VLAN Verständnissproblem
Hallo Zusammen,
ich habe ein generelles Verständnissproblem was VLAN angeht und möchte Euch bitten, mir mal etwas zu erklären.
Ich habe eine Fritzbox mit der ich ins Internet gehe.
Dahinter sitzt ein TP-Link TL-SL3452.
Wenn ich zwei VLAN Netzwerke konfiguriere, muss ich doch einen Port in Beiden verwenden, um über den und der Fritzbox ins Internet zu kommen, oder?
Beispiel:
VLAN1: Port 1-30
VLAN2: Port 30-48
Port 30, der in beiden VLANs vorhanden ist, würde ich an die FritzBox hängen.
Bei TP-Link wird der Port, den ich das 2. mal verwenden will, aus der anderen Konfiguration gelöscht.
Was mache ich falsch?
ich habe ein generelles Verständnissproblem was VLAN angeht und möchte Euch bitten, mir mal etwas zu erklären.
Ich habe eine Fritzbox mit der ich ins Internet gehe.
Dahinter sitzt ein TP-Link TL-SL3452.
Wenn ich zwei VLAN Netzwerke konfiguriere, muss ich doch einen Port in Beiden verwenden, um über den und der Fritzbox ins Internet zu kommen, oder?
Beispiel:
VLAN1: Port 1-30
VLAN2: Port 30-48
Port 30, der in beiden VLANs vorhanden ist, würde ich an die FritzBox hängen.
Bei TP-Link wird der Port, den ich das 2. mal verwenden will, aus der anderen Konfiguration gelöscht.
Was mache ich falsch?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 338805
Url: https://administrator.de/contentid/338805
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
19 Kommentare
Neuester Kommentar
Moin,
Du hast 2 Probleme:
1. Fritzbox kann kein VLAN und hat nur das Gästenetzwerk
2. Dein Switch ist nur Layer 2, das heißt keines deiner Geräte kann hier ordentlich mehrere VLAN Routen.
Da das Thema hier jede Woche 3 Mal vorkommt benutze am besten die Suchfunktion und schau dir das Foren Tutorial an:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VG
Val
Du hast 2 Probleme:
1. Fritzbox kann kein VLAN und hat nur das Gästenetzwerk
2. Dein Switch ist nur Layer 2, das heißt keines deiner Geräte kann hier ordentlich mehrere VLAN Routen.
Da das Thema hier jede Woche 3 Mal vorkommt benutze am besten die Suchfunktion und schau dir das Foren Tutorial an:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VG
Val
Hallo,
Diese kann kein VLAN
Entweder den SL3452 gegen einen L3 Switch tauschen, einen anderen zusätzlichen L3 Switch, einen Router (Mikrotik?) als Ersatz für die Fritte oder einen zusätzlichen Router (Mikrotik?) in dein LAN einbauen der zwischen deine VLANs routet und die anbindung an deiner Fritte macht.
.
Gruß,
Peter
Diese kann kein VLAN
Dahinter sitzt ein TP-Link TL-SL3452.
Dieser kann nicht Routen, auch nicht zwischen VLANs. Der beherscht zwar IEEE802.1q mit 4k VLANs, Port- / Protokollbasierendes VLAN, GARP/GVRP, Management-VLAN aber kann eben nicht dazwischen Routen.Entweder den SL3452 gegen einen L3 Switch tauschen, einen anderen zusätzlichen L3 Switch, einen Router (Mikrotik?) als Ersatz für die Fritte oder einen zusätzlichen Router (Mikrotik?) in dein LAN einbauen der zwischen deine VLANs routet und die anbindung an deiner Fritte macht.
.
