29
VLAN über WLAN erreichen
Hallo zusammen,
Ich habe gerade ein kleines Problemchen.
Ich habe in der Gartenhütte einen Router stehen, der als WLAN Client in dem WLAN eingeloggt ist, damit ich dort Internet habe.
Allerdings möchte ich ein vlan bauen damit ich nicht alles in einem großen Netzwerk habe.
Ich habe im Keller eine NAS Stehen die soll mit in das Netz.
Die Frage ist, kann ich die NAS mit in das vlan über die Lan Schnittstelle nehmen. Kann ich über das WLAN dann auf das VLAn zugreifen ?
DHCP sollte dann ja logischerweise auch in das Netz.
Als Router kommt ein tplink TL- WR1043N mit openwrt.
Rein theoretisch sollte das ja funktionieren oder ?
Vielen Dank
Ich habe gerade ein kleines Problemchen.
Ich habe in der Gartenhütte einen Router stehen, der als WLAN Client in dem WLAN eingeloggt ist, damit ich dort Internet habe.
Allerdings möchte ich ein vlan bauen damit ich nicht alles in einem großen Netzwerk habe.
Ich habe im Keller eine NAS Stehen die soll mit in das Netz.
Die Frage ist, kann ich die NAS mit in das vlan über die Lan Schnittstelle nehmen. Kann ich über das WLAN dann auf das VLAn zugreifen ?
DHCP sollte dann ja logischerweise auch in das Netz.
Als Router kommt ein tplink TL- WR1043N mit openwrt.
Rein theoretisch sollte das ja funktionieren oder ?
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 379695
Url: https://administrator.de/contentid/379695
Printed on: April 24, 2024 at 17:04 o'clock
29 Comments
Latest comment
Hi
ich kenne den Router nicht, bezweifle aber mal das der in der Lage ist, auf einem WLAN mehrere VLANs zu transportieren.
und das wäre Nötig.
Was für einen Router hast du denn, der das WLAN Initial bereitstellt? Ist das der tplink?
Welcher steht dann in der Hütte?
ich kenne den Router nicht, bezweifle aber mal das der in der Lage ist, auf einem WLAN mehrere VLANs zu transportieren.
und das wäre Nötig.
Was für einen Router hast du denn, der das WLAN Initial bereitstellt? Ist das der tplink?
Welcher steht dann in der Hütte?
Momentan hängt in der Wohnung ein tl-WR841N .
Der kann sowas leider nicht. Soweit ich weiß garkeine vlan Unterstützung.
Wenn er ein isoliertes vlan 2 über das WLAN übertragen kann, reicht mir das.
Hauptsache ich habe ein eigenes Netz.
Als Client hängt da eine Fritz Box als WLAN Client , die kann aber keine Client Bridge. Daher kommt die weg.
VG
Der kann sowas leider nicht. Soweit ich weiß garkeine vlan Unterstützung.
Wenn er ein isoliertes vlan 2 über das WLAN übertragen kann, reicht mir das.
Hauptsache ich habe ein eigenes Netz.
Als Client hängt da eine Fritz Box als WLAN Client , die kann aber keine Client Bridge. Daher kommt die weg.
VG
Um VLANs zu nutzen, brauchste schon VLAN-Fähige Geräte ;)
Ja das ist mir schon klar, daher habe ich mir ja den TL-WR1043N gekauft.
Der soll ihn ersetzen.
Der soll ihn ersetzen.
Hallo,
ein VLAN erhöht nicht per se die Sicherheit im Netzwerk.
Wie soll den deine VLAN-Struktur am Ende aussehen? Welche VLANs hast du wofür vorgesehen? ZB. Server/NAS in ein VLAN, SmartHome-Geräte in ein anderes. Gäste- und privates WLAN. usw.
Für eine Netzwerkstruktur mit VLANs brauchst du einen VLAN-fähigen Switch, einen Router, der zw. den VLANs die Kommunikation regelt (oder besser einen L3-Switch) und wenn du mehere WLANs über VLANs trennen willst, einen Multi-SSID-fähigen AccessPoint.
Jürgen
ein VLAN erhöht nicht per se die Sicherheit im Netzwerk.
Wie soll den deine VLAN-Struktur am Ende aussehen? Welche VLANs hast du wofür vorgesehen? ZB. Server/NAS in ein VLAN, SmartHome-Geräte in ein anderes. Gäste- und privates WLAN. usw.
