9
Welcher Weg führt hier zum Ziel? - Managed Switch "kann zu viel"
Hi,
ich traue mich fast nicht hier zu schreiben weil ich viele ähnlich gestellte Fragen und deren Antworten zwar gesehen habe, für mich aber trotzdem keinen Nutzen daraus ziehen konnte weil die Antworten meist meine Fragestellung gar nicht tangieren oder direkt zu tief einsteigen.
Aktuell habe ich hier im Haus sämtliche Kabel (Strom, Koax und eben Netzwerk) komplett erneuert.
Zwischenzeitlich habe ich einen neuen managed Switch bekommen: Aruba 1930 mit 24 Ports ohne PoE.
Datenblatt - Handbuch
Die Konfigurationsmöglichkeiten von dem Switch übersteigen mein Versändniss, ich möchte mich da aber einarbeiten und manche Funktionen verstehen und nutzen lernen.
Der Switch kann offenbar recht viel: VLAN, Routing (also sogar Layer 3), ACLs, QoS usw.
Der Aufbau ist (noch) recht simpel, daher möchte ich euch nicht mit Details langweilen sondern erstmal nur grob darauf eingehen:
Es gibt diesen einen, zentralen Switch für alle Clients.
Angeschlossen sind u.a. Die FritzBox (DHCP Server und Internet), ein AP und halt ein paar Clients (PC, Laptop, Drucker...)
Ich habe versucht mich mit dem Handbuch und diversen Anleitungen in die einzelnen Themen einzulesen.
Allerdings werden viele Detailfragen für mich nicht oder nicht verständlich beantwortet. Zudem werden gefühlt ständig die Begriffe geändert und ich verliere die Zusammenhänge.
Beispiel: in VLANs kann man einen Anschluss Tagged oder Untagged konfigurieren. Bei Tagged wird die VLAN ID in den Frame mit eingebunden.
So weit so schön - aber was mache ich damit? Wann brauche ich das und warum?
Anyway. Mein erstes, einfach formuliertes Ziel:
Ich möchte die Möglichkeit haben zu steuern, welcher Client mit wem reden darf.
Grundsätzlich möchte ich neuen Geräten zunächst "nicht vertrauen" und ihnen lediglich Internetzugang erlauben.
Soll auf weitere Ressourcen zugegriffen werden (Freigaben, Drucker, ...) möchte ich die Geräte einzeln dafür "freischalten" können und müssen.
Jetzt führen bekanntlich viele Wege nach Rom aber bei der Fülle an Möglichkeiten stehe ich im Wald.
Grundsätzlich bin ich mir nichtmal mehr sicher, ob das mit dem Switch überhaupt machbar ist.
Verschiedenste Konfigurationen habe ich getestet bis hin dazu, dass eine Fehlkonfiguration den Switch zum automatischen Neustart inkl. Zurücksetzen auf Werkseinstellungen gebracht hat.
Vielleicht kann mir jemand ein paar Denkanstöße und/oder Beispiele geben wie man sowas angeht?
ich traue mich fast nicht hier zu schreiben weil ich viele ähnlich gestellte Fragen und deren Antworten zwar gesehen habe, für mich aber trotzdem keinen Nutzen daraus ziehen konnte weil die Antworten meist meine Fragestellung gar nicht tangieren oder direkt zu tief einsteigen.
Aktuell habe ich hier im Haus sämtliche Kabel (Strom, Koax und eben Netzwerk) komplett erneuert.
Zwischenzeitlich habe ich einen neuen managed Switch bekommen: Aruba 1930 mit 24 Ports ohne PoE.
Datenblatt - Handbuch
Die Konfigurationsmöglichkeiten von dem Switch übersteigen mein Versändniss, ich möchte mich da aber einarbeiten und manche Funktionen verstehen und nutzen lernen.
Der Switch kann offenbar recht viel: VLAN, Routing (also sogar Layer 3), ACLs, QoS usw.
Der Aufbau ist (noch) recht simpel, daher möchte ich euch nicht mit Details langweilen sondern erstmal nur grob darauf eingehen:
Es gibt diesen einen, zentralen Switch für alle Clients.
