...nichts anderes.
Ich hatte die ja bereits geschrieben das ich mit iptables über die Konsole Probleme hatte.
Mit pfSense hätte ich eine GUI.

Natürlich reicht der !
Wie kommst du auf den Unsinn das der das NICHT könnte ??? Vergiss den Unsinn.

Ich hatte HIER OBEN extra nachgefragt und darauf von " DerHahntrut " eine andere Aussage erhalten.

Wenn du mal die Suchfunktion hier benutzt hättest dann hättest du auch diese Anleitung zum Abtippen für den RasPi gefunden:

Dieses sehr umfangreiche Tutorial habe ich bereits gefunden!... und es ging bei meiner Aussage auch nicht um ES GEHT oder GEHT NICHT. Lediglich die Performance war scheinbar nicht so derbe.
Des Weitern werde ich mir bestimmt nicht in ein Gigabit Netzwerk eine Hardware Komponente mit einer 100er NIC hängen. Auch hier hatte ich bei Verwendung den „ Flaschenhals „ erwähnt
So was würdest DU auch nicht machen aqui face-wink .

Auch das steht dir ja offen...siehe VLAN Tutorial !!
Irgendwie " überfliegst du nur meine Antworten face-wink
Klar würde das technisch umgesetzt werden können ....nur wie ich bereits mehrfach erwähnt habe, hab ich mit dieser Variante Probleme.
Daher hatte ich dich gefragt, ob du einen einfachen Einstieg kennst.

Wie kommst du darauf ?? Auch das ist einen falsche Behauptung. Natürlich klappt das !

weil man nun mal unter "Advanced Routing" nur statische Routen eintragen kann und ansonsten nur Port Forwarding

Das hat ja auch rein gar nichts mit statischen Routen zu tun

Hab ich auch nie behauptet..wo liest du das?

Meine Aussage war :

Ich kann zwar statische Routen anlegen aber nicht mit angeben das z.b. Interface wl01 mit IP Adresse A nicht auf Lan Interface mit IP Adresse B zugreifen darf.

Das sagt explizit aus das in der Routing GUI Statische Routen hinterlegt werden können aber sonst keine weiteren Einstellungen möglich sind.

