20
VLAN und gemeinsamer Drucker
Hallo zusammen,
ich arbeite mich aktuell in unsere Netzwerktechnik ein. Von einem externen Anbieter wurde hier das Netzwerk eingerichtet und der aktuelle Stand der Dinge ist folgender.
Router: Lancom 1781ef+
Switch: HP 1820-24g
VLANs: 5 (1: Default, 2: Firma1, 3: Firma2, 4: Firma3, 5: Gäste).
Nun gibt es einen Netzwerk Drucker, der aktuell im VLAN 2 ist, nun aber für alle außer Gäste zur Verfügung gestellt werden soll.
Ist es mit der aktuellen vorhanden Hardware möglich, den Drucker für VLAN 2, 3 und 4 verfügbar zu machen? Kann ich das im Lancom z.B. über Firewall regeln? Oder benötigen wir zwingend ein weitere Gerät?
Vielen dank für eure Hilfe!
ich arbeite mich aktuell in unsere Netzwerktechnik ein. Von einem externen Anbieter wurde hier das Netzwerk eingerichtet und der aktuelle Stand der Dinge ist folgender.
Router: Lancom 1781ef+
Switch: HP 1820-24g
VLANs: 5 (1: Default, 2: Firma1, 3: Firma2, 4: Firma3, 5: Gäste).
Nun gibt es einen Netzwerk Drucker, der aktuell im VLAN 2 ist, nun aber für alle außer Gäste zur Verfügung gestellt werden soll.
Ist es mit der aktuellen vorhanden Hardware möglich, den Drucker für VLAN 2, 3 und 4 verfügbar zu machen? Kann ich das im Lancom z.B. über Firewall regeln? Oder benötigen wir zwingend ein weitere Gerät?
Vielen dank für eure Hilfe!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 346185
Url: https://administrator.de/contentid/346185
Ausgedruckt am: 25.11.2024 um 12:11 Uhr
20 Kommentare
Neuester Kommentar
Kann ich das im Lancom z.B. über Firewall regeln?
Ja, mit den entsprechenden ACLs problemlos machbar. Oder du machst alternativ ein weiteres VLAN für den Drucker auf und vergibst die entsprechenden ACLs auf das Drucker-VLAN aus den anderen Netzen.Oder benötigen wir zwingend ein weitere Gerät?
Nein.Gruß
Hallo und danke für die schnelle Antwort!
Ich habe nun ein VLAN 6 für den Drucker. Wo muss ich nun hin? Beim suchen habe ich zum Thema ACL nur WLAN gefunden.
Aktuell arbeite ich mich noch in das Thema ein und daher vielleicht die dumme Frage.
Danke und ein schönes Wochenende!
Nein.
Da bin ich schon mal froh! Oder du machst alternativ ein weiteres VLAN für den Drucker auf und vergibst die entsprechenden ACLs auf das Drucker-VLAN aus den anderen Netzen.
Ich habe nun ein VLAN 6 für den Drucker. Wo muss ich nun hin? Beim suchen habe ich zum Thema ACL nur WLAN gefunden.
Aktuell arbeite ich mich noch in das Thema ein und daher vielleicht die dumme Frage.
Danke und ein schönes Wochenende!
Zitat von @phillippl:
Ich habe nun ein VLAN 6 für den Drucker. Wo muss ich nun hin? Beim suchen habe ich zum Thema ACL nur WLAN gefunden.
In die Firewall, ACL ist nur ein Oberbegriff für die Zugriffsteuerung unter VLANs und häufiger auf Switches ein Begriff, am Lancom regelst du das über die Firewall-Regeln.Ich habe nun ein VLAN 6 für den Drucker. Wo muss ich nun hin? Beim suchen habe ich zum Thema ACL nur WLAN gefunden.
Hier ein Beispiel wie man zwei VLANs in ein zentrales VLAN mit dem Drucker zulässt und alle anderen aussperrt.
Die Quell- und Zielobjekte musst du natürlich vorher für deine VLANs definieren.
Danke und ein schönes Wochenende!
Gleichfalls.Zitat von @133883:
Die Quell- und Zielobjekte musst du natürlich vorher für deine VLANs definieren.
Die Quell- und Zielobjekte musst du natürlich vorher für deine VLANs definieren.
