aqui
Goto Top

VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

article-picture
Das folgende Tutorial beschreibt in einzelnen und einfach nachvollziehbaren Schritten, wie man die o.a. Firewall oder Router in eine bestehende, oder auch neu zu installiernde VLAN-Switch Infrastruktur, integriert oder an VLAN fähige Switches anschliesst um zwischen VLANs routen zu können.
Dies ist erforderlich wenn kein Layer 3 (Routing) Switch im Netz verfügbar ist um eine sichere Kommunikation und Firewall Funktionalität zwischen (V)LANs (z.B. Gäste Netz abgetrennt vom Firmennetz) gewährleisten zu können.
Die Verwendung von pfSense oder OPNsense ist dabei nicht zwingend ! Das Tutorial zeigt eine Standard VLAN Lösung am Beispiel einfacher und preiswerter VLAN fähiger Router oder Firewalls.
Die VLAN Grundprozeduren zur Konfiguration gelten damit auch für andere Netzwerk Komponenten (Switches, Router, Firewalls, Server etc.) die VLANs nach dem IEEE 802.1q Standard supporten.



back-to-topAllgemeines zum Thema VLAN


Es wird vorausgesetzt das ein wenig Netzwerk Basiswissen zum Thema VLANs und VLAN-Tagging nach dem IEEE 802.1q Standard und VLANs im Allgemeinen vorhanden ist !
Als Basis Lektüre zum weiteren Verständnis und speziell zu diesem Thema VLAN sind folgende Informationen hilfreich und sinnvoll zu lesen:

Network Academy:
https://www.networkacademy.io/ccna/ethernet/vlan-concept
https://www.networkacademy.io/ccna/ethernet/vlan-trunking
https://www.networkacademy.io/ccna/ethernet/router-on-a-stick
@Edi.Pfisterer 's VLAN Tutorial:
http://www.schulnetz.info/2011/04/
bzw.
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
Als Video bei YouTube:
https://www.youtube.com/watch?v=vE5gvbmR8jg
https://www.youtube.com/watch?v=NmkFzDrZsXM
und
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
und auch VLANs auf Servern und Endgeräten:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren

Das Tutorial lehnt sich bei einigen der hier vorgestellten Hardwarelösungen an bereits bei Administrator.de bestehende Tutorials an wie z.B. das Einrichten einer pfSense / OPNsense Firewall

Die weiterführende Linkliste am Schluß des Tutorials verweist zusätzlich auf die VLAN Konfiguration von Netzwerk Karten in Windows und Linux Rechnern unter anderem auch dem populären Raspberry Pi. Sie verweisen auch beim Thema dynamische Zuweisung von VLANs mit Port Authentisierung auf entsprechende Forenthreads.
Alles in allem also eine VLAN Universalanleitung um eine Kommunikation zwischen VLANs bzw. VLAN Switches zu ermöglichen wenn diese LAN Switches keine interne Layer 3 (Routing) Fähigkeit besitzen !

Generell sind VLANs physisch völlig getrennte LAN Segmente (Layer 2 Broadcast Domains) auf einem LAN Switch die per se erstmal nicht miteinander kommunizieren können. Sie verhalten sich wie physisch völlig getrennte LAN Netzwerke.
Kommunikation kann immer nur ein Router bzw. Layer 3 Switch zwischen den VLANs herstellen.
Die grafische Funktionsübersicht eines Switches mit VLAN Segmentierung zeigt das folgende Bild:

vlan_neu

Das folgende Prinzipschaubild ist analog zum Obigen. Nur das über den Tagged Uplink jetzt kein Server sondern ein 2ter Switch und ein Router bzw. Firewall angeschlossen sind.
Es zeigt das Design dieses Tutorials mit 2 Switches (16 Port und 8 Port) und Router bzw. Firewall die jeweils mit Tagged Uplinks verbunden sind die die VLAN Information (Tags) zwischen den Switches und Router/Firewall weitergeben:

vlanswitch
Switchports die einfache Endgeräte wie die der obigen PCs, Drucker usw. versorgen sind immer untagged. Deren Ports werden im Switch Setup immer fest dem jeweiligen VLAN zugeordnet. Endgeräte "verstehen" außerdem keine getaggten Ethernet Paket und würden diese verwerfen, sprich schlicht nicht funktionieren.
So erhält man z.B. bei 2 VLANs dann 2 physisch völlig getrennte Netzwerke in einer gemeinsamen Switch Hardware. Der tiefere Sinn einer Segmentierung mit VLANs !
Bei mehreren Switches kann man so eine getrennte VLAN Infrastruktur mit physisch getrennten Netzwerk Segmenten über den gesamten Campus aufbauen:
trunk
Ein Tagged Link kann statt eines Switches aber auch einen Router oder sog. MSSID WLAN Accesspoints anbinden wenn diese Endgeräte die in den Datenpaketen enthaltene VLAN Information benötigen. Dazu später unten mehr...

Details wie die Installation von pfSense o. OPNsense, seine Routing- bzw. Firewall und VPN Funktionen oder das Flashen von alternativer Firmware wie DD-WRT oder OpenWRT würden den Umfang des Tutorial sprengen und sind deshalb nur am Rande erwähnt. In den weiterführenden Links findet man Forenthreads auch zu diesen Themen.

Die preiswerteste Möglichkeit einfach und effektiv zwischen VLANs zu routen und Firewalling zu nutzen bietet ein Mikrotik Router hAP lite. Etwas performanter sind die Modelle bzw. RB5009
Diese Hardware ist auch Grundlage des Tutorials zum Routing zwischen 2 und mehr LAN IP Netzen.

Wer mehr Sicherheit bei der VLAN Segmentierung fordert dem empfiehlt sich natürlich immer der Einsatz einer VLAN_fähigen_Firewall wie z.B. OPNsense oder pfSense.
Das u.a. Kapitel Praxisbeispiel beschreibt die in eine VLAN Infrastruktur im Detail.
Alternativ die professionellere Variante für Firmen WLAN Netze mit dynamischen_VLANs.
Hinweise zu alternativen DD-WRT oder OpenWRT Firmware für Router geben die u.a. weiterführenden Links.
Los gehts...


back-to-topVLAN Netzdesign und Switches


VLAN fähige Switches sind mittlerweile gang und gäbe und das auch im billigen Consumer Bereich. Gemeinhin werden diese einfachen VLAN fähigen Modelle als sog. Websmart Switches bezeichnet weil sie sich über ein einfaches WebGUI konfigurieren lassen.
Populäre Vertreter sind z.B.:
NetGear_GS105E_und_108E
D-Link_DGS-1210-16 bzw. die baugleiche 24 und 48 Port Variante
Trendnet_TEG-160WS
Cisco_SLM2024
Cisco_SG-200 (Sogar mit 8 Port Model und PoE)
HP-1700_Switch
Alle anderen Consumer Marken wie Allnet, TP-Link & Co. sind ebenfalls mit entsprechenden Modellen vertreten.
Bei Premium Marken wie Cisco, Extreme, Brocade, Juniper ist die VLAN Funktionalität selbstverständlich.

Es wird für die folgenden Beispiele vorausgesetzt das bereits ein VLAN Switch vorhanden ist, der die entsprechenden VLAN IDs eingerichtet hat (IDs 10, 20 30 usw.) und ein Switchport, ein sog. Uplink oder "Trunk" Port vorhanden ist, wo alle VLANs tagged übertragen werden.
Pakete erthalten an diesem Port vom Switch einen VLAN Tag mit der Angabe des VLANs. Über diese VLAN ID kann ein empfangener Switch oder Endgerät dieses Paket sofort wieder dem richtigen VLAN zuordnen.
In den beiden u.a. Switch Beispielkonfigurationen von Cisco und HP ist dies der Switchport 1 !
Generell kann die VLAN Zuordnung zu jedem vorhandenen Hardware Interface der pfSense oder OPNsense Firewall, Router oder Server gemacht werden.
Als Beispiel für dieses Tutorial dient hier das VLAN Trunking auf dem Standard LAN Interface einer pfSense / OPNsense Firewall.
In der folgenden Abbildung mit einer Layer3 Topologie Darstellung

vlan-allgemein3

Analog kann dies natürlich auch auf dem WAN Interface oder dem dritten physischen "OPT" Interface (sofern vorhanden) passieren, sollte man z.B. mehrere unabhängige Gast VLANs, Firmen VLANs oder generell mehrere unabhängige IP Segmente (Netze) einrichten wollen.
Auch eine redundante, Bandbreiten erhöhende VLAN Anbindung über einen LACP LAG (Link Aggregation) an gebündelten Interfaces ist möglich.

Wichtig ist hierfür immer das sog. Parent Interface (Basis Interface) an der pfSense bzw OPNsense, zu dem die VLANs bzw. deren ID Taggings korrespondieren.
Will man also wie hier im Beispiel das LAN Interface als sog. "Parent" Interface für die VLANs verwenden, dann wird das Default VLAN 1 hier untagged übertragen (PVID VLAN) und alle weiteren VLANs auf diesem Interface mit einem 802.1q VLAN Tag versehen, den entsprechende VLAN fähige Switches dann wieder verstehen.


back-to-topVLAN Setup auf dem Netzwerk Switch


Es gibt eine Vielzahl solcher Switches am Markt, da die Netz Segmentierung mit VLANs heutzutage, auch in kleineren Netzen, mittlerweile zum Standard gehört und bei Voice Netzen auch vorgeschrieben ist.
Zum erfolgreichen Anschluss der VLAN Router oder Firewall Konfiguration an eine bestehende Switch Infrastruktur mit VLANs gehört natürlich zuallererst auch die Betrachtung der Switch Konfiguration bzw. der Anschluss des so eingerichteten Router o. Firewall Ports an einen VLAN fähigen Switch.
Die Einrichtung wird hier beispielhaft an zwei VLAN fähigen Switches wie dem Cisco Catalyst 29xx und einem einfachen HP ProCurve Switch beschrieben und zusätzlich an "Web Smart" Switches.
Bei anderen VLAN oder Web Smart Switch Herstellern im Consumer Bereich ist das Setup analog !

Die beschriebenen Switches haben im Beispieldesign folgende Portzuordnung:

Switch Port 1: Uplink Anschluss der o.a. konfigurierten pFsense/OPNsense, Tagged Links für alle VLANs 10 bis 40 und VLAN 1 (Default VLAN)
Switch Port 10-11: Endgeräte (untagged) VLAN 10
Switch Port 12-13: Endgeräte (untagged) VLAN 20
Switch Port 14-15: Endgeräte (untagged) VLAN 30
Switch Port 16-17: Endgeräte (untagged) VLAN 40

back-to-topBeispiel Konfiguration Mikrotik SwitchOS

Zeigt ein Forenthread

back-to-topBeispiel Konfiguration Cisco Catalyst IOS Switch

hostname Cisco_Switch
!
service timestamps log datetime localtime show-timezone year
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip igmp snooping
ip igmp version 3
!
interface GigabitEthernet0/1
 description Tagged Uplink zur Firewall
 switchport mode trunk
 switchport trunk encapsulation dot1q
(switchport trunk allow vlan all)   -->> (neuere IOS Versionen)
!
interface GigabitEthernet0/5
 description Enduser Port in VLAN 10
 switchport access vlan 10
 spanning-tree portfast
!
interface GigabitEthernet0/10
 description Enduser Port in VLAN 20
 switchport access vlan 20
 spanning-tree portfast
!
interface GigabitEthernet0/15
 description Enduser Port in VLAN 30
 switchport access vlan 30
 spanning-tree portfast
!
interface GigabitEthernet0/20
 description Enduser Port in VLAN 40
 switchport access vlan 40
 spanning-tree portfast
!
!
interface Vlan1
 description Management IP Netz
 ip address 172.16.99.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 172.16.99.254
!
end

back-to-topBeispiel Konfiguration Cisco Switch CBS u. SG Modelle


Den Reigen der Beispielkonfigurationen für die zahllosen SOHO (Small Office, Home Office) Web Smart Switches eröffnet ein Cisco aus der CBS bzw. SF, SG-200/250er, 300/350er und 500/550er Serie.
Die Konfiguration ist in der Grundstruktur immer gleich wie die folgenden Screenshots aus einer Auswahl verbreiteter Web Smart VLAN Switches zeigen.
Sie besteht immer aus den zwei Schritten:
  • VLAN einrichten,
  • Switchports den VLANs tagged (mit VLAN ID) oder untagged zuordnen:
bf6207dd2b97f34a2198e0d01cbf582a
4ae873dec92dbf8419d0b4a4f0001b8d
Der Port G8 ist hier der tagged Port im VLAN 10 der mit dem o.a. beschriebenen Router/Firewall verbunden ist.
Der Cisco ist einer wenigen Websmart Switches die Auto PVID supporten, so das man sich das zusätzliche, manuelle Setzen der PVID am Port sparen kann.

back-to-topBeispiel Konfiguration Ruckus/Brocade ICX Switch:

vlan 1 name DEFAULT-VLAN by port
untagged ethe 1/1/1
 management-vlan
 default-gateway  172.16.99.254 1
!
vlan 10 name VLAN-10 by port
 tagged ethe 1/1/1
 untagged ethe 1/1/2 to 1/1/4
!
vlan 20 name VLAN-20 by port
 tagged ethe 1/1/1 
 untagged ethe 1/1/5 to 1/1/7
!
vlan 30 name VLAN-30 by port
 tagged ethe 1/1/1
 untagged ethe 1/1/8 to 1/1/10
!
ip address 172.16.99.1 255.255.255.0
ip multicast active
ip multicast version 3
!
enable aaa console    
clock summer-time
clock timezone europe CET
!
ntp
 server ntp1.fau.de
! 
interface ethernet 1/1/1
 port-name Tagged Uplink Firewall 
 trust dscp 
(Weitere Commscope/Ruckus ICX Konfigs HIER)

back-to-topBeispiel Konfiguration HP ProCurve Switch (CLI)

HP_Switch#

time timezone 60
time daylight-time-rule Middle-Europe-and-Portugal
spanning-tree protocol-version rstp
spanning-tree force-version rstp-operation
ip default-gateway 172.16.99.254
exit
interface 1
   name "VLAN Tagged Link zur Firewall"
exit
vlan 1
   name "DEFAULT_VLAN"
   untagged 1-9
   ip address 172.16.99.1 255.255.255.0
   exit
vlan 10
   name "Firma"
   untagged 10-11
   tagged 1
   exit
vlan 20
   name "Firmen WLAN"
   untagged 12-13
   tagged 1
   exit
vlan 30
   name "Server"
untagged 14-15
   tagged 1
   exit
vlan 40
   name "Gaeste Netzwerk"
untagged 16-17
   tagged 1
   exit

back-to-topBeispiel Konfiguration HP WebSmart Switch V1910

1910
Siehe zum HP V1910 auch HIER.

back-to-topBeispiel Konfiguration Zyxel GS-1200 Switch


Beim Zyxel macht man die komplette VLAN Zuordnung im übergeordnetem VLAN Tab. Zyxel benutzt hier bunte Quadrate zur Kennzeichnung ob ein Port Tagged oder untagged ist. Mit ADD fügt man zuerst seine VLAN IDs hinzu und ordnet sie dann den Ports zu ob Tagged (orange) oder Untagged (grün).
Beispiel hier:
Port 5 = Uplink = VLANs 10, 20 und 30 Tagged und VLAN 1 untagged
Port 4 = VLAN 30, untagged (Endgeräte Port), Port 3 = VLAN 20, untagged (Endgeräte Port), Port 2 = VLAN 10, untagged (Endgeräte Port), Port 1 = VLAN 1 untagged.
Unbenutzte Port VLAN IDs graut man aus (non Member)
zy1
Der Zyxel kann leider auch kein Auto PVID ! Folglich muss man zwingend den untagged Endgeräte Ports zusätzlich noch die richtige PVID zuweisen !
(PVID Erklärung siehe unten Weiterführende Links).

back-to-topBeispiel Konfiguration TP-Link SG108E Switch


Der TP-Link ist ein einfacher und preiswerter Websmart Switch der sich über sein internes GUI schnell konfigurieren lässt.
⚠️ Zuallererst ist unbedingt die proprietäre Port based VLAN Funktion global abzuschalten!
Danach aktiviert man dann global die Standard konforme 802.1q VLAN Funktion !
Das klingt erstmal verwirrend ist aber normal, da die Standard konforme VLAN Konfiguration in der Rubrik 802.1q VLAN des Switches gemacht wird die dem weltweiten .1q VLAN Standard entspricht.
disable

Danach legt man die beiden Beispiel VLANs 10 und 20 an und weist ihnen den Uplink Port als Tagged zu und die die jeweiligen Endgeräte Ports 2 und 3 als Untagged.
Hier im Beispiel ist folgende Port Zuordnung gemacht:
  • Switchport 1 = Tagged Uplink auf den Router / Firewall mit VLAN 10 tagged, VLAN 20 tagged und Default VLAN 1 untagged
  • Switchport 2 = Untagged als Endgeräteport im VLAN 10
  • Switchport 3 = Untagged als Endgeräteport im VLAN 20
  • Switchport 4-8 = Untagged als Endgeräteport im Default VLAN 1
vlan

Der TP-Link Switch ist wie der u.a. Netgear ein Switch OHNE Auto PVID im Gegensatz zum oben vorgestellten Cisco!
D.h. die Port VLAN ID muss zwingend manuell im Setup zugewiesen werden. Das ist die ID, die angibt in welches VLAN eingehende, ungetaggte Pakete geforwardet werden. Im Default steht dieser Wert immer auf 1 was für die oben konfigurierten Ports 2 und 3 (VLAN 10 und 20) fatal wäre, denn dann hätte man einen VLAN Mismatch.
Ausgehende Pakete kommen dann aus dem jeweiligen eingestellten VLAN aber eingehende Pakete werden immer ins VLAN 1 geforwardet was dann sofort zur Fehlfunktion führt!
Dieser Punkt wird leider sehr oft vergessen und falsch eingestellt und führt dann in der Konsequenz zu Fragethreads hier im Forum. Deshalb hat das Tutorial einen eintsprechenden Menüpunkt auch in den weiterführenden Links was das Thema PVID Einstellung anbetrifft. Bitte unbedingt beachten !!
Die PVIDs müssen also bei diesen Switches immer richtig zum korrespondierenden VLAN an den untagged Endgeräteports gesetzt werden !
pvid
Weitere wichtige Hinweise zum Thema VLANs auf TP-Link Switches auch HIER !

back-to-topBeispiel Konfiguration Web Smart Switch Trendnet TEG-160WS


Der Trendnet TEG-160WS ist ebenfalls ein Web Smart Switch der rein über ein Web Interface konfiguriert wird:
7636cec6d85db611bae10d58624e31b2
(Uplink Port zur VLAN Firewall Router ist hier Port 16 !)