Das Accesslisten über iptables eingestellt werden können ist mir doch bekannt ! Warum wohl hab ich nochmal erwähnt das ich damit Probleme habe ? ...Richtig , weil ich die Art und Weise der Konfiguration kenne....mit dieser aber nicht klar gekommen bin.
aqui
aqui 12.03.2015 aktualisiert um 16:05:44 Uhr
Goto Top
stop stop stop aqui......wir reden irgendwie total aneinander vorbei.
Ooops...sorry !
ich will mit dem VLANs untereinander NICHT kommunizieren…war von Anfang an klar .
OK, dann vergiss ALLES was oben geschrieben ist ! Wenn die VLANs vollkommen getrennt sein sollen reicht ein simpler Layer 2 Switch und du brauchst definitiv keinen Router, klar !
Das war dann ein Missverständnis. Sorry für die Verwirrung.
Daher sollte ich die Zugriffe über iptables regeln.
Brauchst du ja doch gar nicht !! Kein Router, keine iptables ! Jetzt fängst DU aber wieder an mit dem Router face-smile
Mit pfSense hätte ich eine GUI.
Mit dem Mikrotik auch aber vergiss mal diesen Router Unsinn ! Du willst getrennte VLANs ohne Kommunikation also kein Router, keine Firewall, keine pfSense, kein Raspberry Router und auch kein Mikrotik. Das hast du ja nun final geklärt !
und darauf von " DerHahntrut " eine andere Aussage erhalten.
Unsinn, vergiss das ! Ist natürlich falsch ! Sehr wohl kann der Raspberry Pi VLANs routen. Siehst du ja am zitierten Tutorial oben. Der Hahn sollte sich besser um seinen Hennen kümmern als solche falschen Halbgarheiten zu verbreiten... face-big-smile
Aber...wie gesagt überflüssig...kein Router erforderlich bei dir face-wink
bestimmt nicht in ein Gigabit Netzwerk eine Hardware Komponente mit einer 100er NIC hängen
Kommt drauf an....
Wenn hinter der 100 Mbit Komponente ein 3, 6, 10, 50 Mbit xDSL oder sowas ist dann macht das schon Sinn. Wenn man GiG Ethernet routen will dann nicht so wirklich..keine Frage.
weil man nun mal unter "Advanced Routing" nur statische Routen eintragen kann und ansonsten nur Port Forwarding
Deshalb kann man aber mit dem DD-WRT totzdem wunderbar ein VLAN Routing machen ! Das Tutorial hat einen entsprechende in der Praxis laufende Konfig dazu die auch fehlerlos funktioniert.
Ich kann ich auch noch einen MPEG Film drehen und den posten damit du es glaubst. Lies einfach das Tutorial da steht es doch.
Aber auch hier wieder: Warum das ganze. Ist für dich NICHT erforderlich bei getrennten VLANs.
Somit ist also jeglich Diskussion müssig. Abgesehen von der Tatsache das DD-WRT sehr wohl VLAN Routing kann (wenn man es denn benutzen möchte)
Das sagt explizit aus das in der Routing GUI Statische Routen hinterlegt werden können aber sonst keine weiteren Einstellungen möglich sind.
Das ist so erstmal richtig, da hast du Recht was die statischen Routen anbetrifft die du nicht brauchst bei VLAN Routing in sofern ist diese Tatsache bezogen auf die Frage nicht relevant.
Was das Thema: "Interface wl01 mit IP Adresse A nicht auf Lan Interface mit IP Adresse B zugreifen darf." anbetrifft geht das sehr wohl nur eben nicht über die GUI.
Dazu macht man einen Telnet Zugriff oder besser SSH auf das System und richtet sich das mit iptables auf dem CLI ein !
Mit 2 Kommandos kann man das entsprechend in einer Minute customizen aber das ist dir ja auch bekannt.
Bei dir ja nicht gefordert...ja genau...da getrennte VLANs. face-wink
Fazit: Wo ist jetzt eigentlich das "Problem" geblieben.
Irgendwie reden wir ja um des Kaisers Bart und längst ist alle geklärt...?!
d3rChri5
d3rChri5 14.03.2015 um 15:55:13 Uhr
Goto Top
Hallo aqui,


ich hab dir mal zwei Zeichnungen erstellt in denen du siehst, wie das Konzept umgesetzt werden soll.

Die Erste Umgebung zeigt die grobe Aufteilung der gewünschten VLANs

0f94aa90576d148d76b33cd2c044bced

die zweite zeigt eine explizite Aufteilung da dank der neuen FW auf den Router, auch wieder die virtuellen WLANs funktionieren.

2db7e46fb44d4fe6b75e37dd6c8a0643

Wie bereits erwähnt, sollen die VLANs untereinander nicht kommunizieren.
Was aber jedes VLAN benötigt, ist der Zugang zum Internet.
Daher kann ich den Router nicht komplett weglassen da dieser ja das Gateway zum Internet ist.
Zugleich ist dieser auch DHCP und DNS für die VLANs und die WLANs.
Vom Prinzip her, ist in der Test Umgebung ( nicht so umgesetzt wie in der Zeichnung sondern wie in deinem Tutorial und deinem Zweittest hier ) das Grundprinzip fertig gestellt.
Lediglich ein Problem liegt in der Grundkonfiguration noch immer vor.

Ich kann nach wie vor noch aus Netzwerk 172.16.3.x auf Netzwerk 172146.10.1 pingen.
Normalerweise dürfte ich doch nur aus dem jeweiligen VLAN das eigene Gateway Adresse pingen können.
Sprich aus 172.16.3.x nur auf 172.16.3.1 und aus 172.16.10.x nur auf 172.16.10.1 .
Die Clients aus 172.16.3.x können jedoch nicht auf Clients von 172.16.10.x zugreifen.

