9
VLAN Routing mit Cisco SG-300-10
Guten Abend zusammen!
Folgendes Scenario:
Ich habe 2 VLANs. In Einem steht ein Win2k8-Server der per DHCP IP-Adressen an die PC's verteilt - dieses Netz hat bisher keinen Internetzugriff.
Im zweiten VLAN steht ein Router der wiederum per DHCP IP-Adressen an diverse Clients (unter anderem Media Receiver von der Telekom) verteilt.
Da ich mich im Routing immer schon etwas schwer getan habe muss ich ein paar Fragen loswerden.
Der Cisco ist bisher folgendermaßen Konfiguriert:
2 VLANs:
192.168.3.2 -> Statische IP des Switch im VLAN 1
192.168.2.2 -> Statische IP des Switch im VLAN 2
Wie müsste eine Route aussehen um vom VLAN1 ins Internet zu kommen? Noch zur Info: Der Router Im VLAN 2 hat die IP 192.168.2.1. Ist das überhaupt möglich oder kommen sich die DHCP Server in die Quere?
Und noch etwas:
Bisher war alles in einem Netz, somit wurden wurden für VPN-Zugriff, E-Mail etc. einfach die Ports weitergeleitet. Ist es möglich eine Route direkt vom Router im VLAN2 zum Server (192.168.3.1, VLAN 1) einzurichten ohne das gleich das ganze VLAN 2 auf das VLAN 1 zugreifen kann?
Vielen Dank im Vorraus!
Folgendes Scenario:
Ich habe 2 VLANs. In Einem steht ein Win2k8-Server der per DHCP IP-Adressen an die PC's verteilt - dieses Netz hat bisher keinen Internetzugriff.
Im zweiten VLAN steht ein Router der wiederum per DHCP IP-Adressen an diverse Clients (unter anderem Media Receiver von der Telekom) verteilt.
Da ich mich im Routing immer schon etwas schwer getan habe muss ich ein paar Fragen loswerden.
Der Cisco ist bisher folgendermaßen Konfiguriert:
2 VLANs:
192.168.3.2 -> Statische IP des Switch im VLAN 1
192.168.2.2 -> Statische IP des Switch im VLAN 2
Wie müsste eine Route aussehen um vom VLAN1 ins Internet zu kommen? Noch zur Info: Der Router Im VLAN 2 hat die IP 192.168.2.1. Ist das überhaupt möglich oder kommen sich die DHCP Server in die Quere?
Und noch etwas:
Bisher war alles in einem Netz, somit wurden wurden für VPN-Zugriff, E-Mail etc. einfach die Ports weitergeleitet. Ist es möglich eine Route direkt vom Router im VLAN2 zum Server (192.168.3.1, VLAN 1) einzurichten ohne das gleich das ganze VLAN 2 auf das VLAN 1 zugreifen kann?
Vielen Dank im Vorraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 185806
Url: https://administrator.de/forum/vlan-routing-mit-cisco-sg-300-10-185806.html
Ausgedruckt am: 16.02.2025 um 21:02 Uhr
9 Kommentare
Neuester Kommentar
Hi, wie lautet der Standardgateway im VLAN 1? Denn dieser muss schlussendlich die statische Route kennen. Ist dein Router überhaupt VLAN-fähig?
1. Ansatz
Hat dein Server 2 Netzwerkkarten? Denn dann könnte dieser die Clients ins Internet Routen (dann musst du allerdings Routing zwischen den 2 Netzwerkkarten auf dem Server aktivieren).
2. Ansatz
Du kannst auch von einem Switch-Port im Trunk-Modus auf den Router . Der Router muss einfach auf der Schnittstelle zwei IPs vertragen => was hast du für einen Router?
1. Ansatz
Hat dein Server 2 Netzwerkkarten? Denn dann könnte dieser die Clients ins Internet Routen (dann musst du allerdings Routing zwischen den 2 Netzwerkkarten auf dem Server aktivieren).
2. Ansatz
Du kannst auch von einem Switch-Port im Trunk-Modus auf den Router . Der Router muss einfach auf der Schnittstelle zwei IPs vertragen => was hast du für einen Router?
Danke für die Antworrt, aber ich hab es nun anders gelöst. Bzw. ich muss es anders lösen, da der blöde Router von der Telekom einfach nicht Routen kann (traurig aber wahr). Ich habe dem Server jetzt 2 tagged VLAN zugeteilt. Ich versuche diesen grade einzurichten (Win2k8 Server). Es sind 2 VLANs vorhanden, in einem steht ein Router der Internetzugriff hat. Das 2. VLAN ist für Windows Clients, die über den Server per NAT Internetzugriff (bzw. zugriff auf VLAN1) erhalten.