Verbindet man nun den Uplink Port (Port 1) des Switches (Port 16 beim o.a. Trendnet Beispiel) mit dem VLAN Port der Firewall (LAN Port) steht einem ersten Test nichts mehr im Wege !
Ein Ping zwischen Endgeräten in den unterschiedlichen VLANs sollte nun problemlos möglich sein sofern die Firewall Regeln entsprechend stimmen !
Über diese Regel ist hinterher, sofern gewünscht, eine Einschränkung der Kommunikation sehr leicht möglich um z.B. Gast VLANs mit eingeschränkten Zugriffsrechten zu betreiben und andere VLANs vor unberechtigtem Zugriff zu schützen.

back-to-topBeispiel Konfiguration Web Smart Switch D-Link DGS-1210


Auch hier ist die VLAN Einrichtung über das WebGUI wieder identisch:
ba61ec571d2fb2e4c5c5bdc02a8fc51d

back-to-topBeispiel Konfiguration NetGear Prosafe GS10xE Serie


Eine Beispiel VLAN Konfig für das GS108T und baugleiche Modelle mit mehr Ports findet man HIER.
NetGear bietet mit dem GS105E und dem GS108E zwei konkurenzlos preiswerte VLAN Switches. Der GS105E dürfte mit 25 Euro Straßenpreis einer der günstigsten VLAN Switches neben dem TP-Link SG105E oder 108E am Markt sein.
Bei viel Freud gibt es auch wie immer einiges Leid, denn der NetGear bietet einige Fussfallen bei der VLAN Konfiguration wie es diverse Leidensthreads hier im Forum leider belegen.
Deshalb hier eine wasserdichte Anleitung wie man die etwas gewöhnungsbedürftige VLAN Konfiguration bei NetGear Switches sicher in den Griff bekommt.
Die kleinen NetGear Modelle GS105E und 108E bieten kein WebGUI das erst ab den 108Tv2 Modellen und aufwärts verfügbar ist.
(Update 04/2018: Mit aktueller Firmware ist auf den 105E und auch 108E Modellen nun ein Onboard GUI verfügbar. Dies gilt nur für die Modelle der Hardware Versionen 2 und 3 ! Für diese beiden HW Versionen (nicht v1 !) ist dasProSafe Toolalso nicht mehr erforderlich !)
Das ProSafe Installationstool ist aber ähnlich zur WebGUI so das die Konfiguration bei den älteren v1 Hardware Modellen analog ähnlich wie mit dem WebGUI ist.
⚠️ Hat man den Switch mit dem Tool im Netz erkannt, ist es ganz wichtig bei der VLAN Installation den Button 802.1q und NICHT den Button "Port basiert" anzuklicken!
"Port basiert" ist analog zum TP-Link oben ein nicht standardkonformes NetGear Verfahren, kann also nicht mit anderen Switches kombiniert werden !
Fazit also: Einzig nur "802.1q" klicken und dann "Erweitert".

Die darauf folgende Warnung das alle vorherigen VLAN Konfigs gelöscht werden kann man getrost abnicken !
1.) Der erste Schritt ist die Einrichtung der VLAN IDs (hier aus dem Tutorial Beispiel 10, 20 und 30):
f3ab388dc0ce52a76b702fb39c7371ed

2.) Der zweite Schritt ist die Zuweisung der Ports zu den VLANs. Im Beispiel Screenshot ist hier der Uplink Port (Tagged) der Port 5 und der Endgeräteport (Untagged) der Port 4 für das VLAN 10. NetGear kennzeichnet die Ports entsprechend mit "U" und "T" wenn man in den Port klickt.
Analog geht man so für alle Ports der anderen VLANs vor:
bd8f7c05e3ab8ef48848b601bbd411e9

3.) Der dritte Schritt ist eine NetGear Besonderheit (oder sollte man "Bosheit" sagen), die viel Verwirrung schafft und über die leider viele VLAN Anfänger stolpern bei NetGear Switch Hardware.
NetGear erzwingt bei untagged Ports, also Ports an dem Endgeräte wie PCs usw. angeschlossen werden, eine VLAN ID zu vergeben !
Andere Switchhersteller machen das automatisch mit der globalen VLAN Portzuweisung, nicht so NetGear. Hier gilt es also aufzupassen !
Man muss also untagged Ports explizit zusätzlich eine VLAN ID zuweisen, obwohl man diesen Port schon untagged in ein VLAN mit dem vorangegangenen Konfig Schritt gesetzt hat.
(Für die technisch interessierten: NetGear muss bei eingehendem untagged Traffic wissen in welches VLAN dieser Traffic geforwardet werden muss, deshalb die nochmalige dedizierte Zuweisung der zum Port gehörigen VLAN ID. Fehlt sie, landet der Traffic in VLAN 1)

⚠️ Diese eigentlich überflüssige PVID Prozedur von NetGear birgt leider gefährliches Fehlkonfigurations Potenzial !
Ist ein Port z.B. untagged in ein entsprechendes VLAN gesetzt worden und fehlt die dazu korrespondierende VLAN ID an dem untagged Port wird eingehender Traffic ins default VLAN 1 geforwardet. Ausgehender Traffic kommt aber aus einem anderen VLAN.
Verständlich das entsprechende VLAN Konfigs dann scheitern und Laien verstehen oft nicht warum. Leider ein großes "NetGear Problem".
Wichtig ist hier also zwingend darauf zu achten das entsprechende untagged Ports in den VLANs auch zusätzlich die korrekte, zu ihnen korrespondierende VLAN ID (PVID) gesetzt bekommen !!!
Wenn man das Obige entsprechend aufmerksam beachtet und umsetzt funktioniert es fehlerlos.
Der folgende Screenshot zeigt wie es richtig auszusehen hat:
71b1cff1bc6a8ba5a5c733b734018ef2

⚠️ Der Uplink Port (Tagged) bleibt hier in der Default PVID VLAN ID 1 !! Eingehender Traffic der mit einer entsprechenden VLAN ID getagged ist sagt dem Switch ja schon durch den Tag in welches VLAN er gehört !
Die o.a. zusätzliche VLAN ID Zuweisung betrifft also außschliesslich NUR untagged Endgeräte Ports !
Beachtet man das alles klappt auch die NetGear VLAN Installation fehlerlos !

back-to-topBeispiel Konfiguration Dell PowerConnect Switch

interface Ethernet 1
 description Tagged Link zur Firewall
 switchport mode trunk
 switchport trunk allowed vlan 10-40
!
interface Ethernet 10
 description Enduser Ports in VLAN 10
 switchport mode access 
 switchport access vlan 10
!
interface Ethernet 11
 description Enduser Ports in VLAN 10
 switchport mode access 
 switchport access vlan 10
!
interface Ethernet 12
 description Enduser Ports in VLAN 20
 switchport mode access 
 switchport access vlan 20
!
interface Ethernet 13
 description Enduser Ports in VLAN 20
 switchport mode access 
 switchport access vlan 20
!
interface Ethernet 14
 description Enduser Ports in VLAN 30
 switchport access vlan 30
 switchport mode access 
!
interface Ethernet 15
 description Enduser Ports in VLAN 30
 switchport access vlan 30
 switchport mode access 
!
interface Ethernet 16
 description Enduser Ports in VLAN 40
 switchport access vlan 40
 switchport mode access 
!
interface Ethernet 17
 description Enduser Ports in VLAN 40
 switchport mode access 
 switchport access vlan 40
! 
Bei Cisco und Dell sind vorher die VLANs mit dem Kommando vlan-database einzurichten ! Neuere Cisco IOS Versionen benötigen dies nicht mehr. Dort reicht z.B. ein "vlan 10" als Kommando.
Weitere Details zum Thema VLANs und deren Konfiguration speziell auf Cisco und HP Switches findet man auch VLAN Konfiguration Verständnis im hiesigen Forum.

Der nächste Abschnitt beschäftigt sich nun mit der VLAN übergreifenden Kommunikation, also dem VLAN Routing !


back-to-topVLAN Routing mit pfSense / OPNsense Firewall


Die OPNsense Screenshots zur VLAN Einrichtung findet man HIER.

In der Web Konfigurationsseite der pfSense klickt man auf Interfaces Assignments um zuerst die VLANs dort im Menüpunkt VLANS anzulegen mit einem Klick auf das +Add Symbol:

vlan1
Wichtig ist hier das sog. Parent Interface !
Das ist das physische Firewall Interface über das die VLAN Pakete Tagged (also inklusive ihres VLAN Tags) auf den Netzwerk Switch in das dortige VLAN übertragen werden. (Hier im Beispiel das Interface "re2" was das LAN Interface ist. (APU Hardware)).
Traffic aus dem IP Netz dieses Interfaces selber wird immer UNtagged gesendet ! Das native VLAN am gegenüber liegenden Switch sollte also mit dem untagged native VLAN (PVID) entsprechend eingestellt sein das dieser untagged Traffic ins richtige VLAN forgewardet wird.
Alle VLANs die auf diesem Parent Interface sitzen werden immer tagged mit ihrem entsprechenden VLAN Tag gesendet und müssen am gegenüber liegenden Switch dann auch entsprechend tagged markiert sein. Einfache Logik...

Unter VLAN Tag trägt man seine VLAN ID ein z.B. 10 für das VLAN 10. Unter Description fügt man eine Beschreibung des VLANs ein. Diese ist lediglich kosmetisch, erleichtert aber das Arbeiten später beim Mangement, da man das VLAN und dessen Funktion so leichter identifizieren kann.
Das macht man jetzt der Reihe nach für alle VLANs die man über die Firewall routen möchte:

vlan2
⚠️ Wie oben bereits gesagt: Das Default VLAN 1 des Switches wird auf einem tagged Uplink Port immer untagged übertragen ! Dieses Default VLAN 1 entspricht dann dem nativen Port der Firewall (re2 im Beispiel oben). Sprich die IP Adresse des Parent pfSense Interfaces liegt so immer im VLAN 1 auf dem Switch !

Man wechselt jetzt wieder ins Menü Interfaces => Assignments und klickt wieder auf das +Add Symbol rechts unten um die virtuellen VLAN Interfaces der Firewall Interface Konfig hinzuzufügen. Danach sichert man mit Save.
Daraufhin erscheinen die Firewall VLAN Interfaces nun auch in der Interface Auswahl am linken Menürand als konfigurierbare Firewall IP Interfaces. Diese werden aus Konfigurastions Sicht wie physische Interfaces behandelt.
vlan3

Sind alle Interfaces zugewiesen tauchen sie in der Gesamtübersicht der Interfaces entsprechend auf:
vlan7

Im nächsten Schritt muss man diese VLAN Interfaces natürlich noch aktivieren (Haken "Enable") und ihnen IP Adressen zuweisen die später die Gateway IP Adressen der im VLAN angeschlossenen Endgeräte sind !
Auch entsprechende Firewall Regeln sind erforderlich da per Default alles geblockt ist wie bei Firewalls generell üblich.
Die IP Adressierung und Kennzeichnung geschieht mit dem Klick auf das VLAN Interface links im Menüpunkt Interfaces:
vlan4

Bzw. IP Adressierung:
vlan5

Über die DHCP Server Funktion der pfSense kann man dann bei Bedarf diesen VLANs noch einen DHCP Server konfigurieren.
Eingestellt und aktiviert wird der DHCP Server im Menüpunkt "DHCP Server" für das entsprechende VLAN Interface !

Ein weiterer wichtiger Punkt betrifft die Firewall Regeln für diese neuen Interfaces.
Es sei nochmals darauf hingewiesen das die pfSense eine Firewall ist und kein normaler Router.
Alle neu eingerichteten Interfaces sind per Default erstmal vollständig geblockt wie bei einer Firewall generell üblich !!!
Man muss also über die Firewall Regeln erst sein IP Netz, Adressen, Ports oder eine Kombination aus diesen für die Kommunikation freigeben !!!
Darin besteht ja auch der tiefere Sinn einer Firewall Netzwerk Verkehr zu regulieren !!!

Um aufkommenden Frust erst einmal kleinzuhalten kann man eine einfache "Scheunentor" Regel aufsetzten, die zum Testen erstmal alles erlaubt.
Das erreicht man unter Firewall -> Rules für das entsprechende Interface !
Hier legt man eine Regel:
PASS Source: any, Destination: any
an die dann allen Traffic erstmal durchlässt.
Ggf. muss (oder sollte) diese Regel später korrigiert werden wenn nicht jeder mit jedem kommunizieren soll (z.B. Gastnetz) oder nur bestimmte Anwendungen (Surfen, Mail, RDP) usw. erlaubt sein sollen für diese VLAN Segmente !

Die pfSsense VLAN Grundkonfiguration ist mit diesem Schritt erst einmal beendet und die Firewall mit VLAN Ports in die Switch Netzwerk Infrastruktur ist damit funktionsbereit.
Im nächsten Schritt ist jetzt der VLAN Switch wie oben beschrieben dran indem man den Anschlussport der Firewall dort als Tagged Port für die 3 VLANs 10 bis 30 definiert !


back-to-topVLAN Routing mit Sophos Firewall


Analog wie oben schon bei der pfSense / OPNsense Firewall beschrieben sieht die Konfiguration auf einer Sophos Firewall aus. Der folgende Screenshot zeigt das physische Interface eth0 auf dem die VLAN Trunk Konfig aufsetzt und die tagged Subinterfaces für VLAN 10 und 20. Auch hier ist analog zu den anderen Firewalls das physische Parent Interface immer UNtagged.
sophosvlan


back-to-topVLAN Routing mit Mikrotik Routern


Eine Mikrotik VLAN Konfiguration beschreibt ein eigenes VLAN Tutorial!

VLAN Routing ist bei Klein- und Kleinstnetzen recht einfach mit den kleinen und leistungsfähigen 5 Port Routern z.B. hEX einfach und preiswert mit einer Fülle von Netzwerk Features umzusetzen.
Größere Systeme wie der RB2011, RB3011/4011, RB5009 oder CRS Switches bieten entsprechend mehr Performance und mehr Ports sowie grafische Displays.
Kleinster und preiswertester Router ist ein 100Mbit hAP lite mit WLAN.
Die Mikrotik Router sind sehr einfach über ihr Web Interface oder das mitgelieferte grafische WinBox Tool konfigurierbar.
Ein sehr einfaches Standard Routing zwischen 2 und mehr IP Netzen beschreibt ein separates Routing_Tutorial.


back-to-topVLAN Routing mit DD-WRT Routern


VLAN Routing lässt sich ebenfalls mit einem Router auf Basis der sehr populären DD-WRT Firmware machen.
Die folgende Abbildung zeigt das Prinzip Diagramm eines solchen Designs: (VLAN Anzahl ist auf 2 wegen der besseren Übersichtlichkeit reduziert !)
8ce4b5d68fcd5bf6ae2b2d29b73d1d7c

Als Trunk Port der alle VLANs vom Switch zum Router transportiert wurde am Router hier im Beispiel der Port-1 am integrierten 4 Port Switch ausgewählt !
Die VLAN Einrichtung und die Zuweisung der Router IP Adressen pro VLAN ist mit ein paar Mausklicks im Router schnell erledigt:

Man startet dafür im Menüpunkt "Setup --> VLANs" wie die folgende Abbildung zeigt:
a73a8488d9ffb407e69c544ae816f878

Hier erkennt man das der Port-1 tagged konfiguriert ist für die VLANs 3 und 10. Hier wird auch der Trunk Uplink vom Switch angeschlossen !
Gleichzeitig sieht man hier im Setup auch die Einschränkung die die DD-WRT Firmware hat: Es sind nur maximal 15 VLANs erlaubt. Meist reicht das aber bei kleinen und mittleren Netzen problemlos aus, da dort nie mehr VLANs in Summe zum Einsatz kommen.
Sind die VLANs entsprechend so eingerichtet, klickt man unten auf "Apply" um die Konfiguration zu laden und dann auf "Save" um sie zu sichern !

