Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

HotSpott
Beiträge: 27
Registriert: 24 Aug 2014, 12:38

Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von HotSpott »

Hallo miteinander,

ich komme gerade nicht weiter... vermutlich ganz einfach, aber ich habe einen Knoten im Hirn.

Ich habe hier einen 1781 VAW mit Public Spot Option. Darauf habe ich ein IP-Netzwerk "HOTSPOT" 192.168.1.1/24 mit VLAN-ID 3 und internem DHCP aktiv. Das wird neben anderen (nicht-Public-Spot) VLANs getaggt auf LAN-1 ausgegeben. Dementsprechend habe ich den Public-Spot für Interface LAN-1 und VLAN 3 aktiviert. Das funktioniert soweit.

Jetzt brauche ich aber über ein anderes VLAN parallel einen Zugriff auf das gleiche IP-Netzwerk (HOTSPOT) ohne die Public-Spot-Anmeldung. Wie mache ich das?

Ich habe erst mal ein VLAN 4 angelegt, getaggt auf LAN-1 gelegt, aber das Public-Spot-Interface nicht für VLAN 4 aktiviert. Wie geht es jetzt weiter? Bei dem vorhandenen IP-Netzwerk kann ich meinem Eindruck nach nur eine VLAN-ID eintragen.

Viele Grüße,
HotSpott
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von backslash »

Hi HotSpott,

kurz und knapp: vergiß es...

Das kann nicht funktionieren, weil sich die beiden Netze nicht sehen können (warum kannst du z.B. in TCP/IP for Dummies nachlesen). Du müßtest schon ein anderes Netz aufspannen und dann in das HOTSPOT-Netz routen... Das wird aber auch nicht funktionieren, wenn dein Ziel nicht am Hotspot angemeldet ist (denn die Antworten würden vom Hotspot geblockt).

Letztendlich gehören gesharte Ressourcen in ein eigenes Netz, auf das du sowohl aus dem Hotspot-Netz als auch dem anderen Netz zugreifen kannst...

Gruß
Backslash
HotSpott
Beiträge: 27
Registriert: 24 Aug 2014, 12:38

Re: Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von HotSpott »

Hallo Backslash,

der Witz ist, ich will ja gerade keine zwei Netze haben. Im Gegenteil muss es ein Netz sein. Ich habe Geräte, die mit Public-Spot-Login zugreifen sollen und andere ohne Public-Spot-Login. Sie müssen aber leider im gleichen Subnet landen.

Mit dem WLANs auf dem Router selbst kann ich das auch problemlos machen. Ich habe jetzt WLAN-1-3 und WLAN-1-4 beide mit VLAN 3 untaggt verbunden. Dann kann ich im Public-Spot-Modul die Benutzeranmeldung für das Interface WLAN-1-3 deaktivieren und für WLAN-1-4 aktivieren.

Nur beim kabelgebundenen Ethernet nützt mir diese Interface-Einstellung nix, hier laufen alle VLANs über LAN-1. Wäre ja nicht so schlimm, weil das Public-Spot-Modul auch pro VLAN (de)aktiviert werden kann. Aber dafür müsste ich eben beiden VLANs das gleiche IP-Netz zuweisen können.

Ich könnte natürlich den Router über zwei LAN-Kabel parallel an den Switch anschließen, dann hätte ich z. B. LAN-1 und LAN-2. :twisted: Aber ich glaube, das funktioniert nicht wegen identischer MAC-Adresse, oder?

Viele Grüße,
HotSpott
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von backslash »

Hi HotSpott,
der Witz ist, ich will ja gerade keine zwei Netze haben.
FALSCH! Es sind aufgrund der verschiedenen VLANs bereits ZWEI Netze, auch wenn sie den gleichen Adreßbereich abdecken. Und genau aus diesem Grund KANN dein Aufbau NICHT funktionieren. Denn um Daten zwischen den Netzen zu übertragen, muß das VLAN gewechselt werden - ganau das würde das LANCOM auch machen, wenn geroutet würde. Da die Netze aber den gleichen Adreßraum aufspannen, wird ein Host im Netz 1, daß eine Adresse im Netz 2 ansprechen will, seine Pakete eben nicht an das LANCOM schicken, sondern einen ARP-Request für die Zieladresse senden. Da diese sich aber in einem ANDEREN VLAN befindet, wird der ARP-Request niemals beantwortet... Daher mein Hinweis auf "TCP/IP for Dummies"

Es funktioniert einfach nicht! Da kannst du noch so sehr "ich wil das aber" rufen... Auch dein Beispiel mit den verschcieden getaggten WLAN-Interfaces hilft dir dabei nicht weiter. Es bleiben zwei Netze, die sich gegenseitig NICHT sehen können.