Für eine Netzwerkstruktur mit VLANs brauchst du einen VLAN-fähigen Switch, einen Router, der zw. den VLANs die Kommunikation regelt (oder besser einen L3-Switch) und wenn du mehere WLANs über VLANs trennen willst, einen Multi-SSID-fähigen AccessPoint.
Jürgen
Allerdings möchte ich ein vlan bauen damit ich nicht alles in einem großen Netzwerk habe.
Sehr vernünftig !Allerdings wird das so in deiner Konstellation mit dem Client schwer bzw. nicht möglich.
Die VLAN Segmentierung machst du auf deinem Switch im Haus und musst von dort natürlich dieses VLAN in die Gartenhütte bringen.
Dazu hast du 2 Optionen:
- 1.) Du bringst über eine WLAN Bridge und einen tagged Port das VLAN in den Garten
- 2.) Du nimmst im Haus einen MSSID Accesspoint, schliesst den an den Haus VLAN Switch an und spannst 2 WLANs auf: "Garten" und "Haus". Im Garten connectest du den Client dann auf das WLAN Garten und bist so im "Garten VLAN".
Du siehst die Option 2 ist sinnvoller, da einfacher aufzusetzen. Für Option 1 benötigst du ein WLAN Bridge Pärchen was in der Lage sein muss 802.1q tagged Pakete zu übertragen. Nicht alle billig WLAN Komponenten supporten das.
Mit Option 2 fährst du also am besten, da du am wenigsten ändern musst.
Wie man das alles macht erklärt dir Schritt für Schritt das hiesige VLAN Tutorial im Kapitel "Praxisbeispiel":
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hallo zusammen,
Ja das mit dem Access Point hatte ich mir überlegt.
ICh werde es mal mit dem Router PRobieren. Notfalls kann ich ja immernoch meinen alten WRT54GL nutzen.
Der sollte dank DD-WRT VLAN ja können. Wobei, über WLAN ? Da bin ich mir immer noch nicht ganz sicher.
Soweit ich weiß leitet ein Switch ohne management getaggte Pakete so wie sie sind ja weiter ?
Ja das mit dem Access Point hatte ich mir überlegt.
ICh werde es mal mit dem Router PRobieren. Notfalls kann ich ja immernoch meinen alten WRT54GL nutzen.
Der sollte dank DD-WRT VLAN ja können. Wobei, über WLAN ? Da bin ich mir immer noch nicht ganz sicher.
Soweit ich weiß leitet ein Switch ohne management getaggte Pakete so wie sie sind ja weiter ?
Du musst das mit MSSID WLANs lösen also auf einem AP mehrere WLANs aufspannen und die an die VLAN ID binden.
DD-WRT auf dem WRT54 kann das. Tutorial lesen !
Wenn alle Stricke reissen inverstierst du mal 25 Euro aus der Haushaltskasse und leistest dir einen modernen und leistungsfähigen AP der das alles mit links kann und übers GUI ruck zuck dafür konfiguriert ist:
https://de.varia-store.com/produkt/10133-mikrotik-cap-lite-mit-ar9533-65 ...
Das sollte ja wohl noch drinliegen damit du es perfekt lösen kannst, oder ?
DD-WRT auf dem WRT54 kann das. Tutorial lesen !
Wenn alle Stricke reissen inverstierst du mal 25 Euro aus der Haushaltskasse und leistest dir einen modernen und leistungsfähigen AP der das alles mit links kann und übers GUI ruck zuck dafür konfiguriert ist:
https://de.varia-store.com/produkt/10133-mikrotik-cap-lite-mit-ar9533-65 ...
Das sollte ja wohl noch drinliegen damit du es perfekt lösen kannst, oder ?
Huhu,
Die 25€ sind nicht das Problem.
Nur wollte ich einen Router nehmen, der direkt das Netz baut und mittels VLAn tagged an den Client weitergibt.
Prinzipiell reicht es mir , wenn ich auf Lan 1 ein getaggtes vlan habe , um die NAS mit einzubinden. Über WLAN kann ich ja das Netz weitergeben.
Dazu müsste ich ja nur ein Brückeninterface bauen.
Ich probiere das Mal aus.
Die 25€ sind nicht das Problem.
Nur wollte ich einen Router nehmen, der direkt das Netz baut und mittels VLAn tagged an den Client weitergibt.