Weiter geht es dann mit der Einrichtung der Router IP Interfaces pro VLAN im Menüpunkt "Setup --> Networking" was du untenstehende Abbildung zeigt:
b20846ced37fcea9bf155471b731b0ca

Die Konfiguration ist fast selbsterklärend. Man kann die zur VLAN ID korrespondierenden IP Interfaces sehen die hier einfach für die beiden IP Netze 172.16.3.0 /24 in VLAN-3 und 172.16.10.0 /24 in VLAN-10 konfiguriert sind wobei die Router IP immer die .1 im jeweiligen VLAN IP Netz ist.
Auch hier wieder auf "Apply" um die Konfiguration zuladen und dann auf "Save" um sie zu sichern nicht vergessen !

Bequemerweise bietet DD-WRT auch noch gleich separate DHCP Server für diese VLAN Netze an ! Wer also keine eigenen DHCP Server in diesen VLANs betreibt, kann dann bequemerweise DD-WRT mit der Verteilung von IP Adressen in diesen VLANs beauftragen !
Im gleichen Menü "Setup --> Networking" erfolgen die dafür erforderlichen Einstellungen:
4c13f12669ea3ea59c1ac14919d41f83

Ab der Start IP Adresse .100 werden so in jedem VLAN dann max. 50 IP Adressen bis zur .149 durch den Router vergeben ! Wer mehr braucht, passt das entsprechend an.
Fertig ist man mit dem VLAN Routing mit DD-WRT basierender Hardware !!
Der folgende Screenshot zeigt den Ping eines Apple Mac Rechners der sich am Switch im VLAN-3 befindet mit der per DHCP vom Router vergebenen IP Adresse 172.16.3.130. Dieser Mac (kann natürlich auch ein PC sein...) pingt erfolgreich das Router IP Interface im VLAN-10.
108b6cc7d9268e912e32ea229bb07071

Sollen auch alle weiteren VLANs über den DD-WRT direkt ins Internet ohne einen weiteren Router im externen Netz, dann muss für diese VLAN IPs auch noch das Masquerading aktiviert werden unter Service -> "Local DNS" und "DNSmasq".
Hier dann im Feld "Additional DNSMasq Option" zusätzlich zu den bestehende Einträgen alle VLANs für die es relevant sein soll eintragen:
interface=vlan3
interface=vlan10
Je VLAN in dem auch NAT gemacht werden soll, eine Zeile!

Eine einfache, schnelle und preiswerte Möglichkeit eine Kommunikation zwischen VLANs zu realisieren wenn man auf weiteren Schnickschnack verzichten kann ! Ein zusätzlicher Thread hier beleuchtet noch einige weitere Details in der Praxis
Auf Goodies wie ein Captive Portal im Gästenetz muss man bei DD-WRT aber verzichten, da DD-WRT diese Option nicht bietet.

Es sei darauf hingewiesen das auch das freie Firmware Pendant OpenWRT analog ein solches VLAN Routing supportet !
Wie das auf einem 17 Euro Router TP-Link WR841N implementiert und umgesetzt wird beschreibt das Routing_Tutorial hier im Forum.


back-to-topVLAN Routing mit Cisco RV und IOS Modellen


Wem das Flashen einer alternativen Firmware zu gefährlich ist findet aber auch kleine und preiswerte VLAN fähige Router "von der Stange". Ein Vertreter dieser Gattung ist der Cisco RV110W der zudem ein .11n fähigen WLAN Accesspoint integriert hat mit dem sich separate und sichere Gastnetze realsisieren lassen (Siehe "Praxisbeispiel" unten)
Die Konfigurationsschritte gleichen sich sehr stark denen der obigen Beispiele. Auch hier wieder die klassische Prozedur:
1.) VLANs und dazugehörige Ports einrichten (Tagged).
2.) IP Adressen und ggf. DHCP diesen VLANs zu ordnen:
d3ab9eb2bdb1192f2aebfb65cac526c9
Hier die IP Adressierung und ggf. DHCP Server:
7fbb5d1b597fb2862d6b7a17c5d3a5d0
Als Beispiel ist hier der Port 4 der tagged Uplink Port auf den VLAN Switch !

Das VLAN Routing mit IOS oder IOS-XE basierten Cisco Routern beschreibt ebenfalls ein separates Cisco Router Tutorial.


back-to-topEin Anwendungsbeispiel aus der Praxis


Die Anwendungen von VLANs in Netzwerken sind zahllos ! Immer aber sind sie eine sinnvolle Segmentierung von Netzwerken zur Performancesteigerung und zur Erhöhung der Zugriffssicherheit !
Jeder verantwortungsbewusste Netzwerk Admin segmentiert deshalb heutzutage sein Netzwerk in der einen oder anderen Art mit VLANs um Performance- und Sicherheits Standards hoch zu halten und damit eine optimierte und gesicherte LAN bzw. WLAN Infrastruktur zu betreiben.
Ein klassisches Beispiel ist das heute übliche Voice- bzw. Telefonie VLAN um VoIP Traffic in Unternehmen vertraulich und übertragungssicher (Quality of Service) vom allgemeinen Netzwerk abzutrennen. Auch aus rechtlicher Sicht ist das in nicht privaten Netzen ein Muß.

Als klassisches Anwendungsbeispiel dient hier ein sehr typisches WLAN / LAN Design in einem Firmennetzwerk und zwar die sichere Installation einer Firmen WLAN Infrastruktur mit 3 verschiedenen und getrennten WLANs unterschiedlicher Security über eine gemeinsame Hardware.
Das beinhaltet ein offenes Gäste- und Besucher WLAN mit einem professionellen Captive_Portal_Hotspot zum Login und Ticketverteilung (Einmalpasswort), einem verschlüsselten Firmen WLAN und einem unsichtbaren und verschlüsselten WLAN für den Netzwerkadmin zum bequemen, drahtlosen Administrieren seiner Netzwerkkomponenten und Server auf dem Firmen Campus.

All dies realisiert man einfach über VLAN fähige WLAN Accesspoints mit MSSIDs (ESSIDs) sowie VLAN Switches.
Dies sind heutige, aktuelle WLAN Accesspoints die mit einem einzigen physischen Accesspoint mehrere SSIDs (WLANs) gleichzeitig aufspannen können und diese WLANs bzw. ihre SSIDs (WLAN Kennungen) dann entsprechend VLAN Nummern (IDs) zuordnen können.
Z.B. WLAN Traffic aus dem WLAN mit der SSID "Firma-Intern" geht ins VLAN 10 und Traffic aus dem WLAN mit der SSID "Firma-Gastnetz" geht ins VLAN 20 usw.
Accesspoint Modelle aller bekannter Hersteller wie Lancom, Mikrotik (siehe oben), Ubiquity, Cisco, TP-Link, Zyxel u.a. supporten dieses VLAN zu SSID Feature (MSSID) mit diversen Modellen in ihrem Portfolio ebenso.
Ein genauer Blick ins Datenblatt VOR dem Kauf eines WLAN Accesspoints ist also immer ratsam, da dieses sinnvolle Feature (MSSID Support oder Multiple WLANs) kaum Mehrkosten verursacht, im Betrieb aber erhebliche Vorteile bietet wie dieses Praxisbeispiel zeigt !

Das Praxis Tutorial verwendet deshalb hier stellvertretend 2 Beispiele im high und lowcost Bereich:
a.) Mit einem Premium Cisco Accesspoint. (Siehe hier)
b.) Mit einem kleinen und preiswerten .11n fähigen Consumer AP Edimax_EW7416 (Die Setups anderer MSSID fähiger APs sind mehr oder minder identisch)

Die Schritte zur VLAN Einrichtung sind die gleichen wie oben bereits im VLAN Tutorial beschrieben:
  • pfSense/OPNsense als Captive Portal mit VLANs einrichten, korrekte VLAN IDs vergeben und ggf. DHCP auf den VLAN Interfaces aktivieren. VLAN Port entweder direkt auf den AP stecken oder wenn schone eine VLAN Infrastruktur vorhanden auf den VLAN Switch verbinden.
  • Für das Gast WLAN die Captive Portal Funktion aktivieren und anpassen wie HIER beschrieben. Ggf. Filterreglen setzen um den Gästen nicht alles zu erlauben (P2P filtern etc.)
  • Ggf. eine sichere User Authentifizierung fürs Firmen WLAN aufsetzen wie HIER beschrieben. Die zentrale Radius Authentifizierung lässt sich auch für das Captive Portal und die Gäste nutzen wer es möchte. Ansonsten einfach WPA-2 und pre-shared Passwörter verwenden.
  • Damit wären schon alle Installationsarbeiten abgeschlossen !

Schematisch sähe so ein Netzwerk so aus:

vlanueber2

Bzw. analog bei vorhandener VLAN Switch Infrastruktur:

vlanueber1

Beispiel WLAN Accesspoint Konfiguration:
Für den oben beschriebenen Accesspoint/Router Cisco RV110W ist die Konfiguration einfach und mit ein paar Mausklicks erledigt indem man die ESSIDs definiert und sie den eingerichteten VLAN IDs zuordnet.
6270252a09d7581a301deffa8d16ef3e
Der Cisco beitet zudem noch die Option den Zugriff auf das WLAN Gastnetz zeitlich zu limitieren. (Gilt für alle SSIDs)

Ebenso die identische Konfiguration mit dem preiswerten Edimax AP über sein WebGUI. Man definiert auch hier einfach die ESSIDs und die dazugehörigen VLAN Nummern (Tags):

144d093e80e1616f8bc33bf3dbff54ab

Im Security Setup wird dann einfach für jede SSID noch die Verschlüsselung gesetzt. Das Gastnetz mit dem Captive Portal bleibt dabei unverschhlüsselt und offen, da die Authentifizierung ja über das Hotspot Portal auf der angeschlossenen Monowall oder pfSense gemacht wird.
fe26d4c69c3dc25cc1f63c1150698e75

Eine passende Plug and Play Konfig für die Cisco High End Accesspoints der Air Serie sähe so aus:
(Ein detailiertes Tutorial für Cisco Accesspoints und deren Konfiguration ist HIER zu finden!)
service timestamps log datetime localtime
!
hostname Cisco_AP
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
dot11 syslog
!
dot11 ssid Mitarbeiter
   vlan 20
   authentication open 
   authentication key-management wpa
   mbssid guest-mode
   wpa-psk ascii Geheim123
!
dot11 ssid Gast-WLAN
   vlan 10
   authentication open 
   mbssid guest-mode
!
dot11 ssid IT-Admin
   vlan 1
   authentication open 
   authentication key-management wpa
   wpa-psk ascii Geheim321
!
username Admin password Admin
!
bridge irb
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption vlan 1 mode ciphers aes-ccm tkip 
!
 encryption vlan 20 mode ciphers aes-ccm tkip 
 !
 ssid IT-Admin
 !
 ssid Mitarbeiter
 !
 ssid Gast-WLAN
 !
 mbssid
speed only-ofdm
 station-role root
no dot11 extension aironet
world-mode dot11d country-code DE both
!
interface Dot11Radio0.1
 description WLAN unter VLAN-1 (verschlüsselt nicht sichtbar Management)
 encapsulation dot1Q 1 native
 no ip route-cache
 bridge-group 1
!
interface Dot11Radio0.10
 description WLAN unter VLAN-10 (offen unverschlüsselt, Gast WLAN für Hotspot)
 encapsulation dot1Q 10
 no ip route-cache
 bridge-group 10
!
interface Dot11Radio0.20
 description WLAN unter VLAN-20 (verschlüsselt, sichtbar)
 encapsulation dot1Q 20
 no ip route-cache
 bridge-group 20
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
!
interface GigabitEthernet0.10
 description VLAN-10
 encapsulation dot1Q 10
 no ip route-cache
 bridge-group 10
!
interface GigabitEthernet0.20
 description VLAN-20
 encapsulation dot1Q 20
 no ip route-cache
 bridge-group 20
!
interface BVI1
 ip address dhcp client-id GigabitEthernet0  (DHCP oder feste IP vergeben Management)
 no ip route-cache

DD-WRT WLAN Router als Multi SSID Accesspoint konfigurieren:
Natürlich kann man auch einen DD-WRT WLAN Router als Multi SSID Accesspoint konfigurieren. Das folgende Beispiel hier zeigt wie man es macht !
Nur zur Erinnerung in diesem Beispiel wir der Router nur rein als Accesspoint benutzt NICHT als WLAN Router für 2 SSIDs was aber auch möglich ist. Tips dazu im folgenden Text:
Im 1. Schritt ist unter Setup -> Networking -> Create Bridge eine neue Bridge mit dem Namen "br2" einzurichten:
6d844ead40324b61b38da8d6a79c4ff3
und dann mit "Apply Settings" und "Save" zu sichern.
Im Schritt 2 ist unter Setup -> VLANS ein VLAN für den Gastzugang einzurichten (Beispiel hier VLAN 2) und dem Port 4 tagged zuzuweisen:
3b3e7dbae9026bd3c84beb61686421d7
Das VLAN 2 bleibt bei der Verwendung als reiner AP im Setting Setup -> Networking -> Port Setup im "Default" Mode.
ef466db108752a8531ac0b00c9ce9fdb
(Achtung: Wer den DD-WRT auch als Router benutzt muss hier auf unbridged klicken und dem VLAN eine IP Adresse aus dem Gastnetz zuweisen ! Bei der Verwendung als nur AP entfällt dies natürlich!)
Im 4. Schritt wird das 2te WLAN bzw. die 2te SSID eingerichtet unter Wireless -> Basic Setting -> Virt.Interface
6ba941b8c32674c9d9f80e2f5bbb6d01
Im letzten Schritt werden die beiden Interfaces "vlan2" und "wlan0.1" der Bridge 2 zugeordnet unter Setup -> Networking -> Assign to Bridge
e02518e97f367017c273de27d37beb10
Fertig !
Danach muss man den DD-WRT Accesspoint einmal kaltstarten. Im Testaufbau funktioniert ohne den Kaltstart der tagged Link nicht auf den Switch.


back-to-topDer Umgang mit Native oder Default VLAN (PVID)


Wichtig ist zu beachten das der Anschlussport am VLAN Switch für diesen WLAN MSSID Accesspoint oder generell bei tagged Uplinks immer auf tagged (bzw. Trunk beim Cisco) für alle VLANs gesetzt werden muss.
Der AP ordnet, wie oben bereits bemerkt, die WLAN ESSIDs (WLAN Name) oder generell VLAN ID getaggte Pakete den entsprechenden VLAN Tags (VLAN ID) zu um sie dann im korrespondierenden VLAN zu forwarden.!
Einzige Ausnahme davon ist immer das sog. Default VLAN 1 das immer untagged am Port anliegen muss !!
Auf einem tagged Uplink wird das Default VLAN oder auch native VLAN also immer untagged übertragen es darf also nicht getagged werden.
Das ist insofern wichtig als das die Mangement IP Adresse des WLAN Accesspoints oder eines VLAN Switches immer in diesem Default VLAN-1 liegt die man erreichen möchte.
Sinnvoll ist ein Gastnetz NICHT in dieses Default VLAN 1 zu legen, sondern immer eine separate ESSID bzw. VLAN ID dafür zu verwenden die nicht 1 ist, um Gästen schon hardwareseitig den Zugang zu solchen Management IPs zu versperren !
Das VLAN 1 sollte dann ausschliesslich dem Management vorbehalten sein. Oder alternativ kann man untagged Pakete in ein anderes VLAN forwarden sofern die Switchkonfig dies supportet.

Damit hat man mit wenig Aufwand eine einfache, preiswerte und zudem sichere WLAN Installation umgesetzt, die sehr preiswert mehrere getrennte WLANs auf einem gemeinsamen Accesspoint betreibt um Besuchern ein einfaches Login inklusive Ticketsystem mit Einmalpasswörtern zu ermöglichen und sich selbst rechtlich abzusichern (Logging) !
In Verbindung mit einer kostenfreien 802.1x_Benutzer_Authentifizierung im WLAN sind damit sogar hochsichere Firmen (...und auch Privat) WLANs in Verbindung mit einem einfachen Besucherzugang umsetzbar und das alles ohne große Mehrkosten.
Gleichzeitig trennt diese Lösung auf gemeinsam genutzter Switch- und AP Hardware absolut zugriffssicher das Gästenetz vom Firmennetz und Firmen WLAN ohne einen teuren Hardware- und Administrations Aufwand !