Gruß,
Peter
Hi =) Die anderen haben dir ja schon geschrieben, dass das technisch aufgrund deiner Hardware nicht funktioniert und es auch einen Artikel gibt. Ich versuchs mal trotzdem in Kurzform:
Es gibt VLANs quasi in zwei Formen:
- untagged -> Das angeschlossene Gerät bekommt davon nichts mit, muss folglich keine VLANS können, du kannst aber einem Port nur ein VLAN zuweisen
- tagged (trunk) -> Das angeschlossene Gerät muss zwingend VLANs können
untagged verwendet man meist um ein Gerät in ein VLAN zuzuordnen und tagged um zwei Switche untereinander zu verbinden als "Trunk" und die VLANs auf alle Switche zu verteilen die du besitzt. Wie die anderen schon geschrieben haben benötigst du Geräte die auf Layer 3 der OSI-Schicht arbeiten um zwischen den zwei virtuellen Netzen zu routen. Sogenannte Smartswitches können, obwohl sie Layer-2-Switche sind auch die Layer-3 Funktionalität eines VLANs bereitstellen. Das ist dann aber eher Definitionssache ;)
ich hoffe das war einfach erklärt. Deine Switche müssen zwingend VLANs können. Dein Router muss das nicht unbedingt. Es würde reichen, wenn du diesem zwei Netzadressen auf zwei verschiedenen Ethernet-Ports zuweisen könntest und diese dann in die jeweiligen untagged-VLANs stecken würdest.
Gruß Atomique
Beispiel:
VLAN1: Port 1-30
VLAN2: Port 30-48
Port 30, der in beiden VLANs vorhanden ist, würde ich an die FritzBox hängen.
VLAN1: Port 1-30
VLAN2: Port 30-48
Port 30, der in beiden VLANs vorhanden ist, würde ich an die FritzBox hängen.
Es gibt VLANs quasi in zwei Formen:
- untagged -> Das angeschlossene Gerät bekommt davon nichts mit, muss folglich keine VLANS können, du kannst aber einem Port nur ein VLAN zuweisen
- tagged (trunk) -> Das angeschlossene Gerät muss zwingend VLANs können
untagged verwendet man meist um ein Gerät in ein VLAN zuzuordnen und tagged um zwei Switche untereinander zu verbinden als "Trunk" und die VLANs auf alle Switche zu verteilen die du besitzt. Wie die anderen schon geschrieben haben benötigst du Geräte die auf Layer 3 der OSI-Schicht arbeiten um zwischen den zwei virtuellen Netzen zu routen. Sogenannte Smartswitches können, obwohl sie Layer-2-Switche sind auch die Layer-3 Funktionalität eines VLANs bereitstellen. Das ist dann aber eher Definitionssache ;)
ich hoffe das war einfach erklärt. Deine Switche müssen zwingend VLANs können. Dein Router muss das nicht unbedingt. Es würde reichen, wenn du diesem zwei Netzadressen auf zwei verschiedenen Ethernet-Ports zuweisen könntest und diese dann in die jeweiligen untagged-VLANs stecken würdest.
Gruß Atomique
Hallo,
Gruß,
Peter
Zitat von @atomique:
Es würde reichen, wenn du diesem zwei Netzadressen auf zwei verschiedenen Ethernet-Ports zuweisen könntest und diese dann in die jeweiligen untagged-VLANs stecken würdest.
Auch das kann einen FritzBox nicht. Nur LAN und Gast LAN. 2 IP Netze und das rigoros getrennt. LAN 4 = Gast Netz oder halt per WLAN. Einer muss also Routen, ob Switch oder Router ist egalEs würde reichen, wenn du diesem zwei Netzadressen auf zwei verschiedenen Ethernet-Ports zuweisen könntest und diese dann in die jeweiligen untagged-VLANs stecken würdest.
Gruß,
Peter
Zitat von @atomique:
Deswegen der Konjunktiv :P - Aber ernsthaft echt schade, dass eine Fritzbox das nicht kann, vor allem für das Geld dass man da teils reinpumpen muss (knapp 200€ für die Topmodelle)
Deswegen der Konjunktiv :P - Aber ernsthaft echt schade, dass eine Fritzbox das nicht kann, vor allem für das Geld dass man da teils reinpumpen muss (knapp 200€ für die Topmodelle)
Dafür ist die Inbetriebnahme auch für Oma Erna machbar.
Was bei einem Cisco Router nicht der Fall wäre (Sorry Oma Erna). Ich erinnere mich noch gerne an mein erstes DSL Modem. Da war das einrichten der blanke Horror.
Und mal ganz ehrlich, welcher normale Haushalt benötigt VLAN? - Und im geschäftlichen Umfeld hat eine Fritzbox nichts verloren.
