15
Vlan Switch und Fritzbox
Vlan sollte Netzwerkgruppen trennen und die Fritzbox bringt Sie leider wieder zusammen.
Hallo Liebe Gemeinde - ich brauche guten Rat ;)
Ausgangs Situation:
Im Hotelbetrieb eines Freundes lief das ganze Netzwerken über eine Fritzbox mit angehängtem "popligen" Switch ab.
Dort hingen dran per LAN:
- Die Gästezimmer
- Das Überwachungssystem
- Der Bürorechner
Per Wlan:
nur wenige Vertrauenswürdige Gräte wie Iphone und und ein Dedizierter Rechner für Musik.
Aus Sicherheitsgründen schlug ich vor, dass wir mittels eines Switches (Netgear FS726TP) 3- Vlans einrichten um diese Gruppen
netzwerktechnisch zu trennen. (Das WLAN kann ja erstmal ausser Acht gelassen werden).
Also los:
Alle 3 oben genannten Gruppen wurden an Ports des neuen Switchen angelegt und den entpsrechend eingerichtete Vlans zugewiesen.
Soweit so gut.
Nun kam die Fritzbox (welche ja die Internetverbindung herstellt und bereitstellen sollte) an einen Port des Switches, welcher Jedem Vlan zugewiesen wurde.
So beschreibt es Netgear auch in derem Beispiel, allerdings ist in derem Beispiel kein FritzboxRouter angeschlossen sondern nur eine Wolke "Internet".
Der unterschied ist:
Die Fritbox stellt gewünschterweiße noch den DHCP zu verfügung - also Sie verteilt die Netzwerkadressen. Das ist notwendig, weil nicht jeder neue Gast die Ip manuel einstellen soll/lkann.
Das Vlan Überwachung und Vlan Buero laufen mit statischen Adressen.
Das große Problem:
Die Fritzbix ist ja auch ein Switch?! Sie bringt zwar jedem Vlan das nötige Internet, doch leider verbindet Sie auch alle Vlans mit einander.
So das auf dem BueroRechner unter Netzwerkumgebung alle GastPc's zu finden sind (zumindest alle sichtbaren).
Mir ist schon klar dass ich das ändern kann in dem ich die Netzwerkfreigabe am Bürorechenr ausschalte aber das war ja nicht der Sinn dieser Umstellung.
Also die Frage aller Fragen an versierte Leute heißt:
Kann ich der Fritzbox beibringen, dass Sie nur die Internetverbindung an den Switch reicht und nicht die Vlans intern verbindet?
Wenn nicht, brauch ich nen neuen Router?
Und wo sollte ich dann den DHCP herbekommen?
oder hätte ich mehr geld ausgeben sollen, um im Switch auch ncoh ne Firewall zuhaben??
Im Anhang findet sich eine Skizze wie es sein soll.
Ok konnte ich nicht hochladen.. es kamm vom Forum die Meldung "kein Zugriff"
Besten und aller besten Dank im Voraus!
;) Peter
Hallo Liebe Gemeinde - ich brauche guten Rat ;)
Ausgangs Situation:
Im Hotelbetrieb eines Freundes lief das ganze Netzwerken über eine Fritzbox mit angehängtem "popligen" Switch ab.
Dort hingen dran per LAN:
- Die Gästezimmer
- Das Überwachungssystem
- Der Bürorechner
Per Wlan:
nur wenige Vertrauenswürdige Gräte wie Iphone und und ein Dedizierter Rechner für Musik.
Aus Sicherheitsgründen schlug ich vor, dass wir mittels eines Switches (Netgear FS726TP) 3- Vlans einrichten um diese Gruppen
netzwerktechnisch zu trennen. (Das WLAN kann ja erstmal ausser Acht gelassen werden).
Also los:
Alle 3 oben genannten Gruppen wurden an Ports des neuen Switchen angelegt und den entpsrechend eingerichtete Vlans zugewiesen.
Soweit so gut.
Nun kam die Fritzbox (welche ja die Internetverbindung herstellt und bereitstellen sollte) an einen Port des Switches, welcher Jedem Vlan zugewiesen wurde.
