Welcher Weg führt hier zum Ziel? - Managed Switch "kann zu viel"

Mitglied: fosaq1

fosaq1 (Level 1) - Jetzt verbinden

05.04.2021 um 15:47 Uhr, 671 Aufrufe, 7 Kommentare

Hi,

ich traue mich fast nicht hier zu schreiben weil ich viele ähnlich gestellte Fragen und deren Antworten zwar gesehen habe, für mich aber trotzdem keinen Nutzen daraus ziehen konnte weil die Antworten meist meine Fragestellung gar nicht tangieren oder direkt zu tief einsteigen.

Aktuell habe ich hier im Haus sämtliche Kabel (Strom, Koax und eben Netzwerk) komplett erneuert.
Zwischenzeitlich habe ich einen neuen managed Switch bekommen: Aruba 1930 mit 24 Ports ohne PoE.
Datenblatt - Handbuch

Die Konfigurationsmöglichkeiten von dem Switch übersteigen mein Versändniss, ich möchte mich da aber einarbeiten und manche Funktionen verstehen und nutzen lernen.
Der Switch kann offenbar recht viel: VLAN, Routing (also sogar Layer 3), ACLs, QoS usw.

Der Aufbau ist (noch) recht simpel, daher möchte ich euch nicht mit Details langweilen sondern erstmal nur grob darauf eingehen:
Es gibt diesen einen, zentralen Switch für alle Clients.
Angeschlossen sind u.a. Die FritzBox (DHCP Server und Internet), ein AP und halt ein paar Clients (PC, Laptop, Drucker...)

Ich habe versucht mich mit dem Handbuch und diversen Anleitungen in die einzelnen Themen einzulesen.
Allerdings werden viele Detailfragen für mich nicht oder nicht verständlich beantwortet. Zudem werden gefühlt ständig die Begriffe geändert und ich verliere die Zusammenhänge.

Beispiel: in VLANs kann man einen Anschluss Tagged oder Untagged konfigurieren. Bei Tagged wird die VLAN ID in den Frame mit eingebunden.
So weit so schön - aber was mache ich damit? Wann brauche ich das und warum?


Anyway. Mein erstes, einfach formuliertes Ziel:
Ich möchte die Möglichkeit haben zu steuern, welcher Client mit wem reden darf.
Grundsätzlich möchte ich neuen Geräten zunächst "nicht vertrauen" und ihnen lediglich Internetzugang erlauben.
Soll auf weitere Ressourcen zugegriffen werden (Freigaben, Drucker, ...) möchte ich die Geräte einzeln dafür "freischalten" können und müssen.


Jetzt führen bekanntlich viele Wege nach Rom aber bei der Fülle an Möglichkeiten stehe ich im Wald.
Grundsätzlich bin ich mir nichtmal mehr sicher, ob das mit dem Switch überhaupt machbar ist.
Verschiedenste Konfigurationen habe ich getestet bis hin dazu, dass eine Fehlkonfiguration den Switch zum automatischen Neustart inkl. Zurücksetzen auf Werkseinstellungen gebracht hat.


Vielleicht kann mir jemand ein paar Denkanstöße und/oder Beispiele geben wie man sowas angeht?
Mitglied: aqui
LÖSUNG 05.04.2021, aktualisiert um 17:00 Uhr
aber was mache ich damit? Wann brauche ich das und warum?
Segmentierung zum Beispiel. Gastnetz und Privatnetz trennen...der Klassiker ! Hausautomation absichern...auch ein Klassiker.
Lesen und verstehen mit etwas österlicher Lektüre: ;-) face-wink
VLAN Schnellschulung:
https://www.administrator.de/frage/heimnetzwerk-aufbauen-longshine-lcs-g ...
VLANs mit Layer 2 Konzept:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
VLANs mit Layer 3 Konzept:
https://www.administrator.de/forum/verst%C3%A4ndnissproblem-routing-sg30 ...
Da du eine FritzBox nutzt die nicht mit VLANs umgehen kann, da nicht supportet von ihr, bleibt dir nur die Umsetzung eines Layer 3 (Routing) Konzepts auf der Aruba Gurke. Es sei denn du willst noch einen weiteren VLAN fähigen Router beschaffen (was aber bei einem L3 Switch überflüssig wäre).
Es gibt auch neckische Filmchen zu dem Thema:
https://www.heise.de/ct/artikel/nachgehakt-WLAN-Router-fuer-Mehr-Zonen-N ...
https://www.youtube.com/watch?v=_PPaArOxHhw
https://www.youtube.com/watch?v=vE5gvbmR8jg
Bitte warten ..
Mitglied: Franz-Josef-II
LÖSUNG 05.04.2021, aktualisiert um 17:21 Uhr
Servas