Angeschlossen sind u.a. Die FritzBox (DHCP Server und Internet), ein AP und halt ein paar Clients (PC, Laptop, Drucker...)
Ich habe versucht mich mit dem Handbuch und diversen Anleitungen in die einzelnen Themen einzulesen.
Allerdings werden viele Detailfragen für mich nicht oder nicht verständlich beantwortet. Zudem werden gefühlt ständig die Begriffe geändert und ich verliere die Zusammenhänge.
Beispiel: in VLANs kann man einen Anschluss Tagged oder Untagged konfigurieren. Bei Tagged wird die VLAN ID in den Frame mit eingebunden.
So weit so schön - aber was mache ich damit? Wann brauche ich das und warum?
Anyway. Mein erstes, einfach formuliertes Ziel:
Ich möchte die Möglichkeit haben zu steuern, welcher Client mit wem reden darf.
Grundsätzlich möchte ich neuen Geräten zunächst "nicht vertrauen" und ihnen lediglich Internetzugang erlauben.
Soll auf weitere Ressourcen zugegriffen werden (Freigaben, Drucker, ...) möchte ich die Geräte einzeln dafür "freischalten" können und müssen.
Jetzt führen bekanntlich viele Wege nach Rom aber bei der Fülle an Möglichkeiten stehe ich im Wald.
Grundsätzlich bin ich mir nichtmal mehr sicher, ob das mit dem Switch überhaupt machbar ist.
Verschiedenste Konfigurationen habe ich getestet bis hin dazu, dass eine Fehlkonfiguration den Switch zum automatischen Neustart inkl. Zurücksetzen auf Werkseinstellungen gebracht hat.
Vielleicht kann mir jemand ein paar Denkanstöße und/oder Beispiele geben wie man sowas angeht?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665401
Url: https://administrator.de/contentid/665401
Ausgedruckt am: 24.11.2024 um 18:11 Uhr
9 Kommentare
Neuester Kommentar
aber was mache ich damit? Wann brauche ich das und warum?
Segmentierung zum Beispiel. Gastnetz und Privatnetz trennen...der Klassiker ! Hausautomation absichern...auch ein Klassiker.Lesen und verstehen mit etwas österlicher Lektüre:
VLAN Schnellschulung:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
VLANs mit Layer 2 Konzept:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLANs mit Layer 3 Konzept:
Verständnissproblem Routing mit SG300-28
Da du eine FritzBox nutzt die nicht mit VLANs umgehen kann, da nicht supportet von ihr, bleibt dir nur die Umsetzung eines Layer 3 (Routing) Konzepts auf der Aruba Gurke. Es sei denn du willst noch einen weiteren VLAN fähigen Router beschaffen (was aber bei einem L3 Switch überflüssig wäre).
Es gibt auch neckische Filmchen zu dem Thema:
https://www.heise.de/ct/artikel/nachgehakt-WLAN-Router-fuer-Mehr-Zonen-N ...
https://www.youtube.com/watch?v=_PPaArOxHhw
https://www.youtube.com/watch?v=vE5gvbmR8jg
Servas
Aqui ist eigentlich ein Experte auf dem Gebiet ..... und kennt sich ganz brauchbar (Achtung kleine Untertreibung ) aus. Also durchlesen, es ist verständlich und nicht so "technikerintern"
VLAN: Kurz und einfach:
Ein VLAN "zerteilt" einen Switch in mehrere Kleinere. Also statt 1x48 hast 2x24 oder 3x16. Es ist aber auch alles andere möglich z.B. 1x4 + 1x13 + 2x8 + 1x15. Wenn jetzt VLAN10 mit 20 "reden" will, brauchst einen Router, dies kann auch der Switch sein (sofern er es technisch kann). Aber die Netze sind eben voneinander getennt, so als wären es getrennte Switche.