So beschreibt es Netgear auch in derem Beispiel, allerdings ist in derem Beispiel kein FritzboxRouter angeschlossen sondern nur eine Wolke "Internet".
Der unterschied ist:
Die Fritbox stellt gewünschterweiße noch den DHCP zu verfügung - also Sie verteilt die Netzwerkadressen. Das ist notwendig, weil nicht jeder neue Gast die Ip manuel einstellen soll/lkann.
Das Vlan Überwachung und Vlan Buero laufen mit statischen Adressen.
Das große Problem:
Die Fritzbix ist ja auch ein Switch?! Sie bringt zwar jedem Vlan das nötige Internet, doch leider verbindet Sie auch alle Vlans mit einander.
So das auf dem BueroRechner unter Netzwerkumgebung alle GastPc's zu finden sind (zumindest alle sichtbaren).
Mir ist schon klar dass ich das ändern kann in dem ich die Netzwerkfreigabe am Bürorechenr ausschalte aber das war ja nicht der Sinn dieser Umstellung.
Also die Frage aller Fragen an versierte Leute heißt:
Kann ich der Fritzbox beibringen, dass Sie nur die Internetverbindung an den Switch reicht und nicht die Vlans intern verbindet?
Wenn nicht, brauch ich nen neuen Router?
Und wo sollte ich dann den DHCP herbekommen?
oder hätte ich mehr geld ausgeben sollen, um im Switch auch ncoh ne Firewall zuhaben??
Im Anhang findet sich eine Skizze wie es sein soll.
Ok konnte ich nicht hochladen.. es kamm vom Forum die Meldung "kein Zugriff"
Besten und aller besten Dank im Voraus!
;) Peter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 181883
Url: https://administrator.de/contentid/181883
Ausgedruckt am: 16.11.2024 um 08:11 Uhr
15 Kommentare
Neuester Kommentar
Moin,
mit der Fritz!Box wird das nix, die kann keine VLANs.
Cheers,
jsysde
mit der Fritz!Box wird das nix, die kann keine VLANs.
Cheers,
jsysde
Hallo Peter,
VLANs werden am Router zusammengeführt. Der Router muss also verschiedene Segmente verbinden können. Bei einer Fritzbox könnte das mit zweien klappen. Niemals aber drei.
Wobei die Fritzbox nur ein Segment mit DHCP versorgen kann. Das gehört üblicherweise auch noch zum WLAN, Ausnahme Sonderfunktion Gast-WLAN.
Also ein Router hinter Router Szenario #comment-toc18 adminstrator VLAN-Router oder ein Internetzugangsrouter, der mehr kann.
Gruß
Netman
VLANs werden am Router zusammengeführt. Der Router muss also verschiedene Segmente verbinden können. Bei einer Fritzbox könnte das mit zweien klappen. Niemals aber drei.
Wobei die Fritzbox nur ein Segment mit DHCP versorgen kann. Das gehört üblicherweise auch noch zum WLAN, Ausnahme Sonderfunktion Gast-WLAN.
Also ein Router hinter Router Szenario #comment-toc18 adminstrator VLAN-Router oder ein Internetzugangsrouter, der mehr kann.
Gruß
Netman
Schau dir mal den cisco RV110W an.
Der Router ist Multi SSID fähig, hat einen 4-Fach Switch und ist VLAN-Fähig.
z.B. Für privat, bzw Verwaltung gibts SSID privat und 2 ports des Switch mit VLAN 2 und IP 192.168.2.x
und für die Gäste gibts
SSID Hotel und die anderen Ports des Switchs mit VLAN 3 und IP 192.168.3.x
beide surfen über den gleichen DSL aber sehen sich nicht.
aber
eine Abrechnung gibts nicht und wenn sich die Voratsdatenspeicherung ändert mußt du nochmal nachbessern.
stefan
Der Router ist Multi SSID fähig, hat einen 4-Fach Switch und ist VLAN-Fähig.