Muss ich eventuell noch eine Zugriffregel über iptables erteilen, damit die VLANs nicht die anderen Gateways erreichen?
Sie benötigen lediglich Zugriff auf den Router welcher in einem separaten IP Netz steht.
Somit müsste es doch möglich sein dem VLAN's nur Zugriff auf 192.168.1.1 zuzulassen aber den Zugriff auf andere Bereiche zu unterbinden.

Ich hatte mir noch einmal Infos über http://www.schulnetz.info eingeholt aber dort ist eher der Schwerpunkt darauf das zwischen den VLANs " vermittelt " werden soll. Daher auch der Layer 3 Switch der dort zum Einsatz kommt.

Was das Thema: "Interface wl01 mit IP Adresse A nicht auf Lan Interface mit IP Adresse B zugreifen darf." anbetrifft geht das sehr wohl nur eben nicht über die > GUI.

Stimmt leider face-sad

Dazu macht man einen Telnet Zugriff oder besser SSH auf das System und richtet sich das mit iptables auf dem CLI ein !
Mit 2 Kommandos kann man das entsprechend in einer Minute customizen aber das ist dir ja auch bekannt.

Stimmt es ist mir zwar klar bzw.hab davon gelesen aber ich konnte es noch nicht umsetzen. Mir fehlt dabei einfach das Verständnis.
Hab mir früher schon einmal das Wiki dazu durchgelesen aber bin nicht dahinter gestiegen.

Wenn man GiG Ethernet routen will dann nicht so wirklich..keine Frage.

Da ich vor kurzen alle LAN Komponenten auf Gigabit umgestellt habe, möchte ich mir ungern " Flaschenhals " Bausteine wieder rein holen.
Ich war auch schon ein bisschen gierig auf den neuen PI ( wegen anderer Projekte) aber leider hat dieser auch nur eine FastEthernet Zugang ;-(
aqui
aqui 14.03.2015 aktualisiert um 19:43:31 Uhr
Goto Top
Nun bist DU aber wieder mit dem Router angefangen... face-wink
Wie bereits erwähnt, sollen die VLANs untereinander nicht kommunizieren. Was aber jedes VLAN benötigt, ist der Zugang zum Internet.
Und das ist der Casus Knacktus an dem sich die o.a. Diskussion entzündet hat.
Dadurch das du für jedes VLAN Internet willst musst du für jedes VLAN auch ein Router Interface konfigurieren, denn klar...jedes VLAN muss ja dann zum Router und dann ins Internet.
Ob du die VLANs nun mit einem tagged Trunk oder dediziertem Draht pro VLAN zum Router bringst ist dabei erstmal völlig unerheblich.
Wichtig ist das sie am Router ankommen um ins Internet zu kommen.

Nun ist es aber so das jedes VLAN Interface für den Router ja erstmal ein separates IP Interface ist. Wie das an ihm eingerichtet wird als Subinterfaces auf einem Tagged Port oder Einzelinterfaces ist dabei auch erstmal völlig egal.
Er hat soviele Interfaces wie du VLANs hast die ins Internet wollen.

OHNE IP Filterlisten (Accesslisten oder FW Regeln) "sieht" der Router aber logischerweise jedes VLAN Interface als Routing fähiges Interfaces und routet per se darüber, logisch, denn er ist ja ein Router.
Das Anflanschen der Interfaces bedeutet also immer auch erstmal gleichzeitig ein Routing zwischen den VLANs. Das ist immer so egal obs ein Router oder ne Firewall ist wo du diese Interfaces terminierst.
Mit anderen Worten: Du kommst in so einem Design gar nicht um IP Accesslisten drum rum wenn du NUR den Zugriff der VLANs ins Internet willst aber nie untereinander !
Der Router oder Firewall weiss ja nicht von selbst das du bestimmte Interfaces nur in eine Richtung geroutet haben willst.
Den Drucker oben auf dem alle drucken sollen ignorieren wir dabei jetzt mal, denn das ist nur eine entsprechende Regel (ACL) das das klappt.