Die einzige Lösung besteht darin, dein Netz umzubauen und am Ende drei adreßmässig verschiedene Netze zu verwenden: Das Gastnetz mit dem Hostspot, dein Intranet und (aus Sicherheitsgründen) ein Netz mit den gesharten Ressourcen

Gruß
Backslash
HotSpott
Beiträge: 27
Registriert: 24 Aug 2014, 12:38

Re: Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von HotSpott »

Hm, vielleicht drücke ich mich da falsch aus, ob habe wirklich gefährliches Halbwissen. :oops:

Aber nochmal: ich habe keine zwei IP-Netzwerke angelegt. Ich will das auch nicht, und darf das auch nicht. Ein VLAN ist doch nicht das gleiche wie ein IP-Netz. Klar, in 95% aller Fälle hat man auf verschiedenen VLANs auch verschiedene IP-Netze. Aber ich glaube nicht, dass das zwingend so sein müsste. Ich würde denken: genauso, wie ich ein einziges IP-Netz über zwei WLAN-SSIDs abstrahlen kann, müsste ich das auch an zwei VLANs binden können (also rein konzeptionell jetzt, auf dem LANCOM geht genau das eben anscheinend nicht?!).

Mehrere Netze und Routing nützt mir nichts. Kurz zum ungefähren Hintergrund: ich habe hier einen Bildschirm, auf den man z. B. vom Tablet aus seinen Bildschirminhalt übers Netz übertragen kann. Der Bildschirm ist immer da und soll natürlich keine Public-Spot-Anmeldung brauchen. Tablets gibt es aber auch welche von Gästen, die sich über den Public Spot anmelden. Und diese Bildschirmübertragung funktioniert leider nur zwischen Geräten im gleichen Subnetz.

Sooo extrem exotisch kommt mir der Wunsch jetzt auch nicht vor, dass ich auf das gleiche IP-Netz sowohl mit als auch ohne Public-Spot-Anmeldung zugreifen will... und wie gesagt geht das ja auch z. B. mit verschiedenen WLAN-SSIDs. Aber mit verschiedenen VLANs bekomme ich es nicht hin.

Viele Grüße,
HotSpott
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von alf29 »

Mehrere Netze und Routing nützt mir nichts. Kurz zum ungefähren Hintergrund: ich habe hier einen Bildschirm, auf den man z. B. vom Tablet aus seinen Bildschirminhalt übers Netz übertragen kann. Der Bildschirm ist immer da und soll natürlich keine Public-Spot-Anmeldung brauchen. Tablets gibt es aber auch welche von Gästen, die sich über den Public Spot anmelden. Und diese Bildschirmübertragung funktioniert leider nur zwischen Geräten im gleichen Subnetz.
Du kannst im Public Spot einzelne MAC-Adressen freischalten, so daß sie ohne Anmeldung ins Netz kommen.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von Maurice »

Moin HotSpott,

Einem IP-Netzwerk mehrere VLANs zuzuweisen geht bei LCOS definitiv nicht.
HotSpott hat geschrieben: 11 Jul 2019, 15:56 Ich könnte natürlich den Router über zwei LAN-Kabel parallel an den Switch anschließen, dann hätte ich z. B. LAN-1 und LAN-2.
Das könnte tatsächlich funktionieren (ohne es getestet zu haben). VLAN 3 auf LAN-1 und LAN-2 konfigurieren, LAN-1 und LAN-2 einer Bridge-Gruppe zuweisen und diese dem IP-Netzwerk HOTSPOT. Public-Spot weiterhin nur auf LAN-1 aktiv lassen. Wenn Du VLAN 3 auf LAN-2 nicht tagst, dann kannst Du den entsprechenden Port am Switch als Access-Port für VLAN 4 konfigurieren.
HotSpott hat geschrieben: 11 Jul 2019, 15:56 Aber ich glaube, das funktioniert nicht wegen identischer MAC-Adresse, oder?
Daran könnte es scheitern. Die Frage ist, ob der Switch eine MAC-Adress-Tabelle pro VLAN hat oder eine globale für alle VLANs. Da gibt es wohl tatsächlich Unterschiede. Ausprobieren. :-)