Prinzipiell reicht es mir , wenn ich auf Lan 1 ein getaggtes vlan habe , um die NAS mit einzubinden. Über WLAN kann ich ja das Netz weitergeben.
Dazu müsste ich ja nur ein Brückeninterface bauen.
Ich probiere das Mal aus.
Nur wollte ich einen Router nehmen,
Die o.g. AP IST gleichzeitig auch ein Router inkl. Firewall !Deshalb ja auch der Vorschlag ALLES gleich damit zu lösen.
Okay,
das kommt auf das Modell an. Wir nutzen auf der Arbeit diese Billigen TP-Link Access Points.WA-901D.
Die können zwar VLAN, aber kein vernünftiges Routing.
Ich habe OpenWRT auf den Router geflasht.
Jetzt habe ich nur folgendes PRoblem.
Es gibt per se 2 VLANs standartmäßig. VLAN 1 ( LAN) und VLAN 2 (WAN)
Versuche ich ein VLAN zu erstellen, so lädt die Seite einfach neu und nichts passiert. Ist das ein Bug ?
Ich wollte es eigentlich ganz einfach machen.
ISt es möglich auf ein Interface z.B LAN4 DHCP zu deaktiveren, und diese Schnittstelle mit im Netz zu integrieren ?
Dann könnte ich diese in den Switch hängen, und die NAS am anderen Ende ins selbe Netz.
ICh habe lediglich br_lan als schnittstelle. Wie kann ich diese Separieren ?
Siehe hier :
Vielen Dank
Christian
das kommt auf das Modell an. Wir nutzen auf der Arbeit diese Billigen TP-Link Access Points.WA-901D.
Die können zwar VLAN, aber kein vernünftiges Routing.
Ich habe OpenWRT auf den Router geflasht.
Jetzt habe ich nur folgendes PRoblem.
Es gibt per se 2 VLANs standartmäßig. VLAN 1 ( LAN) und VLAN 2 (WAN)
Versuche ich ein VLAN zu erstellen, so lädt die Seite einfach neu und nichts passiert. Ist das ein Bug ?
Ich wollte es eigentlich ganz einfach machen.
ISt es möglich auf ein Interface z.B LAN4 DHCP zu deaktiveren, und diese Schnittstelle mit im Netz zu integrieren ?
Dann könnte ich diese in den Switch hängen, und die NAS am anderen Ende ins selbe Netz.
ICh habe lediglich br_lan als schnittstelle. Wie kann ich diese Separieren ?
Siehe hier :
Vielen Dank
Christian
so lädt die Seite einfach neu und nichts passiert. Ist das ein Bug ?
Mmmhhh...sollte nicht passieren. Ggf. zum Querchecken mal einen anderen Browser probieren.Ein 3tes VLAN musst du ja in jedem Falle einrichten und an dieses einen virtuellen AP binden, das ist also absolut der richtige Weg.
Möglich aber auch das diese billige China HW das nicht supportet im Chipset.
Besser wäre da in jedem Falle dann der Mikrotik AP.
ISt es möglich auf ein Interface z.B LAN4 DHCP zu deaktiveren
Nein.Jedenfalls nicht wenn der Port LAN4 Switch Member im lokalen LAN ist.
Da müsste der AP dann auf Mac Adress Basis (Layer 2) DHCP Pakete Port spezifisch wegfiltern. Das kann die TP-Link Gurke auch mit DD-WRT nicht. Ggf. über den SSH Zugriff auf der Konsole aber das ist ne arge Frickelei.
Dann beser 25 Euro investieren, erspart dir ne Menge grauer Haare
Auch das würde der Mikrotik AP schaffen aber mit dem müsstest du solche gruseligen Klimmzüge gar nicht erst machen. Dort ist dein Szenario mit ein paar Mausklicks im GUI erledigt.
Soo ,
ein Wolf gibt nie auf ! :D
ICh habe das VLAN manuell in die /etc/config/network eingetragen.
Nun ist es so, untagget funktioniert das WLAN und LAN einwandfrei.
Wobei hier Port 4 der erste Port ist . Sehr verwirrend.
Nur Tagget bekomme ich das nicht hin. Naja villeicht blockiert das meine Fritz box .
Kann ICh das VLAN auch direkt über den WAN Port laufen lassen , getagget ?
Das wäre am einfachsten, dann mus ich nicht mit dem Port 4 in den Switch zurück.
Und Firewalltechnisch ?