Dieses klassische Captive Portal Design ist mit einer pfSense oder OPNsense Firewall, Mikrotik Routern und preiswerten Consumer WLAN Accesspoints problemlos auch mit sehr kleinem Budget umzusetzen und bietet damit einen erheblichen Mehrwert an Sicherheit mit gleichzeitigem Benutzerkomfort !


back-to-topVLAN Routing mit Layer 3 Switch ohne externen Router / Firewall


In größeren VLAN Umbegungen ist die obige one armed Anbindung eines Routers oder Firewall nicht mehr skalierbar und auch performant. Auch wenn diese performant und redundant mit einem LACP LAG per Link Aggregation angebunden ist.
Hier ist es dann sinnvoll und technisch besser einen Layer 3 Switch zu verwenden. Also einen Switch der gleichzeitig einen integrierten Router hat und so zwischen den VLANs routen kann.
Das Routing passiert direkt auf der Backplane des Switches in Silizium und muss so nicht die VLANs über einen externen Link an einen extern angeschlossenen Router oder Firwall hin und auch wieder zurück transportieren. (Doppelter Traffic!)
In Netzen ab einer bestimmter Größe ist ein Layer 3 Design der Standard. Meist hat man für die Hochverfügbarkeit dann 2 redundante L3 Core Switches in solchen Netzen die per MLAG usw. und VRRP oder HSRP eine Gateway Redundanz emulieren oder in neueren Designs mit Full Stacking fähigen Switches einen Stack im Core bilden.
Die Internet Anbindung wird dann immer über ein Transfer- oder separates VLAN realisiert um diesen Traffic von Produktiv VLANs fernzuhalten, was auch der Sicherheit der internen VLAN Segmente entgegen kommt.
Ein Beispielansicht der Layer 3 IP Topologie sähe dann z.B. so aus:

l3_neu

Ein einfaches, hochverfügbares Standard Netzwerkdesign mit Ausfallsicherung (Redundanz) und den vorab genannten Core und Access Layern zeigt das folgtende Bild.

stackdesign

back-to-topWeiterführende Links und Konfig Beispiele zum Thema VLAN


Forentutorial zu IP Routing Grundlagen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Mysterium "PVID" (Default bzw. Native VLAN) bei VLAN Setups erklärt...:
Warum gibt es PVID bei VLANs?
Tips zum Default, Native VLAN Verhalten auf tagged Uplinks eines Switches:
(gelöst) Accesspoint im VLAN nicht erreichbar

c't Wissens Artikel zum Thema VLAN:
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html

VLAN Grundlagen in Wikipedia und YouTube:
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
https://www.youtube.com/watch?v=vE5gvbmR8jg
https://www.youtube.com/watch?v=NmkFzDrZsXM

Firewall Filter- und Regelwerke am Beispiel eines gesicherten Schul Netzes:
Mit PFSense Drucker in einem per VLAN getrennten WLAN Netz verfügbar machen


back-to-topVLANs in einem Layer 3 Switch Routing Umfeld


VLAN Basisdesign mit Layer 3 (Routing) fähigem Switch:
VLAN Segmentierung mit Layer 3 Switch

⚠️ Bei Layer 3 Switch Design NAT Regeln beachten bei OPNsense / pfSense!:
Routing Problem OPNsense
Routing von VLANs untereinander und zur Firewall Cisco GS300

VLAN Design- und Praxis Beispiele mit Layer 3 (Routing) fähigen Switches:
Cisco SG Modelle:
Verständnissproblem Routing mit SG300-28
Bestehendes Netzwerk in VLANs trennen, Einkaufsberatung
Kleine Fragen zum Cisco SG350-28
Cisco SG300 DHCP an VLAN
Cisco L3 und Lancom:
Lancom Muliti-WAN Router und Layer3 Cisco Switch - VLAN Fragen
HP 1900:
2 Netze mit eigenem DC an HP 1920S
Vlan Konfiguration HP 1920

VLAN IP Access Listen (ACL) bei Cisco CBS u. SG Switch Modellen richtig konfigurieren:
Netzwerk in Wohnprojekt mit Cisco SG350-20

Redundantes Routing Umfeld mit VRRP:
VRRP Einrichtung

Beispiel direktes L3 Routing mit HP Switch:
http://vmfocus.com/2012/09/26/how-to-configure-layer-3-static-routes-vl ...

NAT Hairpin Fehler vermeiden:
OPNsense Hairpin-reflection nat funktioniert nicht

Layer 2 VLANs transparent über VxLAN Tunnel routen:
VLAN über Site2Site VPN


back-to-topVLAN Praxis mit Mikrotik


VLAN Konfiguration mit Mikrotik Router OS:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Mikrotik Switching und Routing Problem

VLANs mit Mikrotik auf HP ProCurve Switch im Detail:
Routerboard RB 750GL + TP-Link TL-SG3424 VLAN Konfiguration

VLANs mit Mikrotik auf TP-Link Switch im Detail:
VLAN mit Mikrotik RB750GL und TP Link managed Switch SG3216

Details zum hiesigen "Praxisbeispiel" (Gast WLAN Setup) mit Mikrotik RouterOS:
Mikrotik mehrere VirtualAccessPoints mit gleicher SSID

Mikrotik mit gerouteten Multicast (IP PIM) VLAN Segmenten:
Vlan-Tags Mikrotik
Mikrotik mit gerouteten Multicast (IP PIM) VLAN Segmenten und mDNS (Bonjour) Proxy mit Rasberry Pi:
UPNP mit Mikrotik Routerboard hEX PoE und D-Link DGS-1210-24 Switch


back-to-topVLAN Praxis mit verschiedenen Switches


VLANs mit Proxmox und VmWare ESXi:
Pfsense in Proxmox als Router
VLAN mit Cisco SG220, ESXIund Pfsense
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
Pfsense UNMAP error mit LSI Logic SAS?

Hyper-V VLAN Trunk einrichten:
https://kuhlmannit.de/hyper-v-vlan-trunk-einrichten/

VLANs auf HP ProCurve 1910 Switch und pfSense:
VLAN Switch nicht mehr erreichbar
...und OHNE pfSense dafür aber mit einem LACP LAG:
VLAN zwischen HP Switchen

pfSense Firewall mit Gast-WLAN / VLAN:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Tagging Anfänger Hürden überwinden:
Alix APU.1D4 mit pfSense per seriellen Anschluss installieren geht nicht

VLANs mit FritzBox, Mikrotik auf NetGear Switches (GS105E, GS108E, GS724) im Detail:
VLAN mit Fritzbox Gastnetz und MSSID WLAN Accesspoints
AVM Router mit Mikrotik Router für VLAN und Netgear GS724Tv4 für VLAN und Port Trunking
Mikrotik nach system reset-configuration wieder Erreichbarkeit des Router?

VLANs mit DD-WRT auf HP 1810 Switch im Detail:
VLAN Problem mit HP 1810-24 G (v2)

Praxisbeispiel VLAN Setup mit Cisco RV110 und D-Link Switch:
CISCO RV110W als AccessPoint im VLAN


back-to-topVLANs mit dynamischer Zuweisung auf Basis 802.1x und MAB (Radius)


Radius Server Grundlagen Dot1x und MAB :
Freeradius Management mit WebGUI

Dynamische VLAN Zuweisung am LAN Switch mit 802.1x:
Cisco SG 350x Grundkonfiguration
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch


back-to-topVLAN Praxisbeispiele mit MSSID WLANs


Dynamische VLAN Zuweisung an WLAN Accesspoints:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
WLAN: VLAN-Zuordnung anhand Radius-Eigenschaften? MikroTik CAPsMAN
Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 mit User-Manager als Radius-Server

Konfigurations Tutorial für Cisco WLAN Accesspoints:
Cisco WLAN Access Points 1142N, 2702, 3702 für den Heimgebrauch umrüsten

WLAN Netz mit Multi SSID und VLAN auf DD-WRT:
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=64098
und auch
http://www.flashsystems.de/articles/1730


back-to-topGemischte VLAN Themen


mDNS Dienste Airprint etc. in gerouteten Netzen:
mDNS Dienste über geroutete Netze verwalten

Multicast Routing auf pfSense u. OPNsense (PIMD Package):
Multicast über VLANs hinweg auf PfSense

Tücken bei der LACP Link Aggregation (Link Bündelung) erkennen und Bandbreite erhöhen:
Link Aggregation (LAG) im Netzwerk
Cisco - Level-One und Portbündelung bzw. Trunk
Mikrotik nach system reset-configuration wieder Erreichbarkeit des Router?
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Netzwerk Management Server mit Raspberry Pi

VLANs auf einem Server realisieren:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren (Windows)
Netzwerk Management Server mit Raspberry Pi (Linux)

Raspberry Pi als VLAN Router:
Netzwerk Management Server mit Raspberry Pi

IP-TV Multicast (Magenta, Entertain) auf pfSense Firewall einrichten
https://www.heise.de/ct/artikel/MagentaTV-auf-pfSense-Co-4698826.html
Telekom Entertain (IPTV) hinter TP-Link Switch verfügbar machen
Magenta TV hinter pfSense und Cisco c3560cx
Magenta TV hinter pfSense und Cisco c3560cx
Speedport W 724V + Routerboard 450G + VDSL (all IP) + Entertain

Praxisbeispiel 2 Netze u. 2 Internet Router ohne stat.Routing
Routing zwischen verschiedenen Netzen

Subnetze dynamisch routen mit OSPF (Mikrotik):
Netzwerktopologie - mehrere Werke

VPN Zugang für remote Clients:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Mikrotik L2TP VPN Server

VDSL und ADSL Modem Übersicht bei Breitband Routern:
Suche adsl2+ und vdsl modem

Content-ID: 110259

Url: https://administrator.de/contentid/110259

Ausgedruckt am: 23.11.2024 um 17:11 Uhr

Dani
Dani 01.03.2009 um 14:36:05 Uhr
Goto Top
Hi aqui,
wie von dir gewohnt....sauber, verständlich und ausführlich beschrieben. Davon könnten sich einige Leute eine Schreibe abschneiden.
Willst du nicht für die Konfigurationsbefehle die CODE-Boxen benutzen? face-wink


Grüße,
Dani
aqui
aqui 01.03.2009 um 14:39:57 Uhr
Goto Top
Wenn du das als Admin so sagst, mach ich das natürlich gerne face-wink
JoeJoe
JoeJoe 04.05.2009 um 05:37:51 Uhr
Goto Top
Hi Aqui,

dem Kommentar von Dani schließe mich voll an...............alles super beschrieben. Habe ein ähnliches Netz bei mir mit dieser Anleitung zum laufen gebracht.

Eine Frage noch>>>>

Hast du noch eine Idee wir man die M0n0wall dazu bringt z.Bsp. um 06:00 Uhr sich automatisch eine neue IP holt??

Many Thx

Joe
aqui
aqui 04.05.2009 um 10:54:35 Uhr
Goto Top
Das ist eine gute Frage !!!
Über das Setup geht das so nicht, da es eine solche Option nicht gibt !

Machs ganz einfach mit einem "Quick and Dirty Workaround" : Besorg dir eine Schaltuhr und schalte die FW einfach um 6 Uhr einmal aus und ein....
Ist zwar nicht das gelbe vom Ei aber du errreichst was du willst face-wink
Schwabe85
Schwabe85 25.11.2013 aktualisiert um 18:38:38 Uhr
Goto Top
Genau das was ich gesucht habe! Super.

Weiß vielleicht zufällig jemand ob die Konstellation
af963792f3b2dbdcdd424dd53a850b17

mit dem TP-Link WDR4300 möglich wäre?
Dank Multi SSID Unterstützung sollte dies doch möglich sein.

Das ganze würde dann bei mit einem Switch und 4-5 WDR4300er laufen.


Dann hätte ich noch die Frage zwecks IP-Vergabe der APs und Switch.
In der Monowal bzw. Pfsense kann ich ja wie oben angegeben für jedes VLAN einen DHCP einrichten.
Welche feste IP Adresse bekommen dann die APs oder der Switch?

Grüße
Schwabe
christianW
christianW 09.04.2014 um 01:11:00 Uhr
Goto Top
Auch ein Hallo von mir,
ein wirklich hervorragender Beitrag, Respekt.
Viellicht könnte man noch erwähnen, das im Gegensatz zu einer "richtigen" Firewall wie der pfSense der Traffic unter den VLANs wie beschrieben von Haus aus erst einmal geblockt ist, dies ist bei einem Router mit DD-WRT Firmware nicht der Fall

MfG
aqui
aqui 09.04.2014 aktualisiert um 09:05:00 Uhr
Goto Top
Da verhält sich die pfSense natürlich als Firewall standardkonform wie Firewalls das immer tun !
Es gilt immer die unter Netzwerkern allseits bekannte goldene Firewall Regel: "Es ist alles verboten was nicht ausdrücklich erlaubt ist !"
Router sehen das in der Regel etwas lockerer, sind ja auch keine Firewalls face-wink
chemikus
chemikus 14.04.2014 um 12:33:20 Uhr
Goto Top
Zitat von @aqui:
Eine passende Plug and Play Konfig für den Cisco High End Accesspoint der Aironet Serie sähe so aus:

kann ich das so verstehen, das ich diesen Accesspoint quasi direkt an ein ALIX-Board mit pfSense anschließen kann?

oder wird der kurz vorher angesprochene Cisco-VPN-... dafür benötigt.

Soweit ich munkeln gehört habe, benötigen etliche APs von Cisco direkt mal einen WLAN-Controller, damit die überhaupt laufen.
aqui
aqui 14.04.2014 aktualisiert um 20:28:44 Uhr
Goto Top
kann ich das so verstehen, das ich diesen Accesspoint quasi direkt an ein ALIX-Board mit pfSense anschließen kann?
Ja, absolut das geht problemlos, da das ALIX ja tagged Frames supportet an ihren Ports !
Ein VPN ist dafür NICHT erforderlich !
benötigen etliche APs von Cisco direkt mal einen WLAN-Controller, damit die überhaupt laufen.
Nein, das ist schlicht FALSCH und auf "munkeln" sollte man sich bekanntlich in der IT nicht verlassen ! Sowas kommt meistens von solchen leuten mit "gefährlichem Halbwissen" und wenig fundierter Fachkenntniss...wie immer.
Richtig ist aber das sich die Cisco APs (und hier sind bewusst NICHT die Modelle der Consumer AP Serie gemeint !) sowohl in einem Controller Mode (Lightweight Mode) als auch im Stand Alone Mode (Autonomous Mode) betreiben lassen.
Zusätzlich kann man natürlich einen Stand Alone AP (Autonomous Mode) zu einem Controller basierten AP machen und auch andersrum.
Es muss lediglich mit TFTP oder FTP oder SCP ein anderes Firmware Image in den AP geflasht werden....fertig !
Am besten wie immer selber lesen und verstehen:
http://www.cisco.com/c/en/us/td/docs/wireless/access_point/conversion/l ...
oder
http://mrncciew.com/2012/10/20/lightweight-to-autonomous-conversion/
Sucht man bei Dr. Google nach diesen Schlagworten gibt es tausende HowTos dazu.
christianW
christianW 18.04.2014 um 13:49:49 Uhr
Goto Top
Hallo aqui,
habe gerade mal die pfSense zusammengebaut und die Grundkonfiguration begonnen.

Benötige gesamt vier Netze.
die pfSense habe ich in der Grundkonfiguration auf
192.168.70.254 gesetzt.

Meine benötigen Netze:
Netz1 192.168.70.0
Netz2 192.168.72.0
Netz3 192.168.69.0
Netz4 10.10.10.0

Ich habe nun folgende Konfiguration
Netz1 vr0 192.168.70.254/24
Netz2 vr0 192.168.72.254/24 (angelegtes VLAN, mit dem entsprechendem DHCP)
Netz3 vr2 192.168.69.254/24 (angelegtes VLAN, mit dem entsprechendem DHCP)
Netz4 vr2 10.10.10.254/24 (angelegtes VLAN, mit dem entsprechendem DHCP)

was mir in der Struktur noch nicht ganz klar ist:
Muß ich für "vr0" ein anderes physikalisches Konfig-Netz angeben z.B. 192.168.0.1 und 192.168.70.0 als Vlan anlegen um untereinander Rules zu konfigurieren ?

Dem Adapter vr2 habe ich keine physikalisches Netz IPv4 eingetragen nur, die VLANs 3+4 darauf erstellt, benötige ich hier ebenfalls ggf. ein physikalische IP auf dem Adapter ?

Ich hoffe ich konnte mich verständlich ausdrücken ?


MfG
aqui
aqui 18.04.2014 aktualisiert um 14:14:50 Uhr
Goto Top
Ja ! Es muss immer ein sog. physisches Netz geben auf dem Port und auf dem ist dann der VLAN Parent aufgesetzt, also das Netz was zusätzlich über den Port mit einem VLAN Tag transportiert wird !
In deinem konkreten Beispiel oben ist das:
Netz1 vr0 192.168.70.254/24 (Physischer Port, Parent) Switch --> VLAN 1
Netz2 vr0 192.168.72.254/24 (angelegtes VLAN z.B. mit VLAN Tag 72, mit dem entsprechendem DHCP)
Netz3 vr2 192.168.69.254/24 (Physischer Port, Parent) Switch --> VLAN 69
Netz4 vr2 10.10.10.254/24 (angelegtes VLAN z.B. mit VLAN Tag 10, mit dem entsprechendem DHCP)


Wenn du diese Ports auf einem VLAN Switch zusammenführst musst du etwas aufpassen um die VLANs wieder sauber getrennt auf dem Switch zusammen zu bekommen:
Dieser Switch muss 4 eingerichtete VLANs haben also das Default VLAN plus 3 weitere VLANs. Folgend dem Beispiel VLAN 1, VLAN 69, VLAN 10 und VLAN 72

Port vr0 steckst du in einen untagged Port im VLAN 1 auf demselben Port liegt VLAN 72 tagged
Port vr2 steckst du in einen untagged Port 69 auf demselben Port liegt VLAN 10 tagged
Auf dem Port 2 muss das native VLAN auf 69 d.h. alle untagged Pakete auf diesem Port soll der Switch in sein VLAN 69 forwarden.
Fertisch...!
Es kann sein das dein Switch nicht die Möglichkeit bietet ein native VLAN zu definieren. Dann musst du etwas umkofigurieren:
Netz1 vr0 192.168.70.254/24 (Physischer Port, Parent) Switch --> VLAN 1
Netz2 vr0 192.168.72.254/24 (angelegtes VLAN z.B. mit VLAN Tag 72, mit dem entsprechendem DHCP)
NetzX vr2 **keine IP vergeben oder nicht genutzte "Dummy IP" (Physischer Port, Parent)
Netz3 vr2 192.168.69.254/24 (angelegtes VLAN z.B. mit VLAN Tag 69) Switch --> VLAN 69
Netz4 vr2 10.10.10.254/24 (angelegtes VLAN z.B. mit VLAN Tag 10, mit dem entsprechendem DHCP) Switch --> VLAN 10

So sollte es klappen...
christianW
christianW 18.04.2014 um 16:14:54 Uhr
Goto Top
Zitat von @aqui:

Es kann sein das dein Switch nicht die Möglichkeit bietet ein native VLAN zu definieren. Dann musst du etwas umkofigurieren:
Netz1 vr0 192.168.70.254/24 (Physischer Port, Parent) Switch --> VLAN 1
Netz2 vr0 192.168.72.254/24 (angelegtes VLAN z.B. mit VLAN Tag 72, mit dem entsprechendem DHCP)
NetzX vr2 keine IP vergeben oder nicht genutzte "Dummy IP" (Physischer Port, Parent)
Netz3 vr2 192.168.69.254/24 (angelegtes VLAN z.B. mit VLAN Tag 69) Switch --> VLAN 69
Netz4 vr2 10.10.10.254/24 (angelegtes VLAN z.B. mit VLAN Tag 10, mit dem entsprechendem DHCP) Switch --> VLAN 10

So sollte es klappen...

müsste dann aber nicht auf den physischen "vr0" nicht auch
keine IP vergeben oder nicht genutzte "Dummy IP" (Physischer Port, Parent) ?
aqui
aqui 19.04.2014 um 12:20:13 Uhr
Goto Top
Nein, bei einem der vr Interfaces kannst du auch das physische Interface konfigurieren. Das ist der untagged Traffic der dann in das default VLAN 1 geht.
Bei getaggten Interfaces liegt das Default VLAN 1 immer untagged mit an !