Aqui ist eigentlich ein Experte auf dem Gebiet ..... und kennt sich ganz brauchbar (Achtung kleine Untertreibung ;-) face-wink ) aus. Also durchlesen, es ist verständlich und nicht so "technikerintern" ;-) face-wink

VLAN: Kurz und einfach:
Ein VLAN "zerteilt" einen Switch in mehrere Kleinere. Also statt 1x48 hast 2x24 oder 3x16. Es ist aber auch alles andere möglich z.B. 1x4 + 1x13 + 2x8 + 1x15. Wenn jetzt VLAN10 mit 20 "reden" will, brauchst einen Router, dies kann auch der Switch sein (sofern er es technisch kann). Aber die Netze sind eben voneinander getennt, so als wären es getrennte Switche.
Bitte warten ..
Mitglied: fosaq1
05.04.2021 um 19:35 Uhr
Danke schon mal für die Antworten, so schnell hätte ich gar nicht damit gerechnet.

Neue (Netzwerk-)Hardware möchte ich nicht kaufen, das NAS wird noch teuer genug... aber ich schweife ab.

Damit ich das richtig verstehe:
Simples segmentieren auf L2 wird nicht funktionieren weil die FB allen Clients per DHCP Adressen zuweisen soll, richtig? Einfach weil die FB keine VLANs kennt.
Dann braucht jedes VLAN einen eigenen Adressbereich, ja? Gingen auch Subnets, weil ich der FB ja nur eine Range zuweisen kann?

Als erstes muss ich also die Segmente festlegen und aufteilen (wie bei L2) und denen dann eine eigene Adresse zuordnen (L3). Das ist dann die IP des Switches im jeweiligen VLAN und somit das Gateway für die Clients, ja?
Beispiel:
VLAN 1 192.168.100.2/26 (.1 ist die FB)
VLAN 10 192.168.100.65/26 Drucker
VLAN 20 192.168.100.129/26 Internetradios (Sonos [ja, leider...], usw.)
VLAN 30 192.168.100.193/26 TVs

Damit ich die Adressen überhaupt vergeben kann muss ich vermutlich zuvor das Routing schon aktiviert haben.

Die FB kann dann weiterhin z.B. die Adressen .3 - .250 selbst vergeben, dann halt mit der Maske /26.
Kann es passieren, dass die FB in dem Fall die Adressen .65, .129 oder .193 vergibt oder "weiß" sie, dass die Adressen bereits vergeben sind?

In dem Fall können sich die Clients wieder erreichen, haben aber noch keine Internetverbindung, oder?
Dazu muss ich dem Switch eine Default Route geben (also 0.0.0.0 -> 192.168.100.1)
...und eine statische Route in der FB hinterlegen (192.168.100.0 mask 255.255.255.0 -> 192.168.100.2)

Der Switch selbst kann dann seine Adresse nicht mehr per DHCP erhalten sondern er hat im obigen Beispiel 4 statische IPs (eine je VLAN)?