Ich habe nun eine Regel angelegt mit dem Name: ALLOW_VLAN2_VLAN9. Bei Stationen habe ich gewählt:
Verbindungs-Quelle
Alle Stationen im lokalen Netzwerk: FIRMA1 (in diesem Netzwerk ist das VLAN 2 definiert).
Verbindungs-Ziel
Alle Stationen im lokalen Netzwerk: DRUCKER (in diesem Netzwerk ist das VLAN 6 definiert).
Leider bekomme ich aber keine Verbindung zu dem Drucker. Ein Ping o.ä. ist nicht möglich.
Ist die Route in das neue VLAN vorhanden?
Wohin werden die anfragen gesendet, wenn du ein ping versuchst? --> tracert
Wohin werden die anfragen gesendet, wenn du ein ping versuchst? --> tracert
Vielen dank für deine Hilfe! Vermutlich liegt dort das Problem. Ich habe im Bereich "IPv4-Routing-Tabelle" nichts geändert.
Wohin werden die anfragen gesendet, wenn du ein ping versuchst? --> tracert
Wie bereits geschrieben, wurde das Netzwerk von einem externen Anbieter, der uns nicht mehr zur verfügung gestellt, eingerichtet und mit Lancom kenne ich mich noch nicht so aus, da fuchse ich mich gerade noch ein. Aber wie ich sehe fehlt mir da noch einiges an Wissen!
An den Routen mußt du nichts verstellen, wäre ja auch Blödsinn denn wenn du die VLANs mit deren Subnetzen korrekt definiert hast weiß der Lancom ja schon auf welchem Port das jeweilige VLAN arbeitet, er hat diese also schon in seiner Routing-Tabelle.
Ich habe nun mal geschaut. Die VLANs sind in eigene IP-Netzwerke getrennt. Dabei haben alle die IP-Adresse: 192.88.0.10 und 255.255.255.0 als Netzmaske.
Wenn ich dem Drucker IP-Netzwerk nun die 192.88.9.10 gebe und auch den DHCP dafür anpasse, erreiche ich den Drucker. Auch ohne Firewall. Bedeutet, nun ist er auch für Gäste erreichbar.
Wenn ich dem Drucker IP-Netzwerk nun die 192.88.9.10 gebe und auch den DHCP dafür anpasse, erreiche ich den Drucker. Auch ohne Firewall. Bedeutet, nun ist er auch für Gäste erreichbar.
Moin,
hmm... irgendwie klingt dein jüngster Post etwas uneindeutig und lässt sich - zumindest für mich - aus den vorherigen nicht ganz eindeutig herauslesen.
Kannst du erurieren, ob
a) die nachfolgende Grafik vom aufbau her so passt und
b) die dort fehlenden Informationen ergänzen, also die buchstaben a bzw. ay bis f bzw. fy
Dann weiss man zumindest, wie das Netz seinerzeit aufgebaut ist und kann dir beim LANCOM dann bessere Hilfe geben.
Beim Zeichnen ist mir zudem noch eingefallen: das VLAN 6 wird aber vom LANCOM über den 1820 ebenfalls transportiert, oder?
Denn wenn das nicht der Fall ist, bringen dir alle Firewall-Regeln nichts, wenn die Pakete nicht über den HP hinaus zum LANCOM transportiert werden können.
Gruß
em-pie
€dit: Grafik enthielt noch einen kleinen Tippfehler
hmm... irgendwie klingt dein jüngster Post etwas uneindeutig und lässt sich - zumindest für mich - aus den vorherigen nicht ganz eindeutig herauslesen.
Kannst du erurieren, ob
a) die nachfolgende Grafik vom aufbau her so passt und
b) die dort fehlenden Informationen ergänzen, also die buchstaben a bzw. ay bis f bzw. fy
Dann weiss man zumindest, wie das Netz seinerzeit aufgebaut ist und kann dir beim LANCOM dann bessere Hilfe geben.
Beim Zeichnen ist mir zudem noch eingefallen: das VLAN 6 wird aber vom LANCOM über den 1820 ebenfalls transportiert, oder?
Denn wenn das nicht der Fall ist, bringen dir alle Firewall-Regeln nichts, wenn die Pakete nicht über den HP hinaus zum LANCOM transportiert werden können.
