Frage zu ARF und VLAN

[fildercom]

Hallo zusammen,

ich habe mal eine kurze Frage zur Einrichtung mehrerer ARF-Netze:
Es gibt folgendes Knowledge-Base-Dokument: https://www2.lancom.de/kb.nsf/675ae5e65 ... enDocument

Wenn nun auf einem Router bisher nur ein Netz aktiv ist (Schnittstellen-Tag 0, kein VLAN) und nun ein zweites ARF-Netz hinzu kommen soll (beide Netze sollen keinen Zugriff auf das andere Netz haben), so vergebe ich für das zweite Netz einen anderen Schnittstellen-Tag und würde es normalerweise auf eine andere physikalische Schnittstellen (ETH) legen.

Ist es möglich, das zusätzlich eingerichtete ARF-Netz nicht auf eine separate ETH-Schnittstelle zu legen, sondern per VLAN-ID (z.B. 5) auf allen ETH-Ports "anliegen" zu haben? Hat man trotzdem noch Zugriff auf das ursprünglich bestehende Netz ohne weitere VLAN-fähige Komponenten?

Nur das zusätzliche ARF-Netz soll als VLAN vorliegen, da die dafür installierten Komponenten VLAN-fähig sind.

Was muss ich tun, um dies sauber zu realisieren? Reicht es aus, in den IP-Netzwerken die VLAN-ID 5 einzutragen, oder muss noch separat das VLAN-Modul aktiviert werden? Was muss ich beachten, um mich beim "ursprünglichen" Netz nicht selbst auszusperren?

Über ein paar Schritt-für-Schritt-Tipps wäre ich sehr dankbar.

Viele Grüße und danke
fildercom.

PS: Muss ich das hier auch beachten? https://www2.lancom.de/kb.nsf/675ae5e65 ... enDocument

[Dr.Einstein]

Hallo fildercom,

du hast im Prinzip zwei Möglichkeiten:

Nr 1: Unter IP Netzwerk das neue Netzwerk hinzufügen mit der VLAN ID 5 (+ optional Schnittstellentag), fertig im Lancom, Rest durch Tagging im Switch davor.

Nr 2: Unter IP Netzwerk das bestehende Netzwerk als VLAN ID 1 markieren, VLAN 5 hinzufügen für das neue Netzwerk. Unter Schnittstellen / VLANs das Modul aktivieren, in der Mitgliedstabelle VLAN ID 1 = LAN-1, VLAN ID 5 = LAN-1; Port-Tabelle -> LAN-1 auf gemischt VLAN1.

Ich würde Nr. 1 präferieren, wenn es ein Router ohne WLAN ist. Mit WLAN wirst du evtl. das VLAN Modul brauchen, da WLAN-1 LAN-1 wird, und WLAN-1-2 das 2. Netzwerk.

Gruß Dr.Einstein

[fildercom]

Hallo Dr.Einstein,

der Router hat kein WLAN, daher wäre die Nr. 1 für mich auch die schnellere Lösung.

Das Tagging soll nicht der Switch vornehmen, sondern direkt im AP geschehen, der eine gesonderte SSID ausstrahlt, die eben auf die VLAN ID 5 gebrückt werden soll.

Wenn ich es richtig sehe, sollte ich bei der Nr. 1 auf das bereits bestehende Netz weiterhin Zugriff haben und mich nicht selbst aussperren? Nur dass eben das neue Netz zusätzlich dazu kommt und ins VLAN geht...

Gruß und danke
fildercom.

[Dr.Einstein]

Genau, bei Nr 1 besteht 0 Risiko Mit dem AP haut auch so hin, ist dann quasi der "Switch".

[fildercom]

Genau, bei Nr 1 besteht 0 Risiko Mit dem AP haut auch so hin, ist dann quasi der "Switch".

Vielen Dank Dr.Einstein!

Das werde ich so machen. Beim AP gibt es eine Konfigurations-Anleitung:
http://www.bintec-elmeg.com/portal/down ... eugen.html

Wenn ich das richtig sehe, muss das VLAN dort zur ETH-Schnittstelle getaggt werden und zum WLAN ungetaggt (so ist es zumindest dort beschrieben).

Ich hoffe, dass ich dort dann auch noch Zugriff auf das primäre Netz habe und dass dieser Traffic ohne VLAN auf die primäre SSID durchgeleitet wird...

Gruß und besten Dank
fildercom.

[Dr.Einstein]

Oh man, Bintec VLANs sieht genauso grauenhaft aus wie Lancom VLANs. Wieso haben beide Hersteller sich nicht gängige Switche wie HP, Cisco, Netgear, DLink angeschaut und sich daran orientiert?

