19
VLAN Verständnissproblem
Hallo Zusammen,
ich habe ein generelles Verständnissproblem was VLAN angeht und möchte Euch bitten, mir mal etwas zu erklären.
Ich habe eine Fritzbox mit der ich ins Internet gehe.
Dahinter sitzt ein TP-Link TL-SL3452.
Wenn ich zwei VLAN Netzwerke konfiguriere, muss ich doch einen Port in Beiden verwenden, um über den und der Fritzbox ins Internet zu kommen, oder?
Beispiel:
VLAN1: Port 1-30
VLAN2: Port 30-48
Port 30, der in beiden VLANs vorhanden ist, würde ich an die FritzBox hängen.
Bei TP-Link wird der Port, den ich das 2. mal verwenden will, aus der anderen Konfiguration gelöscht.
Was mache ich falsch?
ich habe ein generelles Verständnissproblem was VLAN angeht und möchte Euch bitten, mir mal etwas zu erklären.
Ich habe eine Fritzbox mit der ich ins Internet gehe.
Dahinter sitzt ein TP-Link TL-SL3452.
Wenn ich zwei VLAN Netzwerke konfiguriere, muss ich doch einen Port in Beiden verwenden, um über den und der Fritzbox ins Internet zu kommen, oder?
Beispiel:
VLAN1: Port 1-30
VLAN2: Port 30-48
Port 30, der in beiden VLANs vorhanden ist, würde ich an die FritzBox hängen.
Bei TP-Link wird der Port, den ich das 2. mal verwenden will, aus der anderen Konfiguration gelöscht.
Was mache ich falsch?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 338805
Url: https://administrator.de/contentid/338805
Ausgedruckt am: 08.11.2024 um 14:11 Uhr
19 Kommentare
Neuester Kommentar
Moin,
Du hast 2 Probleme:
1. Fritzbox kann kein VLAN und hat nur das Gästenetzwerk
2. Dein Switch ist nur Layer 2, das heißt keines deiner Geräte kann hier ordentlich mehrere VLAN Routen.
Da das Thema hier jede Woche 3 Mal vorkommt benutze am besten die Suchfunktion und schau dir das Foren Tutorial an:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VG
Val
Du hast 2 Probleme:
1. Fritzbox kann kein VLAN und hat nur das Gästenetzwerk
2. Dein Switch ist nur Layer 2, das heißt keines deiner Geräte kann hier ordentlich mehrere VLAN Routen.
Da das Thema hier jede Woche 3 Mal vorkommt benutze am besten die Suchfunktion und schau dir das Foren Tutorial an:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VG
Val
Hallo,
Diese kann kein VLAN
Entweder den SL3452 gegen einen L3 Switch tauschen, einen anderen zusätzlichen L3 Switch, einen Router (Mikrotik?) als Ersatz für die Fritte oder einen zusätzlichen Router (Mikrotik?) in dein LAN einbauen der zwischen deine VLANs routet und die anbindung an deiner Fritte macht.
.
Gruß,
Peter
Diese kann kein VLAN
Dahinter sitzt ein TP-Link TL-SL3452.
Dieser kann nicht Routen, auch nicht zwischen VLANs. Der beherscht zwar IEEE802.1q mit 4k VLANs, Port- / Protokollbasierendes VLAN, GARP/GVRP, Management-VLAN aber kann eben nicht dazwischen Routen.Entweder den SL3452 gegen einen L3 Switch tauschen, einen anderen zusätzlichen L3 Switch, einen Router (Mikrotik?) als Ersatz für die Fritte oder einen zusätzlichen Router (Mikrotik?) in dein LAN einbauen der zwischen deine VLANs routet und die anbindung an deiner Fritte macht.
.