Vielen Dank
Christian Wolfseher
ein Wolf gibt nie auf ! :D
ICh habe das VLAN manuell in die /etc/config/network eingetragen.
Nun ist es so, untagget funktioniert das WLAN und LAN einwandfrei.
Wobei hier Port 4 der erste Port ist . Sehr verwirrend.
Nur Tagget bekomme ich das nicht hin. Naja villeicht blockiert das meine Fritz box .
Kann ICh das VLAN auch direkt über den WAN Port laufen lassen , getagget ?
Das wäre am einfachsten, dann mus ich nicht mit dem Port 4 in den Switch zurück.
Und Firewalltechnisch ?
Vielen Dank
Christian Wolfseher
Naja villeicht blockiert das meine Fritz box .
Ja, die FritzBox versteht keinerlei VLAN Tagging.Kann ICh das VLAN auch direkt über den WAN Port laufen lassen , getagget ?
Normal ja. Generell sind bei OpenWRT bzw. seinen Derivaten wie DD-WRT die Poerts erstmal gleichbereichtigt.Oft hängt am WAN Port aber fest ein NAT Prozess (IP Translation) dran. Dann musst du da aufpassen und es ggf. vorher entfernen. NAT benötigst du da ja keinesfalls.
Das die Fritzi das nicht kann war ja mal wieder klar :D
Sei mit nicht böse, aber die macht in letzter Zeit immer mehr Probleme.
Dann reicht es sicher , wenn ich das alles an einen Switch hänge, bevor ich in die Box gehe ? DÜrfe der ja egal sein.
NAT hinter WAN, ja stimmt du hast recht . ISt ja ein eigenes Netz.
Wobei nur auf dem VLAN.
Dann ist es doch möglich NAT für Standart VLAN1 zu deaktivieren ? Das Netz brauche ich dann sowieso nicht.
Sei mit nicht böse, aber die macht in letzter Zeit immer mehr Probleme.
Dann reicht es sicher , wenn ich das alles an einen Switch hänge, bevor ich in die Box gehe ? DÜrfe der ja egal sein.
NAT hinter WAN, ja stimmt du hast recht . ISt ja ein eigenes Netz.
Wobei nur auf dem VLAN.
Dann ist es doch möglich NAT für Standart VLAN1 zu deaktivieren ? Das Netz brauche ich dann sowieso nicht.
Ja, im internen LAN oder allen internen Segmenten braucht man logischerweise kein NAT, das wäre ja Unsinn.
Da macht man stinknormales, transparentes Routing.
Da macht man stinknormales, transparentes Routing.
Cool,
Heißt auf wan deaktiviere Ich NAT.
Aber er routet auf dem VLAN immer noch über das VLAN 1 Netz des Routers ins Fritz Box Netz nach draußen ?
Dann brauche ich aber noch eine statische Route in der Fritz Box.
DHCP geht dann nur über Vlan 2. Cool.
Heißt auf wan deaktiviere Ich NAT.
Aber er routet auf dem VLAN immer noch über das VLAN 1 Netz des Routers ins Fritz Box Netz nach draußen ?
Dann brauche ich aber noch eine statische Route in der Fritz Box.
DHCP geht dann nur über Vlan 2. Cool.
Ja und ja !
Guckst du auch hier für die Grundlagen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Guckst du auch hier für die Grundlagen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Hi aqui,
ich bin aus dem Urlaub zurück. Soo also VLAN ist erstellt .Ich nehme also das WAN interface mit in das VLAN interface.
Das WAN Interface muss aber zusätzlich noch Mitglied in VLAN 10 und VLAN 1 sein ? Klar , er muss ja nach draussen Routen oder?
Er scheint jetzt ein untagged VLAn zu erstellen, denn auf dem WAN interface verteilt er auch Adressen aus dem VLAN Netz, obwohl im Switch der WAN Port auf Tagged und VLAN 1 auf untagged steht. Er schient sich ins VLAN Netz umzustellen nach der Farbe.
Hmm merkwürdig. IRgendwas mache ich falsch.
Kann ich das irgendwie umstellen ?
Wo deaktiviere ich denn ein das NAT auf WAN ? In der Firewall etwa ?
Also dann NAT auf dem eigentlichen Netz also VLAN 1 oder das neue VLAN ?
Dort muss ich ja definieren, internet von VLAN 10 - Internet ?