z.B. Für privat, bzw Verwaltung gibts SSID privat und 2 ports des Switch mit VLAN 2 und IP 192.168.2.x
und für die Gäste gibts
SSID Hotel und die anderen Ports des Switchs mit VLAN 3 und IP 192.168.3.x
beide surfen über den gleichen DSL aber sehen sich nicht.
aber
eine Abrechnung gibts nicht und wenn sich die Voratsdatenspeicherung ändert mußt du nochmal nachbessern.
stefan
Die Fritzbox soll auch keine Vlans können, sondern nur aufhören Ihre Switchfunktionalität zuhaben. naja, trotzdem danke.
hi mrnetman,
Der Router soll die Segmente aber eben nicht verbinden.. das mach ich mittels des NEUEN Switches der die Vlans darstellt. Vom Router zum Switch soll nur die Internetverbindung gehen und DHCP (wird für ein Vlan-Gäste gebraucht) gehen.
Kann ich der Fritzbox nicht sagen: HÖR AUF EIN SWITCH ZUSEIN! ?
Router hinter Router Szenario? wozu das? Ich will ja eine Internetverbindung an den Switch geben... Ohne das wie bisher die VLANs im Router "gebrückt" werden.
Internetzugangsrouter... sowas hab ich mir auch gedacht.. aber muss der nicht im Prinzip weniger können? hm...
vielen Dank
Der Router soll die Segmente aber eben nicht verbinden.. das mach ich mittels des NEUEN Switches der die Vlans darstellt. Vom Router zum Switch soll nur die Internetverbindung gehen und DHCP (wird für ein Vlan-Gäste gebraucht) gehen.
Kann ich der Fritzbox nicht sagen: HÖR AUF EIN SWITCH ZUSEIN! ?
Router hinter Router Szenario? wozu das? Ich will ja eine Internetverbindung an den Switch geben... Ohne das wie bisher die VLANs im Router "gebrückt" werden.
Internetzugangsrouter... sowas hab ich mir auch gedacht.. aber muss der nicht im Prinzip weniger können? hm...
vielen Dank
hi schrotti66,
SSID ist ja erstmal immer fürs WLan, richtig? das wäre natürlich auch nicht schlecht aber wlan würd ich erstmal weg ausseracht lassen. Da muss ich mir noch n paar gedanken machen (bzgl notwenigkeit, Abbrechnung und Struktur) Es wird im moment nicht für Kunden benötigt aber bzgl. Abbrechnung und "automatischen Key/Beleg erstellen" wollte ich mich noch schlau machen, weil das auch vllt interessant ist.
Wenn ich solch einen Router, wie von dir vorgeschlagen anschaffe, dann hätte ich ja den aktuell neuen Switch umsonst gekauft, oder? Bzw, hätte es auch ein einfacher Switch ohne VLAN getan..?!
Hm.. wobei... brauch ich nicht gerade dann auch meinen neuen VLAN Switch? dann könnte ich doch recht gut mit nem neuen 100€ Router leben...
wobei dir fritzbox dann doch noch da bleiben muss, weil von Ihr wird das VoverIP ja geregelt :/
Also ich kann der fritzbox nicht das switchen verbieten?
vielen Dank!!
SSID ist ja erstmal immer fürs WLan, richtig? das wäre natürlich auch nicht schlecht aber wlan würd ich erstmal weg ausseracht lassen. Da muss ich mir noch n paar gedanken machen (bzgl notwenigkeit, Abbrechnung und Struktur) Es wird im moment nicht für Kunden benötigt aber bzgl. Abbrechnung und "automatischen Key/Beleg erstellen" wollte ich mich noch schlau machen, weil das auch vllt interessant ist.
Wenn ich solch einen Router, wie von dir vorgeschlagen anschaffe, dann hätte ich ja den aktuell neuen Switch umsonst gekauft, oder? Bzw, hätte es auch ein einfacher Switch ohne VLAN getan..?!
Hm.. wobei... brauch ich nicht gerade dann auch meinen neuen VLAN Switch? dann könnte ich doch recht gut mit nem neuen 100€ Router leben...
wobei dir fritzbox dann doch noch da bleiben muss, weil von Ihr wird das VoverIP ja geregelt :/
Also ich kann der fritzbox nicht das switchen verbieten?
vielen Dank!!