Gruß,
Peter
Hi =) Die anderen haben dir ja schon geschrieben, dass das technisch aufgrund deiner Hardware nicht funktioniert und es auch einen Artikel gibt. Ich versuchs mal trotzdem in Kurzform:
Es gibt VLANs quasi in zwei Formen:
- untagged -> Das angeschlossene Gerät bekommt davon nichts mit, muss folglich keine VLANS können, du kannst aber einem Port nur ein VLAN zuweisen
- tagged (trunk) -> Das angeschlossene Gerät muss zwingend VLANs können
untagged verwendet man meist um ein Gerät in ein VLAN zuzuordnen und tagged um zwei Switche untereinander zu verbinden als "Trunk" und die VLANs auf alle Switche zu verteilen die du besitzt. Wie die anderen schon geschrieben haben benötigst du Geräte die auf Layer 3 der OSI-Schicht arbeiten um zwischen den zwei virtuellen Netzen zu routen. Sogenannte Smartswitches können, obwohl sie Layer-2-Switche sind auch die Layer-3 Funktionalität eines VLANs bereitstellen. Das ist dann aber eher Definitionssache ;)
ich hoffe das war einfach erklärt. Deine Switche müssen zwingend VLANs können. Dein Router muss das nicht unbedingt. Es würde reichen, wenn du diesem zwei Netzadressen auf zwei verschiedenen Ethernet-Ports zuweisen könntest und diese dann in die jeweiligen untagged-VLANs stecken würdest.
Gruß Atomique
Beispiel:
VLAN1: Port 1-30
VLAN2: Port 30-48
Port 30, der in beiden VLANs vorhanden ist, würde ich an die FritzBox hängen.
VLAN1: Port 1-30
VLAN2: Port 30-48
Port 30, der in beiden VLANs vorhanden ist, würde ich an die FritzBox hängen.
Es gibt VLANs quasi in zwei Formen:
- untagged -> Das angeschlossene Gerät bekommt davon nichts mit, muss folglich keine VLANS können, du kannst aber einem Port nur ein VLAN zuweisen
- tagged (trunk) -> Das angeschlossene Gerät muss zwingend VLANs können
untagged verwendet man meist um ein Gerät in ein VLAN zuzuordnen und tagged um zwei Switche untereinander zu verbinden als "Trunk" und die VLANs auf alle Switche zu verteilen die du besitzt. Wie die anderen schon geschrieben haben benötigst du Geräte die auf Layer 3 der OSI-Schicht arbeiten um zwischen den zwei virtuellen Netzen zu routen. Sogenannte Smartswitches können, obwohl sie Layer-2-Switche sind auch die Layer-3 Funktionalität eines VLANs bereitstellen. Das ist dann aber eher Definitionssache ;)
ich hoffe das war einfach erklärt. Deine Switche müssen zwingend VLANs können. Dein Router muss das nicht unbedingt. Es würde reichen, wenn du diesem zwei Netzadressen auf zwei verschiedenen Ethernet-Ports zuweisen könntest und diese dann in die jeweiligen untagged-VLANs stecken würdest.
Gruß Atomique
Hallo,
Gruß,
Peter
Zitat von @atomique:
Es würde reichen, wenn du diesem zwei Netzadressen auf zwei verschiedenen Ethernet-Ports zuweisen könntest und diese dann in die jeweiligen untagged-VLANs stecken würdest.
Auch das kann einen FritzBox nicht. Nur LAN und Gast LAN. 2 IP Netze und das rigoros getrennt. LAN 4 = Gast Netz oder halt per WLAN. Einer muss also Routen, ob Switch oder Router ist egalEs würde reichen, wenn du diesem zwei Netzadressen auf zwei verschiedenen Ethernet-Ports zuweisen könntest und diese dann in die jeweiligen untagged-VLANs stecken würdest.
