VLAN Konfiguration - 3 VLANs

[CharlesHenry]

Quasi so?

Default Routing.png

Oder muss da anstelle von 0 die 65535 rein?

Dankeschön auf jeden Fall!

...

Ich kann offenbar an der Stelle gar kein @tag hinter die IP schreiben *kopfkratz*

[backslash]

Hi CharlesHenry,

wie ich schon schrieb, gilt die Route mit Tag 0 in allen Kontexten - solange es keine explizit nur für den jeweiligen Kontext gültige Route gibt.
Es reicht also die eine Default-Route mit dem Tag 0 (die beiden anderen sind überflüssig)

Und du nutzt hier doch eine explizite WAN-Gegenstelle (T-CLSURF) - da mußt du dann auch keine Routing-Tags für den Next-Hop beachten

Das entspricht aber nicht deinem ursprünglichen Posting...

Ich kann offenbar an der Stelle gar kein @tag hinter die IP schreiben *kopfkratz*

wenn du als Router nicht die Gegestelle T-CLSURF nutzen würdest, sondern die IP-Adresse der Fritzbox (wenn die Fritzbox in einem weiteren LAN steht, wie du es im urspünglichen Posting beschreiben hast), dann müßte hinter der IP-Adresse der Fitzbox @65535 stehen.
Und nur weil LANconfig "meckert", daß es den Next-Hop nicht in der Auswahlliste findet, heißt es nicht, daß du es nicht eintragen kannst - das ist letztenendes nur dazu da, bei 08/15-Konfigurationen Fehler zu minimieren...

Gruß
Backslash

[CharlesHenry]

...das kommt davon, wenn man mal schnell zurückschreibt, und den falschen Screenshot schickt.
Tatsache ist aber leider, ich kann das @65535 nicht dahinter schreiben, weil er sagt, es funktionieren nur 16 Zeichen.

So sieht es tatsächlich aus:

Route.png

Und so der Fehler:

fehler.png

Auch im Webinterface funktioniert es nicht. Da kann ich es eingeben, aber beim Speichern kommt eine Fehlermeldung und dann steht wieder nur die Fritzbox-IP da.

[backslash]

Hi CharlesHenry,

welche Firmware setzt du eigentlich ein? Sowohl LANconfig als auch das CLI lassen 21 Zeichen zu:

Code: Alles auswählen

root@:/Setup/IP-Router/IP-Routing-Table
> set ?

Possible input for columns in table 'IP-Routing-Table':
[  1] IP-Address     : 15 chars from 1234567890.
[  2] IP-Netmask     : 15 chars from 1234567890.
[  8] Rtg-tag        : 5 chars from 1234567890
[  9] Admin-Distance : 3 chars from 1234567890
[  3] Peer-or-IP     : 21 chars from ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()+-,/:;<=>?[\]^_.0123456789 (lower case characters are converted to upper case)
[  4] Distance       : 2 chars from 1234567890
[  5] Masquerade     : No (0), on (1), intranet (2)
[  6] Active         : No (1), Yes (0), Semi (2)
[  7] Comment        : 64 chars from #ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()*+-,/:;<=>?[\]^_.0123456789abcdefghijklmnopqrstuvwxyz `

Das gilt ab Firmware 10.42...

Gruß
Backslash

[CharlesHenry]

Hallo Backslash.
Oh mann, das war natürlich der Fehler an dieser Stelle.

ipv4.png

Jetzt konnte ich auch @65535 eintragen.


Aber um es noch einmal zusammen zu fassen:

Ich könnte dort 3 Routen erstellen, sodass meine 3 unterschiedlichen Netze jeweils einen anderen Schnittstellen-Tag haben, richtig?
Dann würden alle 3 Netze voneinander getrennt sein, bzw. nur das Management-Netz 192.168.178.0/24 von der Fritzbox könnte auf die anderen zugreifen, wenn ich diesem den Tag 0 gebe, richtig?

Ich möchte ja, dass das 178er Netz auf die anderen beiden Netze zugreifen kann, aber nicht umgekehrt. Und vor allem das Netz 192.168.200.0/24 ist ja das Gastnetz, was NICHT auf die anderen zugreifen soll.