Der einzige Port der Tagged sein darf ist wahrscheinlich der zum AP, ein Zyxel.
Der kann MSSID und kann den einzelnen SSIDs eine VLAN ID zuweisen. So könnte ich die Sonos alle auf diese SSID mit der VLAN ID 20 hängen und dem Port mit dem verkabelten Internetradio auch einfach das VLAN 20 geben.
Dann sind diese Geräte auch über den AP hinweg alle in einem eigenen VLAN, ja?

Technisch ist der Datenverkehr zwischen AP und Switch dann immer getagged, oder?
Eine Einstellung auf dem AP dafür gibt es nicht (wahrscheinlich ist die nicht nötig weil es nur eine sinnvolle Einstellung gibt?)

Der restliche Datenverkehr ist untagged weil sämtliche anderen Geräte im Netz die Pakete dann nicht mehr verstehen, oder?
Bedeutet tagged eigentlich, dass nur eingehender, ausgehender oder Verkehr in beide Richtungen getagged wird?

Noch eine Frage zum AP: Wenn der eine zweite SSID sendet bedeutet es wirklich nur wörtlich das, oder? Da wir nicht physisch "ein zweites WLAN" aufgespannt, oder?
Die zwei Netze mit 2,4 und 5GHz sind natürlich physisch getrennte WLANs aber weitere SSIDs bedeuten nicht mehr belegte Frequenzbereiche, ja?


P.S.: Aruba "Gurke": Aber eine Verbesserung gegenüber Netgear ist es schon, oder? :) face-smile Das GUI ist bei Aruba jedenfalls deutlich besser.
Bitte warten ..
Mitglied: aqui
05.04.2021, aktualisiert um 20:29 Uhr
das NAS wird noch teuer genug... aber ich schweife ab.
Stimmt ! "Teuer" ist bekanntlich immer relativ !
Gingen auch Subnets, weil ich der FB ja nur eine Range zuweisen kann?
Ja, natürlich ginge das ! Es bleibt aber dabei das jedes VLAN ein eigenes IP Netz ist.
Das ist dann die IP des Switches im jeweiligen VLAN und somit das Gateway für die Clients, ja?
Richtig und korrekt !
muss ich vermutlich zuvor das Routing schon aktiviert haben.
Das ist auf dem Switch dann automatisch aktiv sobald dein VLAN ein Switch IP Interface hat.
Die FB kann dann weiterhin z.B. die Adressen .3 - .250 selbst vergeben
Ääähh, NEIN ! Hier hat dich dann wohl deine eigene Subnetz Logik verlassen. Zuviel Eierlikör Eier gegessen ?? :
Netzwerk: 192.168.100.0
Subnetzmaske: 255.255.255.192 (26 Bit Prefix)
Mögliche Host IPs: 192.168.100.1 bis 192.168.100.62

Die .100.3 stimmt ja noch aber alles von .100.63 bis .100.250 ist wie du ja selber sehen kannst ein NoGo. Also nochmal in Ruhe nachdenken und nochmals die Subnetting Regeln lesen und verstehen:
https://de.wikipedia.org/wiki/Netzmaske
haben aber noch keine Internetverbindung, oder?
Doch haben sie. Bitte nutze die dir hier gegebenen Tipps und lese nochmals genau das Layer 3 Konzept. Dort ist doch alles inklusive bunter Bildchen genau erklärt !!
l3vlan - Klicke auf das Bild, um es zu vergrößern
Denk dir als Netze einfach dort nur deine .100er Subnetze mit der /26er Maske !
Technisch ist der Datenverkehr zwischen AP und Switch dann immer getagged, oder?
Nur wenn du mit MSSIDs, sprich also virtuellen APs arbeitest und deine APs sowas supporten !
Bedeutet tagged eigentlich, dass nur eingehender, ausgehender oder Verkehr in beide Richtungen getagged wird?
Immer beidesietig weil die andere Seite die .1q Tags sonst nicht lesen könnte ! Siehe "VLAN Schnellschulung" oben !!
Da wir nicht physisch "ein zweites WLAN" aufgespannt, oder?
Doch, der AP sendet physisch eine 2te SSID aus. Wie sollte es sonst gehen. Clients "sehen" ja eine eigene SSID. Klar kommt die physisch nur von einem Sender aber der Sender wird so gesteuert das virtuell 2 (oder mehr) getrennte SSIDs entstehen und Clients damit auch getrennte APs "sehen".
Die zwei Netze mit 2,4 und 5GHz sind natürlich physisch getrennte WLANs aber weitere SSIDs bedeuten nicht mehr belegte Frequenzbereiche, ja?
Das ist absolut richtig !
Aber eine Verbesserung gegenüber Netgear ist es schon, oder?
Das stimmt allerdings ! ;-) face-wink HP OEMt aber auch nur. Das ist Barebone Massenware wo du nur ihren Namen draufbäppeln. Server, Laptops und Drucker können sie besser als Netzwerk... Für dich und dein Heimnetz aber irrelevant, das schafft auch der HP mit links.
Bitte warten ..
Mitglied: fosaq1
06.04.2021 um 07:32 Uhr
Guten Morgen,