Aqui ist eigentlich ein Experte auf dem Gebiet ..... und kennt sich ganz brauchbar (Achtung kleine Untertreibung
) aus. Also durchlesen, es ist verständlich und nicht so "technikerintern" VLAN: Kurz und einfach:
Ein VLAN "zerteilt" einen Switch in mehrere Kleinere. Also statt 1x48 hast 2x24 oder 3x16. Es ist aber auch alles andere möglich z.B. 1x4 + 1x13 + 2x8 + 1x15. Wenn jetzt VLAN10 mit 20 "reden" will, brauchst einen Router, dies kann auch der Switch sein (sofern er es technisch kann). Aber die Netze sind eben voneinander getennt, so als wären es getrennte Switche.
Danke schon mal für die Antworten, so schnell hätte ich gar nicht damit gerechnet.
Neue (Netzwerk-)Hardware möchte ich nicht kaufen, das NAS wird noch teuer genug... aber ich schweife ab.
Damit ich das richtig verstehe:
Simples segmentieren auf L2 wird nicht funktionieren weil die FB allen Clients per DHCP Adressen zuweisen soll, richtig? Einfach weil die FB keine VLANs kennt.
Dann braucht jedes VLAN einen eigenen Adressbereich, ja? Gingen auch Subnets, weil ich der FB ja nur eine Range zuweisen kann?
Als erstes muss ich also die Segmente festlegen und aufteilen (wie bei L2) und denen dann eine eigene Adresse zuordnen (L3). Das ist dann die IP des Switches im jeweiligen VLAN und somit das Gateway für die Clients, ja?
Beispiel:
VLAN 1 192.168.100.2/26 (.1 ist die FB)
VLAN 10 192.168.100.65/26 Drucker
VLAN 20 192.168.100.129/26 Internetradios (Sonos [ja, leider...], usw.)
VLAN 30 192.168.100.193/26 TVs
Damit ich die Adressen überhaupt vergeben kann muss ich vermutlich zuvor das Routing schon aktiviert haben.
Die FB kann dann weiterhin z.B. die Adressen .3 - .250 selbst vergeben, dann halt mit der Maske /26.
Kann es passieren, dass die FB in dem Fall die Adressen .65, .129 oder .193 vergibt oder "weiß" sie, dass die Adressen bereits vergeben sind?
In dem Fall können sich die Clients wieder erreichen, haben aber noch keine Internetverbindung, oder?
Dazu muss ich dem Switch eine Default Route geben (also 0.0.0.0 -> 192.168.100.1)
...und eine statische Route in der FB hinterlegen (192.168.100.0 mask 255.255.255.0 -> 192.168.100.2)
Der Switch selbst kann dann seine Adresse nicht mehr per DHCP erhalten sondern er hat im obigen Beispiel 4 statische IPs (eine je VLAN)?
Der einzige Port der Tagged sein darf ist wahrscheinlich der zum AP, ein Zyxel.
Der kann MSSID und kann den einzelnen SSIDs eine VLAN ID zuweisen. So könnte ich die Sonos alle auf diese SSID mit der VLAN ID 20 hängen und dem Port mit dem verkabelten Internetradio auch einfach das VLAN 20 geben.
Dann sind diese Geräte auch über den AP hinweg alle in einem eigenen VLAN, ja?
Technisch ist der Datenverkehr zwischen AP und Switch dann immer getagged, oder?
Eine Einstellung auf dem AP dafür gibt es nicht (wahrscheinlich ist die nicht nötig weil es nur eine sinnvolle Einstellung gibt?)
Der restliche Datenverkehr ist untagged weil sämtliche anderen Geräte im Netz die Pakete dann nicht mehr verstehen, oder?
Bedeutet tagged eigentlich, dass nur eingehender, ausgehender oder Verkehr in beide Richtungen getagged wird?
Noch eine Frage zum AP: Wenn der eine zweite SSID sendet bedeutet es wirklich nur wörtlich das, oder? Da wir nicht physisch "ein zweites WLAN" aufgespannt, oder?
Die zwei Netze mit 2,4 und 5GHz sind natürlich physisch getrennte WLANs aber weitere SSIDs bedeuten nicht mehr belegte Frequenzbereiche, ja?