Gruß,
Peter
Deswegen der Konjunktiv :P - Aber ernsthaft echt schade, dass eine Fritzbox das nicht kann, vor allem für das Geld dass man da teils reinpumpen muss (knapp 200€ für die Topmodelle)
Zitat von @atomique:
Deswegen der Konjunktiv :P - Aber ernsthaft echt schade, dass eine Fritzbox das nicht kann, vor allem für das Geld dass man da teils reinpumpen muss (knapp 200€ für die Topmodelle)
Deswegen der Konjunktiv :P - Aber ernsthaft echt schade, dass eine Fritzbox das nicht kann, vor allem für das Geld dass man da teils reinpumpen muss (knapp 200€ für die Topmodelle)
Dafür ist die Inbetriebnahme auch für Oma Erna machbar.
Was bei einem Cisco Router nicht der Fall wäre (Sorry Oma Erna). Ich erinnere mich noch gerne an mein erstes DSL Modem. Da war das einrichten der blanke Horror.
Und mal ganz ehrlich, welcher normale Haushalt benötigt VLAN? - Und im geschäftlichen Umfeld hat eine Fritzbox nichts verloren.
Gruß IT-Ente
Danke für die Infos.
Ein Mikrotik Router ist bestellt. Ob ich es dann zum laufen kriege, ist eine andere Frage...
Werde mir erst noch viel anlesen müssen.
Das ganze ist einfach sehr schnell gewachsen.
Am Anfang waren es 2 PCs an einer Fritzbox, danach habe ich einfach nur mit switchen erweitert.
Heute sind es 3 Gebäude, mit jeweils einer Fritzbox fürs Internet (3000er Leitung jeweils) und einer LAN Verbindung zwischen den Switchen, damit auf einen Zentralen Server zugegriffen werden kann.
Das Problem sind einige Rechner, die keine Server Anbindung benötigen. Diese wollte ich per VLAN abtrennen.
Danke nochmal für Eure Hilfe!
Ein Mikrotik Router ist bestellt. Ob ich es dann zum laufen kriege, ist eine andere Frage...
Werde mir erst noch viel anlesen müssen.
Das ganze ist einfach sehr schnell gewachsen.
Am Anfang waren es 2 PCs an einer Fritzbox, danach habe ich einfach nur mit switchen erweitert.
Heute sind es 3 Gebäude, mit jeweils einer Fritzbox fürs Internet (3000er Leitung jeweils) und einer LAN Verbindung zwischen den Switchen, damit auf einen Zentralen Server zugegriffen werden kann.
Das Problem sind einige Rechner, die keine Server Anbindung benötigen. Diese wollte ich per VLAN abtrennen.
Danke nochmal für Eure Hilfe!
Hallo,
So wie ein Sport Schnorchler der jetzt plötzlich in 400 m Tiefe als Berufstaucher was tun will.
Gruß,
Peter
Zitat von @andreasristo:
Ein Mikrotik Router ist bestellt. Ob ich es dann zum laufen kriege, ist eine andere Frage...
arum nicht gleich einen vernünftigen L3 Switch anstelle deines 48 Port L2 10/100 krücke. Ein SG3xx notfalls mit 8 Port reicht schon in dein Netz.Ein Mikrotik Router ist bestellt. Ob ich es dann zum laufen kriege, ist eine andere Frage...
Werde mir erst noch viel anlesen müssen.
Für jemand der nur Fritten bisher gemacht hat - Extrem Viel.So wie ein Sport Schnorchler der jetzt plötzlich in 400 m Tiefe als Berufstaucher was tun will.
Das ganze ist einfach sehr schnell gewachsen.
Aber Zeit genug um 3 Fritten zum laufen zu bringenGruß,
Peter
Wenn Tante Erna das kann 
Moin,
also, der Mikrotik ist da.
Ich habe es wie folgt konfiguriert:
Ether10 ist meine Verbindung zur Fritzbox
Ether 7 Eigener DHCP Server 10.10.70.0/24
Ether 8 Eigener DHCP Server 10.10.80.0/24
Ether 9 Eigener DHCP Server 10.10.80.0/24
Alle kommen ins Netz und sind durch eine Firewall voneinander getrennt. (kein Ping möglich)
Nun zu meinen Fragen:
Wenn ich auf meinem Switch ein VLAN anlege, muss der Mikrotik davon nichts wissen, oder?