dass das mit den Subnetzen Unsinn war ist mir heute Nacht im Schlaf auch eingefallen... der Eierlikör war aber trotzdem lecker! :) face-smile

Erstmal Danke für die Ausführungen, auch wenn es nur basics sind aber auf Arbeit komme ich nicht viel näher an Netzwerke als mal eine feste Route auf ner Windows oder Linux Büchse zu setzen oder ein bisschen Subnetze erstellen.

Wo kann ich bei der Konstellation denn noch DHCP nutzen? Doch nur in dem VLAN in dem die FB selbst eine Adresse hat, alles andere muss feste IPs bekommen, oder?
Das DHCP-Relay hilft mir dabei auch nicht weil es die Anfragen aus den anderen VLANs zwar an die FB weiterleitet, sie aber trotzdem nur Adressen für das eigene Subnet vergeben kann. Es dürfte auch egal sein ob es Subnetze oder einzelne "ganze" Netze sind. Außerdem finden die Pakete auch ohne das Relay den DHCP Server (oder?)

Leider kann nur die FB DHCP Server sein, weder Switch noch der AP können das. Bei der aktuellen Aufteilung bräuchte ich aber DHCP in mindestens zwei Subnets.

Das bringt mich aber zu der Frage, ob ich wie beschrieben einzelne Ressourcen nicht anders freigeben oder sperren kann und eine Aufteilung in VLANs dafür überhaupt sinnvoll und notwendig ist.
Denn mit aktivem Routing können sich zunächst trotzdem alle Geräte untereinander erreichen, oder? Dann habe ich das Netz zwar segmentiert und den Broadcast-Verkehr etwas reduziert aber der ist eh zu vernachlässigen, viele Geräte sind es ja (noch) nicht.

Wenn ich an Sonos denke wird die Aufteilung eh nicht funktionieren, außer das Smartphone das auch die Lautsprecher steuert und die FB befinden sich im gleichen Subnet und VLAN. Feste IPs kann man den Dingern nicht vergeben.

Übrigens muss für die Internetverbindung zu diesem Glasfaser-Gateway-Hybrid-Dings eine VLAN-ID in der FB angegeben werden (vom Anbieter so vorgegeben in der Autokonfig), intern kann VLAN aber nicht genutzt werden.

Nachtrag zum AP: Tagging kann doch ein- und ausgeschaltet werden.
Bitte warten ..
Mitglied: Franz-Josef-II
06.04.2021 um 07:56 Uhr
Guten Morgääähhhn

DHCP: Da könnte eventuell auch der WLAN-AP den Server machen, somit hast Du zumindest 2 Netze mit DHCP-Servern, das mit der FB und das WLAN.