P.S.: Aruba "Gurke": Aber eine Verbesserung gegenüber Netgear ist es schon, oder?
Das GUI ist bei Aruba jedenfalls deutlich besser.
Neue (Netzwerk-)Hardware möchte ich nicht kaufen, das NAS wird noch teuer genug... aber ich schweife ab.
Damit ich das richtig verstehe:
Simples segmentieren auf L2 wird nicht funktionieren weil die FB allen Clients per DHCP Adressen zuweisen soll, richtig? Einfach weil die FB keine VLANs kennt.
Dann braucht jedes VLAN einen eigenen Adressbereich, ja? Gingen auch Subnets, weil ich der FB ja nur eine Range zuweisen kann?
Als erstes muss ich also die Segmente festlegen und aufteilen (wie bei L2) und denen dann eine eigene Adresse zuordnen (L3). Das ist dann die IP des Switches im jeweiligen VLAN und somit das Gateway für die Clients, ja?
Beispiel:
VLAN 1 192.168.100.2/26 (.1 ist die FB)
VLAN 10 192.168.100.65/26 Drucker
VLAN 20 192.168.100.129/26 Internetradios (Sonos [ja, leider...], usw.)
VLAN 30 192.168.100.193/26 TVs
Damit ich die Adressen überhaupt vergeben kann muss ich vermutlich zuvor das Routing schon aktiviert haben.
Die FB kann dann weiterhin z.B. die Adressen .3 - .250 selbst vergeben, dann halt mit der Maske /26.
Kann es passieren, dass die FB in dem Fall die Adressen .65, .129 oder .193 vergibt oder "weiß" sie, dass die Adressen bereits vergeben sind?
In dem Fall können sich die Clients wieder erreichen, haben aber noch keine Internetverbindung, oder?
Dazu muss ich dem Switch eine Default Route geben (also 0.0.0.0 -> 192.168.100.1)
...und eine statische Route in der FB hinterlegen (192.168.100.0 mask 255.255.255.0 -> 192.168.100.2)
Der Switch selbst kann dann seine Adresse nicht mehr per DHCP erhalten sondern er hat im obigen Beispiel 4 statische IPs (eine je VLAN)?
Der einzige Port der Tagged sein darf ist wahrscheinlich der zum AP, ein Zyxel.
Der kann MSSID und kann den einzelnen SSIDs eine VLAN ID zuweisen. So könnte ich die Sonos alle auf diese SSID mit der VLAN ID 20 hängen und dem Port mit dem verkabelten Internetradio auch einfach das VLAN 20 geben.
Dann sind diese Geräte auch über den AP hinweg alle in einem eigenen VLAN, ja?
Technisch ist der Datenverkehr zwischen AP und Switch dann immer getagged, oder?
Eine Einstellung auf dem AP dafür gibt es nicht (wahrscheinlich ist die nicht nötig weil es nur eine sinnvolle Einstellung gibt?)
Der restliche Datenverkehr ist untagged weil sämtliche anderen Geräte im Netz die Pakete dann nicht mehr verstehen, oder?
Bedeutet tagged eigentlich, dass nur eingehender, ausgehender oder Verkehr in beide Richtungen getagged wird?
Noch eine Frage zum AP: Wenn der eine zweite SSID sendet bedeutet es wirklich nur wörtlich das, oder? Da wir nicht physisch "ein zweites WLAN" aufgespannt, oder?
Die zwei Netze mit 2,4 und 5GHz sind natürlich physisch getrennte WLANs aber weitere SSIDs bedeuten nicht mehr belegte Frequenzbereiche, ja?
P.S.: Aruba "Gurke": Aber eine Verbesserung gegenüber Netgear ist es schon, oder?
Das GUI ist bei Aruba jedenfalls deutlich besser.das NAS wird noch teuer genug... aber ich schweife ab.
Stimmt ! "Teuer" ist bekanntlich immer relativ !Gingen auch Subnets, weil ich der FB ja nur eine Range zuweisen kann?
