Erste Einrichtung eines VLAN (Anfänger)

[overcast37]

Hallo zusammen,
Ich habe zuhause ein laufendes Netzwerk und möchte nun ein (bzw. mehrere) VLAN einrichten.
Ich weiß ganz grob was ich zu tun habe, und ich meine auch zu wissen warum ich das tun möchte (Sicherheit).
Jedoch ist es mein erstes VLAN das ist einrichte und der Lancom Router ist mit Konfigurationsmöglichkeiten reich gesegnet. Da ich das bestehende Netzwerk nicht komplett lahm lege, oder unsinnige Einstellungen vornehmen möchte, würde ich euch gerne um ein paar Tipps bitten.

Vorab zur grundlegenden Hardware:
Router: 1900EF (Server/DHCP)
Switches: 2x Ubiquiti 24port
Controller: Ubiquiti Cloud Key (darüber werden die switches und die Access Points konfiguriert)

Etwas zur Nutzung:
In Netzwerk befinden sich mehrere PCs der Familienmitglieder, zwei NAS und natürlich ganz viel Kram der gerne nach Hause telefonieren möchte. Über einen der beiden NAS läuft auch die Videoüberwachung. Dazu dann noch das WLAN für allerlei mobilen Geräte.

Mein Plan ist es das VLAN wie folgt einrichten:
10 - Management (Haupt-NAS, Controller, Router)
20 - PCs (vor allem der Kinder, damit Unfälle sich nicht auf den Rest des Netzwerkes ausbreiten können).
30 - Smarthome (Dinge wie Türsprechanlage, Heizung, Fernseher)
40 - Videoüberwachung samt dazugehörigem NAS
50 - WLAN
60 - WLAN Gäste (hierüber würde ich auch Dinge laufen lassen dir kein Netzwerkanschluss haben und nichts im eigentlichen Netz zu suchen haben)

Meine Fragen bzw. Bitte um Ratschläge hierzu:
1. Machen die VLANs wie oben beschrieben Sinn? Oder ist es zu detailverliebt?
2. Allgemeine Ratschläge zu dem Vorhaben, was ich unbedingt beachten sollte?
3. Wenn ich mit LANconfig vor dem ersten Versuch eine Sicherung mache und es zu Problemen kommt, dann kann diese Sicherung wieder alles auf Status quo setzen, richtig?

Zum Schluss noch etwas für die Augen (noch mit altem Router):

Screenshot_20211218-131637.png

[overcast37]

Mal so aus grundlegender Gedanke ob das richtig ist:
- ich erstelle im Router VLANs
- ich aktiviere den DHCP Server für die einzelnen VLANs
- bei beiden Switches erstelle ich ebenfalls die VLANs
- ich weiße den jeweiligen Ports das passende VLAN zu
- beim Uplink (Switch -> Router) ist der Port auf "All"
- den Ports der Access Points vergebe ich zwei VLANs und teile den SSIDs dann das entsprechende VLANs zu

Das liest sich richtig, oder?

[overcast37]

Ich habe die Einstellungen mal an dem alten 883+ geübt (daher wohl auch BRG-1 bei Intranet).
Ich wollte zuerst mit dem VLAN-Modul arbeiten, bis ich hier laß, dass man das getrost deaktiviert lassen kann.

Wenn ich mit diesen Einstellungen jetzt dem Switch sage, Port X bitte auf VLAN-ID 10 sollten das daran angeschlossene Gerät auf den ihm zugewiesenen Netzwerke laufen, korrekt? Oder muss ich bei Tag auch die 10 vergeben?

Aber um die Kommunikation zwischen den VLAN-IDs / IP-Netzwerken zu verhindern sind dann noch Einstellungen in der Firewall notwendig, richtig?

[Dr.Zett]

Servus,

Ich wollte zuerst mit dem VLAN-Modul arbeiten, bis ich hier laß, dass man das getrost deaktiviert lassen kann.

Richtig, für Deinen Anwendungsfall wird das VLAN-Modul im LANCOM nicht benötigt.

Wenn ich mit diesen Einstellungen jetzt dem Switch sage, Port X bitte auf VLAN-ID 10 sollten das daran angeschlossene Gerät auf den ihm zugewiesenen Netzwerke laufen, korrekt?

Ja, sollte passen - sofern Dein Switch richtig konfiguriert ist.

Aber um die Kommunikation zwischen den VLAN-IDs / IP-Netzwerken zu verhindern sind dann noch Einstellungen in der Firewall notwendig, richtig?

Aktuell sind Deine Netze INTRANET und USERS nicht voneinander getrennt. Das liegt am Schnittstellen-Tag.

-> Netze mit Tag 0 haben Zugriff auf alle anderen, sprich Tag 0 und "ungleich 0".
-> Netze mit gleichem Tag "ungleich 0" sind ebenfalls verbunden.