Gruß
em-pie
€dit: Grafik enthielt noch einen kleinen Tippfehler
Zitat von @phillippl:
Ich habe nun mal geschaut. Die VLANs sind in eigene IP-Netzwerke getrennt. Dabei haben alle die IP-Adresse: 192.88.0.10 und 255.255.255.0 als Netzmaske.
Alle die selbe Netzmaske und IP-Kreis ??? Kann ja nich, jedes VLAN bekommt sein eindeutiges Netz.Ich habe nun mal geschaut. Die VLANs sind in eigene IP-Netzwerke getrennt. Dabei haben alle die IP-Adresse: 192.88.0.10 und 255.255.255.0 als Netzmaske.
Wenn ich dem Drucker IP-Netzwerk nun die 192.88.9.10 gebe und auch den DHCP dafür anpasse, erreiche ich den Drucker. Auch ohne Firewall. Bedeutet, nun ist er auch für Gäste erreichbar.
Mir scheint hier gibt es bei dir noch erhebliche Wissenslücken.
Zitat von @em-pie:
Dann weiss man zumindest, wie das Netz seinerzeit aufgebaut ist und kann dir beim LANCOM dann bessere Hilfe geben.
Vielen lieben dank!Dann weiss man zumindest, wie das Netz seinerzeit aufgebaut ist und kann dir beim LANCOM dann bessere Hilfe geben.
Also die Grafik stimmt soweit, bis auf ein kleine Info: An dem Switch hängt zusätzlich noch ein WLAN AP von TP-Link. Der sendet mehrere SSIDs und kümmert sich drum die VLANs zu taggen über WLAN. Aber das sollte ja nicht so viel ändern.
Ich habe mich nun mal durch geklickt und geschaut, was konfiguriert ist. Bis auf das VLAN 6 Drucker (dies habe ich zum testen geändert), sind alle auf den Ursprungszustand zurück geändert, damit wir "frisch" starten. Die Konfiguration ist somit auf den Zustand, wie es hier mal eingerichtet wurde.
Vorweg: Ich glaube, die Konfiguration ist nicht sehr sinnvoll so, also bin ich da gerne für Verbesserungsvorschläge sehr dankbar.
b) die dort fehlenden Informationen ergänzen, also die buchstaben a bzw. ay bis f bzw. fy
a-e: 0
ay-ey: 10
f: 9
fy: 10
Die gewünschte Konfiguration wäre, dass alle VLANs getrennt sind und nicht miteinander kommunizieren können. Außer VLAN 2, 3 und 4 dürfen auf den Drucker in VLAN 6 zugreifen. Die Gäste dürfen natürlich nicht auf den Drucker zugreifen.
OK, dann habe ich den o.g Post doch richtig verstanden (und exguru auch).
Als erstes:
völlig ungünstig ist, dass alle VLANS (ausnahme: das VLAN6) sehr ungünstig und nicht standardkonform eingerichtet sind.
Optimal wäre es, wenn du/ ihr die VLANS wie folgt neu definiert:
Zudem musst du am LANCOM auch für jedes VLAN ein eigenes (virt.) Interface anlegen, jeweils mit der IP 192.168.x.1:
https://www2.lancom.de/kb.nsf/1275/BF3A86301C98D1C6C12575C50030D0FD?Open ...
Danach gemäß exgurus obiger Firewall-Logik entsprechende Policies anlegen.
Ich setze mal voraus, dass alle 4 Firmen den Internetanschluss am LANCOM nutzen oder hat jeder sein eigen Internetanschluss/ Router?
Wenn letzteres der Fall ist (jede Firma hat einen eigenen Internetanschluss) dann müssen sowohl an den einzelnen Internetroutern als auch am LANCOM weitere statische Routen angelegt werden. Hierzu aber weiteres, wenn du das beantworten konntest.
Nachtrag: das Thema VLAN hat Kollege aqui seinerzeit mal sehr gut in folgenden Tutorial behandelt:
https://administrator.de/members/watchlist.php?action=add&content_id ...
hieraus kannst du dir auch erstmal die Grundlagen zum Thema VLAN aneignen
Nachtrag2:
euer sog. Fachmann hat zudem einen weiteren, gravierenden Fehler gemacht:
Gemäß den Spezifikation RFC1918 hat er für die einzelnen IPs Netz des öffentlichen Sektor verwendet, anstatt auf die privaten Netze zurückzugreifen. Das Netz 192.168.88.0/24 gehört nämlich einer Firma mit Sitz in den USA: Whois
Das muss dringend abgeändert werden.