Hallo Peter,
es ist zwar mühselig, aber manchmal muss man sich die Dinge / Artikel komplett durchlesen.
Schrottis Vorschlag für den Ersatz der Fritzbox sieht sehr gut aus und kann wunderbar mit deinem VLAN-Switch zusammen arbeiten. Soweit ich verstanden habe brauchst du ja mehr als 4 Ports und ein Switch ohne VLAN-Möglichkeit ... aber das hast du ja schon am Switch der Fritzbox fest gestellt.
Gruß
Netman
es ist zwar mühselig, aber manchmal muss man sich die Dinge / Artikel komplett durchlesen.
Schrottis Vorschlag für den Ersatz der Fritzbox sieht sehr gut aus und kann wunderbar mit deinem VLAN-Switch zusammen arbeiten. Soweit ich verstanden habe brauchst du ja mehr als 4 Ports und ein Switch ohne VLAN-Möglichkeit ... aber das hast du ja schon am Switch der Fritzbox fest gestellt.
Gruß
Netman
Moin,
Nein. Mit solchem Spielzeug lässt sich ein professionelles Szenario, wie du es bereits aufgezogen hast, nicht realisieren. Du brauchst einen Router, dessen Ports sich verschiedenen Zonen zuordnen lassen (LAN1, LAN2, DMZ, WAN, etc.) und kannst dann in jede Zone ein VLAN hängen. Oder halt nen Router, der selbst VLANs beherrscht und deine drei VLANs auf nur einem Port "abfackeln" kann.
Cheers,
jsysde
Also ich kann der fritzbox nicht das switchen verbieten?
Nein. Mit solchem Spielzeug lässt sich ein professionelles Szenario, wie du es bereits aufgezogen hast, nicht realisieren. Du brauchst einen Router, dessen Ports sich verschiedenen Zonen zuordnen lassen (LAN1, LAN2, DMZ, WAN, etc.) und kannst dann in jede Zone ein VLAN hängen. Oder halt nen Router, der selbst VLANs beherrscht und deine drei VLANs auf nur einem Port "abfackeln" kann.
Cheers,
jsysde
so danke an euch alle... bin zwar bisher noch nciht weiter gekommen aber hab aufmerksam eure posts gelesen.
Zu mr netman...
ich kann deiner ausführug nicht ganz folgen aber egal...
meintest du mich mit dem "erstmal durchlesen?
zu jsysde..
du machst mich gerade auf etwas aufmerksam, was mir heute mittag schon einmal kurz in den Kopf kam.
ich hatte bisher gedacht (vor anschaffung des Vlan-Switch mit 24 ports) das die Vlan auch in seperaten ip bereichen sich befinden (können).
Dabei habe ich nicht nachgedacht... weil ich bisher vlan immer mit verschiedenen lans assoziiert habe :/
Also brauch ich nen Router der verschiedene LANs bereitstellen kann und hänge die einzelnen LANs an den Switch?! Und um die Bandbreite besser auszunutzen halt lieber mein VLAN-Switch?
wie nennt man solche Router, welche mehrere Lans können?
ja den link oben werde ich noch begutachten
Danke noch mal..
peter
Zu mr netman...
ich kann deiner ausführug nicht ganz folgen aber egal...
meintest du mich mit dem "erstmal durchlesen?
zu jsysde..
du machst mich gerade auf etwas aufmerksam, was mir heute mittag schon einmal kurz in den Kopf kam.
ich hatte bisher gedacht (vor anschaffung des Vlan-Switch mit 24 ports) das die Vlan auch in seperaten ip bereichen sich befinden (können).