Du könntest aber auch eine Firewall einsetzen (z.B. opnsense, pfsense oder ipfire) und diese routen und Adressen verteilen lassen.
Bitte warten ..
Mitglied: aqui
06.04.2021 um 10:09 Uhr
alles andere muss feste IPs bekommen, oder?
Nicht wenn du einen kleinen DHCP Server betreibst der mit VLAN Scopes umgehen kann ;-) face-wink
https://administrator.de/tutorial/netzwerk-management-server-raspberry-p ...
Viele L3 Switches supporten auch DHCP Server Funktionen so das du vermutlich keinen anderen DHCP Server benötigst und das ggf. mit dem Switch machen kannst.
auch egal sein ob es Subnetze oder einzelne "ganze" Netze sind.
Was sollen denn "ganze" Netze sein ?? Bedenke das wir im CIDR Zeitalter leben und nicht mehr im Netzwerk Neandertal.
finden die Pakete auch ohne das Relay den DHCP Server
Nein. Weisst du auch selber. DHCP basiert auf Broadcasts. Prinzip bedingt können Broadcasts bekanntlich keine Router Grenzen überwinden. DHCP Relay ist also Pflicht in segmentierten Netzen.
weder Switch noch der AP können das
Das ist auch noch nicht alles. Es gibt ja noch Raspberry oder Orange Pi (Zero) ;-) face-wink
Ganz ehrlich....
Lass es und betreibe deine Aruba Gurke als einfachen Layer 2 Blödmarkt Dödelswitch, packe alle deine Endgeräte in ein flaches, dummes Netz und gut iss. Erspart dir (und uns) sicher ein paar graue Haare ! ;-) face-wink
Bitte warten ..
Heiß diskutierte Inhalte
Server-Hardware
Mini-PC oder Server für Dauerbetrieb
Surfer12Vor 1 TagFrageServer-Hardware20 Kommentare

Hallo zusammen, wir projektieren gerade eine neue Zutrittslösung für ein kleines Hotel mit ca. 20 Zimmern. Die Gäste sollen in Zukunft einen SelfCheckIn machen ...

Exchange Server
Sicherheits-Update KB5001779 für Exchange 2013-2019
kgbornVor 15 StundenInformationExchange Server5 Kommentare

Microsoft hat zum 13. April 2021 das Sicherheitsupdate KB5001779 für Exchange 2013-2019 veröffentlicht, um vier RCE-Schwachstellen zu schließen. Das Update sollte zeitnah installiert werden. ...

Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 5 StundenInformationDatenschutz18 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Windows 10
Windows 10 20HS SCCM
stoepsu77Vor 1 TagFrageWindows 1017 Kommentare

Hallo zusammen Ich hoffe, dass jemand von euch mir eine weitere Idee geben kann. Ich habe keine Ideen mehr. Folgendes: Wir haben eine Tasksequenz ...

Suche Projektpartner
Suche Projektpartner
irinaterletska12Vor 1 TagFrageSuche Projektpartner1 Kommentar

Hallo alle zusammen . Wir sind eine ukrainische Firma, die nach dem Projektpartner sucht. Wir können für deutsche Firmen Support geben. Wir können Fernwartung ...

Microsoft Office
Welcher Rechner hat welches Office installiert?
gelöst PeterF2019Vor 1 TagFrageMicrosoft Office6 Kommentare

Hei, ich habe hier bei einem Kunden mehrere Rechner, alle mit Office H&B 2016. Die Zugangsdaten fuer MS (office.com) habe ich bekommen und sehe ...

Microsoft Office
Office-Angebote im Netz seriös?
pixel24Vor 1 TagFrageMicrosoft Office5 Kommentare

Hallo zusammen, wir benötigen hin und wieder ein MS-Office Paket was wir beim Händler beziehen. Gerade aktuell kostet es dort 113,59 8ohne MwSt.). Im ...

Server
Server Anbieter mit 2 NICs gesucht
gelöst SilvergreenVor 7 StundenFrageServer15 Kommentare

Hallo Community, ich bin auf der Suche nach einem Serveranbieter, der VPS/Cloud Server mit 2 Netzwerkkarten anbietet. Eine Internetsuche brache mich da leider nicht ...