Als erstes:
völlig ungünstig ist, dass alle VLANS (ausnahme: das VLAN6) sehr ungünstig und nicht standardkonform eingerichtet sind.
Optimal wäre es, wenn du/ ihr die VLANS wie folgt neu definiert:
- VLAN 1:
- Netz: 192.168.10.0
- Maske: 255.255.255.0
- GW: 192.168.10.1
- VLAN 2:
- Netz: 192.168.20.0
- Maske: 255.255.255.0
- GW: 192.168.20.1
- VLAN 6:
- Netz: 192.168.60.0
- Maske: 255.255.255.0
- GW: 192.168.60.1
Zudem musst du am LANCOM auch für jedes VLAN ein eigenes (virt.) Interface anlegen, jeweils mit der IP 192.168.x.1:
https://www2.lancom.de/kb.nsf/1275/BF3A86301C98D1C6C12575C50030D0FD?Open ...
Danach gemäß exgurus obiger Firewall-Logik entsprechende Policies anlegen.
Ich setze mal voraus, dass alle 4 Firmen den Internetanschluss am LANCOM nutzen oder hat jeder sein eigen Internetanschluss/ Router?
Wenn letzteres der Fall ist (jede Firma hat einen eigenen Internetanschluss) dann müssen sowohl an den einzelnen Internetroutern als auch am LANCOM weitere statische Routen angelegt werden. Hierzu aber weiteres, wenn du das beantworten konntest.
Nachtrag: das Thema VLAN hat Kollege aqui seinerzeit mal sehr gut in folgenden Tutorial behandelt:
https://administrator.de/members/watchlist.php?action=add&content_id ...
hieraus kannst du dir auch erstmal die Grundlagen zum Thema VLAN aneignen
Nachtrag2:
euer sog. Fachmann hat zudem einen weiteren, gravierenden Fehler gemacht:
Gemäß den Spezifikation RFC1918 hat er für die einzelnen IPs Netz des öffentlichen Sektor verwendet, anstatt auf die privaten Netze zurückzugreifen. Das Netz 192.168.88.0/24 gehört nämlich einer Firma mit Sitz in den USA: Whois
Das muss dringend abgeändert werden.
Okay, dass mache ich.
Zudem musst du am LANCOM auch für jedes VLAN ein eigenes (virt.) Interface anlegen, jeweils mit der IP 192.168.x.1:
https://www2.lancom.de/kb.nsf/1275/BF3A86301C98D1C6C12575C50030D0FD?Open ...
https://www2.lancom.de/kb.nsf/1275/BF3A86301C98D1C6C12575C50030D0FD?Open ...
Das scheint bereits zu sein, nur halt immer mit dem gleichen Schema (192.88.0.10), ändere ich.
Ich setze mal voraus, dass alle 4 Firmen den Internetanschluss am LANCOM nutzen oder hat jeder sein eigen Internetanschluss/ Router?
Wenn letzteres der Fall ist (jede Firma hat einen eigenen Internetanschluss) dann müssen sowohl an den einzelnen Internetroutern als auch am LANCOM weitere statische Routen angelegt werden. Hierzu aber weiteres, wenn du das beantworten konntest.
Wenn letzteres der Fall ist (jede Firma hat einen eigenen Internetanschluss) dann müssen sowohl an den einzelnen Internetroutern als auch am LANCOM weitere statische Routen angelegt werden. Hierzu aber weiteres, wenn du das beantworten konntest.
Ja wir haben hier einen gemeinsamen Internetanschluss.
Nachtrag: das Thema VLAN hat Kollege aqui seinerzeit mal sehr gut in folgenden Tutorial behandelt:
https://administrator.de/members/watchlist.php?action=add&content_id ...
hieraus kannst du dir auch erstmal die Grundlagen zum Thema VLAN aneignen
https://administrator.de/members/watchlist.php?action=add&content_id ...
hieraus kannst du dir auch erstmal die Grundlagen zum Thema VLAN aneignen
Vielen dank, schaue ich mir an!