Dabei habe ich nicht nachgedacht... weil ich bisher vlan immer mit verschiedenen lans assoziiert habe :/
Also brauch ich nen Router der verschiedene LANs bereitstellen kann und hänge die einzelnen LANs an den Switch?! Und um die Bandbreite besser auszunutzen halt lieber mein VLAN-Switch?
wie nennt man solche Router, welche mehrere Lans können?
ja den link oben werde ich noch begutachten
Danke noch mal..
peter
Moin,
du scheinst das Prinzip von VLANs noch nicht so ganz verinnerlichert zu haben, das hat mit Bandbreitenmanagement erst mal gar nix zu tun.
Mittels VLANs baust du dir auf einem Stück Hardware (hier: auf dem einen neuen Switch) quasi drei völlig voneinander getrennte Netzwerke auf. Statt einem Switch mit VLANs hättest du auch drei "normale" Switche nehmen können, gleicher Effekt.
An diesem Beispiel solltest du aber ablesen können, wo dein Problem liegt: Du versuchst, drei komplett getrennte Netze auf _einer_ Fritz!Box zusammenzuführen - ein Ding der Unmöglichkeit, weil die Fritz!Box nur für den Betrieb _eines_ Netzwerks ausgerichtet ist. Stell dir einfach vor, du würdest drei Switche an je einen Port der Fritz!Box anschliessen....
Ergo benötigst du einen Router, dessen Interfaces sich dahingehend anpassen lassen, also z.B. was kleines von Cisco oder Zyxel oder wasauchimmmer. Dann steckst du jeden Switch (==jedes VLAN) auf ein eigenes Interface am Router und hast drei komplett voneinander getrennte Netze, deren Zugriff untereinander und aufs Internet du über den Router regeln kannst.
Alternativ nimmst du einen Router, der selbst VLANs beherrscht und der mit nur einem (getaggten) Port an den Switch angeschlossen ist - dann passiert die Trennung der Netze eben virtuell und nicht physikalisch.
Cheers,
jsysde
du scheinst das Prinzip von VLANs noch nicht so ganz verinnerlichert zu haben, das hat mit Bandbreitenmanagement erst mal gar nix zu tun.
Mittels VLANs baust du dir auf einem Stück Hardware (hier: auf dem einen neuen Switch) quasi drei völlig voneinander getrennte Netzwerke auf. Statt einem Switch mit VLANs hättest du auch drei "normale" Switche nehmen können, gleicher Effekt.
An diesem Beispiel solltest du aber ablesen können, wo dein Problem liegt: Du versuchst, drei komplett getrennte Netze auf _einer_ Fritz!Box zusammenzuführen - ein Ding der Unmöglichkeit, weil die Fritz!Box nur für den Betrieb _eines_ Netzwerks ausgerichtet ist. Stell dir einfach vor, du würdest drei Switche an je einen Port der Fritz!Box anschliessen....
Ergo benötigst du einen Router, dessen Interfaces sich dahingehend anpassen lassen, also z.B. was kleines von Cisco oder Zyxel oder wasauchimmmer. Dann steckst du jeden Switch (==jedes VLAN) auf ein eigenes Interface am Router und hast drei komplett voneinander getrennte Netze, deren Zugriff untereinander und aufs Internet du über den Router regeln kannst.
Alternativ nimmst du einen Router, der selbst VLANs beherrscht und der mit nur einem (getaggten) Port an den Switch angeschlossen ist - dann passiert die Trennung der Netze eben virtuell und nicht physikalisch.
Cheers,
jsysde
ja cool danke ir! so wie du es jetzt beschreibst hab ich es mir am schluss doch noch vorgestellt
das mit der fritzbox hab ich ja schon eingesehen! und abgehackt.. das cisco dingen ist bestellt ( <70€)
aber damit ich nen besseren überblick bekomme und es besser verstehe....
wie heißt den die technologie des routers, damit er mehrere LANs beherscht? NAT??
ich sehe bei Routern meist was von VLANs... und weiß nicht wonach ich suchen soll.
Hab ja nun gelernt das, dass zwei ganz verschiedene Dinge sind...
hab noch was von Draytek (Vigor 2110Vn WLAN Firewall Router 2xVPN/USB-Host/VoIP) gefunden.