Wenn du das an einem 2ten physischen Interface auch machen würdest hast du dort natürlich eine andere IP würdest du das wieder auf einem Tagged Port am Switch stecken dann landet der untagged Traffic wieder automatisch in VLAN 1. Dadurch das du hier nun aber an einem anderen vr Interface bist sendest die dann mit einem Male den Taffic dieser beiden Interfaces die eigentlich zwingend getrennt sein müssen auf einen gemeinsamen Draht nämlich in das VLAN 1

Bie vielen Switches kann man das sog. "Native VLAN" bestimmen also an dem Switchport sagen WO in welches VLAN der Switch untagged Traffic forwarden soll. Mit diesem Native VLAN Kommando kannst du das dann wieder sauber steuern und auch den physischen Interfaces IPs geben, da du es ma Switch ja wieder trennen kannst.

Viele Switches haben aber diese Option nicht, die forwarden dann immer jeglichen untagged Traffic auf ihren Ports ins VLAN 1.
Da hast du dann Probleme den Traffic der vr Interfaces wieder sauber zu trennen der nicht getaggted ist.
Getaggter Traffic ist logischerweise davon ausgenommen, denn der hat ja einen eindeutigen VLAN Tag und den kann der Switch immer wieder richtig zuordnen.
christianW
christianW 21.04.2014, aktualisiert am 22.04.2014 um 22:53:23 Uhr
Goto Top
Hallo,
habe folgendes auf der pfSense konfiguriert:
vr1: nativ70, 192.168.70.0
vr1: VLAN72, 192.168.72.0
vr2: nativ69, 192.168.69.0
vr2: VLAN10, 10.10.10.0
3cc5c340ed113226b3f89bcc8f9fa420

Auf dem Procurve, die Ports in entsprechende VLANS aufgeteilt 10, 69, 70, 72 , im Anschluss die PVID zum dementsprechenden Netz vergeben:
cfe4a39ecddb705ab37796cafe4015a0

Port23 Uplink für 70, 72
Port23 Uplink für 69, 10
die beiden Ports gehören auch in der Portkonfiguration den jeweils beiden VLANs an

Soweit funktioniert auch alles, man bekommt am dementsprechenden Switchport die richtige IP aus dem richtigem Netz, sollte eigentlich alles stimmen.
Firewall Ruleset den Interfaces zugewiesen. Soweit funktionieren diese auch
palmetshofer
palmetshofer 30.08.2014 um 13:55:00 Uhr
Goto Top
Hallo Leute!

Ich hätte da mal eine grundlegende Frage dazu. Wenn ich das richtig verstanden habe, dann läuft sämtlicher Traffic der zwischen den VLANs geroutet werden soll, über den Tagged Link. Also aus einem Port raus aus dem Switch, in das physische Interface bspw. der pfSense-Firewall rein, die routet dann, schickt es wieder raus auf den einen Switch-Port und der haut das Paket dann auf den jeweiligen Ports raus die eben diesem VLAN angehören, oder?

D.h. ich hab bei viel Inter-VLAN Traffic mehr oder weniger Last auf dem Router, sehe ich das richtig? Wie platziere ich dann bei der Verwendung von VLANs strategisch günstig einen File-Server, auf dem zum Beispiel aus dem Server-VLAN und dem Firmen-Client-VLAN gleichermaßen zugegriffen wird und dabei auch mit größeren Files gearbeitet werden soll so, dass ich mir den Tagged Link nicht mit Traffic vom File-Server "zumülle"?

Wäre es dann strategisch viel klüger gleich einen MikroTik-Router oder bei mehr VLANs einen Layer3-Switch der mir das Routing zwischen den VLANs übernimmt ein zu setzen?

Viele Grüße,

Matthias
aqui
aqui 30.08.2014 aktualisiert um 17:05:27 Uhr
Goto Top
dann läuft sämtlicher Traffic der zwischen den VLANs geroutet werden soll, über den Tagged Link.
Ja, das siehst du genau richtig !
D.h. ich hab bei viel Inter-VLAN Traffic mehr oder weniger Last auf dem Router, sehe ich das richtig?
Auch das siehst du richtig !
Wie platziere ich dann bei der Verwendung von VLANs strategisch günstig einen File-Server....?
Eine sinnvolle Frage !
Es gibt 2 Optionen:
1.) Du gibst dem Fileserver selber auch einen tagged Link das der im VLAN direkt erreichbar ist und es keinen "Umweg" über den Router gibt.
Wie man das macht erklärt dir dieses Tutorial:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Das Routing bleibt hier natürlich deaktiviert auf dem Server !
2.) Das Tutorial beschreibt ja wie man in einem reinen Layer 2 VLAN Switchdesign ein Routing hinbekommt. Generell muss man bei solch einem Design mit einem "Router on the stick" aufpassen das der Uplink Traffic über den Tagged Link idealerweise eine höhere Bandbreite hat als z.B. die Clientports. Mit einem Switch der 100 Mbit Clientports hat und z.B. einige GiG Uplinkports ist das recht einfach.
Mit einem heute üblichen Gigabit Switch und viel VLAN übergreifendem Traffic macht es dann Sinn LAGs zu verwenden. Mit so einer Link Aggregation bündelt man 2 oder mehr Links auf den Router und verteilt so die Bandbreite auf mehr Kapazität. Wer etwas Budget hat macht den Sprung auf 10 Gig.

Allerdings macht dann in der Tat so ein Aufwand keinen Sinn mehr mit einem externen Router, da die Schere Bandbreite und Kosten/Nutzen in so einem Design weit auseinandergeht. Hier ist deine Kritik berechtigt.
In solchen Netzwerkdesigns sollte man immer zwingend einen Layer 3 Switch, also einen Routing fähigen Switch, einsetzen der in Wirespeed auf seiner Switchbackplane routet und eben nicht von externen Links abhängig ist.
Das o.a. Konzept ist ein Kompromiss für kleinere Netze die man sinnvoll in VLANs segmentieren möchte sofern preiswerte Layer 2 Switchtechnik im Einsatz ist. Ziel ist immer durch sinnvolle Segmentierung performante und skalierbare VLAN Einzelnetze zu bekommen und damit ein performantes Gesamtnetz zu etablieren.
Es stellt aber immer einen Kompromiss dar in einen historisch gewachsenen, flachen L2 Netz im Vergleich zu L3 Switches.
Dein absolut berechtigter Einwand gleich strategisch von Anfang an einen Layer 3 Routing Switch zu verwenden ist absolut korrekt und natürlich der Königsweg. Ein klassisches Netzwerk Design mit einem HA L3 Switchcore sähe z.B. so aus:

9544246a0ee6b18387bac0fb3a420ad0
Wobei der Core mit 2 L3 Switches im VRRP HA Design heute zunehmend mit 2 mal L3 fähigen und stackbaren Switches abgelöst wird die logisch wie ein Switch konfigurierbar sind.
Damit könnte man die redundanten Links von Server und Access Switches immer als LACP LAGs konfigurieren und so komplett auf das lästige Spanning Tree verzichten.
Pluspunkt ist in so einem Stack Design die doppelte Bandbreite und gleichzeitige Redundanz dieser Uplinks face-wink
palmetshofer
palmetshofer 30.08.2014 aktualisiert um 17:46:45 Uhr
Goto Top
Hallo aqui!

Danke erstmal für die tolle ausführliche Antwort. Habe mir schon gedacht, dass es eine kostengünstige Lösung wäre dem Server per Tags in den notwendigen VLANs zugänglich zu machen, wusste allerdings nicht ob das so einfach geht mit einem MS Server. Danke für den Link!

Die Lösung per L3 Switches wäre natürlich auch im Hinblick auf ein Wachstum des Netzwerks die zukunftssicherere Lösung und ich glaube es wäre am falschen am Platz gespart mit einer Investition, zumal ein nachträgliches Auseinandernehmen und Neu-Arrangieren des Netzes immer Probleme mit sich bringt, und mit den L3 Cores das Netz gut erweiterbar bleibt ohne viel "Murks" zu verursachen.

Einen dedizierten Router ein zu setzen würde auch nur bis zu einer gewissen Last sinnvoll sein, da die meisten ja Software mäßig routen und ich mir ja hier dann wieder einen Performance-Verlust einfangen kann.

LACP LAGs zu verwenden macht absolut Sinn. Verwende ich auch bei den ESXi Servern für Storage-Anbindung und Redundanz bzw. teils auch wegen der Bandbreite.

Werde mir mal ein gutes Diagramm anfertigen und sehen wie weit ich planen kann; ohne Zeichnung, nur im Kopf, das klappt nicht. ;)

EDIT:

Eine Möglichkeit die mir in den Sinn kam, wäre erstmal einen etwas günstigeren L3 Switch, ich glaube es gibt einen "MirkoTik Cloud Irgendwas" der L3 kann und GBit hat, ein zu setzten als Core, da hier später sollte das Netz wachsen der neue Switch nur mehr konfiguriert werden müsste und einfach umgepatcht.

Vielen Dank nochmal!

LG Matthias
trollmar
trollmar 27.01.2015, aktualisiert am 28.01.2015 um 21:00:54 Uhr
Goto Top
Erstmal vielen Dank an "aqui"!
Ich als "newbie" was Pfsense und Vlan's ect. angeht habe bei Administrator.de schon viel gelernt!!

Kann mir jemand sagen wie ich zwei Switche (Netgear GS108E) mit Trunk "weiterleitung" an PFsense anbinden kann?
Hab da mal eine Zeichnung gemacht. Geht das so:
69607466bd1bea4f571e3bda14bfa9fe

Also geht das mit zwei GS108Ev3?


Vielen Dank!!!!


NEWBIE TIPP:
Ich hatte übrigens am Anfang so meine Schwierigkeiten das alles mit dem Netgear und Pfsense zu laufen zu kriegen.

Versucht nicht ein Teil eures alten LAN's in ein Vlan1 (default) zu "verwandeln".
Der TrunkPort am Router der mit dem Parent Interface verbunden ist ist Vlan1.
Alle anderen Ports (Endgeräte) am Switch müssen beim Netgear ein andes Vlan (z.B 10 oder xx) haben um erreichbar zu sein.
So gehts wenigsten bei mir.
aqui
aqui 28.01.2015 aktualisiert um 12:12:28 Uhr
Goto Top
Kann mir jemand sagen wie ich zwei Switche (Netgear GS108E) mit Trunk "weiterleitung" an PFsense anbinden kann?
Natürlich können wir dir auch das sagen !! Es steht alles in dem obigen Tutorial wenn du mal genau hinsiehst und liest ! face-wink
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das ist ganz einfach... VLANs tagged auf den Uplink bringen, Subinterfaces auf der pfSense einrichten, fertisch !
Ist alles im obigen Tutorial explizit erklärt !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Also geht das mit zwei GS108Ev3?
Ja, natürlich ! Vollkommen problemlos !

Ich hatte übrigens am Anfang so meine Schwierigkeiten das alles mit dem Netgear und Pfsense zu laufen zu kriegen.
Nicht nur du, auch gestandene Profis !
Das liegt aber weniger an dir und der Tatsache das du ein Newbie bist, sondern daran das NetGear die schwachsinnigste VLAN Konfig des gesamten Netzwerkmarktes besitzt.
Du kannst dir also nur vorwerfen lassen das du einen Kardinlasfehler begangen hast, weil du dir das FALSCHE Produkt, nämlich einen üblen NetGear Switch, beschafft hast um die ersten Gehversuche zu machen in Bezug auf VLANs.
Aber was solls...es übt ja und das ist bekanntlich unbezahlbar !

P.S.:
Und bitte lasse den Unsinn mit externen Bilderlinks hier im Forum. Es gibt hier eine wunderbare Bilder Hochladen Funktion mit der du die Bilder direkt in die Antworten pasten kannst ohne die Community auf externe Bilderlinks mit Zwangswerbung zu redirecten.
Alles in den FAQs
trollmar
trollmar 08.02.2015 um 00:25:52 Uhr
Goto Top
Zitat von @aqui:

> Kann mir jemand sagen wie ich zwei Switche (Netgear GS108E) mit Trunk "weiterleitung" an PFsense anbinden kann?
Natürlich können wir dir auch das sagen !! Es steht alles in dem obigen Tutorial wenn du mal genau hinsiehst und liest !
face-wink

Hi, jetzt brauch ich wohl doch hilfe face-wink
Habe mir nachdem Netgear Debakel einen Dlink 1210-16 geholt.

Ich bekomme einfach die Verbindung von Switch1 (Netgear an PFsense) zu Switch2 (Dlink 1210-16) nicht hin.

Was läuft:
An der PFsense habe ich den Netgear VLAN konfig hinbekommen.
Hier laufen 4 VLAN's (Vlan1 , Vlan10, Vlan20, Vlan30)
Bei mir ist port 8 der Trunk Port Zur PFsense (Vlan1).
Ich kann von VLAN10 (Laptop) auf VLAN30 zugreifen.

Was nicht läuft:
Jetzt habe ich einen zweiten Switch (Dlink) gekauft.
Diese habe ich an den Netgear Switch (an Port7) angeschlossen und diesen auf "taged" gestellt und Mitglied auf VLAN1.
Am Dlink ist der Port1 auf Taged Gestellt und ist im Vlan1. Also

Dlink port 1 >> Netgear port7>>Netgear port8>>> Pfsense
Hier meine Topology

4a51cfd4f4960af6f4114125f48ff66d

Hier meine Einstellung im netgear (der an PFsense)
Der Vlan gut aber den Dlink nicht einbindet.
1eca135e8f8591cd8201ac8b7e4a20b6
787d1d94cb2dfaa342412b7670eeb2c3
d066b0302588b3241bb6d83ce15affce
d94bdb78a78d6544293b970e07991dc5
5bba964a3d825818879d9bc696077ed6
ddefd8359fe1b480e3bd90ebf992d33d

Und hier die EInstellungen im Dlink
Hier ist der Port 7 mal testweise im Vlan10
a6378ff19249518afaaf0fb535ad411e


..habe ich einen Denkfehler?
aqui
aqui 09.02.2015 um 13:00:19 Uhr
Goto Top
Diese habe ich an den Netgear Switch (an Port7) angeschlossen und diesen auf "taged" gestellt und Mitglied auf VLAN1.
Das ist falsch, denn das VLAN 1 ist das Default VLAN. Das kannst du gar nicht tagged setzen bei diesen Switches, denn das Default VLAN wird IMMER untagged auf einem Uplink ünertragen.
Was du machen musst ist diesen Port 7 zum DLINK identisch so einstellen wie den Port zur pfSense ! Klar....denn wir gehen mal davon aus das du alle VLANs ja auch transparent auf dem D-Link im Zugriff haben willst.
Also VLAN 1 untagged (Default) und alle deinen anderen VLANs hier tagged.
Du musst übrigens das VLAN 1 niemals angeben in der VLAN Liste, denn alle Ports sind immer per Default in VLAN 1 auch tagged Uplink Ports ! VLAN 1 liegt dort immer per Default an.
Du hast dich vermutlich mal wieder in der megakranken NetGear Konfig verhaspelt. Das ist wirklich die krankeste VLAN Setup Logik am Markt. Daraus kann man nur schliessen: niemals NetGear Switches !!!
Sollte der NetGear wider Erwarten doch das VLAN 1 taggen (Wireshark Trace !) musst du das zwingend entfernen, denn der D-Link kann damit nicht umgehen. Der hat standardkonform das VLAN 1 immer untagged an tagged Uplink Ports ! Beachte das !

Analog machst du das am D-Link Port 1 der zum NetGear Port 7 geht:
VLAN 1 untagged und alle anderen VLANs wieder tagged.
Damit hast du dann an diesem beiden Uplinks die die Switches verbinden alle VLANs auch mit übertragen.