Gruß IT-Ente
Hallo,
So wie ein Sport Schnorchler der jetzt plötzlich in 400 m Tiefe als Berufstaucher was tun will.
Gruß,
Peter
Zitat von @andreasristo:
Ein Mikrotik Router ist bestellt. Ob ich es dann zum laufen kriege, ist eine andere Frage...
arum nicht gleich einen vernünftigen L3 Switch anstelle deines 48 Port L2 10/100 krücke. Ein SG3xx notfalls mit 8 Port reicht schon in dein Netz.Ein Mikrotik Router ist bestellt. Ob ich es dann zum laufen kriege, ist eine andere Frage...
Werde mir erst noch viel anlesen müssen.
Für jemand der nur Fritten bisher gemacht hat - Extrem Viel.So wie ein Sport Schnorchler der jetzt plötzlich in 400 m Tiefe als Berufstaucher was tun will.
Das ganze ist einfach sehr schnell gewachsen.
Aber Zeit genug um 3 Fritten zum laufen zu bringenGruß,
Peter
es gibt Leute, die machen Urlaub ohne Internet...
Gehen wir Dein Regelwerk mal durch:
Regel1 würde den (Antwort-)Traffic zulassen, der zu bestehenden Verbindungen gehört oder inhaltlich zusammenhängt (ICMP echo, FTP-Data etc), wenn
a) das Connection-Tracking an ist
und
b) die forward-chain statt fälschlich die input-chain gewählt würde
Regel 2 dropt alles, was von ether8 kommt und nicht nach ether9 geht.
Übrig bleibt also:
- sämtlicher Traffic, der nicht von ether8 kommt
- Traffic von ether8 nach ether9
das geht nun durch Regel 3...
Regel3 dropt alles, was eine Source-IP aus "local_networks" hat und nicht nach ether10 will.
Damit wird vermutlich unter anderem auch der Traffic von ether8 nach ether9 gedropt, weil er eine solche Source-IP trägt.
Zugelassen bleibt im Ergebnis nur Traffic, der folgende Bedingungen erfüllt:
- kommt aus ether8, hat keine Source-IP aus "local_networks" und will nach ether9
oder
- kommt nicht aus ether8 und hat keine Source-IP aus "local_networks"
oder
- kommt nicht aus ether8, hat eine Source-IP aus "local_networks" und will nach ether10
Du siehst, Deine Art das Regelwerk aufzubauen ist komplex, schwer lesbar und fehleranfällig.
Best Practice wäre:
- ganz unten eine Regel, die alles verbietet
- darüber Regeln, die nur den gewünschten Traffic erlauben.
Gruß
sk
Gehen wir Dein Regelwerk mal durch:
Regel1 würde den (Antwort-)Traffic zulassen, der zu bestehenden Verbindungen gehört oder inhaltlich zusammenhängt (ICMP echo, FTP-Data etc), wenn
a) das Connection-Tracking an ist
und
b) die forward-chain statt fälschlich die input-chain gewählt würde
Regel 2 dropt alles, was von ether8 kommt und nicht nach ether9 geht.
Übrig bleibt also:
- sämtlicher Traffic, der nicht von ether8 kommt
- Traffic von ether8 nach ether9
das geht nun durch Regel 3...
Regel3 dropt alles, was eine Source-IP aus "local_networks" hat und nicht nach ether10 will.
Damit wird vermutlich unter anderem auch der Traffic von ether8 nach ether9 gedropt, weil er eine solche Source-IP trägt.
Zugelassen bleibt im Ergebnis nur Traffic, der folgende Bedingungen erfüllt:
- kommt aus ether8, hat keine Source-IP aus "local_networks" und will nach ether9
oder
- kommt nicht aus ether8 und hat keine Source-IP aus "local_networks"
oder
- kommt nicht aus ether8, hat eine Source-IP aus "local_networks" und will nach ether10
Du siehst, Deine Art das Regelwerk aufzubauen ist komplex, schwer lesbar und fehleranfällig.
Best Practice wäre:
- ganz unten eine Regel, die alles verbietet
- darüber Regeln, die nur den gewünschten Traffic erlauben.
Gruß
sk