Ist die Marke / das Gerät Businesst-tauglich? der Vorteil hier wäre, dass ich das VoIP mit abwickeln könnte... und so die
Fritzbox in den eBay-Korb gewerfen werden könnte^^
gruß
peter
das mit der fritzbox hab ich ja schon eingesehen! und abgehackt.. das cisco dingen ist bestellt ( <70€)
aber damit ich nen besseren überblick bekomme und es besser verstehe....
wie heißt den die technologie des routers, damit er mehrere LANs beherscht? NAT??
ich sehe bei Routern meist was von VLANs... und weiß nicht wonach ich suchen soll.
Hab ja nun gelernt das, dass zwei ganz verschiedene Dinge sind...
hab noch was von Draytek (Vigor 2110Vn WLAN Firewall Router 2xVPN/USB-Host/VoIP) gefunden.
Ist die Marke / das Gerät Businesst-tauglich? der Vorteil hier wäre, dass ich das VoIP mit abwickeln könnte... und so die
Fritzbox in den eBay-Korb gewerfen werden könnte^^
gruß
peter
Ein integrierter VLAN-Router macht auch Intervlan-Routing.
Im Prinzip ist das nichts anderes als Routing - Aber es ist via Konfiguration möglich, dass die Pakete von VLAN3 an Port 3 ankommen und ins VLAN4 am selben Port 3 zurück geroutet werden können. Das ist eine Einstellungssache und hängt vom Netzdesign ab. (deshalb ja auch die beiden Links vom 13.03.2012, 16:13:25 Uhr zu Artikeln von aqui).
Wenn es hier einen VLAN-fähigen Switch und den Cisco Router gibt, so wird der Uplink-Port des Switches mit allen VLANs getaggt betrieben. der Cisco Router verarbeitet die Signale und schickt sie an den WAN-Port (ungetaggt) oder in ein anderes VLAN am getaggten Switchport weiter.
Gruß
Netman
Im Prinzip ist das nichts anderes als Routing - Aber es ist via Konfiguration möglich, dass die Pakete von VLAN3 an Port 3 ankommen und ins VLAN4 am selben Port 3 zurück geroutet werden können. Das ist eine Einstellungssache und hängt vom Netzdesign ab. (deshalb ja auch die beiden Links vom 13.03.2012, 16:13:25 Uhr zu Artikeln von aqui).
Wenn es hier einen VLAN-fähigen Switch und den Cisco Router gibt, so wird der Uplink-Port des Switches mit allen VLANs getaggt betrieben. der Cisco Router verarbeitet die Signale und schickt sie an den WAN-Port (ungetaggt) oder in ein anderes VLAN am getaggten Switchport weiter.
Gruß
Netman
@Frosta
Das Thema VLANs ist dir scheinbar immer noch nicht transparent genug wie deine Frage oben ja zeigt.
Dein kardinaler Denkfehler den du machst bzw. was dir das verständnis so schwermacht ist die Tatsache das du vermutlich aus allen VLANs am NetGear ein Kabel auf den internen Switch der FB gezogen hast.
Da die FB keinerlei VLANs supportet hast du so die sehr sinnvolle Trennung die du eigentlich erreichen willst mit den VLANs wieder zunichte gemacht, weil du alle VLANs über eine Bridge im Hintergrund (sprich dem internen Switch der FB) wieder untereinander verbunden hast. Du hast also wenn du so willst dein eigenes Konzept ausgehebelt und die VLANs ad absurdum geführt, da sich dein Konstrukt trotz VLANs nun doch wieder wie ein einziges gemeinsames Netz ohne VLANs verhält !
Fazit: Du hast technisch etwas völlig falsches gemacht was so gar nicht erlaubt ist !
Du hast 2 Möglichkeiten sowas zu lösen:
1.)
Du nutzt einen Layer 3 also routing fähigen LAN Switch der zwischen den VLANs routet. Dann konfigurierst du dem ein "Internet" VLAN in das du nur mit einem Bein ! die FB hängst und stellst auf dem Switch eine Default Route ein.
So routet der Switch dann die VLANs untereinander und alles was nicht für IP Netze am L3 VLAN Switch ist geht dann via FB ins Internet.