Aktuell haben beide Netze Tag 0 - um also USERS von INTRANET zu trennen, musst Du den Tag von USERS ändern. Möchtest Du auch den Zugriff von INTRANET nach USERS unterbinden, dann braucht INTRANET ebenfalls einen Tag ungleich 0 und ungleich dem von USERS.


Grüße

Dr. Zett

[overcast37]

Vielen Dank!

Dann würde es Sinn machen bei Intranet (als Management-Ebene) das Tag auf 0 zu belassen und bei den anderen Netzwerken die Tags angelehnt an die VLAN-ID (10, 20 etc.) zu vergeben!?

Wenn ich von mehreren Netzwerken spreche, diese aber nicht auf dem Screenshot zu sehen sind, liegt das daran, dass der 883+ nur 3 Netzwerke kann. Ich plane auf dem 1900EF dann insgesamt 4. Das habe ich im Anhang mal versucht darzustellen.

[Dr.Zett]

Dann würde es Sinn machen bei Intranet (als Management-Ebene) das Tag auf 0 zu belassen und bei den anderen Netzwerken die Tags angelehnt an die VLAN-ID (10, 20 etc.) zu vergeben!

Wenn das Deinem persönlichen Geschmack entspricht, mach es so. Ich habe es der Einfachheit halber auf meinem 1793VA genauso gelöst.

Viel Erfolg. Bei Problemen einfach melden.

[overcast37]

Wenn das Deinem persönlichen Geschmack entspricht, mach es so. Ich habe es der Einfachheit halber auf meinem 1793VA genauso gelöst.

Viel Erfolg. Bei Problemen einfach melden.

Den Port auf dem Switch an dem der NAS angeschlossen ist würde ich dann mit VLAN-ID 10 & 20 taggen, so könnte Management und User auf den NAS zugreifen, richtig?

[Dr.Zett]

Ja. Aber nur unter der Voraussetzung, dass DeIn NAS selbst VLAN-fähig und entsprechend konfiguriert ist mit VLAN 10 und 20.

[overcast37]

Sollte das nicht der Managed Switch regeln?
Oder müsste ich für diesen Fall das VLAN-Modul aktivieren?

[Dr.Zett]

Weder noch. Ich versuche es mal einfach zu erklären:

Der Switch kann das nicht "regeln", der wird lediglich die Pakete am zugeordneten Port - mit dem jeweigen Tag - ausgeben.

Die am NAS ankommenden Pakete sind also entweder mit VLAN 10 oder 20 getaggt. Und das NAS muss diese wieder auseinander dividieren, d.h. in der Lage sein, die Tags auszuwerten. Ist dem nicht der Fall (sprich das NAS kann nur mit ungetaggten Paketen umgehen), wird die Verbindung zum NAS in dieser Konstellation komplett scheitern, egal aus welchem Netz.

Welches NAS hast Du denn? Die Synology-Geräte können z.B. mit VLAN umgehen. Eine Anleitung dafür findest Du hier:

http://www.stueben.de/mehrere-vlans-mit ... -synology/

[overcast37]

Vielen Dank für die Erklärung und besonders für den Link, der auch noch ein paar interessante Sachen zum Thema VLAN hat.

Ich habe tatsächlich ein NAS von Synology.

[Dr.Zett]

Ja dann sollte Dein Plan aufgehen.

Bitte beachten, dass die Anleitung sich auf Synology's mit einer physikalischen Ethernet-Schnittstelle bezieht.

Solltest Du ein Modell mit zwei Schnittstellen haben, kannst Du das NAS entweder mit 2 Kabeln an den Switch anbinden, Port 1 am Switch mit VLAN 10, Port 2 mit VLAN 20. Die Konfiguration läuft dann komplett über die Synology-GUI, d.h. den Teil der Anleitung auf der Konsole kannst Du Dir sparen.


Oder Du möchtest mit Link Aggregation arbeiten, dann hier lesen:

https://waal70blog.wordpress.com/2017/0 ... skstation/

[overcast37]

Ich habe sogar 4 LAN-Anschlüsse und würde dann mind. 1x Aggregation machen, vllt. sogar 2x (also VLAN10 mit 2x LAN und 20 mit 2x LAN).
Das habe ich mich nämlich noch gefragt, ob das lt. dem ersten Link über ein oder zwei Kabel läuft.

[overcast37]

Moin,
ich habe das Netzwerk versuchsweise mal an dem alten 883+ versucht, leider ohne Erfolg.
Kann mir jemand sagen, ob hier ein offensichtlicher Fehler in den Einstellungen vorliegt? VLAN-Modul ist aus.

Mein Versuchsaufbau:

Test.jpg

Meine IP-Netzwerke:

IP-Netzwerke.png

DHCP Einstellungen:

DHCP_IP4.png

[overcast37]

Noch zwei Einstellungen, da nicht mehr als 3 Bilder zum hochladen drin waren.

IP4-Routing:

IP4_ROUTING.png

Lan-Ports:

LAN-PORTS.png