Grüße

Maurice
HotSpott
Beiträge: 27
Registriert: 24 Aug 2014, 12:38

Re: Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von HotSpott »

alf29 hat geschrieben: 11 Jul 2019, 17:23Du kannst im Public Spot einzelne MAC-Adressen freischalten, so daß sie ohne Anmeldung ins Netz kommen.
Das ist gut, würde das Problem für die Bildschirme lösen. Leider gibt als weitere Geräteklasse auch noch die "BYODs" der Mitarbeiter. Die haben derzeit eine eigene SSID mit WPA-PSK. Für die kommt eigentlich weder Public-Spot-Voucher noch MAC-Adressen einpflegen in Frage.

Auf dem 1781VAW selbst ist das ja kein Problem mit dem BYOD-WLAN, aber ich habe noch einen zweiten AP, der alle SSIDs anbieten soll. Auch deshalb brauche ich ein VLAN mit und eins ohne Public-Spot-Anmeldung im gleichen IP-Netz

Viele Grüße,
HotSpott
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von Koppelfeld »

Hallo,
Maurice hat geschrieben: 11 Jul 2019, 18:05 Die Frage ist, ob der Switch eine MAC-Adress-Tabelle pro VLAN hat oder eine globale für alle VLANs.
Der Switch müßte ja im "Interface-Mode" betrieben werden, also
- 'private mode' an und
- VLAN-Modul aktiviert, denn nur damit kannst Du die geforderten Zuweisungen machen.
Der LANCOM selbst hat in diesem Falle für jedes Interface eine unterschiedliche MAC.
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von Maurice »

@Koppelfeld, Missverständnis: Ich meinte den externen Switch (wahrscheinlich nicht-Lancom?), nicht den internen im 1781VAW.
Aber dass bei Lancom jeder Port im Private Mode eine individuelle MAC-Adresse hat war mir nicht klar. Interessant. Und eigentlich logisch. Macht die Sache erfolgversprechender.

@HotSpott, teste es doch einfach mal wie beschrieben.

Grüße

Maurice
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von backslash »

Hi HotSpott,
Hm, vielleicht drücke ich mich da falsch aus, ob habe wirklich gefährliches Halbwissen
definitiv letzteres...
Ein VLAN ist doch nicht das gleiche wie ein IP-Netz
Kurz und knapp: Doch! Es ist eine phyiskalischen Trennung der Netze und ein Übergang zwischen VLANs ist nur über ein Gateway möglich. Und ein Gateway bedeutet routen!

Nochmal: es ist völlig egal, ob du das nicht willst und/oder nicht darfst - es geht nicht ohne mehrere Netze... Oder du nimmst das VLAN ganz raus und baust ein flaches Netzs auf - was letztendlich auch das Ergebnis deines Switch-Expremiments wäre, wenn es funktionieren würde. Allerdings bezweifle ich das ganz stark, dann sowas würde eine extrem simple Angriffsmöglichkeit auf VLAN-Architekturen eröffnen. Auch die Idee mit der Briggeruppe führt ins leere, weil dabei die VLANs natürlich nicht gewechselt werden (eine Bridge ist letztendlich nur ein Switch in Software)

Gruß
Backslash
HotSpott
Beiträge: 27
Registriert: 24 Aug 2014, 12:38

Re: Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von HotSpott »

Sorry Backslash, du bist da irgendwie auf der falschen Fährte. Ein VLAN und ein IP-Netz ist ganz sicher nicht das gleiche, das ist ja schon mal Layer 2 und Layer 3. Und keines von beiden ist eine physikalische Trennung, das sind beides logische Trennungen. Ganz im Gegenteil kann man VLANs benutzen, um eine physikalische Trennung zu eliminieren, die normalerweise notwendig wäre.

Was du mit "Angriffsmöglichkeit" meinst, habe ich nicht verstanden. Bei der Variante mit zwei Kabeln zum externen Switch gäbe es auf dem LANCOM gar kein zweites VLAN. Da gibt es nur eines, was ich auf zwei Ports ausgebe. Das zweite VLAN gibt es erst auf dem externen Switch.