Erst wenn ich mehrere VLAN habe, die über ein Kabel angeschlossen sind, muss dieser eine Port tagged sein und der Mikrotik muss diese VLANs kennen?
Gruß Andy
also, der Mikrotik ist da.
Ich habe es wie folgt konfiguriert:
Ether10 ist meine Verbindung zur Fritzbox
Ether 7 Eigener DHCP Server 10.10.70.0/24
Ether 8 Eigener DHCP Server 10.10.80.0/24
Ether 9 Eigener DHCP Server 10.10.80.0/24
Alle kommen ins Netz und sind durch eine Firewall voneinander getrennt. (kein Ping möglich)
Nun zu meinen Fragen:
Wenn ich auf meinem Switch ein VLAN anlege, muss der Mikrotik davon nichts wissen, oder?
Erst wenn ich mehrere VLAN habe, die über ein Kabel angeschlossen sind, muss dieser eine Port tagged sein und der Mikrotik muss diese VLANs kennen?
Gruß Andy
Noch eine Frage habe ich dazu:
Die Netze hatte ich wie folgt getrennt:
add action=drop chain=forward comment="Trennung der Netzwerke voneinander. NETZ8 zu Netz 9 ist erlaubt" in-interface=ether8 out-interface=!ether9
add action=drop chain=forward comment="Trennung der Netzwerke voneinander. " disabled=yes out-interface=!ether10-WAN src-address-list=local_networks
Wenn ich Regel2 ausschalte, komme ich von NETZ8 zu NETZ9. Wenn ich sie aktiviere, erreiche ich NETZ9 nicht mehr. Ist es nicht so, daß sobald eine Regel etwas erlaubt, die Regel danach nicht mehr greift?
Die Netze hatte ich wie folgt getrennt:
add action=drop chain=forward comment="Trennung der Netzwerke voneinander. NETZ8 zu Netz 9 ist erlaubt" in-interface=ether8 out-interface=!ether9
add action=drop chain=forward comment="Trennung der Netzwerke voneinander. " disabled=yes out-interface=!ether10-WAN src-address-list=local_networks
Wenn ich Regel2 ausschalte, komme ich von NETZ8 zu NETZ9. Wenn ich sie aktiviere, erreiche ich NETZ9 nicht mehr. Ist es nicht so, daß sobald eine Regel etwas erlaubt, die Regel danach nicht mehr greift?
Hat jemand eine Idee? Würde mich sehr freuen...
Kommunikation ist nunmal zumeist bidirektional. Und Deine zweite Regel verhindert den Antworttraffic!
Wenn Du möchtest, dass der MT den Antworttraffic dynamisch durchlässt, dann musst Du ihm das auch sagen. Stichworte Connection-State und Connection-Tracking...
Gruß
sk
Wenn Du möchtest, dass der MT den Antworttraffic dynamisch durchlässt, dann musst Du ihm das auch sagen. Stichworte Connection-State und Connection-Tracking...
Gruß
sk
Danke!
Darauf bin ich nicht gekommen.
Darauf bin ich nicht gekommen.
So, habe es jetzt mal getestet, komme aber trotzdem nicht weiter.
Folgende Regeln habe ich jetzt drin:
Vielleicht kann mir einer helfen?
Folgende Regeln habe ich jetzt drin:
/ip firewall filter
add action=accept chain=input comment="accept established,related" connection-state=established,related
add action=drop chain=forward comment="Trennung der Netzwerke voneinander. NETZ8 zu Netz 9 ist erlaubt" in-interface=ether8 out-interface=!ether9
add action=drop chain=forward comment="Trennung der Netzwerke voneinander." out-interface=!ether10-WAN \
src-address-list=local_networksVielleicht kann mir einer helfen?
Hat einer evtl. eine Idee, woran das liegt?