Tut mir leid, Fragen über Fragen.
Soweit ich deine Anleitung verstanden habe, ist das von 1. Netz auf das VLAN Netz.
VIelen Dank.
ich bin aus dem Urlaub zurück. Soo also VLAN ist erstellt .Ich nehme also das WAN interface mit in das VLAN interface.
Das WAN Interface muss aber zusätzlich noch Mitglied in VLAN 10 und VLAN 1 sein ? Klar , er muss ja nach draussen Routen oder?
Er scheint jetzt ein untagged VLAn zu erstellen, denn auf dem WAN interface verteilt er auch Adressen aus dem VLAN Netz, obwohl im Switch der WAN Port auf Tagged und VLAN 1 auf untagged steht. Er schient sich ins VLAN Netz umzustellen nach der Farbe.
Hmm merkwürdig. IRgendwas mache ich falsch.
Kann ich das irgendwie umstellen ?
Wo deaktiviere ich denn ein das NAT auf WAN ? In der Firewall etwa ?
Also dann NAT auf dem eigentlichen Netz also VLAN 1 oder das neue VLAN ?
Dort muss ich ja definieren, internet von VLAN 10 - Internet ?
Tut mir leid, Fragen über Fragen.
Soweit ich deine Anleitung verstanden habe, ist das von 1. Netz auf das VLAN Netz.
VIelen Dank.
Wo deaktiviere ich denn ein das NAT auf WAN ? In der Firewall etwa ?
Welche Hardware ? pfSense ?Ja, das geht in den "Advanced Settings".
Ahhh. Gefunden.
Masquerade muss bei Openwrt der Haken raus.
Ich war mir bei deiner Anleitung nicht ganz sicher.
Gut. Die einzige Frage wäre noch , welche Firewall Regeln brauche ich um von dem vlan 1 ins vlan 10 zu kommen und von vlan 10 ins Internet ?
Ich muss von der Fritzbox im Hauptnetz noch eine Portweiterleitung für vpn machen. Ins vlan.wobei der Openwrt Router kann das ja auch.
Ich kann jetzt wan ganz normal wieder in den Switch klemmen ? Vlan 10 auf dem entfernten Gerät wählen und dieser zieht sich einen DHCP Adresse vom Router ?
Notfalls geht auch von Lan 1 wieder zurück in den Switch und nur vlan 10 tagged.
Wo muss ich die Default Route definieren ?
Vielen Dank
Christian
Masquerade muss bei Openwrt der Haken raus.
Ich war mir bei deiner Anleitung nicht ganz sicher.
Gut. Die einzige Frage wäre noch , welche Firewall Regeln brauche ich um von dem vlan 1 ins vlan 10 zu kommen und von vlan 10 ins Internet ?
Ich muss von der Fritzbox im Hauptnetz noch eine Portweiterleitung für vpn machen. Ins vlan.wobei der Openwrt Router kann das ja auch.
Ich kann jetzt wan ganz normal wieder in den Switch klemmen ? Vlan 10 auf dem entfernten Gerät wählen und dieser zieht sich einen DHCP Adresse vom Router ?
Notfalls geht auch von Lan 1 wieder zurück in den Switch und nur vlan 10 tagged.
Wo muss ich die Default Route definieren ?
Vielen Dank
Christian
Wo muss ich die Default Route definieren ?
Immer auf dem zentralen Layer 3 (Routing) Gerät. Das ist ja vermutlich dein OpenWRT, richtig ?! Auf dem WAN Port des OpenWRT Routers. Siehe hier am Beispiel von DD-WRT. Ist das gleiche Spielchen:Mit einem WLAN zwei LAN IP Netzwerke verbinden
welche Firewall Regeln brauche ich um von dem vlan 1 ins vlan 10 zu kommen und von vlan 10 ins Internet ?
Wenn Vlan 1 = 192.168.0.0 /24 und Vlan 10 192.168.10.0 /24 ist sieht das so aus am VLAN 10 IP Interface: PERMIT IP source 192.168.10.0 255.255.255.0 destination 192.168.0.0 255.255.255.0 ESTABLISHED
DENY IP source 192.168.10.0 255.255.255.0 destination 192.168.0.0 255.255.255.0
PERMIT IP source 192.168.10.0 255.255.255.0 destination ANY
Damit kommen nur Pakete ins VLAN 1 die das Established Bit gesetzt haben. Also aus dem VLAN 1 angesprochene Geräte im VLAN 10 die antworten.