Nun musst du auf beiden Switches nur noch deinen Endgeräten die entsprechenden Ports bzw. VLANs zuweisen in denen diese arbeiten sollen...fertisch.
Eigentlich ein Kinderspiel ?! Dein Design ist ein simpler Klassiker.
trollmar
trollmar 09.02.2015 um 16:10:07 Uhr
Goto Top
Zitat von @aqui:
Eigentlich ein Kinderspiel ?! Dein Design ist ein simpler Klassiker.

Hi aqui. vielen vielen Dank für die schnelle Antwort!! face-smile

Ich habe das ganze jetzt mal versucht umzusetzen.
Scheint zu laufen face-wink

Würde mich aber über eine "Abnahme" vom profi freuen.
Hier die Einstellungen an dem Netgear der an der PFsense hängt.
Port 8 an der Pfsense
Port 7 zu dem zweiten Switch Dlink 1210

f645c321f8a6efa12602d81b690b65fc
e4d356aa61a9d678fe2591496163a822
04924e28316ba3615a9b76699acf9c95
724ce32052f60092fe7508fcf851e796
c0f09cac9bca327b557500b7fe7419b0

Und hier der Dlink.
Hier ist:
Port 16 der Uplink zum Port 7 Netgear
Port 1-8 ist Vlanid10
Port 9-15 ist Vlanid20

5c0f6bf9387eeedb8fba6ce7f065a4f1



Dein Tutorial ist super gut aber ich bin in meiner ersten Konfig wohl darüber gestolpert das ich dachte das Vlan1 (default) immer auf Tagged stellen muss.
Habe ich es diesmal richtig gemacht?
aqui
aqui 09.02.2015 um 16:17:26 Uhr
Goto Top
Jau, sieht sehr gut und richtig aus so !
Tröste dich, über die &%§$"$ NetGear VLAN Konfig stolpern auch Profis !
d3rChri5
d3rChri5 25.02.2015 um 21:05:15 Uhr
Goto Top
Hallo aqui ,

wenn man dein Konzept " VLAN Routing mit DD-WRT Routern " umsetzt, müssen dann die VLAN Namensgebungen auf dem Router identisch mit der VLAN Bezeichnung im Switch sein ? Ich grübel gerade wie du ansonsten mit dem Router ( da du ja nur einen Uplink Port zum Switch hast) auf der Switch zwei IP Adressbereiche verteilen kannst und somit der Router weiß welches VLAN auf dem Switch welche IP bekommt.
Ich würde ansonsten am Wochenende mal deine " VLAN Routing mit DD-WRT Routern " Config mit einen HP 1810-24G Switch probieren.
aqui
aqui 26.02.2015 um 22:28:20 Uhr
Goto Top
Nein ! Namen sind Schall und Rauch. Was einzig zählt ist die VLAN ID !!
Wenn du das VLAN 10 am einen Ende "Test" und am anderen Ende "Server" nennst ist das völlig egal. Die Namen haben nur kosmetischen Charakter.
Einzig die IDs mussen zwingend identisch sein VLAN ID 10 muss am anderen Ende auch die 10 haben ! Logisch, denn wie sollte der Siwtch oder Router das Paket denn auch sonst sauber einem VLAN zuordnen können ?!
mal deine " VLAN Routing mit DD-WRT Routern " Config mit einen HP 1810-24G Switch probieren.
Igitt HP face-sad Aber das funktioniert fehlerlos...auch mit einem HP face-wink
Herbrich19
Herbrich19 20.03.2015 um 03:41:48 Uhr
Goto Top
Hallo,

Ich habe eine kleine Frage, kann ich auch mit einen HP ProCurve Switch VLAN-Tagging machen, und giebt es Capitive Portal Software für Windows, z.B. für den ISA / TMG??
aqui
aqui 20.03.2015 um 12:21:13 Uhr
Goto Top
Ja, klar ! Sogar Billigheimer HP kann natürlich Tagging sofern du einen managebaren Switch einsetzt natürlich. Dabei ist es egal ob Websmart oder CLI.
Übrigens: Wenn du das o.a. Tutorial wirklich gelesen hättest wär dir nicht entgangen das dort eine HP Switchkonfig aufgeführt ist face-wink
Für das Captive Portal solltest du besser eine kleine Firewall Appliance verwenden:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Alternativ einen 30 Euro Router Mikrotik 750 der diese Funktion auch gleich mit an Bord hat:
http://wiki.mikrotik.com/wiki/Hotspot_server_setup
https://www.youtube.com/results?search_query=mikrotik+hotspot
Herbrich19
Herbrich19 22.03.2015 um 16:29:48 Uhr
Goto Top
Hallo,

So, V-Lan ist eingerichtet und funktioniert auch super, Ports 1 und 14 sind Tagged, 15-29 Untagged und 8-7 ebenfalls Untagged. So ich habe mich jetzt aber eins A von der Webconfiguration ausgespeert, da hilft jetzt nur umstecken auf einen nicht konfigurierten Port (vlan-1??). Meine frage vist jetzt wie bekomme ich dass Managmand Interface von Switch ins v-lan14 rein.

LG, Herbrich
aqui
aqui 22.03.2015 um 16:49:23 Uhr
Goto Top
Das Management kannst du immer nur über das VLAN 1 erreichen ! Jedenfalls im Default.
Du musst also sicherstellen das dein PC der das Management macht immer einen VLAN 1 Verbindung auf den Switch machen kann.
Oder...du musst alternativ im Setup den Management Port in ein anderes VLAN legen. Hier musst du dann daran denken das du dann gf. die IP Adresse anpassen musst.
Beides geht. Du hast aber richtig erkannt das die Verbindung ins VLAN 1 der Schlüssel ist face-wink
Herbrich19
Herbrich19 22.03.2015 um 18:21:36 Uhr
Goto Top
Hallo,

Dancke für den Tipp, V-Lan 1 soll eig ausgetroknet werden, IP,s müssten eigentlich nicht geändert werden da dass ganze SubNetz in V-Lan 14 verlegt wurde, und in V-Lan 1 soll nach möglichkeit eigentlich garnichts mehr rein, da kommen höchstens alle Netzwerk Dosen rein die gerade nicht in Verwendung sind, damit sich nicht jemand umbefigt zugriff zum Netzwerk verschaffen kann.

LG, Herbrich
aqui
aqui 22.03.2015 um 18:30:53 Uhr
Goto Top
V-Lan 1 soll eig ausgetroknet werden, IP,s müssten eigentlich nicht geändert werden da dass ganze SubNetz in V-Lan 14 verlegt wurde
Dann lege ganz einfach das Switch Management ins VLAN 14, das kann man im Setup GUI machen.
Achte dann aber darauf das du auch einen Port im VLAN 14 hast sonst sägst du dir wieder den Ast ab face-smile
Herbrich19
Herbrich19 22.03.2015 um 18:54:21 Uhr
Goto Top
Hallo,

Ja, in V-Lan 14 hängt der Port 14 als Trunk, der Port 1 ebenfals als Trunk (Trunk == Tagged) und 15-21 hängen ebenfalls in V-Lan 14. Also von darher, ich habe das V-Lan ja schon vorher definiert und eingerichtet.

Nur gerade macht mir ein DDWRT mehr Probleme als der sogar sehr gut funkionierende HP Switch.

LG, Herbrich
sirgm1
sirgm1 18.02.2016 um 12:51:03 Uhr
Goto Top
Hi ich versuche einen Linksys mit DD-Wrt für Vlan zu konfigurieren. Es gibt eine Fritzbox mit 192.168.0.252. Fritz-Box in den WAN Port DD-WRT.
Dann brauche ich 4 VLAN Netze mit 0, 10, 11, 12. Eins davon ist ja null. Ich bekomme es nicht konfiguriert das bei den Clients 0.250 als Gateway konfiguriert wird, und die anderen Vlan Netze die über die Fritz Box Internet beziehen und als Gateway 0.250 (DD-WRT Vlan IP) bekommen.
aqui
aqui 23.02.2016 aktualisiert um 10:47:04 Uhr
Goto Top
Dann brauche ich 4 VLAN Netze mit 0, 10, 11, 12.
Mmmhhh...das ist etwas kryptisch ! Was genau meinst du damit ? Die IP Netze also strukturiert ala:
Netz 1: 172.16.0.0 /24 oder 10.0.0.0 /24 oder 10.0.0.0 /24
Netz 2: 172.16.10.0 /24 oder 10.0.10.0 /24 oder 10.10.0.0 /24
Netz 3: 172.16.11.0 /24 oder 10.0.11.0 /24 oder 10.11.0.0 /24
Netz 4: 172.16.12.0 /24 oder 10.0.12.0 /24 oder 10.12.0.0 /24

Gäbe ja mehrere Optionen.... Oder sollen das die VLAN IDs 0, 10, 11, 12 sein ??
Ich bekomme es nicht konfiguriert das bei den Clients 0.250 als Gateway konfiguriert wird,
Mmmhhh...auch komisch. Ins Netzwerk Setup des Adapters gehen und 10.0.0.250 eintippen mit einer 24 Bit Maske 255.255.255.0...was ist so schwer daran ? Ist mit 2 Mausklicks erledigt.

Nochmal deine ToDos im Groben:
  • VLANs und IP Ranges nach obigem Muster so einrichten auf dem DD-WRT
  • DD-WRT in jedem VLAN ein IP Interfaces konfigurieren. Die Router IP sollte immer ganz oben oder ganz unten liegen also .1 oder .254 ist aber nur eine kosmetische Empfehlung
  • Der DD-WRT bekommt eine Default Route auf die IP der FritzBox, Ebenso DNS Server Eintrag auf die FB IP
  • Die Clients bekommen die DD-WRT IP im jeweiligen VLAN als Gateway IP. IPs kann man ggf. per VLAN vom DD-WRT per DHCP vergeben lassen, was die Client Einrichtung vereinfacht.

Hier steht haarklein alles wie es gemacht wird:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Man muss nur abtippen face-wink
sirgm1
sirgm1 23.02.2016 um 11:40:16 Uhr
Goto Top
Ok ich versuchs mal anders zu erklären:
Netz 1: 192.168.0.250/24
Netz2: 192.168.10.250/24
Netz 3: 192.168.11.250/24
Netz 4 : 192.168.12.250/24
Es gibt eine FritzBox mit der 192.168.0.252
Jetzt sollen die Clients Netz 1: feste IP aus dem 0/24 Netz bekommen mit Gateway 0.250
Clients Netz 2: feste IP 10/24 als Gateway 10.250
Netz 3 und 4 glieches Schema.
Netz 2, 3, 4 sollen auf das 0/24 (Netz1) zugreifen koennen.
Also Netz 2,3,4 habe ich in DDwrt angelegt, tagged auf den Switch, funktioniert.
Aber ich weiß nicht was ich mit der Fritzbox mache und Netz1!
Wan aus schalten, WAN als LAN IP 192.168.0.249/24 mit Fritz Box als Gateway?
Dann noch ein 0/24 Vlan aufmachen und wie Netz 2,3,4 behandeln?
Woher bekommt dann Netz 1-4 Internet?
Fragen über Fragen face-smile
aqui
aqui 23.02.2016 aktualisiert um 11:55:17 Uhr
Goto Top
Deinen Netzwerkangabe ist technisch falsch. Netzwerke im IP werden generell so angegeben das alle Hostbits auf 0 gesetzt sind. Deine .250 oben ist also keine netzwerkangabe sondern lediglich die IP Hostadresse des Routers...
Aber wir ahnen hier immer schon was gemeint ist.
Aber ich weiß nicht was ich mit der Fritzbox mache und Netz1!
Na, das ist doch kinderleicht...
  • FritzBox mit ihrem LAN Port 192.168.0.252 ins Netz 1 hängen
  • Statische Routen auf der Fritzbox einrichten in die Netze 2-4 ala:
Zielnetz: 192.168.10.0 Maske: 255.255.255.0 Gateway: 192.168.0.250 (Gateway: DD-WRT im Netz 1)
Du kannst auch eine CIDR Route setzen wenn du nicht alle 3 Netze einzeln eintragen willst:
Zielnetz: 192.168.0.0 Maske: 255.255.240.0 Gateway: 192.168.0.250
Das routet dir dann alle IP Netze von 192.168.0.1 bis 192.168.15.254 (20 Bit Maske) an den DD-WRT.
  • DD-WRT bekommt eine Default Route auf die 192.168.0.252 (FritzBox)
  • Fertisch....
Woher bekommt dann Netz 1-4 Internet?
Über den DD-WRT !! Der hat doch obige Default Route auf die FritzBox ! Sprich alles was er lokal nicht kennt schickt er an die FB und die ins Internet...fertich.
Die FB wiederum hat die o.a. statischen Routen das sie alles an lokalen Netzen an den DD-WRT schickt zum routen.
Eigentlich doch ganz easy, oder ?
sirgm1
sirgm1 23.02.2016 um 12:19:33 Uhr
Goto Top
Eigentlich ganz easy oder?
Das sehen wir noch face-smile Ich probiere und melde mich. Danke erstmal
horstvogel
horstvogel 03.10.2016 um 20:51:29 Uhr
Goto Top
Hallo aqui,
beim TP-WR841 N sieht das Menü nicht wie auf Deinem DD-WRT Bild aus.
Es fehlt hier der Reiter Vlans.
Ich möchte bei meiner PFSense einen TP-WR841 N an den Lan Port hängen und dieser soll dann für jeweils ein Gäste Wlan und ein normales Wlan ein eigenes Vlan zur Verfügung stellen. Bedeutet dieses, dass es nur mit der OPEN-WRT Firmware gehen würde?
Da der Menüpunkt fehlt und man keinen Trunk zuweisen kann?
Danke der Horst

2016-10-03 20_02_47-dd-wrt (build 30709) - networking - internet explorer
2016-10-03 20_04_47-vlan installation und routing mit pfsense, mikrotik, dd-wrt oder cisco rv router
aqui
aqui 04.10.2016 aktualisiert um 14:22:19 Uhr
Goto Top
Hallo Horst,
Ja, ich meine irgendwo gelesen zu haben im DD-WRT Forum das der Flash Speicher des 841N sehr sehr klein ist und viele der Features deshalb nicht mehr ins Flash passen.
Vermutlich ist deshalb das VLAN Feature über die Klinge gesprungen. Wie auch VPN.
Du musst mal checken ob ggf. OpenWRT die VLAN Funktion integriert hat.
Sonst nimm einen Mikrotik hAP light der kostet nicht viel und kann das alles problemlos.
horstvogel
horstvogel 04.10.2016 um 23:02:13 Uhr
Goto Top
Hallo aqui,
danke für die Rückmeldung:

An meiner PFsense (läuft auf einem PC) soll ein TP-WR841 als AP angeschlossen werden, dieser soll ein Gäste Wlan und ein „normales“ Wlan zur Verfügung stellen. Vlan 2 eingerichtet und über den Lananschluss der PPFSense getestet funktioniert.

nun habe ich Openwrt drauf, da sieht das schon besser aus, aber da fehlen mir die Grundlagen. Die ich leider beim Lesen der verschiedenen Beiträge von Dir leider mir leider auch nicht erarbeiten konnte. Das liegt dann aber an mir....

So Gäste Wlan eingerichtet

1


Gäste Wlan einrichten, schon das erste Fragezeichen, welchen Network setzte ich hier?

2

Dann erstelle ich ein Interface? Hier verbinde ich dann Vlan 2 mit dem Gast Wlan.