Nachteil: Ist nur eine bedingte Kommunikation der VLANs untereinander gewünscht (was ja bei dir der Falle ist im Hotel) dann musst du mit vielen Access Listen diese Kommunikation unterbinden.
2.)
Sinnvoller ist also das mit einer Firewall zu lösen die du mit einem tagged Trunk an den VLAN Switch anschliesst.
So hast du eine wasserdichte Trennung der VLANs und kannst nur das erlauben was auch wirklich erlaubt ist zwischen den VLANs.
Dafür musst du natürlich zwingend einen Router oder besser einen Firewall haben die eine VLAN Konfiguration auf dem Interface supportet.
So was wie das hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
macht sowas für kleines Geld mit links.
Wie genau kannst du in diesem Tutorial nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Toller Nebeneffekt für dich und deinen Hotelfreund:
Er kann gleich noch ein Super Hotel Gästenetz mit WLAN oder LAN mit einem Hotspot damit aufsetzen !:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Besser kanns doch eigentlich gar nicht sein, oder ?
Am besten diese Tutorial wirklich einmal genau durchlesen, damit erübrigen sich (fast) alle Fragen zu dem Thema.
Das Thema VLANs ist dir scheinbar immer noch nicht transparent genug wie deine Frage oben ja zeigt.
Dein kardinaler Denkfehler den du machst bzw. was dir das verständnis so schwermacht ist die Tatsache das du vermutlich aus allen VLANs am NetGear ein Kabel auf den internen Switch der FB gezogen hast.
Da die FB keinerlei VLANs supportet hast du so die sehr sinnvolle Trennung die du eigentlich erreichen willst mit den VLANs wieder zunichte gemacht, weil du alle VLANs über eine Bridge im Hintergrund (sprich dem internen Switch der FB) wieder untereinander verbunden hast. Du hast also wenn du so willst dein eigenes Konzept ausgehebelt und die VLANs ad absurdum geführt, da sich dein Konstrukt trotz VLANs nun doch wieder wie ein einziges gemeinsames Netz ohne VLANs verhält !
Fazit: Du hast technisch etwas völlig falsches gemacht was so gar nicht erlaubt ist !
Du hast 2 Möglichkeiten sowas zu lösen:
1.)
Du nutzt einen Layer 3 also routing fähigen LAN Switch der zwischen den VLANs routet. Dann konfigurierst du dem ein "Internet" VLAN in das du nur mit einem Bein ! die FB hängst und stellst auf dem Switch eine Default Route ein.
So routet der Switch dann die VLANs untereinander und alles was nicht für IP Netze am L3 VLAN Switch ist geht dann via FB ins Internet.
Nachteil: Ist nur eine bedingte Kommunikation der VLANs untereinander gewünscht (was ja bei dir der Falle ist im Hotel) dann musst du mit vielen Access Listen diese Kommunikation unterbinden.
2.)
Sinnvoller ist also das mit einer Firewall zu lösen die du mit einem tagged Trunk an den VLAN Switch anschliesst.
So hast du eine wasserdichte Trennung der VLANs und kannst nur das erlauben was auch wirklich erlaubt ist zwischen den VLANs.
Dafür musst du natürlich zwingend einen Router oder besser einen Firewall haben die eine VLAN Konfiguration auf dem Interface supportet.
So was wie das hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
macht sowas für kleines Geld mit links.
Wie genau kannst du in diesem Tutorial nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Toller Nebeneffekt für dich und deinen Hotelfreund:
Er kann gleich noch ein Super Hotel Gästenetz mit WLAN oder LAN mit einem Hotspot damit aufsetzen !:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Besser kanns doch eigentlich gar nicht sein, oder ?
Am besten diese Tutorial wirklich einmal genau durchlesen, damit erübrigen sich (fast) alle Fragen zu dem Thema.
hatte kaum zeit.. das cisco dingen ist angekommen.. werde berichten, wenn ich nächste woche die sache angehe ;)
grüße peter
grüße peter
Na, dann sind wir mal gespannt aufs Feedback....