Aber ja, könnte klappen ... wenig Erfahrung mit Bintec VLANs (immer wieder ätzend mit Bridge / Routing Modus -< VLANs)

[fildercom]

Vielen herzlichen Dank an Dr.Einstein für die schnelle und kompetente Hilfe. Ich habe es nun genau so eingerichtet und es funktioniert bis jetzt so wie es soll. Den DNS-Server für jedes ARF-Netz mitsamt DNS-Weiterleitung habe ich ebenfalls konfiguriert, auch das funktioniert.

Viele Grüße
fildercom.

[Jirka]

Hallo fildercom,

Du musst bei Deinem bisherigen Netz aber noch das Schnittstellen-Tag von 0 ändern (auf ein Tag ungleich des Tags, was für das neue Netz vergeben wurde), da dieses Netz sonst Zugriff auf das neue Netz hat, was laut Deinen Anforderungen nicht der Fall sein sollte.

Viele Grüße,
Jirka

[fildercom]

Hallo Jirka,

danke für den Hinweis, werde mich darum kümmern.

Allerdings habe ich hier gerade ein anderes Problem und hoffe, dass sich das lösen lässt:
Die Konfiguration wurde an einem von zwei Routern vorgenommen, die über zwei VRRP-Verbünde zusammen hängen (einmal ist Router A Master und Router B Slave, einmal umgekehrt). Die zweite ARF-Netz wurde auf Router B konfiguriert und nutzt kein VRRP.

Nun habe ich bei den Clients aus dem Hauptnetz, die standardmäßig über Router A als Master ins Internet gehen keinen Internetzugriff mehr. Windows sagt, dass der DNS-Server nicht erreichbar sei. Wenn ich nun Router B (auf dem die obige Konfiguration durchgeführt wurde) als Gateway und DNS auf diesen Clients eintrage, komme ich über diesen ins Internet.

Ich kann mir die Sache auch nicht so ganz erklären. Kann hier jemand weiterhelfen? Muss ich durch das VRRP etwas besonderes beachten? Woran kann das Problem liegen? Ich bin gerade wirklich sehr ratlos...

Gruß und danke
fildercom.

EDIT: Ich habe gerade den Router A neu gestartet, dann geht es kurzzeitig aber nach wenigen Minuten ist es wieder vorbei. Auf Router B habe ich jetzt testweise die "alte" Konfiguration vor dem zweiten ARF-Netz über VLAN wieder eingespielt. Ob da wirklich ein Zusammenhang besteht?

[Dr.Einstein]

Den DNS-Server für jedes ARF-Netz mitsamt DNS-Weiterleitung habe ich ebenfalls konfiguriert, auch das funktioniert.

Vielleicht liegt es daran? Probier mal ohne. VRRP funktioniert genauso wie ohne VLANs. Es muss bloß sichergestellt sein, dass sich VRRP Router untereinander trotz der VLANs sehen können. Da du VLAN 0 behälst, wird das gegeben sein und nicht die Ursache deiner Probleme sein.

DNS Trace könnte auch helfen.

Gruß Dr.Einstein

[fildercom]

Hallo Dr.Einstein,

danke für dein Feedback. Ich gehe inzwischen davon aus, dass das von mir angesprochene Problem außerhalb meines Zuständigkeitsbereiches lag. Kurze Zeit nach den DNS-Problemen war die PPP-Verbindung zum Telekom-Server ganz weg und ich habe eine Störung melden müssen (Sync war noch da). Mir wurde mitgeteilt, dass es "Breitband-Probleme" in meinem Bereich gibt (mehr konnte die Dame nicht sagen).

Jetzt ist die PPP-Verbindung wieder da und bis jetzt läuft sowohl das Hauptnetz als auch das zusätzliche ARF-Netz. Wenn es so bleiben würde, wäre ich zufrieden.

Was lernt man aus dieser Geschichte: Man sollte der Windows-Netzwerkdiagnose bei der Fehlersuche niemals vertrauen. Der DNS-Server war sehr wohl erreichbar, nur das Forwarding zum Telekom-DNS war wohl nicht mehr möglich.

Nochmal @ Jirka:
Ich werde das Hauptnetz auf dem Schnittstellen-Tag 0 vorerst belassen, da es nicht stört, wenn man vom Hauptnetz auf das zusätzliche ARF-Netz (aktuell Gästenetz für "Fremdrechner") Zugriff hat. Nur umgekehrt darf keine Kommunikation möglich sein, was durch den Schnittstellen-Tag 5 für das zweite Netz ja gegeben sein sollte. Auch den Konfigurations-Zugriff habe ich nur für IP-Adressen aus dem Hauptnetz zugelassen.