Wie muss das dann aussehen? Welche @tags bekommen diese Netze dann und muss dort auch der Router 192.168.178.1 stehen?

Muss ich in der Firewall noch etwas konfigurieren?

Vielen Dank für deine/eure Hilfe! Soweit wäre ich alleine nie gekommen...

[backslash]

Hi CharlesHenry

Ich könnte dort 3 Routen erstellen, sodass meine 3 unterschiedlichen Netze jeweils einen anderen Schnittstellen-Tag haben, richtig?

richtig - das brauchst du aber nur, wenn die Routen unterscchiedliche Gateways nutzen... Wenn sie alle das gleiche Gateway nutzen, reicht die eine mit 0 getaggte Route vollkommen aus - hier ist nur wichtig, daß du über das Tag 65535 den Kontextwechsel ins Tag 0 erzwingst (das mit der 65535 kommt aus der Firewall-Konfiguration, bei der ein Tag 0 bedeutet, daß es keinen Kontextwechsel gibt)

Dann würden alle 3 Netze voneinander getrennt sein, bzw. nur das Management-Netz 192.168.178.0/24 von der Fritzbox könnte auf die anderen zugreifen, wenn ich diesem den Tag 0 gebe, richtig?

wenn das Management-Netz das Tag 0 hat und die anderen Netze davon abweichende Tags, dann kann das Mangement-Netz auf die anderen Netze zugreifen, andersherum jedoch wird der Zugriff verweigert

Wie muss das dann aussehen?

so, wie es jetzt ausieht...

Muss ich in der Firewall noch etwas konfigurieren?

nein

Gruß
Backslash

[CharlesHenry]

Ich habe wie beschrieben @65535 hinter die Routeradresse gesetzt.

Du meintest ja, es müsste jetzt so funktionieren.

Wenn ich aber im Lancom dem VLAN100 z.B. einen anderen Tag gebe als der 0, dann funktioniert es nicht mehr. Das Handy, was über WLAN am Access Point hängt, der auch das VLAN100 annimmt, bekommt dann keine Verbindung mehr. Lasse ich das Tag bei 0, funktioniert es.

funzt nicht.png

Ich habe ferner einen kleinen managed Switch, den ich an den Lancom anschließen würde, um dort direkt noch PC's anzubinden. Denn wenn ich jetzt am Lancom etwas anschließe, dann funktioniert dort natürlich kein normales Endgerät wie ein PC, da dieser ja keine getaggten Pakete lesen kann.

Daher ist direkt am Lancom ein kleiner gemanagter Switch, der das VLAN100 aufnehmen soll (tagged) und dann weitergeben an ein Endgerät (untagged). Aber das scheint auch nicht so zu funktionieren, wie ich mir das erhoffe.

switch.png

ODER:
Was mir gerade noch einfällt... brauche ich diesen managed Switch überhaupt? Könnte ich nicht ein Gerät wie einen PC oder einen Medienserver an den Lancom hängen, sagen wir an Port 3... und auf diesen könnten dann Geräte, selbst wenn sie im 100er Netz sind zugreifen?

[CharlesHenry]

oder du richtest einfach ein WAN-Interfgace ein, an das du dann die Fitzbox hängst... Dann mußt du nicht mit den Routing-Tags jonglieren

Wie ginge denn das?

Irgendwie stolpere ich immer wieder über Details.
Was ich nicht auch verstehe ist, dass beim Lancom Router alles auf LAN 1 hängt. Sollte nicht eigentlich z.B. VLAN100 auf LAN 2 sein? Das dort schon eine Trennung besteht?


Ich habe noch einmal eine Skizze angefertigt, wie ich mir das ganze vorstelle. Vielleicht versteht ihr mich dann besser, sodass ich euch dann besser verstehe XD
Variante 1: Wenn ein Medienserver direkt am Lancom angeschlossen werden könnte:

Skizze.png

Variante 2: Wenn ein Medienserver über einen extra Managed Switch am Lancom angeschlossen werden müsste:

Skizze 2.png

Ist das einigermaßen logisch oder fallen hier schon Denkfehler meinerseits auf?

[Dr.Zett]

Beide Varianten machen keinen Sinn, da der unmanaged Switch höchstwahrscheinlich mit verschiedenen VLANs nicht umgehen kann und die getaggten Pakete verwirft.