Da fällt mir übrigens ein, dass ich schon mal eine Installation mit zwei Netzwerkkabeln von einen 1781 AW zu einem HP-Switch hatte. Ich glaube, das war auf dem LANCOM sogar ganz ohne VLANs mit zwei Bridgegruppen. Also vielleicht klappt das wirklich so, auch wenn es alles andere als elegant wäre. Ich bin aber erst nächste Woche wieder vor Ort, um da weiterzubasteln.

Viele Grüße,
HotSpott
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von backslash »

Hi HotSpott
Sorry Backslash, du bist da irgendwie auf der falschen Fährte.
sorry HotSpott, aber du bist auf der falschen Fährte...
Ein VLAN und ein IP-Netz ist ganz sicher nicht das gleiche, das ist ja schon mal Layer 2 und Layer 3.
Das habe ich auch nicht behauptet. Es geht darum, daß du das VLAN nicht wechseln kannst, ohne eine zentrale Instanz, über die die Pakete laufen. Wenn ein Host in deinem Aufbau ein Paket von dem einen VLAN in das andere übertragen will, dann muß er das Paket über diese zentrale Instanz schicken. Und genau das macht ein IP-Host *NICHT*, wenn sich die Zieladresse des Paket in *SEINEM* (adreßmässig) eigenen Netzwerk befindet. Ein Host schickt Pakete nur dann zur zentralen Instanz aka Gateway, wenn sich das Ziel eben *NICHT* im eigenen Netz befindet. Über diesem Umweg werden es in deinem Konstrukt tatsächlich zwei unabhägige Netze auch wenn sie die gleiche Adressen verwenden. Das sind nunmal die Grundlagen des IP-Protokolls, daran kannst du nichts ändern.
Und keines von beiden ist eine physikalische Trennung, das sind beides logische Trennungen. Ganz im Gegenteil kann man VLANs benutzen, um eine physikalische Trennung zu eliminieren, die normalerweise notwendig wäre.
Wenn du die Worte unbedingt auf die Goldwaage legen willst, dann hast du natürlich recht damit, daß ein VLAN nur eine logische Trennung ist - aber wie du schon im zweiten Satz selbst nachschiebst, wird es als phyiskalische Trennung verwendet!
Was du mit "Angriffsmöglichkeit" meinst, habe ich nicht verstanden.
Wenn du einfach so die Grenzen der VLANs überwinden könntest, dann ist genau die (als physikalisch verwendete) Trennung aus dem Satz direkt hierüber nicht mehr möglich. Und genau *DAS* wäre der Angriff.
Bei der Variante mit zwei Kabeln zum externen Switch gäbe es auf dem LANCOM gar kein zweites VLAN. Da gibt es nur eines, was ich auf zwei Ports ausgebe. Das zweite VLAN gibt es erst auf dem externen Switch.
Wie ich schon in meinem letzten Posting schrieb, wird die Variante auch nicht funktionieren, denn ein handelsüblicher Switch würde die VLANs nicht zusammenführen, sondern sauber getrennt halten, denn sonst wäre so ein Switch ja genau das Angiffswerkzeug, das ich meinte und was du nicht verstehen willst.

Gruß
Backslash
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von Maurice »

Moin Backslash,

Ich habe den Eindruck, dass ihr hier völlig aneinander vorbei redet. Deine Expertise schätze ich immer sehr, daher verstehe ich umso weniger, warum Du HotSpott so abbügelst. Meinem Eindruck nach ist da durchaus Know-How vorhanden. Und das Anliegen halte ich für berechtigt: Zum selben IP-Netzwerk Zugänge über Ethernet (ohne Authentifizierung), WLAN mit Public-Spot-Login und WLAN mit WPA-PSK anzubieten.

Ressourcen in ein separates IP-Netzwerk zu packen ist zwar grundsätzlich sinnvoll, aber bei manchen Protokollen selbst mit aufwändigen Workarounds (Bonjour-Proxy etc.) schlicht nicht möglich. Das kann man sch**** finden, aber trotzdem versuchen eine kreative Lösung zu finden.