3

Welche IP Adresse muss ich hier nehmen? In der Anleitung oben von der DD-WRT sieht das leider nicht so aus

4


Unter Switch richte ich dann den „Trunk“ ein? Das könnte vielleicht dannmal richtig sein. Lan 1 soll dann mit der PFSense verbunden werden


5

Das ganze funktioniert dann leider aber nicht.... Meine Lernkurve ist halt sehr flach

Danke!!
Der Horst
horstvogel
horstvogel 04.10.2016 um 23:05:12 Uhr
Goto Top
Reihenfolge vertauscht, hier taucht natürlich auch Gast auf
6
aqui
aqui 05.10.2016 aktualisiert um 13:09:13 Uhr
Goto Top
Gäste Wlan einrichten, schon das erste Fragezeichen, welchen Network setzte ich hier?
Ich interpretiere das mal so das das Setup damit fragt auf welches lokale LAN man das WLAN bzw. diese SSID per Bridging aufschalten will. Ansonsten würde der Eintrag keinen Sinn machen.
Dann erstelle ich ein Interface? Hier verbinde ich dann Vlan 2 mit dem Gast Wlan.
Das sieht gut aus. Mit dem GUI bestätigt sich die Annahme von oben !
Besser ist es immer das VLAN Interface eth 0.2 vorher anzulegen aber es scheint ja auch so zu gehen.
Bei Linux ist es immer so das tagged Subinterfaces so dargestellt werden. Siehe auch hier.
Welche IP Adresse muss ich hier nehmen? In der Anleitung oben von der DD-WRT sieht das leider nicht so aus
Hier gibst du die IP Adresse des VLAN 2 ein !
Das macht man immer auf dem Bridge Interface was diese beiden Segmente koppelt. Die beiden physischen Interfaces also das eth 0.2 und das wlan Subinterface bekommen dann keine IP. Die wird immer nur auf dem Bridge Interface definiert was die beiden physischen Interfaces per Bridging koppelt.
Unter Switch richte ich dann den „Trunk“ ein? Das könnte vielleicht dannmal richtig sein. Lan 1 soll dann mit der PFSense verbunden werden
Jepp...das ist genau richtig !
"Trunk" ist allerdings die falsche Bezeichnung, denn damit meint man immer eine Link Aggregation also das koppeln mehrerer physischer Links zu einem virtuellen. Die ganze Netzwerk Welt, außer Cisco (Bei denen heisst es "EtherChannel") nennt das einen Trunk.
Was du hier hast ist einfach ein tagged Uplink. Wenn du Cisco affin bist darfst du es aber auch Trunk nennen face-wink
Aber genau richtig, der ist UNTAGGED in VLAN 1 und TAGGED in den VLANs 2 und 3.
Mit dem gehst du dann auf den VLAN Switch wo auch wieder ein tagged Uplink ist mit den identischen Settings (tagged in 2 und 3) wie auf dem Routerport.
Das ganze funktioniert dann leider aber nicht....
Mmmhhh...das ist sehr schade face-sad Syntaktisch sieht es richtig aus.
Hast du mal einen Wireshark angeklemmt und gecheckt ob an diesem Port das VLAN 2 tagged rauskommt ?
Welches Image hast du auf den 841N genau geflasht ?
Ich mach das hier mit meinem 841N dann parallel auch mal und checke ob ich das zum Fliegen bekomme !!
horstvogel
horstvogel 05.10.2016 um 19:49:30 Uhr
Goto Top
Hallo aqui,
TL-841 V 10

mit
7

Port 1 ist Lan 4...... alleine das ist schon verwirrend face-wink

Danke!
horstvogel
horstvogel 05.10.2016 um 21:15:47 Uhr
Goto Top
Zitat von @aqui:

Welche IP Adresse muss ich hier nehmen? In der Anleitung oben von der DD-WRT sieht das leider nicht so aus
Hier gibst du die IP Adresse des VLAN 2 ein !
Das macht man immer auf dem Bridge Interface was diese beiden Segmente koppelt. Die beiden physischen Interfaces also das eth 0.2 und das wlan Subinterface bekommen dann keine IP. Die wird immer nur auf dem Bridge Interface definiert was die beiden physischen Interfaces per Bridging koppelt.
Welche IP muss ich hier nehmen? Die PFSense Vlan? bei mir wäre das 192.168.100.1 oder die 192.168.100.0 oder eine IP die nicht genutzt wird? Gateway eingeben?

Hast du mal einen Wireshark angeklemmt und gecheckt ob an diesem Port das VLAN 2 tagged rauskommt ?
Nun wird vermutlich ganz peinlich, wie soll ich an den TP OpenWrt an de Port 1 etwas anschließen, dass ist doch der Uplink von der PFSense? Da steckt doch was drin? Ich glaube ich habe etwas ganz wichtiges falsch gemacht....

Danke!!
aqui
aqui 06.10.2016 um 22:02:33 Uhr
Goto Top
Port 1 ist Lan 4...... alleine das ist schon verwirrend
In der Tat !! Die OpenWRT GUI Bezeichnung hat nichts mit den physischen Ports zu tun und ist genau umgedreht.
Ich habe einen V8.4 hier und den mit der 15.05.1 Version geflasht.
Ich muss selten mal aufgeben aber hier habe ich es nach 1 Tag rumprobieren gemacht face-sad
Mein Fazit: VLANs laufen mit dem embeddeten Switch in dem System nicht oder nicht richtig.

Hier die Forschungsergebnisse:
  • Konfiguriert man es logisch nach GUI wie du oben klappt es de facto nicht. Der OpenWRT Router sendet keine getaggten Frames, das kann man klar mit dem Wireshark nachmessen !
  • Was sicher zu sein scheint ist das Switchports entweder rein nur tagged Traffic oder rein nur untagged Traffic können. Ein Mischbetreib mit native VLAN untagged ist (vermutlich) nicht möglich. Damit habe ich es teilweise zum Laufen bekommen. Allerdings sendet der Switch dann auch Frames mit VLAN Tag 1 der gar nicht definiert ist und Uplink Switches damit nichts anfangen können
  • Sehr Hilfreich ist ein SSH Zugang mit PuTTY oder TeraTerm auf den OpenWRT. Dafür musst du ein Passwort setzen und kannst dich dann mit Username: root und Passwort: <Passwort> per CLI einloggen.
  • Hier macht es Sinn über die Package Verwaltung das tcpdump Paket nachzuinstallieren. Dann hast du einen Sniffer quasi wie den Wireshark gleich direkt im Gerät was sehr hilfreich ist.
Ich habe erstmal testweise nur ein VLAN 2 angelegt. Der embedded Switchchip kann nur 16 VLAN IDs. Mit IDs über 20 sollte man also vorsichtig sein !
Die Interfaces sehen so aus:
root@OpenWrt:~# cat /etc/config/network

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config interface 'lan'
        option ifname 'eth1'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option broadcast '192.168.1.255'

config interface 'wan'
        option ifname 'eth0'
        option proto 'dhcp'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option vid '1'
        option ports '0 3 4'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option vid '2'
        option ports '1t 2'

config interface 'vlan2'
        option proto 'static'
        option ifname 'eth1.2'
        option netmask '255.255.255.0'
        option ipaddr '10.2.2.1'
        option broadcast '10.2.2.255' 
VLAN 2 wird rein Tagged auf Port 1 ausgegeben und untagged auf Port 2
Schliesst man einen Client an Port 2 bekommt der eine IP vom DHCP Server an eth1.2 (vlan 2 Interface mit aktiviertem DHCP) und kann auch den Router pingen.
Port 1 hängt dabei auf einem Cisco Catalyst 2960 Switch der VLAN 2 tagged hat. Klemmt man den Client jetzt um auf VLAN 2 am Switch geht es nicht mehr.
Das liegt daran das der OpenWRT keine Frames mit ID 2 Tag an Port 1 sendet. Ein tcpdump -i eth1.2 zeigt das auch. Zusätzlich habe ich den Cisco Port auf einem Mirrorport gelegt und sniffere da parallel mit dem Wireshark...kein VLAN 2 getaggter Frame face-sad
Die Switchkonfig im OpenWRT sieht so aus
root@OpenWrt:~# swconfig dev switch0 show
Global attributes:
        enable_vlan: 1
Port 0:
        pvid: 1
        link: port:0 link:up speed:1000baseT full-duplex txflow rxflow
Port 1:
        pvid: 0
        link: port:1 link:up speed:100baseT full-duplex auto
Port 2:
        pvid: 2
        link: port:2 link:up speed:100baseT full-duplex auto
Port 3:
        pvid: 1
        link: port:3 link:down
Port 4:
        pvid: 1
        link: port:4 link:up speed:100baseT full-duplex auto
VLAN 0:
        vid: 0
        ports: 1t
VLAN 1:
        vid: 1
        ports: 0 3 4
VLAN 2:
        vid: 2
        ports: 1t 2 
Wie du siehst ist das syntaktisch alles korrekt. Mit dem Kommando swconfig dev switch0 show kannst du übrgnes gut sehen das die GUI Portnummerierung völlig anders ist als die Wirkliche auf den Switchports.
Hier die IP Interface Konfig des Routers:
root@OpenWrt:~# ifconfig
eth0      Link encap:Ethernet  HWaddr C0:4A:00:A5:A0:DD
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:4

eth1      Link encap:Ethernet  HWaddr C0:4A:00:A5:A0:DE
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2195 errors:0 dropped:1 overruns:0 frame:0
          TX packets:2003 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:275774 (269.3 KiB)  TX bytes:627118 (612.4 KiB)
          Interrupt:5

eth1.2    Link encap:Ethernet  HWaddr C0:4A:00:A5:A0:DE
          inet addr:10.2.2.1  Bcast:10.2.2.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:92 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:4584 (4.4 KiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:5802 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5802 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:401184 (391.7 KiB)  TX bytes:401184 (391.7 KiB) 
Das Teil spielt aber irgendwie total verrückt und ist nicht wirklich VLAN konform... face-sad

Diese Webseiten haben übrigens noch ein paar gute Infos:
https://wiki.freifunk.net/Berlin:Switch_VLAN_Konfiguration
(Hier ist die Interface Zuordnung falsch ! WAN=eth0 LAN=eth1)
https://forum.freifunk-muensterland.de/t/tagged-vlan-am-tl-wr-841n-v10/1 ...
http://coderazzi.net/howto/openwrt/tl841n/vlans.htm
https://forum.openwrt.org/viewtopic.php?id=42399
Geholfen haben sie nicht wirklich.
Da du ein Ver.10 System hast mag das anders sein. Musst du ggf. nochmal testen.
Statt grauer Haare solltest du besser einen Mikrotik Router nehmen. Bei dem ist das mit 3 Mausklicjs in 5 Minuten erledigt und...funktioniert sofort !
horstvogel
horstvogel 06.10.2016 um 22:31:06 Uhr
Goto Top
Hallo aqui,
vielen Dank. Ich hatte heute auch gerade getestet und wollte gerade schreiben.
Aber mit Deiner Ausarbeitung kann ich nicht mithalten. Fazit über ich sage mal es in meinem Turnschuh Admin Deutsch:
von Lan zu Lan geht das auch, bzw. zuverlässig nur, wenn der "Ausgang" untagged gesetzt ist, bei Tagged und dann über die Netzwerkkarte die VlanID gesetzt, spielt das Ding manchmal verrückt, bekommt die IP und ich hatte mich schon gefreut und dann ziehe ich den Stecker und es geht wieder nicht, IP fest vergeben und geht...... Also wirklich ein Mistkiste.

Herzlichen Dank für Deine perfekte Antwort.
Und mir ist das unangenehm, dass Du so viel Zeit investiert hast.

Danke!!
aqui
aqui 06.10.2016 aktualisiert um 22:35:51 Uhr
Goto Top
Und mir ist das unangenehm, dass Du so viel Zeit investiert hast.
Neee...lass mal, muss nicht. War mal ganz lehrreich ob man solchen 10 Euro Teilen VLAN beibringen kann.
Fazit ist wohl: Besser nicht (oder fairerweise..besser nicht mit DEM Modell) und lieber gleich zum Mikrotik oder was auch immer greifen face-wink
horstvogel
horstvogel 06.10.2016 um 22:38:40 Uhr
Goto Top
Ich hatte 3 von den Dinger auch für Freifunk gekauft, daher hatte ich die Dinger noch rumliegen. Gehen gleich in die Mulltonne oder Router Kaskade, einer für die untagged Übergabe an die beiden anderen für Gäste Lan und normales Lan. Der Stromverbrauch übersteigt dann aber einen neuen anständigen Router...face-wink
aqui
aqui 07.10.2016 aktualisiert um 12:22:41 Uhr
Goto Top
Na ja als einfache WLAN Acesspoints könnte man sie ja noch gnädigerweise recyceln... face-smile
Vielleicht passt auch noch ein OpenVPN drauf ?? Bei den Packages gabs ja ne Menge toller Goodies was man so auf OpenWRT packen kann...
Allerdings war bei den paar Bytes von tcpdump der interne Flash dann nur noch zu 47% frei.
Da geht dann nicht mehr sooo viel bei dem Sparteil. Realistisch darf man von 15 Euro auch keine allzu großen Wunder erwarten...
horstvogel
horstvogel 18.10.2016 aktualisiert um 20:26:27 Uhr
Goto Top
Hallo aqui,
ich habe mir jetzt einen Mikro Tik hAP ac besorgt

folgende Einstellungen:

2016-10-18 19_50_52-admin@6c_3b_6b_10_cb_0b (mikrotik) - winbox v6.37.1 on hap ac (mipsbe)
2016-10-18 19_51_11-admin@6c_3b_6b_10_cb_0b (mikrotik) - winbox v6.37.1 on hap ac (mipsbe)
2016-10-18 19_51_34-program manager
2016-10-18 19_52_01-admin@6c_3b_6b_10_cb_0b (mikrotik) - winbox v6.37.1 on hap ac (mipsbe)
2016-10-18 19_52_30-admin@6c_3b_6b_10_cb_0b (mikrotik) - winbox v6.37.1 on hap ac (mipsbe)
2016-10-18 19_50_24-program manager

weder über Kabel oder über Wlan funktioniert das leider nicht.
Lan 1 soll der Uplink sein, Lan 2 für das Gäste Lan und Lan 3 für das Private Lan

Mikrotik mehrere VirtualAccessPoints mit gleicher SSID
Ich habe Deine Anleitung verwendet.
Hier muss ich den Ports keine IP Adressenräume geben, ist das richtig?
Für Wireless muss ich in Deiner Anleitung keine Vlan ID vorgeben?
Wireless in der Bridge auch deaktiviert, damit das nicht quer kommt. Leider auch nichts gebracht.
DHCP macht bei mir die PFSense, über den Lan Port funktionieren die Vlan und mit meinem TP-Link Schrott ging das ja auch halbwegs. Also habe ich bestimmt wieder einen Fehler gemacht. Reset wurde beim Router auch vorab gemacht, ohne Default...
Danke! der Horst
aqui
aqui 19.10.2016 aktualisiert um 13:26:21 Uhr
Goto Top
Hallo Horst !
Doch natürlich müssen die VLAN Interfaces IP Adressen haben andernfalls kann der MT ja niemals zw. den VLANs routen !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die musst du also noch nachtragen und den VLANs entsprechende DHCP Server zuordnen, dann kommt das sofort zum Fliegen.
Richtig, das WLAN kann man per Bridge an eins der VLANs ankoppeln. Das aber nur wenn du auf dem WLAN die gleiche IP Range und Funktion haben willst wie in dem VLAN.
Du kannst das WLAN auch als dediziertes Interface laufen lassen, dem eine IP vergeben und das WLAN routen.
Bei Gäste WLANs musst du das so oder so wenn du das Captive Portal des MT nutzen willst !
Der MT ist auch MSSID fähig, sprich du kannst mehrere WLANs aufspannen die dann zu entsprechenden VLANs korrespondieren. Das geht dann aber nur via Bridging.
Eigentlich ist der MT in deinem Umfeld falsch, denn das ganze Routing und Security machst du ja mit der pfSense. Einen weiteren Firewall Router hättes es also gar nicht gebraucht....
Mit einem simplen einafch nur Accesspoint wärst du ja besser bedinet gewesen. Keep it simple stupid.
Im Grunde musst du nun einen potenten Mikrotik Router zu einem simplen VLAN Switch kastrieren was ein einfacher VLAN Switch wie NetGear GS105E o.a. besser gekonnt hätten.
Warum diesen Aufwand mit dem MT ? Eigentlich falsche HW in deinem Umfeld ?
Wenn du den MT nur als dummen VLAN Switch missbrauchst musst du natürlich keine IP Adressen konfigurieren ! Dann kannst du das obige ignorieren.
horstvogel
horstvogel 19.10.2016 um 18:55:13 Uhr
Goto Top
Hallo aqui,
wirklich vielen Dank!!!

Ok, Porsche gekauft, aber nur einen unebenen Feldweg zum Haus.

Schritt 1 MT als dummen VLAN Switch missbrauchen.
DHCP .... macht alles die PFSense!
Versuche ich gleich mal
horstvogel
horstvogel 19.10.2016 um 19:22:31 Uhr
Goto Top
Sorry, selbst das bekomme ich nicht hin.

Lan 1 ist der uplink

Lan 2 soll einfach nur das VLAN 2 rausgeben

Lan 3 einfach nur VLAN 3

Wo stelle ich tagge oder untagged bei der Kiste ein??


2016-10-19 19_17_12-admin@6c_3b_6b_10_cb_0b (mikrotik) - winbox v6.37.1 on hap ac (mipsbe)

danke und ich gebe gleich auf
horstvogel
horstvogel 19.10.2016 um 19:27:26 Uhr
Goto Top
2016-10-19 19_24_23-admin@6c_3b_6b_10_cb_0b (mikrotik) - winbox v6.37.1 on hap ac (mipsbe)

muss ich hier nichts einstellen?
131223
131223 19.10.2016 um 20:13:21 Uhr
Goto Top
horstvogel
horstvogel 19.10.2016 um 20:34:24 Uhr
Goto Top
Zwergnase an sacknase,

geht doch!!! Danke!!!

2016-10-19 20_33_19-vlan installation und routing mit pfsense, mikrotik, dd-wrt oder cisco rv router

der Horst
horstvogel
horstvogel 19.10.2016 um 20:37:08 Uhr
Goto Top
Wenn ich das jetzt um Wlan erweitern möchte, DHCP... macht die PFSense, darf das dann so bleiben??
Danke der Horst
horstvogel
horstvogel 19.10.2016 aktualisiert um 23:50:04 Uhr
Goto Top
Hallo Sacknase, hallo aqui,

ich habe das mal so gemacht.

Die beiden Wlan´s direkt über die Einstellung im Wlan dem jeweiligen Vlan zugeteilt. Dann eine Bridge über alle Lan und Wlan Interface erstellt, Wlan geht, PFSense macht den DHCP.... nur bei den Lan Anschlüssen bekomme ich noch das Vlan 0 mit geschickt, also liegen hier dann das Vlan 0 und das jeweilige gewünschte Lan an. So wollte ich das ja eigentlich nicht. Wenn ich hier für ehter 1 secure nehme, dann geht das überhaupt nicht mehr. Ich schätze mal insgesamt sind meine Einstellungen eher ein Zufallsprodukt

2016-10-19 23_36_48-program manager

Danke Euch!!
aqui
aqui 20.10.2016 um 14:49:19 Uhr
Goto Top
bekomme ich noch das Vlan 0
Ein VLAN 0 gibt es nicht. Das ist technisch nicht definiert !! Du meinst aber sicher das native VLAN (untagged) in VLAN 1, richtig ?
Wenn du nur getaggte VLANs haben willst, dann darfst du das Parent Interface der pfSense nicht benutzen !
Entweder dort keine IP definieren oder mit der FW Regel alles inbound blockieren.
So hast du dann rein nur Zugriff über die getaggten VLAN. Also genau das was du willst.