Ja, natürlich ginge das ! Es bleibt aber dabei das jedes VLAN ein eigenes IP Netz ist.Das ist dann die IP des Switches im jeweiligen VLAN und somit das Gateway für die Clients, ja?
Richtig und korrekt !muss ich vermutlich zuvor das Routing schon aktiviert haben.
Das ist auf dem Switch dann automatisch aktiv sobald dein VLAN ein Switch IP Interface hat.Die FB kann dann weiterhin z.B. die Adressen .3 - .250 selbst vergeben
Ääähh, NEIN ! Hier hat dich dann wohl deine eigene Subnetz Logik verlassen. Zuviel Eierlikör Eier gegessen ?? :Netzwerk: 192.168.100.0
Subnetzmaske: 255.255.255.192 (26 Bit Prefix)
Mögliche Host IPs: 192.168.100.1 bis 192.168.100.62
Die .100.3 stimmt ja noch aber alles von .100.63 bis .100.250 ist wie du ja selber sehen kannst ein NoGo. Also nochmal in Ruhe nachdenken und nochmals die Subnetting Regeln lesen und verstehen:
https://de.wikipedia.org/wiki/Netzmaske
haben aber noch keine Internetverbindung, oder?
Doch haben sie. Bitte nutze die dir hier gegebenen Tipps und lese nochmals genau das Layer 3 Konzept. Dort ist doch alles inklusive bunter Bildchen genau erklärt !!
Technisch ist der Datenverkehr zwischen AP und Switch dann immer getagged, oder?
Nur wenn du mit MSSIDs, sprich also virtuellen APs arbeitest und deine APs sowas supporten !Bedeutet tagged eigentlich, dass nur eingehender, ausgehender oder Verkehr in beide Richtungen getagged wird?
Immer beidesietig weil die andere Seite die .1q Tags sonst nicht lesen könnte ! Siehe "VLAN Schnellschulung" oben !!Da wir nicht physisch "ein zweites WLAN" aufgespannt, oder?
Doch, der AP sendet physisch eine 2te SSID aus. Wie sollte es sonst gehen. Clients "sehen" ja eine eigene SSID. Klar kommt die physisch nur von einem Sender aber der Sender wird so gesteuert das virtuell 2 (oder mehr) getrennte SSIDs entstehen und Clients damit auch getrennte APs "sehen".Die zwei Netze mit 2,4 und 5GHz sind natürlich physisch getrennte WLANs aber weitere SSIDs bedeuten nicht mehr belegte Frequenzbereiche, ja?
Das ist absolut richtig !Aber eine Verbesserung gegenüber Netgear ist es schon, oder?
Das stimmt allerdings ! HP OEMt aber auch nur. Das ist Barebone Massenware wo du nur ihren Namen draufbäppeln. Server, Laptops und Drucker können sie besser als Netzwerk... Für dich und dein Heimnetz aber irrelevant, das schafft auch der HP mit links.
Guten Morgen,
dass das mit den Subnetzen Unsinn war ist mir heute Nacht im Schlaf auch eingefallen... der Eierlikör war aber trotzdem lecker!
Erstmal Danke für die Ausführungen, auch wenn es nur basics sind aber auf Arbeit komme ich nicht viel näher an Netzwerke als mal eine feste Route auf ner Windows oder Linux Büchse zu setzen oder ein bisschen Subnetze erstellen.
Wo kann ich bei der Konstellation denn noch DHCP nutzen? Doch nur in dem VLAN in dem die FB selbst eine Adresse hat, alles andere muss feste IPs bekommen, oder?
Das DHCP-Relay hilft mir dabei auch nicht weil es die Anfragen aus den anderen VLANs zwar an die FB weiterleitet, sie aber trotzdem nur Adressen für das eigene Subnet vergeben kann. Es dürfte auch egal sein ob es Subnetze oder einzelne "ganze" Netze sind. Außerdem finden die Pakete auch ohne das Relay den DHCP Server (oder?)
Leider kann nur die FB DHCP Server sein, weder Switch noch der AP können das. Bei der aktuellen Aufteilung bräuchte ich aber DHCP in mindestens zwei Subnets.