Jetzt ist es so, das Windows ja genau hierfür einen Assistenten anbietet: Also VPN-Zugriff übers Internet und die Windows Clients bekommen per NAT zugriff. Nur kann ich mich nicht per VPN einwählen. Aus dem lokalem Netz funktioniert es noch, aber sobald ich versuche über meine DynDNS Adresse zugriff zu bekommen geht nichts mehr.
Die Konfig sieht so aus:
192.168.2.1 --> WAN Router im VLAN1
192.168.2.10 --> Server-Addr im VLAN1
192.168.3.1 --> Server-Addr im VLAN2
Alle Ports sowie GRE im Router zeigen auf 192.168.2.10.
Woran kann es liegen das ich keien VPN-Zugriff bekomme?
Jetzt ist es so, das Windows ja genau hierfür einen Assistenten anbietet: Also VPN-Zugriff übers Internet und die Windows Clients bekommen per NAT zugriff. Nur kann ich mich nicht per VPN einwählen. Aus dem lokalem Netz funktioniert es noch, aber sobald ich versuche über meine DynDNS Adresse zugriff zu bekommen geht nichts mehr.
Die Konfig sieht so aus:
192.168.2.1 --> WAN Router im VLAN1
192.168.2.10 --> Server-Addr im VLAN1
192.168.3.1 --> Server-Addr im VLAN2
Alle Ports sowie GRE im Router zeigen auf 192.168.2.10.
Woran kann es liegen das ich keien VPN-Zugriff bekomme?
Es ist allgemein bekannt das die Speedport Gurken keine statischen Routen supporten und damit ungeeignet sind für solch ein Szenario.
Es sind halt billige Consumer Router...mehr nicht.
Was hindert dich aber daran einen Router einzusetzen der wenigstens statische Routen kann ? Gute Baumarkt Router sind den Speedports da meilenweit überlegen wie ander auch z.B. Linksys WRT54 , Mikrotik 750 (40 Euro) usw.
All diese Router können das und sind in jedem Fall die bessere Lösung als die Frickelei die du jetzt angehst nur weil du einen schrottigen DSL Router hast. Damit konterkarierst du dein eigentlich sehr sinnvolles Netzwerk Design.
Intelligenter ist es also den dummen Speedport mit PPPoE Passthrough in dem Modem Modus zu konfigurieren und dahinter einen gescheiten Breitbandrouter zu betreiben wie z.B. den Mikrotik 750. Die 40 Euro sollte dir das doch allemal wert sein, oder ?
Ansonsten ist dein Szenario recht einfach:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Wobei du den externen Routing Part in deinem Design immer ignorieren kannst, denn das macht ja dein Cisco SG-300 !
Weitere SG-300 spezifische Infos gibt es zudem vom Forumskollegen edipfisterer hier im Forum:
http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-busin ...
Es sind halt billige Consumer Router...mehr nicht.
Was hindert dich aber daran einen Router einzusetzen der wenigstens statische Routen kann ? Gute Baumarkt Router sind den Speedports da meilenweit überlegen wie ander auch z.B. Linksys WRT54 , Mikrotik 750 (40 Euro) usw.
All diese Router können das und sind in jedem Fall die bessere Lösung als die Frickelei die du jetzt angehst nur weil du einen schrottigen DSL Router hast. Damit konterkarierst du dein eigentlich sehr sinnvolles Netzwerk Design.
Intelligenter ist es also den dummen Speedport mit PPPoE Passthrough in dem Modem Modus zu konfigurieren und dahinter einen gescheiten Breitbandrouter zu betreiben wie z.B. den Mikrotik 750. Die 40 Euro sollte dir das doch allemal wert sein, oder ?
Ansonsten ist dein Szenario recht einfach:
- Der Switch bekommt eine Default Route auf die IP des Internet Routers
- Der Internet Router 1 oder besser 2 statische Routen der Switch VLAN Netze auf die VLAN IP des des Switches in dessen VLAN sich der Router befindet. Wenn du schon einen guten VLAN fähigen Routing Switch hast wie den SG-300 macht es Sinn noch ein 3tes VLAN einzurichten und dort den Internet Router zu plazieren. So hast du beide Produktiv VLANs vom Internet Traffic getrennt.
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Wobei du den externen Routing Part in deinem Design immer ignorieren kannst, denn das macht ja dein Cisco SG-300 !
Weitere SG-300 spezifische Infos gibt es zudem vom Forumskollegen edipfisterer hier im Forum:
http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-busin ...
Im Grunde funktioniert ja jetzt alles.
Im Vlan1 stehen alle Geräte die keinen direkten zugriff auf die Windows Rechner brauchen. Ebenso kommen hier WLAN Clients rein, die sich dann bei bedarf mit per VPN auf den Server einwählen (lokal).
Im Vlan2 stehen alle Windows Clients, die per NAT zugriff auf Vlan1/Internet bekommen.
Einzig die VPN einwahl über meine DynDNS Adresse funktioniert nicht.