Ich melde mich bald wieder, werde jetzt erst mal weiter testen und arbeiten. Erst einmal vielen Dank an alle, die mir geholfen haben!

Gruß
fildercom.

[fildercom]

So, also bis jetzt läuft es stabil

Ich habe allerdings noch ein paar Fragen zum besseren Verständnis und hoffe, dass ihr mir helfen könnt:
1. Wenn beim Haupt-Netz der Schnittstellen-Tag 0 gesetzt ist, beim Gast-ARF-Netz der Schnittstellen-Tag 5 ist vom Gast-Netz kein Zugriff auf das Haupt-Netz möglich, umgekehrt aber theoretisch schon. Die Netze haben allerdings unterschiedliche IP-Adressbereiche und es wurde KEIN entsprechender Eintrag in der Routing-Tabelle gesetzt. Sehe ich das richtig, dass somit auch kein Zugriff vom Haupt-Netz auf das Gast-Netz besteht?
2. Das Gast-Netz befindet sich nun im VLAN 5, das Haupt-Netz ist wie bisher auch VLAN 0. Sehe ich das richtig, dass folglich kein Traffic des Haupt-Netzes im Gast-Netz zu "sehen" sein dürfte und umgekehrt ebenso? Also dass man auch mit Wire-Shark keinen Traffic vom anderen Netz mitschneiden kann?
3. Wäre es theoretisch möglich, einen VRRP-Verbund auch innerhalb des Gast-ARF-Netzes einzurichten (auch im VLAN), oder geht das nur beim Haupt-Netz?

Ich weiß, das sind viele Fragen, aber man lernt ja jeden Tag dazu und das Forum hier ist die ideale Plattform dafür.

Viele Grüße und herzlichen Dank
fildercom.

[Dr.Einstein]

1. Wenn beim Haupt-Netz der Schnittstellen-Tag 0 gesetzt ist, beim Gast-ARF-Netz der Schnittstellen-Tag 5 ist vom Gast-Netz kein Zugriff auf das Haupt-Netz möglich, umgekehrt aber theoretisch schon. Die Netze haben allerdings unterschiedliche IP-Adressbereiche und es wurde KEIN entsprechender Eintrag in der Routing-Tabelle gesetzt. Sehe ich das richtig, dass somit auch kein Zugriff vom Haupt-Netz auf das Gast-Netz besteht?

Funktioniert standardmäßig, Lancom macht das alles von alleine und wird anders als in Linux/Cisco etc nicht in der Routing Tabelle angezeigt.

2. Das Gast-Netz befindet sich nun im VLAN 5, das Haupt-Netz ist wie bisher auch VLAN 0. Sehe ich das richtig, dass folglich kein Traffic des Haupt-Netzes im Gast-Netz zu "sehen" sein dürfte und umgekehrt ebenso? Also dass man auch mit Wire-Shark keinen Traffic vom anderen Netz mitschneiden kann?

Korrekt

3. Wäre es theoretisch möglich, einen VRRP-Verbund auch innerhalb des Gast-ARF-Netzes einzurichten (auch im VLAN), oder geht das nur beim Haupt-Netz?

Kannst du ohne Probleme machen. Die einzige Bedingung ist, dass sich die beiden virtuellen MAC-Adressen der VRRP ID sehen können, sprich im selben VLAN sind, egal wie.

[fildercom]

Danke Dr.Einstein für die Erklärungen.

Abschließend muss ich doch noch einmal eine Frage stellen:
Ich würde gerne die VLAN-ID und das Routing-Tag nochmals ändern, um eine einheitliche Logik im Netz zu haben. Kann ich das bedenkenlos an den entsprechenden Stellen einfach nur abändern oder ist es empfehlenswert, das ARF-Netz, den DHCP-Bereich etc. komplett zu löschen und nochmals neu anzulegen? Oder sollte ich nach der Änderung besser das Gerät noch neu starten?

Normalerweise dürfte eine Änderung (inklusive der VLAN-Zuordnung am bintec-AP) kein Problem sein, aber aufgrund des einen oder anderen Problems in vergangenen LCOS-Versionen frage ich zur Sicherheit noch einmal nach.

Vielen Dank und viele Grüße
fildercom.

[Dr.Einstein]

Einfach komplett ändern, greift alles sofort ohne Neustart, nix löschen