Trau mich gar nicht mehr zu fragen, aber weiß hier einer, wo mein Fehler ist?
es gibt Leute, die machen Urlaub ohne Internet...
Gehen wir Dein Regelwerk mal durch:
Regel1 würde den (Antwort-)Traffic zulassen, der zu bestehenden Verbindungen gehört oder inhaltlich zusammenhängt (ICMP echo, FTP-Data etc), wenn
a) das Connection-Tracking an ist
und
b) die forward-chain statt fälschlich die input-chain gewählt würde
Regel 2 dropt alles, was von ether8 kommt und nicht nach ether9 geht.
Übrig bleibt also:
- sämtlicher Traffic, der nicht von ether8 kommt
- Traffic von ether8 nach ether9
das geht nun durch Regel 3...
Regel3 dropt alles, was eine Source-IP aus "local_networks" hat und nicht nach ether10 will.
Damit wird vermutlich unter anderem auch der Traffic von ether8 nach ether9 gedropt, weil er eine solche Source-IP trägt.
Zugelassen bleibt im Ergebnis nur Traffic, der folgende Bedingungen erfüllt:
- kommt aus ether8, hat keine Source-IP aus "local_networks" und will nach ether9
oder
- kommt nicht aus ether8 und hat keine Source-IP aus "local_networks"
oder
- kommt nicht aus ether8, hat eine Source-IP aus "local_networks" und will nach ether10
Du siehst, Deine Art das Regelwerk aufzubauen ist komplex, schwer lesbar und fehleranfällig.
Best Practice wäre:
- ganz unten eine Regel, die alles verbietet
- darüber Regeln, die nur den gewünschten Traffic erlauben.
Gruß
sk
Gehen wir Dein Regelwerk mal durch:
Regel1 würde den (Antwort-)Traffic zulassen, der zu bestehenden Verbindungen gehört oder inhaltlich zusammenhängt (ICMP echo, FTP-Data etc), wenn
a) das Connection-Tracking an ist
und
b) die forward-chain statt fälschlich die input-chain gewählt würde
Regel 2 dropt alles, was von ether8 kommt und nicht nach ether9 geht.
Übrig bleibt also:
- sämtlicher Traffic, der nicht von ether8 kommt
- Traffic von ether8 nach ether9
das geht nun durch Regel 3...
Regel3 dropt alles, was eine Source-IP aus "local_networks" hat und nicht nach ether10 will.
Damit wird vermutlich unter anderem auch der Traffic von ether8 nach ether9 gedropt, weil er eine solche Source-IP trägt.
Zugelassen bleibt im Ergebnis nur Traffic, der folgende Bedingungen erfüllt:
- kommt aus ether8, hat keine Source-IP aus "local_networks" und will nach ether9
oder
- kommt nicht aus ether8 und hat keine Source-IP aus "local_networks"
oder
- kommt nicht aus ether8, hat eine Source-IP aus "local_networks" und will nach ether10
Du siehst, Deine Art das Regelwerk aufzubauen ist komplex, schwer lesbar und fehleranfällig.
Best Practice wäre:
- ganz unten eine Regel, die alles verbietet
- darüber Regeln, die nur den gewünschten Traffic erlauben.
Gruß
sk
Danke für die Ausführung!
Ich habe die komplette Firewall-Geschichte nochmal Punkt für Punkt neu aufgesetzt und bin wieder an einem Punkt nicht weiter gekommen.
Jetzt habe ich den Fehler gefunden. Das Problem war eine Firewall in dem Laptop mit XP drauf.
Danke für euren Support!!!
Komme mit Sicherheit bald wieder auf Euch zu
Ich habe die komplette Firewall-Geschichte nochmal Punkt für Punkt neu aufgesetzt und bin wieder an einem Punkt nicht weiter gekommen.
Jetzt habe ich den Fehler gefunden. Das Problem war eine Firewall in dem Laptop mit XP drauf.
Danke für euren Support!!!
Komme mit Sicherheit bald wieder auf Euch zu