Wird direkt aus dem VLAN 10 aufs VLAN 1 zugegriffen werden diese Pakete geblockt.
Alles andere (Internet) ist erlaubt.
Vlan 1 darf natürlich alles aus seinem Netz ! (PERMIT IP source 192.168.0.0 255.255.255.0 destination ANY)
Hallo Aqui,
das hat soweit funktioniert. So wie ich das sehen kann, läuft alles ohne NAT. Es ist ihm scheinbar ganz egal ob ich im WAN Interface Masquerade bei der WAN Schnittstelle drin habe oder nicht. Ich musste in der Fritz Box dann eine statische Route einpflegen. Erst dann kam ich auch wieder ins Haupt Netz. Ist ja interesannt.
Das ist erstmal von Vorteil, denn so hat direkt das VLAN 10 über die WAN Schnittstelle funktioniert.
KAnn es sein das der Router auch DHCP von VLAN 10 im Hauptnetz verteilt ? ICh hatte ganz komische einträge unter den aktiven Leases.
Gibt es da einen Weg zu testen wie viele DHCP bei einem Discover Paket antworten ?
Neben diesem Problem, habe ich nur noch eins. Ich habe im VLAN 10 Netz eine NAS stehen. diese soll von Aussen mittels Port Freigabe erreichbar sein. OVPN
Also bin ich hin gegangen und habe Port Port 51123 -- > Openwrt . Dort wiederum Port Freigabe auf -- > NAS. In dem Fall ist also der Empfänger der Openwrt Router.
Allerdings macht er Router ja kein NAT - > kann dass dan überhaupt funktionieren ? ICh gehe mit dem PAket von aussen über die FBox ins VLAN Netz.
Von dort aus geht es zurück. Die Fritz Box sieht aber eine andere IP Adresse, nämlich die von der NAS. Drop ?
das hat soweit funktioniert. So wie ich das sehen kann, läuft alles ohne NAT. Es ist ihm scheinbar ganz egal ob ich im WAN Interface Masquerade bei der WAN Schnittstelle drin habe oder nicht. Ich musste in der Fritz Box dann eine statische Route einpflegen. Erst dann kam ich auch wieder ins Haupt Netz. Ist ja interesannt.
Das ist erstmal von Vorteil, denn so hat direkt das VLAN 10 über die WAN Schnittstelle funktioniert.
KAnn es sein das der Router auch DHCP von VLAN 10 im Hauptnetz verteilt ? ICh hatte ganz komische einträge unter den aktiven Leases.
Gibt es da einen Weg zu testen wie viele DHCP bei einem Discover Paket antworten ?
Neben diesem Problem, habe ich nur noch eins. Ich habe im VLAN 10 Netz eine NAS stehen. diese soll von Aussen mittels Port Freigabe erreichbar sein. OVPN
Also bin ich hin gegangen und habe Port Port 51123 -- > Openwrt . Dort wiederum Port Freigabe auf -- > NAS. In dem Fall ist also der Empfänger der Openwrt Router.
Allerdings macht er Router ja kein NAT - > kann dass dan überhaupt funktionieren ? ICh gehe mit dem PAket von aussen über die FBox ins VLAN Netz.
Von dort aus geht es zurück. Die Fritz Box sieht aber eine andere IP Adresse, nämlich die von der NAS. Drop ?
So wie ich das sehen kann, läuft alles ohne NAT.
Sollte es eigentlich auch...ganz egal ob ich im WAN Interface Masquerade bei der WAN Schnittstelle drin habe oder nicht.
Ja, aber nur wenn du den Traffic vom NAT Interface weg betrachtest. Traffic zum NAT bleibt dort logischerweise hängen, was es beim transparenten Routing nicht tut. Es gibt also schon einen Unterschied NAT oder kein NAT.Ich musste in der Fritz Box dann eine statische Route einpflegen.
Logisch !Wie sollte die FB denn auch das Netz hinter dem Router "kennen".
Hättest du dir mal das Routing_Tutorial hier im Forum zu Gemüte geführt wäre auch dir das sofort klar gewesen !!!
KAnn es sein das der Router auch DHCP von VLAN 10 im Hauptnetz verteilt ?
Wenn du ihn falsch konfiguriert hast kann das u. U. passieren !Gibt es da einen Weg zu testen wie viele DHCP bei einem Discover Paket antworten ?