Ich denke aber mal das diese technischen Fakten und Tatsachen dir im Laufe der o.a. Diskussion ebenso klar geworden sind. Ansonsten musst du zum Thema VLAN nochmal etwas lesen... face-wink
Ich kann nach wie vor noch aus Netzwerk 172.16.3.x auf Netzwerk 172.164.10.1 pingen. Normalerweise dürfte ich doch nur aus dem jeweiligen VLAN das eigene Gateway Adresse pingen können.
Hier kann man jetzt leider die Ziel IP Adresse bzw. Netz nicht richtig erkennen weil du oben einen Tippfehler begangen hast... face-sad
Das zeigt das dort keine Accessliste aktiv ist. Wie gesagt der Router routet IMMER zwischen allen Interfaces solange du ihm das nicht mit Accesslisten, iptables, FW Regeln oder was auch immer verbietest ! Siehe Erklärung oben...
damit die VLANs nicht die anderen Gateways erreichen?
Nein ! Gateways nicht zu erreichen ist eh Blödsinn, sorry...
Du musst an jedem VLANx Router Port sagen:
Absender: VLANx IP Netz zu Ziel: VLANy IP Netz und VLANz IP Netz = VERBOTEN
Absender: VLANx IP Netz zu Ziel: IP Netz Überall = ERLAUBT

Das unterbindet dann sofort die VLAN interne Kommunikation erlaubt das Internet (Überall)
Dein "Layer 3 Switch" ist ja der Router an dem sich alle VLAN Interfaces mit ihren IP Adressen "sehen".
Stimmt leider
Nimm ne pfSense da kannst du das bequem per Mausklick übers GUI machen face-wink
Stimmt es ist mir zwar klar bzw.hab davon gelesen aber ich konnte es noch nicht umsetzen. Mir fehlt dabei einfach das Verständnis.
Da hilft dann nur eins: IPtables Tutorial lesen oder wenn du das partout nicht verstehst...andere Router oder FW Hardware die ein GUI hat. Nützt ja nix wenn du nur Klicki Bunti Knecht bist face-smile
http://wiki.ubuntu-forum.de/index.php?title=IPtables
oder
 http://www.amazon.de/s/ref=nb_sb_noss/280-2527895-6649452?__mk_de_DE=ÅMÅŽÕÑ&url=search-alias%3Daps&field-keywords=iptables 
Ich war auch schon ein bisschen gierig auf den neuen PI
Dann musst du ein Cubie Board nehmen. Aber lass das. Wenn, dann investier lieber die 40 Euro in einen Mikrotik Gigabit Router RB 750GL.
Das Geld ist da besser angelegt und...er hat ein GUI face-wink
Oder wenn du noch mehr Komfort willst strick dir ne pfSense_Firewall auf einem ALIX APU1D Board zusammen.
d3rChri5
d3rChri5 17.03.2015 um 20:29:48 Uhr
Goto Top
Guten Abend aqui ,

Nun bist DU aber wieder mit dem Router angefangen...

dieser " One and Only " stand ja schon immer im Netz face-wink der macht doch das VLAN erst in dieser Konfiguration mit dem Switch möglich face-wink

Aqui , ich bin diese Woche beruflich unterwegs und komme erst am Samstag wieder nach Hause und somit erst wieder an die Hardware.

Ich werde mir aber deine Links noch einmal durchlesen. Vielleicht komme ich in Punkto iptables noch etwas voran.