HotSpott hat mehrfach betont, dass es nur um ein IP-Netzwerk / Broadcast-Domäne geht, nicht "zwei Netzwerke mit identischen Adressen". Aus dem Gäste-Netz und dem Intranet auf dieselben Ressourcen zuzugreifen ist auch nicht verlangt, das hast Du hineininterpretiert. Es geht offensichtlich nur um Gäste-Geräte, private Mitarbeiter-Geräte (gleiche Sicherheitseinstufung) und unkritische Ressourcen (Bildschirme mit vermutlich Google Cast o. Ä.). Wir handhaben das ähnlich: Private Mitarbeiter-Geräte sind genauso (wenig) vertrauenswürdig wie Gäste-Geräte.

"Von VLAN A zu VLAN B geht nur geroutet" mag in der Lancom-Bubble richtig sein, ist so pauschal aber nicht zwingend. Man kann durchaus auch ein VLAN auf ein anderes VLAN bridgen. Stichwort "Inter-VLAN-Bridging", lässt sich auf ordentlichen Switches konfigurieren. Als Workaround kann man auch zwei Access-Ports mit unterschiedlichen Port-VLAN-IDs physisch verbinden. Das ist natürlich ein Edge-Case, hat HotSpott aber auch so dargestellt.

@HotSpott, nur Mut und testen! Ich habe schon wildere VLAN-Workarounds gebaut. :)

Nochmal zum Verständnis:

Code: Alles auswählen

                                                                 |  |
                                                        1781VAW  |  |  Externer Switch
                                                                 |  |
                    LAN-1 (Hybrid, u.A. VLAN 3 tagged) -- ETH 1 -|--|- Hybrid, u.A. VLAN 3 tagged
                      |                                          |  |
HOTSPOT (VLAN 3) -- BRG-1                                        |  |
                      |                                          |  |
                    LAN-2 (Access, Port-VLAN-ID 3) ------ ETH 2 -|--|- Access, Port-VLAN-ID 4
                                                                 |  |
Grüße & schönes WE

Maurice
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Gleiches IP-Netzwerk auf verschiedenen VLANs (mit und ohne Public Spot)

Beitrag von Koppelfeld »

Hallo,
Maurice hat geschrieben: 12 Jul 2019, 20:46 "Von VLAN A zu VLAN B geht nur geroutet" mag in der Lancom-Bubble richtig sein, ist so pauschal aber nicht zwingend. Man kann durchaus auch ein VLAN auf ein anderes VLAN bridgen. Stichwort "Inter-VLAN-Bridging", lässt sich auf ordentlichen Switches konfigurieren.
Damit aber machst Du faktisch aus zwei VLANs ein einziges. Gleichzeitig baust Du ganz fiese Fallen ein. Stichwort STP und erst recht MSTP. Gut, über den Sinn weiblicher Mitwirkung in der Kommunikationstechnologie kann man geteilter Meinung sein. Schalten wir STP also sinnvollerweise ab. Bleibt aber ein subtiles Problem, welches Du schon benannt hast: Hat die Switching-Gegenstelle eine globale oder eine per-VLAN - Adreßtabelle ? Ich weiß leider nicht mehr genau wie, aber mit genau so einer Kombi, "Luxus-Switch mit Routing" und "einfacher Switch mit globaler Tabelle", habe ich intermittierend auftretende Störungen erzeugt. Lästig, drei Tage Debugging im Echtbetrieb.
VLAN: Layer 1 (oder 1,5 im Falle von Tagging)
LAN: Layer 2
IP: Gibt es im LAN gar nicht

Das Ursprungsproblem kann also nur auf L2 gelöst werden, und da kam ja schon der Hinweis von Alf29.

Unsere fortschreitende "Wirrtualitis" läßt uns vergessen, daß jeder Zugriff auf eine virtuelle Ressource mindestens einen auf eine reale Ressource nach sich zieht, RFC 1925 läßt schön grüßen.

Dir traue ich schon zu, dennoch ein funktionierendes Szenario wie skizziert hinzubekommen, aber:

- würdest Du das guten Gewissens an einen Kollegen übergeben ?
- was ist ggfs. nach einem Fimwareupdate ?
- wie soll so etwas extern 'supported' werden können ?

Daher: "entia non sunt multiplicanda praeter necessitatem".


In diesem Sinne: Schönes Wochenende
Antworten