Das bringt mich aber zu der Frage, ob ich wie beschrieben einzelne Ressourcen nicht anders freigeben oder sperren kann und eine Aufteilung in VLANs dafür überhaupt sinnvoll und notwendig ist.
Denn mit aktivem Routing können sich zunächst trotzdem alle Geräte untereinander erreichen, oder? Dann habe ich das Netz zwar segmentiert und den Broadcast-Verkehr etwas reduziert aber der ist eh zu vernachlässigen, viele Geräte sind es ja (noch) nicht.
Wenn ich an Sonos denke wird die Aufteilung eh nicht funktionieren, außer das Smartphone das auch die Lautsprecher steuert und die FB befinden sich im gleichen Subnet und VLAN. Feste IPs kann man den Dingern nicht vergeben.
Übrigens muss für die Internetverbindung zu diesem Glasfaser-Gateway-Hybrid-Dings eine VLAN-ID in der FB angegeben werden (vom Anbieter so vorgegeben in der Autokonfig), intern kann VLAN aber nicht genutzt werden.
Nachtrag zum AP: Tagging kann doch ein- und ausgeschaltet werden.
dass das mit den Subnetzen Unsinn war ist mir heute Nacht im Schlaf auch eingefallen... der Eierlikör war aber trotzdem lecker!
Erstmal Danke für die Ausführungen, auch wenn es nur basics sind aber auf Arbeit komme ich nicht viel näher an Netzwerke als mal eine feste Route auf ner Windows oder Linux Büchse zu setzen oder ein bisschen Subnetze erstellen.
Wo kann ich bei der Konstellation denn noch DHCP nutzen? Doch nur in dem VLAN in dem die FB selbst eine Adresse hat, alles andere muss feste IPs bekommen, oder?
Das DHCP-Relay hilft mir dabei auch nicht weil es die Anfragen aus den anderen VLANs zwar an die FB weiterleitet, sie aber trotzdem nur Adressen für das eigene Subnet vergeben kann. Es dürfte auch egal sein ob es Subnetze oder einzelne "ganze" Netze sind. Außerdem finden die Pakete auch ohne das Relay den DHCP Server (oder?)
Leider kann nur die FB DHCP Server sein, weder Switch noch der AP können das. Bei der aktuellen Aufteilung bräuchte ich aber DHCP in mindestens zwei Subnets.
Das bringt mich aber zu der Frage, ob ich wie beschrieben einzelne Ressourcen nicht anders freigeben oder sperren kann und eine Aufteilung in VLANs dafür überhaupt sinnvoll und notwendig ist.
Denn mit aktivem Routing können sich zunächst trotzdem alle Geräte untereinander erreichen, oder? Dann habe ich das Netz zwar segmentiert und den Broadcast-Verkehr etwas reduziert aber der ist eh zu vernachlässigen, viele Geräte sind es ja (noch) nicht.
Wenn ich an Sonos denke wird die Aufteilung eh nicht funktionieren, außer das Smartphone das auch die Lautsprecher steuert und die FB befinden sich im gleichen Subnet und VLAN. Feste IPs kann man den Dingern nicht vergeben.
Übrigens muss für die Internetverbindung zu diesem Glasfaser-Gateway-Hybrid-Dings eine VLAN-ID in der FB angegeben werden (vom Anbieter so vorgegeben in der Autokonfig), intern kann VLAN aber nicht genutzt werden.
Nachtrag zum AP: Tagging kann doch ein- und ausgeschaltet werden.
Guten Morgääähhhn
DHCP: Da könnte eventuell auch der WLAN-AP den Server machen, somit hast Du zumindest 2 Netze mit DHCP-Servern, das mit der FB und das WLAN.
Du könntest aber auch eine Firewall einsetzen (z.B. opnsense, pfsense oder ipfire) und diese routen und Adressen verteilen lassen.
DHCP: Da könnte eventuell auch der WLAN-AP den Server machen, somit hast Du zumindest 2 Netze mit DHCP-Servern, das mit der FB und das WLAN.