[CharlesHenry]

Achso? Ich dachte, er würde das Signal einfach weiterleiten bzw. verteilen. Das is ja alles, was er tun muss. Er soll ja mit den VLANs nichts tun. Das geht wohl nicht?

Weil immerhin bisher an den APs ein Signal ankommt und ich das WLAN übers Gast- und Privatnetz von dort beziehe...

[Dr.Zett]

Achso? Ich dachte, er würde das Signal einfach weiterleiten bzw. verteilen. Das is ja alles, was er tun muss. Er soll ja mit den VLANs nichts tun.

Ob der "dumme" Switch Pakete nach 802.1Q weiterleiten kann oder nicht, ist eben nicht mit Gewissheit gegeben. Das müsstest du mit Wireshark überprüfen.

Aber ganz ehrlich - unabhängig davon, ob der unmanaged Switch VLAN-Tags korrekt forwarden kann oder nicht: Du brauchst hier einen VLAN-fähigen, d.h. managebaren Switch.

[CharlesHenry]

Dann wäre es doch sinnvoller, diesen unmanaged Switch nicht zu nutzen, und die Leitungen direkt an den Lancom anzuschließen, oder? Dann habe ich ja ein direktes Signal vom Lancom zum AP. Das müsste doch gehen, oder?

Das wiederum würde aber auf Grund der Portknappheit bedeuten, ich müsste den Medienserver an der Fritzbox anbinden (wenn der Zugriff dorthin von den VLAN-Netzen überhaupt möglich ist), oder eben doch noch einen Managed Switch besorgen mit mehr Ports.

[backslash]

Hi CharlesHenry

backslash hat geschrieben: ↑16. Mai 2022 10:03
oder du richtest einfach ein WAN-Interfgace ein, an das du dann die Fitzbox hängst... Dann mußt du nicht mit den Routing-Tags jonglieren

Wie ginge denn das?

Einfach den Internet-Wizard durchlaufen lassen und dabei folgendes Auswählen

• Ethernet-Buchse: der Port, an dem die Fritzbox hängt
• Land: Deutschland (ist aber eigentlich egal - darüber wird nur die Liste der möglichen Provider auf der nächsten Seite ausgewählt)
• Internet-Anbieter: Internetzugang über Plain Ethrenet (IPoE)
• IP-Parameter entweder passend eingeben oder per DHCP zuweisen lassen (letzteres ist voreingestellt)
• VLAN: es wird kein VLAN-Tag verwendet
• Verbindungsüberwachung: Keine Verbindungsüberwachung verwenden

In dem Fall ist die Verbindung maskiert - und du brauchst in der Fitzbox nichtmal Rückrouten zu deinen Netzen. Wenn du das nicht willst und stattdessen einen transparenten Zugriuff vom Fritzbox-Netz aus in deine internen Netze haben willst, dann mußt du in der Routing-Tabelle noch die Maskierung für die (vom Wizard neu angelegte) Default-Route abschalten (und natürlich in der Fitzbox die Rückrouten eintragen)

Gruß
Backslash

[CharlesHenry]

Also jetzt habe ich einen managed Switch und jetzt funktioniert es auch so, wie ich das will.

Ich habe jetzt aber ein anderes Problem.

Mit meinem einzigen PC, der auch im 100er Netz ist, möchte ich trotzdem auf alle wichtigen Geräte, d.h. Fritzbox, Lancom, Managed Switch und APs zugreifen können.

Auf den Lancom komme ich, auf die Fritzbox auch. Auf den Managed Switch komme ich nicht mehr und auf den AP auch nicht.

Was könnte der Fehler sein?

[Dr.Zett]

Du musst eine Firewall-Regel erstellen, die den Zugriff des PC (im VLAN 100) auf das Netz mit VLAN 1 erlaubt.

Code: Alles auswählen

Stationsobjekt: 

Name:           MANAGEMENT_PC
Typ:            IP-Adresse
Adresse/Prefix: IP des DNS-Servers


Regel:

Name:            ALLOW-MANAGEMENT
Quell-Tag:       100
Routing-Tag:     1
Aktion:          ACCEPT
Dienste:         ANY
Quell-Stationen: MANAGEMENT_PC
Ziel-Stationen:  ANY