Ja !Ganz einfach am DHCP Client mal parallel den Wireshark laufen lassen und dort nachsehen wieviel DHCP Replies auf einen Request ankommen
diese soll von Aussen mittels Port Freigabe erreichbar sein. OVPN
Hier widersprichst du dich jetzt diametral !!Was denn nun ?? Per Port Freigabe erreichen oder per VPN mit OpenVPN. Eins zur Zeit geht nur.
Port Freigabe meinst du nicht wirklich im Ernst, oder ??
Damit schickst du deine Daten komplett ungeschützt über das Internet. Das macht heute nichmal mehr der größte Dummie !!
Wenn dann Open VPN (OVPN). Da gibst du dann nur Port UDP 1194 frei auf den VPN Server.
Hallo Aqui,
Wie sollte die FB denn auch das Netz hinter dem Router "kennen".
Hättest du dir mal das Routing_Tutorial hier im Forum zu Gemüte geführt wäre auch dir das sofort klar gewesen !!!
Naja mir war schon klar das ich eine Statische Route brauche , allerdings bin ich davon ausgegangen das der mit dem Haken MAsquerading auf der WAN Schnittstelle NAT macht und ich erstma keine benötige. Das hat der scheinbar ignoriert. Also in den Firewall Regeln!
Was denn nun ?? Per Port Freigabe erreichen oder per VPN mit OpenVPN. Eins zur Zeit geht nur.
Port Freigabe meinst du nicht wirklich im Ernst, oder ??
Damit schickst du deine Daten komplett ungeschützt über das Internet. Das macht heute nichmal mehr der größte Dummie !!
Wenn dann Open VPN (OVPN). Da gibst du dann nur Port UDP 1194 frei auf den VPN Server.
Auf der NAS läuft ein OpenVPN Server. Dieser ist unter Port 51123 erreichbar.
Da die NAS allerdings im VLAN steht, brauche ich eine Portfreigabe aus dem internet um auf den Openvpn Server zu kommen.
Muss in der Fritz Box direkt die NAS eintragen oder muss ich den Umweg zum Router -- > NAS gehen wie es bei NAT der Fall ist ?
Viele Grüße
Ich musste in der Fritz Box dann eine statische Route einpflegen.
Logisch !Wie sollte die FB denn auch das Netz hinter dem Router "kennen".
Hättest du dir mal das Routing_Tutorial hier im Forum zu Gemüte geführt wäre auch dir das sofort klar gewesen !!!
Ganz einfach am DHCP Client mal parallel den Wireshark laufen lassen und dort nachsehen wieviel DHCP Replies auf einen Request ankommen
Das ist eine gute idee danke !diese soll von Aussen mittels Port Freigabe erreichbar sein. OVPN
Hier widersprichst du dich jetzt diametral !!Was denn nun ?? Per Port Freigabe erreichen oder per VPN mit OpenVPN. Eins zur Zeit geht nur.
Port Freigabe meinst du nicht wirklich im Ernst, oder ??
Damit schickst du deine Daten komplett ungeschützt über das Internet. Das macht heute nichmal mehr der größte Dummie !!
Wenn dann Open VPN (OVPN). Da gibst du dann nur Port UDP 1194 frei auf den VPN Server.
Auf der NAS läuft ein OpenVPN Server. Dieser ist unter Port 51123 erreichbar.
Da die NAS allerdings im VLAN steht, brauche ich eine Portfreigabe aus dem internet um auf den Openvpn Server zu kommen.
Muss in der Fritz Box direkt die NAS eintragen oder muss ich den Umweg zum Router -- > NAS gehen wie es bei NAT der Fall ist ?
Viele Grüße
Dieser ist unter Port 51123 erreichbar.
UDP ?Da die NAS allerdings im VLAN steht, brauche ich eine Portfreigabe aus dem internet um auf den Openvpn Server zu kommen.
Ja, das ist logisch, ansonsten könntest du niemals die NAT Firewall des Internet Routers überwinden !!Muss in der Fritz Box direkt die NAS eintragen
Ja ! Das Port Forwarding muss direkt auf die NAS IP Adresse eingetragen werden.Allerdings hat die FB hier einen gravierenden Bug.
Sie forwardet nur Packete die Port Forwarding IP Adressen in ihrem lokalen LAN haben.
Trägst du dort Port Forwarding Adressen aus anderen VLAN Segmenten ein forwardet sie diese nicht mehr.