Du könntest aber auch eine Firewall einsetzen (z.B. opnsense, pfsense oder ipfire) und diese routen und Adressen verteilen lassen.
alles andere muss feste IPs bekommen, oder?
Nicht wenn du einen kleinen DHCP Server betreibst der mit VLAN Scopes umgehen kann Netzwerk Management Server mit Raspberry Pi
Viele L3 Switches supporten auch DHCP Server Funktionen so das du vermutlich keinen anderen DHCP Server benötigst und das ggf. mit dem Switch machen kannst.
auch egal sein ob es Subnetze oder einzelne "ganze" Netze sind.
Was sollen denn "ganze" Netze sein ?? Bedenke das wir im CIDR Zeitalter leben und nicht mehr im Netzwerk Neandertal.finden die Pakete auch ohne das Relay den DHCP Server
Nein. Weisst du auch selber. DHCP basiert auf Broadcasts. Prinzip bedingt können Broadcasts bekanntlich keine Router Grenzen überwinden. DHCP Relay ist also Pflicht in segmentierten Netzen.weder Switch noch der AP können das
Das ist auch noch nicht alles. Es gibt ja noch Raspberry oder Orange Pi (Zero) Ganz ehrlich....
Lass es und betreibe deine Aruba Gurke als einfachen Layer 2 Blödmarkt Dödelswitch, packe alle deine Endgeräte in ein flaches, dummes Netz und gut iss. Erspart dir (und uns) sicher ein paar graue Haare !
Nein, ich werde es nicht lassen. Ich bin nicht der Typ der beim ersten Kieselstein der im Weg liegt stolpert und umdreht.
Wenn dir deine Zeit zu wertvoll ist um sie hier mit noobs zu vergeuden (was ich durchaus nachvollziehen kann!) musst du ja nicht antworten. Aber wenn du antwortest beschwer dich nicht über die Unwissenheit und Gegenfragen die kommen. In meinem Fall habe ich eben nie beruflich intensiver mit Netzwerken gearbeitet und die meisten "Anleitungen" sind mir zu oberflächlich und/oder zu theoretisch als dass sie mir direkt helfen könnten. Ich muss Dinge einfach ausprobieren, in der Theorie "anlesen" funktioniert bei mir nicht so gut - das war mit Autos genau das gleiche aber das ist ein anderes Thema.
Trotzdem danke für die Hilfestellung bei VLANs - auch wenn ich sie zunächst nicht brauche. Das hätte ich durch bloßes lesen nicht so kapiert.
Der Reihe nach:
CIDR musste ich erst googlen...
DHCP:
Ich habe nicht vor mir ein weiteres Gerät ins Netzwerk zu hängen nur weil die FB nicht mit VLAN Scopes umgehen kann. Zumal mir die Aufteilung in VLANs zunächst kaum Vorteile bringt.
Dass die Broadcasts durch die Aufteilung in VLANs die FB nicht mehr erreichen hatte ich zunächst wirklich nicht im Kopf. Vielleicht wäre ich drauf gekommen aber im ersten Moment hätte ich mich nur gewundert warum das nicht mehr funktioniert.
Vielleicht kann ein zukünftiges NAS diese Aufgabe ja übernehmen.
Außerdem habe ich nicht einen managed Switch mit einer Reihe an Funktionen gekauft und lasse das jetzt alles ungenutzt.
In der Zwischenzeit habe ich angefangen mich mit ACLs zu beschäftigen. Ich meine: Allein der Name "Access Control List" beschreibt doch schon ziemlich genau das was ich erreichen will.
Der Switch bietet jetzt leider keine CLI um die Befehle einfach zu schreiben, ich muss die einzelnen Regeln halt über das Webinterface zusammenklicken aber was solls. Wenn die einmal passen muss ich sie ja kaum noch mal anfassen.