EDIT:
Sind die geräte denn für IP-TV geeignet? Das heißt unstützen die VLAN auf WAN Seite? ich konnte jetzt nichts dazu finden. Bei Draytek habe ich schon angefragt, aber deren Geräte sind nur mit VDSL Anschluss IP-TV fähig.
Im Vlan1 stehen alle Geräte die keinen direkten zugriff auf die Windows Rechner brauchen. Ebenso kommen hier WLAN Clients rein, die sich dann bei bedarf mit per VPN auf den Server einwählen (lokal).
Im Vlan2 stehen alle Windows Clients, die per NAT zugriff auf Vlan1/Internet bekommen.
Einzig die VPN einwahl über meine DynDNS Adresse funktioniert nicht.
EDIT:
Sind die geräte denn für IP-TV geeignet? Das heißt unstützen die VLAN auf WAN Seite? ich konnte jetzt nichts dazu finden. Bei Draytek habe ich schon angefragt, aber deren Geräte sind nur mit VDSL Anschluss IP-TV fähig.
Die VPN Einwahl ist eine komplett andere Baustelle ! Vermutlich hast du da wie immer die entsprechenden Port Forwardings auf dem Router vergessen !
Dieses Tutorial sagt dir was du machen musst:
VPNs einrichten mit PPTP (Server hinter NAT Firewall)
Leider teilst du uns dein VPN Protokoll ja nicht mit aber das oben gesagte gilt für PPTP basierte VPNs (bei IPsec, SSL usw. ist das anders da andere Ports verwendet werden !)
Das blödsinninge ist nur das du mit dem SG-300 einen routingfähigen Switch hast der sowas elegant und auch performant regeln kann. Ein klassisches Design also.
Das verschlimmbesserst du nun mit exterenm Routing und NAT über den Server nur weil du einen schrottigen, billigen Consumer Router hast den man mit billigem Geld problemlos ersetzen könnte.
Dann hätte es ein SG-200er Switch auch getan wozu dann also diese Investition in einen Routing Switch ?
Aber egal wenn du mit diesem kranken Krückenszenario leben kannst und zufrieden bist, dann sind wir es auch...
Dieses Tutorial sagt dir was du machen musst:
VPNs einrichten mit PPTP (Server hinter NAT Firewall)
Leider teilst du uns dein VPN Protokoll ja nicht mit aber das oben gesagte gilt für PPTP basierte VPNs (bei IPsec, SSL usw. ist das anders da andere Ports verwendet werden !)
Das blödsinninge ist nur das du mit dem SG-300 einen routingfähigen Switch hast der sowas elegant und auch performant regeln kann. Ein klassisches Design also.
Das verschlimmbesserst du nun mit exterenm Routing und NAT über den Server nur weil du einen schrottigen, billigen Consumer Router hast den man mit billigem Geld problemlos ersetzen könnte.
Dann hätte es ein SG-200er Switch auch getan wozu dann also diese Investition in einen Routing Switch ?
Aber egal wenn du mit diesem kranken Krückenszenario leben kannst und zufrieden bist, dann sind wir es auch...
Nein, Portfowarding ist definitiv eingeschaltet. Es hat ja bisher auch funktioniert, nur war eben alles in einem Netz bzw. der Server hatte nur eine IP.
Auf WELCHE IP Adressen zeigt denn dein Port Forwarding ?? TCP 1723 und das GRE Protokoll müssen das sein wenn es sich um PPTP dreht ?! PPTP besteht wie jeder weiss aus 2 Protokollen !! Siehe Tutorial oben.
Da der dumme SP nicht statisch routen kann müssen das die IP des Servers im gleichen VLAN IP Segment wo auch der Router ist.
Klar das die Server Firewall auch angepasst werden muss damit diese externe IPs zulässt !
Installier dir einen kostenlosen Wireshark oder MS NetMonitor auf dem Server und checke ob der Router TCP 1723 und GRE (Protokoll 47) Pakete von sich einwählenden VPN Clients sauber an den Server forwardet !!
Dann weisst du doch was los ist !
Da der dumme SP nicht statisch routen kann müssen das die IP des Servers im gleichen VLAN IP Segment wo auch der Router ist.
Klar das die Server Firewall auch angepasst werden muss damit diese externe IPs zulässt !
Installier dir einen kostenlosen Wireshark oder MS NetMonitor auf dem Server und checke ob der Router TCP 1723 und GRE (Protokoll 47) Pakete von sich einwählenden VPN Clients sauber an den Server forwardet !!
Dann weisst du doch was los ist !
Hat sich grad erledigt, der blöde Speedport hat sich aufgehängt. Hab ihn grad resettet, jetzt gehts.
"Blöder Speedport" ist wohl genau die treffende Bezeichnung. Schade das du dein ansonsten gutes LAN Design davon unnötigerweise aushöhlen lässt...aber nungut, dir reicht es ja...
Wenns das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wenns das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