Möglich das das mittlerweile gefixt ist. Das musst du austesten.
Dafür ganz einfach mal statt des NAS einen Wireshark Sniffer PC mit gleicher IP ins Netz klemmen und checken ob dort die UDP 51123 Pakete vom OpenVPN ankommen.
Tun sie das ist alles gut. Wenn nicht...FritzBox wegschmeissen und einen Router verwenden der das richtig macht.
Guten Morgen,
Geheimnis gelüftet.
Ja ich verwende ovpn nur mit Udp. War ein Tipp von dir
Ich habe einen Rechner mit wireshark als Ziel genommen wie du gesagt hast.
Die Ports kommen durch
Problem war die Nas.
Durch das Vlan erkennt diese scheinbar kein Internet automatisch mehr an.
Ich musste also unter den Schnittstellen sagen welcher Adapter Internetzugang besitzt.
Lasse ich dies auf automatisch stehen, klappt das nicht mehr. Obwohl nur ein Adapter abgeschlossen war. das hat qnap etwas blöd gelöst
Darauf gekommen bin ich nur , weil die die Virendefinitionen nicht aktualisiert werden können.
Super vielen Dank !
Geheimnis gelüftet.
Ja ich verwende ovpn nur mit Udp. War ein Tipp von dir
Ich habe einen Rechner mit wireshark als Ziel genommen wie du gesagt hast.
Die Ports kommen durch
Problem war die Nas.
Durch das Vlan erkennt diese scheinbar kein Internet automatisch mehr an.
Ich musste also unter den Schnittstellen sagen welcher Adapter Internetzugang besitzt.
Lasse ich dies auf automatisch stehen, klappt das nicht mehr. Obwohl nur ein Adapter abgeschlossen war. das hat qnap etwas blöd gelöst
Darauf gekommen bin ich nur , weil die die Virendefinitionen nicht aktualisiert werden können.
Super vielen Dank !
Durch das Vlan erkennt diese scheinbar kein Internet automatisch mehr an.
Das klingt irgendwie laienhaft verschwurbelt und keiner weiss was du damit meinst Solange DAS NAS (ein NAS ist sächlich) ein Default Gateway hat (und der Internet Router eine statische Route dahin !) kommt es auch ins Internet !!
Mit "automatisch" hat das nix zu tun ! Was sollte das auch sein ?!? Ein NAS bekommt IMMER wie es für Server usw. allgemein üblich ist eine feste, statische IP Adresse im Netz. Oder mindestens eine per Mac Adresse fest eingestellte IP im DHCP Server.
Niemals hat ein NAS eine rein dynamische IP !
Ich musste also unter den Schnittstellen sagen welcher Adapter Internetzugang besitzt.
Mehrfache Schnittstellen fasst man in der Regel ja auch immer als LACP LAG (302.3ad LAG, Link Aggregation) zusammen um dem NAS eine bessere Performance im LAN zu geben !Das kann man dem QNAP im Netzwerk Menü beibringen ! Dein Switch muss das aber auch können !
Hallo Aqui,
okay ich versuche es mal zu erklären.
Ich habe sowohl Standartgateway als auch DNS im VLAN Netz eingetragen.
Dennoch kam das NAS nicht ins Netz.
Unter den Schnittstellen gibt es einen eigenen Punkt ,welcher noch die Standartschnittstelle definiert weden muss.
Portbündelung nutze ich nicht, macht derzeit noch keinen Sinn.
Siehe hier:
Dieser stand auf Automatisch. ICh konnte zwar nur Virtual Switch auswählen aber dennoch brauchte er diese Einstellung manuell.
JEdenfalls funktioniert das NAS jetzt wunderbar.
Vielen Dank
okay ich versuche es mal zu erklären.
Ich habe sowohl Standartgateway als auch DNS im VLAN Netz eingetragen.
Dennoch kam das NAS nicht ins Netz.
Unter den Schnittstellen gibt es einen eigenen Punkt ,welcher noch die Standartschnittstelle definiert weden muss.
Portbündelung nutze ich nicht, macht derzeit noch keinen Sinn.
Siehe hier:
Dieser stand auf Automatisch. ICh konnte zwar nur Virtual Switch auswählen aber dennoch brauchte er diese Einstellung manuell.
JEdenfalls funktioniert das NAS jetzt wunderbar.
Vielen Dank