Wenn ich es richtig gelesen habe, ist es gängige Praxis für jedes Protokoll eine eigene ACL mit den entsprechenden Regeln anzulegen und zuzuweisen. So habe ich jetzt z. B. ACLs für DHCP, DNS, NTP, HTTP(S) usw. erstellt und schon mal einem einzelnen Port zum testen zugewiesen das auch ganz gut funktioniert hat.
Parallel steht noch das Thema Layer-2-Isolation mit dem AP aus das auch noch nicht so wirklich funktioniert aber es geht langsam voran.
Wenn dir deine Zeit zu wertvoll ist um sie hier mit noobs zu vergeuden (was ich durchaus nachvollziehen kann!) musst du ja nicht antworten. Aber wenn du antwortest beschwer dich nicht über die Unwissenheit und Gegenfragen die kommen. In meinem Fall habe ich eben nie beruflich intensiver mit Netzwerken gearbeitet und die meisten "Anleitungen" sind mir zu oberflächlich und/oder zu theoretisch als dass sie mir direkt helfen könnten. Ich muss Dinge einfach ausprobieren, in der Theorie "anlesen" funktioniert bei mir nicht so gut - das war mit Autos genau das gleiche aber das ist ein anderes Thema.
Trotzdem danke für die Hilfestellung bei VLANs - auch wenn ich sie zunächst nicht brauche. Das hätte ich durch bloßes lesen nicht so kapiert.
Der Reihe nach:
CIDR musste ich erst googlen...
DHCP:
Ich habe nicht vor mir ein weiteres Gerät ins Netzwerk zu hängen nur weil die FB nicht mit VLAN Scopes umgehen kann. Zumal mir die Aufteilung in VLANs zunächst kaum Vorteile bringt.
Dass die Broadcasts durch die Aufteilung in VLANs die FB nicht mehr erreichen hatte ich zunächst wirklich nicht im Kopf. Vielleicht wäre ich drauf gekommen aber im ersten Moment hätte ich mich nur gewundert warum das nicht mehr funktioniert.
Vielleicht kann ein zukünftiges NAS diese Aufgabe ja übernehmen.
Außerdem habe ich nicht einen managed Switch mit einer Reihe an Funktionen gekauft und lasse das jetzt alles ungenutzt.
In der Zwischenzeit habe ich angefangen mich mit ACLs zu beschäftigen. Ich meine: Allein der Name "Access Control List" beschreibt doch schon ziemlich genau das was ich erreichen will.
Der Switch bietet jetzt leider keine CLI um die Befehle einfach zu schreiben, ich muss die einzelnen Regeln halt über das Webinterface zusammenklicken aber was solls. Wenn die einmal passen muss ich sie ja kaum noch mal anfassen.
Wenn ich es richtig gelesen habe, ist es gängige Praxis für jedes Protokoll eine eigene ACL mit den entsprechenden Regeln anzulegen und zuzuweisen. So habe ich jetzt z. B. ACLs für DHCP, DNS, NTP, HTTP(S) usw. erstellt und schon mal einem einzelnen Port zum testen zugewiesen das auch ganz gut funktioniert hat.
Parallel steht noch das Thema Layer-2-Isolation mit dem AP aus das auch noch nicht so wirklich funktioniert aber es geht langsam voran.
ist es gängige Praxis für jedes Protokoll eine eigene ACL mit den entsprechenden Regeln anzulegen und zuzuweisen.
Nein, das ist falsch !Gängige Praxis ist es immer vorher eine EIGENE Security Policy zu erstellen und zu Papier zu bringen. Also wer darf was und wo.
Diese Policy setzt man dann mit einfachen ACL Regeln um. Ggf. reicht es für dich und deine Policy ja schon einfach nur Netze und Hostadressen zu filtern ohne ganz auf die Protokollebene runterzugehen.
Wenn du natürlich auch auf Protokollebene filtern möchtest ist das absolut OK diese auch einzubeziehen. Wie bereits gesagt: Es gilt immer DEINE Policy die du deinem Netzwerk setzt.
noch das Thema Layer-2-Isolation mit dem AP aus
Da helfen dir ganz sicher eine MSSID Konfigs mit den VLANs. Guckst du hier:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