Wenn, dann investier lieber die 40 Euro in einen Mikrotik Gigabit Router RB 750GL.
Diese Option werde ich mir auf jeden Fall offen halten aber ich würde es wirklich sehr gern erst einmal mit der gegebenen Hardware versuchen face-wink

Werd hiermit mal noch ein bisschen arbeiten.


Du musst an jedem VLANx Router Port sagen:
Absender: VLANx IP Netz zu Ziel: VLANy IP Netz und VLANz IP Netz = VERBOTEN
Absender: VLANx IP Netz zu Ziel: IP Netz Überall = ERLAUBT
Das unterbindet dann sofort die VLAN interne Kommunikation erlaubt das Internet (Überall)
Dein "Layer 3 Switch" ist ja der Router an dem sich alle VLAN Interfaces mit ihren IP Adressen "sehen".

jep , so ist es geplant face-wink

Könntest du mir bitte anhand der ursprünglichen Test Umgebung ( diese ist ja auf den zweiten Router und zum Teil im Switch noch hinterlegt) eine " Beispiel Konfiguration " geben ?

Du hast im Tutorial folgende Umgebung:

Vlan 3 mit IP 172.16.3.x [172.16.3.1] und Vlan10 mit IP 172.16.10.x [172.16.10.1] .
Sagen wir dein ddwrt Router hat die 192.168.1.1.
Wir muss dann eine Accessregel aussehen damit 172.16.10.x nicht auf 172.16.3.1 zugreifen darf und nur auf 192.168.1.1 ?

Zur Sperrung sollte doch folgende Regel je VLAN angewandt werdern oder? :

iptables -A INPUT -s 172.16.10.0/24 -j DROP ( für Vlan 3 )

wie kann ich eigentlich diese Regel dem Interface vlan 3 zuordnen ? Sie soll ja nur ( in diesem Beispiel für vlan 3 gelten...in meinem Screen Aufbau natürlich für mehrere Vlan's)

Ich muss leider hier einen Cut machen da ich noch etwas vorbereiten muss.
Ich melde mich aber diese Woche noch einmal .

Vielen Dank noch einmal aqui....

mfG Chris
aqui
aqui 18.03.2015 um 14:02:34 Uhr
Goto Top
Hi Chris
aber ich würde es wirklich sehr gern erst einmal mit der gegebenen Hardware versuchen
Steht dir ja frei ! Es funktioniert fehlerlos mit beiden Optionen, das ist klar.
Die Accessregeln teste ich vorher mit dem Wireshark aus bevor ich sie hier poste face-wink
d3rChri5
d3rChri5 22.03.2015 um 16:35:55 Uhr
Goto Top
hallo aqui,

hab mich letzte Woche unterwegs noch nebenbei etwas belesen können.
Hilfreich waren auch folgende Seiten:

http://www.matthiess.de/index.php/freie-software/iptabelsnetfilter/

und:

http://www.netfilter.org/documentation/HOWTO/de/packet-filtering-HOWTO- ...


somit müsste doch die Syntax für das Unterbinden des Zugriffs von Vlan10 auf VLAN 3 wie folgt lauten:

iptables -A INPUT -s 172.16.10.0/24 -p tcp -i vlan10 -j DROP ( für Vlan 3 )


konntest du letzte Woche noch etwas mit Wireshark in de rTestumgebung erreichen ?

MfG Chris
aqui
aqui 22.03.2015 um 16:46:07 Uhr
Goto Top
Leider keine Zeit gehabt... face-sad
Die Beispielsyntax sieht aber gut aus !
d3rChri5
d3rChri5 22.03.2015 um 17:04:25 Uhr
Goto Top
Hallo aqui,

mach dir kein Stress face-wink war ja letzte Woche auch nicht zu Hause und konnte daher wenig produktiv sein.
Die kommende Woche wird hoffentlcih etwas ruhiger.
Ich arbeite mich aber noch etwas mehr in das Thema ein.
Kannst dich ja melden wenn Du noch etwas Zeit gefunden hast.

Schönen Rest Sonntag noch face-wink