Übrigens: Dein Radius Server auf der pfSense rennt auch fehlerlos face-wink
PFSense 2.3.2 Freeradius
horstvogel
horstvogel 20.10.2016 aktualisiert um 17:27:03 Uhr
Goto Top
Mit dem Radius habe ich schon gesehen, danke!!
Hatte ich vorher auch schon so gemacht. Ging aber nicht.
Egal, heute ist die Alix Kiste gekommen, dann ist das System blank und ich kann das hoffentlich zwischenzeitlich gelernte anwenden.

http://varia-store.com/Hardware/Green-IT-Boards/PC-Engines-APU1D4-Bundl ...

PfSense auf APU1D4 Board mit mSata und 5-ghz WLAN - Erfahrungsbericht

Bin mal gespannt was ich dann für Fragen habe, da habe ich es dann mit einer mSata zutun. USB Installation, Konsole....
Da muss ich bestimmt wieder fragen face-wink
Danke!!
131223
131223 20.10.2016 aktualisiert um 18:43:22 Uhr
Goto Top
Da muss ich bestimmt wieder fragen
Dann aber in einem neuen Thread, der hier braucht ja immer ewig zum laden. Und so eine tolle Anleitung sollte man nicht damit "verschandeln".
aqui
aqui 20.10.2016 um 19:09:28 Uhr
Goto Top
Hatte ich vorher auch schon so gemacht. Ging aber nicht.
Da hast du dann zu 99,9% etwas falsch gemacht, denn es kann ja nicht sein das es einmal geht und einmal nicht !

Danke für den Hinweis mit dem hiesigen Thread, da hast du absolut Recht !
Herbrich19
Herbrich19 24.10.2016 um 16:05:02 Uhr
Goto Top
Ich habe mein VLAN so gelöst dass ich einfach einen Windows Server mit Intel Proset am laufen habe und zwei Switches die einfach die Clients untagget entgegen nehmen und von den Unifi AP,s kommt der Traffic Tagget rein und der Server hat den Trunk. So habe ich halt eben das Gäste Netz bereit gestellt und mein interner Traffic ist sicher getrennt.

Gruß an die IT-Welt
- Herbrich
aqui
aqui 24.10.2016 um 16:19:41 Uhr
Goto Top
Ja, ist ein alter Hut und klar das es so auch geht.
Wenn du mal die Suchfunktion bemüht hättest, hättest du auch das hiesige Tutorial entdeckt was diesen Fall ausführlich beschreibt:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Kann man nur hoffen das dein Gästenetz dann NICHT mit auf dem Server Trunk liegt, was aus Sicherheitsgründen fatal wäre.
Übrigens ein Grund warum man das VLAN Forwarding, sofern es gefordert ist, besser auf Router oder Firewall legt.
Herbrich19
Herbrich19 24.10.2016 um 20:34:33 Uhr
Goto Top
Der Server ist ein Routing und RAS mit ISA/TMG. Zugriff auf die Internen Netze ist nict möglich.

Gruß
-Herbrich
aqui
aqui 25.10.2016 um 11:26:07 Uhr
Goto Top
Also genau so wie man es eigentlich NICHT machen sollte. Packet Forwarding Dienste und besonders Security haben generell auf einem Server nichts zu suchen.
Mal abgeshen davon das MS ja nun auch nicht gerade bekannt ist für innovative Security Lösungen...eher im Gegenteil.
Bei MS ist irgendein Zugriff über irgendwas immer möglich wie die Vergangenheit ja gezeigt hat.
Aber das ist kein Thema für dieses Tutorial was das auch bleiben sollte.
Xplosive
Xplosive 10.04.2018 aktualisiert um 07:27:37 Uhr
Goto Top
Hi aqui,

kannst du in deinem Thread ganz oben innerhalb des Abschnitts "Beispiel Konfiguration NetGear Prosafe GS10xE Serie" eine kleine Korrektur vornehmen? Soweit ich informiert bin ist dort beim GS105E und GS108E ab v2 bzw. v3 nun ein GUI im Browser verfügbar...
aqui
aqui 10.04.2018 aktualisiert um 10:11:43 Uhr
Goto Top
Sprich man braucht nicht mehr zwingend das Windows "Zwangsprogramm" als Setup für die Konfiguration ?!
Das wäre ja mal ein wenigstens kleiner Lichtblick im düsteren Kapitel der ansonsten gruseligen NetGear VLAN Konfig face-wink
Hast du ggf. irgendwo eine Release Notes Quelle zum Firmware Fix mit der man das verifizieren kann ?
1.1.25, 1.2.04 usw. sagen leider rein gar nix dazu face-sad
https://www.netgear.de/support/product/GS105E.aspx#Firmwareversion%C2%A0 ...
Xplosive
Xplosive 11.04.2018 um 15:21:07 Uhr
Goto Top
Kann man dem Handbuch auf Seite 7 entnehmen:
https://www.downloads.netgear.com/files/GDC/GS105EV2/WebManagedSwitches_ ...

Aber eben nur GS105Ev2 und GS108EV3 um bei den beiden wie oben genannt zu bleiben ;)
aqui
aqui 11.04.2018 um 15:40:24 Uhr
Goto Top
Ja, stimmt. Es gilt ausschliesslich nur für die Hardware Versionen v2 und v3.
Mein v1 Exemplar ist davon ausgenommen....was natürlich Schade ist.
Trotzdem ist NetGear bei VLANs wegen des sehr verwirrenden GUIs keine gute Wahl. Besonders nicht für VLAN Anfänger.
(Trotzdem Dank für den Hinweis. Tutorial ist angepasst.)
MarcoZambon
MarcoZambon 01.10.2020 um 12:54:04 Uhr
Goto Top
Hallo aqui,
ich bin neu in den Forum und ich habe ein etwas besonderes Problem. Ich habe die Anleitung gelesen.
Mein Vorhaben ist eine Internetanschluss über LTE in mehrere Wohnungen zu verteilen und ,um die verschiedene Wohnungen getrennt zu halten , mit VLAN arbeiten.
Um das zu realisieren will ich den Mikrotik router an der internet verbinden und mit den mikrotik auch alle vlan netze Einrichten wie in der Anleitung.
Mein problem ist das ich in der O2 LTE router der DHCP server nicht ausschalten kann (Es geht in der Router nicht) und wahrscheinlich kollidiert mit der DHCP server der Mikrotik.
Kann ich der dhcp server der o2router benutzen nur für der netz 192.168.0.0 255.255.255.0 (wo auch die Internetport der Miktotik hähg) und dann für die Vlan die DHCP server der Mikrotik benutzen?

Ich hoffe das meine Beschreibung nicht zu Konfus ist und das du das Problem verstehest.
Fur eine Lösungsansatz wäre ich dich sehr Dankbar . Ich Habe viel in Internet recherchiert aber keine Lösung gefunden
aqui
aqui 01.10.2020 aktualisiert um 15:32:28 Uhr
Goto Top
Hallo Marco !
Das ist kein Problem, dann lässt du den DHCP Server einfach an. Ob der rennt oder nicht ist für dein Vorhaben bzw. Netzdesign ja völlig irrelevant und stellt kein Hindernis dar.
Es geht ja rein nur um das Koppelnetz was den Mikrotik mit dem O2 Router verbindet und da macht der Mikrotik ja so oder so niemals DHCP bzw. ist ein DHCP Server aktiv. Die DHCP Server arbeiten ja nur für deine Wohnungs VLANs nicht aber auf dem Koppel Link zu O2.
Also alles kein Problem ! Das funktioniert auch mit der O2 Gurke ohne Probleme.

Das Einzige was wichtig ist ist die Frage oder der O2 Router statische Routen supportet ?!
Das bestimmt dann letztlich ob der Mikrotik NAT oder kein NAT machen muss am Koppelport.
Wenn du Detailfragen dazu hast dann besser einen separaten Thread aufmachen.
MarcoZambon
MarcoZambon 01.10.2020 um 15:55:53 Uhr
Goto Top
Danke für die schnelle Antwort. ich werde den lte Router dann bestellen und die Konfiguration testen und dann gebe ich bescheid ob alles Funktionier.
Falls ich neue frage habe melde ich mich und öffne ich eine neue Thread.
aqui
aqui 01.10.2020 aktualisiert um 16:09:03 Uhr
Goto Top
OK. So sähe deine (ungefähre) Konfig dann aus wenn du ohne extra VLAN Switch mit einem Mikrotik Switch arbeiten willst.

o2
Alles weitere in einem separaten Thread.
prinzjulius
prinzjulius 01.07.2024 aktualisiert um 23:52:15 Uhr
Goto Top
Hallo zusammen,

auch wenn die Frage mit Sicherheit schon irgendwo beantwortet ist und ich es einfach übersehen habe:

Wir planen im Rahmen unseres Umzuges nun endlich unser Netzwerk zu segmentieren. Gekauft ist ein Core-Stack aus Netgear M4350-16V4C und verschiedenen Access-Switches aus der Serie. Bereits vorhanden eine Securepoint-Firewall (RC300S). Das neue Netz ist bereits in der Konfiguration. Das Core-Stack (L3) und die Access-Switches (L2) kennen alle VLANs (1 & 10-100); Die Core haben in jedem VLAN die IP 192.168.x.1. Das VLAN 100 ist als WAN-VLAN vorgesehen (10.0.100.0/29) und auf Core und Firewall vorgesehen.

Wie bekomme ich die Firewall nun sauber in das Netz integriert um Reverse Proxy, Firewall, SSL-VPN, etc. nutzen zu können:
Lege ich hier ebenfalls alle VLANS an und verbinde diese per Trunk mit dem Core? Denn soweit ich das sehe kann ich auf der Securepoint VLANS nur als Routing-Interfaces anlegen und hätte dann pro VLAN zwei Router. Ich stehe gerade etwas auf dem Schlauch.

Vielen vielen Dank vorab!
aqui
aqui 02.07.2024 um 12:09:46 Uhr
Goto Top
Dann hast du ein sauberes Layer 3 VLAN Konzept umgesetzt und dann routet zentral der L3 Core deine VLANs.
Die Firewall regelt dann nur noch den Internet Zugang über ein separates Koppel VLAN was in der Regel kein Produktiv VLAN sein sollte. Die VLANs werden dann natürlich nicht angelegt, was auch kontraproduktiv wäre, weil man so ja immer einen gefährlichen zweiten Backdoor Router hat der die Security aushebelt.
So ein Setup ist ein übliches und klassisches Layer 3 Konzept an dem es nichts auszusetzen gibt. Evtl. Zugangsbeschränkungen regelt man dann über IP Accesslisten auf dem L3 Core Switch.

Vorteil ist hier die Performance, denn man erspart sich so das hin und her routen von VLAN Traffic über die Firewall (Trunk oder LACP LAG Trunk) und macht das in Wirespeed über den L3 Core Stack.
Es gibt aber einen kleinen Nachteil...
Gastnetze oder generell ungesicherte Netze bzw. VLAN Segmente sollte man niemals so mit über Core routen. Der Grund ist das Accesslisten auf L3 Switches nicht stateful sind und damit eine Sicherheitseinschränkung haben wenn sie im Core zusammen mit allen produktiven VLAN Segmenten geroutet werden.
Es ist deutlich sinnvoller, da sicherer diese Segmente, sofern vorhanden, nicht mit einer IP im Core zu versehen und damit auch nicht dort zu routen, sondern immer als Layer 2 VLAN mit dem Koppelnetz als Trunk an die Firewall durchzureichen und dort mit einem stateful Regelwerk zu routen.
Üblicherweise hat man auf der Firewall auch Captive Portal Systeme die Gastenetze regeln usw. wie im obigen Praxisbeispiel des Tutorials beschrieben.
Man realisiert also einen hybriden Betrieb L3 Core und Firewall das man einerseits die produktiven VLANs performant in Silizium im Core routet, die besonders zu schützenden Netze aber immer sicher über die Firewall.

Letztlich aber auch eine Frage der eigenen Sicherheits Policy. Wem solche Sicherheitsgedanken fremd oder schlicht Wumpe sind kann natürlich auch alles über den L3 Core routen mit oder ohne entsprechenden ACL Policies.
prinzjulius
prinzjulius 02.07.2024 um 16:40:16 Uhr
Goto Top
Vielen Dank für die schnelle Antwort und Bestätigung, @aqui
Da bin ich ja schon einmal froh nicht vollkommen daneben zu liegen ;)

Sicher soll es natürlich sein, ACLs sind bereits eingerichtet und das Gast-VLAN-Routing auf der Firewall wird auch entsprechend noch umgesetzt. Aus genannten Gründen ist das Koppel-VLAN ist daher ein /30 Netz mit IP-Adresse für Core & Firewall, das im Grunde nur den Standardrouten dient und sonst nichts.

Mein Verständnisproblem bestand eigentlich im Routing von Firewall Regeln. Rein als Beispiel:
Die Firewall forwarded Port 3389 an 192.168.2.90, der sich in VLAN 20 befindet. Die Firewall kennt aber keine VLANs - ausgenommen sicherheitskritischer VLANS, die sie selbst routet - da alles über das Koppelnetz läuft, welches untagged ist.
Die Standardroute auf der Firewall sagt jetzt aber: alles was 192.168.0.0 ist, geht über das Koppelnetz an die Core-Switches, und die routen dann an den entsprechenden Server. Habe ich das richtig verstanden? D.h. an den bestehenden Firewall-Regeln unseres "flachen", großen Subnets müsste ich gar nichts ändern, solange die IP-Adressen die gleichen bleiben und diese auch von der Standardroute in Richtung Core abgedeckt sind!?

... bitte sag ja face-smile
aqui
aqui 02.07.2024 aktualisiert um 17:04:00 Uhr
Goto Top
das Koppel-VLAN ist daher ein /30 Netz mit IP-Adresse für Core & Firewall
Als /31 wäre es noch etwas addresseffizienter. 😉 Aber generell korrekt!
https://packetlife.net/blog/2008/jun/18/using-31-bit-subnets-on-point-po ...

Mein Verständnisproblem bestand eigentlich im Routing von Firewall Regeln.
Da gibt es auch rein gar nichts zu verstehen, denn das eine hat mit dem anderen gar nichts zu tun. Das sind bekanntlich 2 völlig unterschiedliche Baustellen!
Das was du da beschreibst ist per se Port Forwarding in Kombination mit IP Routing und man kann nur stark hoffen das das lediglich ein Beispiel ist und du niemals ungeschützten RDP Traffic fahrlässig über das Internet überträgst. Mal ganz abgesehen davon das man für solch sicherheitsrelevanten Traffic niemals Löcher in die Firewall bohrt! Port Forwading ist in aller Regel keine gute Idee. Für sowas supportet deine Firewall ganz sicher ein Client VPN!
Aber bleiben wir mal bei dem etwas gruseligen Beispiel zu mindestens in der Theorie....

Wenn die FW "sieht" das der zu forwardende Traffic als Zieladresse ein IP Netz hat was nicht an ihr direkt angeschlossen ist sieht sie zwangsläufig in ihre Routing Tabelle um zu sehen WIE sie diese Zielnetz erreichen kann. Findet sie dort eine relevante Route bzw. Gateway nutzt sie das, wenn nicht wird das Paket verworfen.
Deine etwas laienhafte Angabe von "192.168.0.0" mit fehlender Maske setzt wohl einen 16 Bit Prefix (255.255.0.0) voraus und das deine am Layer 3 Coreswitch anliegenden IP Netze einzig und allein nur im Bereich 192.168.x.y liegen obwohl der RFC1918 je etwas mehr Auswahl böte.
Läge das .2.0er Netz (24 Bit Maske vorausgesetzt) am L3 Core forwardet die FW es dann an den L3 Switch und der dann final zum Ziel.
Mit anderen Worten: "Ja", das hast du genau richtig verstanden und du musst nix ändern. Außer vielleicht dein Sicherheitsverständnis einmal gründlich neu zu überdenken! 🧐
prinzjulius
prinzjulius 02.07.2024 um 17:09:20 Uhr
Goto Top
Ja

Das wollte ich hören. 😉
Es war tatsächlich nur ein einfaches Beispiel, um den Trafficflow zu verstehen; ein VPN ist bereits in Nutzung.
Und sorry, ja es die Standardroute lautet natürlich auf 192.168.0.0/16, während die VLANs erst einmal alle /24 sind.

Hab vielen Dank für die Bestätigung und einen schönen Abend 😊
OsiMosi
OsiMosi 17.11.2024 um 15:55:41 Uhr
Goto Top
Super Anleitung! Vielen Dank! Gibt es zufälligerweise auch eine Anleitung für die Konfiguration auf dem Mikrotik SwitchOS? Bislang habe ich nur etwas zum RouterOS gesehen. Vielleicht bin ich aber auch blind :D
aqui
aqui 17.11.2024 um 16:56:01 Uhr
Goto Top
Guckst du HIER