Nachtrag2:
euer sog. Fachmann hat zudem einen weiteren, gravierenden Fehler gemacht:
Gemäß den Spezifikation RFC1918 hat er für die einzelnen IPs Netz des öffentlichen Sektor verwendet, anstatt auf die privaten Netze zurückzugreifen. Das Netz 192.168.88.0/24 gehört nämlich einer Firma mit Sitz in den USA: Whois
Das muss dringend abgeändert werden.
euer sog. Fachmann hat zudem einen weiteren, gravierenden Fehler gemacht:
Gemäß den Spezifikation RFC1918 hat er für die einzelnen IPs Netz des öffentlichen Sektor verwendet, anstatt auf die privaten Netze zurückzugreifen. Das Netz 192.168.88.0/24 gehört nämlich einer Firma mit Sitz in den USA: Whois
Das muss dringend abgeändert werden.
Oh okay, dass werde ich anhand deiner Vorlage oben gleich komplett ändern.
Vielen dank eure allen! Ich werde das heute Abend mal so umsetzen und mich noch mal melden!
Ich habe nun alles soweit eingerichtet. Ich kann im DHCP und an den Geräten sehen, dass sie sich in den jeweiligen Netzen auch IPs geholt haben.
Jetzt ist es aber so, dass ich nun aber auf den Drucker schon zugreifen kann, ohne dass dies freigegeben ist. Ich sehe auch die Geräte der anderen Firmen. Auch wenn ich die Regel habe, dass als Quelle: Alle und Ziel: VLAN 9 (DRUCKER) zurückweisen, komme ich drauf. Anscheinend habe ich noch irgendwo eine Konfiguration vergessen oder?
Danke nochmal für eure Hilfe!!
Jetzt ist es aber so, dass ich nun aber auf den Drucker schon zugreifen kann, ohne dass dies freigegeben ist. Ich sehe auch die Geräte der anderen Firmen. Auch wenn ich die Regel habe, dass als Quelle: Alle und Ziel: VLAN 9 (DRUCKER) zurückweisen, komme ich drauf. Anscheinend habe ich noch irgendwo eine Konfiguration vergessen oder?
Danke nochmal für eure Hilfe!!
OK. Am HP-Switch sind alle VLANs engelegt und die entsprechenden Ports stehen ebenfalls im richtigen VLAN auf untagged (mal abgesehen vom AP...)?
Ansonsten poste hier mal den Screenshot von den FirewallPolicies!
Ansonsten poste hier mal den Screenshot von den FirewallPolicies!
Also im HP Switch sind die jeweiligen Ports auf untagged und der Port 24 auf tagged. Dort geht dann ein Kabel in den Port 1 vom Lancom Router.
Screenshot kann ich morgen anhängen. Aber selbst wenn sie komplett leer ist, ist ein Zugriff möglich.
Screenshot kann ich morgen anhängen. Aber selbst wenn sie komplett leer ist, ist ein Zugriff möglich.
Aber selbst wenn sie komplett leer ist, ist ein Zugriff möglich.
Ist doch vollkommen normal denn keine Regel bedeutet hier keine Beschränkung, alle dürfen alles
Ah, jetzt hat es Klick gemacht. Ich stand bezüglich VLAN noch auf dem Schlauch. Die VLANs sehen sich auf dem Switch nicht, aber über den Router.
Also wenn ich dort die passenden Regeln einrichte, unterbinde ich die Kommunikation untereinander und kann zum Drucker dann erlauben.
Also wenn ich dort die passenden Regeln einrichte, unterbinde ich die Kommunikation untereinander und kann zum Drucker dann erlauben.
Der Kandidat hat 100 Punkte . Dein Layer-2 Switch kann ja nicht routen, das machen nur Layer-3 Geräte, also ist der Lancom die Schaltstelle für dein Netz.
Das lernt aber eigentlich jeder Netzwerker am ersten Tag ...
. Dein Layer-2 Switch kann ja nicht routen, das machen nur Layer-3 Geräte, also ist der Lancom die Schaltstelle für dein Netz.Das lernt aber eigentlich jeder Netzwerker am ersten Tag ...
Ah, jetzt hat es Klick gemacht.
Das hätte es schon viel eher wenn du mal einen Blick ins hiesige VLAN Tutorial geworfen hättest:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das beantwortet alle deine Fragen...
