Wie stellt man die Priorisierung mehrerer VLAN-Adapter auf 1 RJ45-Port korrekt ein?

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Wie stellt man die Priorisierung mehrerer VLAN-Adapter auf 1 RJ45-Port korrekt ein?

Beitrag von tar »

Hallo,

ich habe auf meiner Workstation einen Intel RJ45 Port, bei dem man via den Intel ProSet-Treibern mehrere VLANs aktivieren und einrichten kann, wobei zu jedem VLAN ein separater Netzwerkadapter erzeugt wird. Der Sinn des Ganzen ist, dass ich virtuelle Maschinen, die auf meiner Workstation laufen, in einem separaten VLAN betreiben kann, was auch funktioniert.

Die betroffenen VLANs sind diese beiden:
- VLAN 2: 10.0.2.x (Produktivitäts-VLAN)
- VLAN 7: 10.0.7.x (VM-VLAN)

Alle von Intel erzeugten Netzwerkadapter haben dieselbe MAC. Allerdings kann ich dennoch im LANCOM Router dieselbe MAC jeweils auf eine bestimmte IP des jeweiligen VLAN per DHCP/BOOTP zuweisen lassen, d.h. meine Workstation erhält nun die folgenden 2 DHCP-IPs:
- 10.0.2.10
- 10.0.7.10

Also scheint das wohl okay zu sein.

Nun möchte ich die Workstation selbst weiterhin nur mit der 10.0.2.10 betreiben und 10.0.7.10 generell blocken. Die virtuellen Maschinen erhalten ihrerseits eigenständige 10.0.7.x-IPs.

Was ist nun das Problem bzw. seltsam?

Ich habe einen Switch und einen Access Point im Management-VLAN 1 mit den IP 10.0.1.2 sowie 10.0.1.3. Für beide gewähre ich den Zugriff von meiner Workstation für die IP 10.0.2.10, was vor Einrichtung der Intel-VLANs auch funktionierte (zum Switch über die Route zu 10.0.2.1 -> 10.0.1.1 -> 10.0.1.2). Jetzt komme ich auf keins der beiden mehr drauf, da er die Route über VLAN 7 sucht, die ich nicht gestatte. Auch der Ping von der Workstation zum Switch schlägt fehl, weil er hierbei 10.0.7.1 nicht erreicht.

Wie bringe ich LANCOM bzw. meinen Intel Port dazu, hierzu VLAN 2 zu nutzen bzw. wie lege ich die vorgegebene Route ausgehend von VLAN 2 für die Workstation verbindlich oder priorisierend fest?
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: Wie stellt man die Priorisierung mehrerer VLAN-Adapter auf 1 RJ45-Port korrekt ein?

Beitrag von tar »

Ah, habs anscheinend schon gefunden :D

Unter Systemsteuerung -> Netzwerk und Internet -> Netzwerkverbindungen auf Erweitert -> Erweiterte Einstellungen und dort "Microsoft Windows-Netzwerk" ganz hoch schieben. Schon funktioniert der Ping und Aufruf von Switch und AP wieder.

Update:
Mh, scheint doch nicht wirklich die Lösung zu sein. Ich kann zwar auf Switch und AP per Web-Admin zugreifen, aber Ping will nun wieder durch die 10.0.7.1.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Wie stellt man die Priorisierung mehrerer VLAN-Adapter auf 1 RJ45-Port korrekt ein?

Beitrag von GrandDixence »

Ich habe mich noch nie mit der VLAN-Konfiguration von Windows-Rechnern beschäftigt. Aber: Der Intel-Netzwerktreiber und sein Umfeld wird wahrscheinlich für jedes VLAN eine "virtuelle" Netzwerkkarte respektive eine eigenständige Netzwerkschnittstelle erstellen (Interface).
https://www.intel.de/content/www/de/de/ ... ducts.html

Also Konfiguration der Netzwerkschnittstellen (Interfaces) kontrollieren:

# ipconfig /all

Dann erfolgt bei Windows-Rechnern, wie bei jedem anderen Rechner und Netzwerkteilnehmer auch, der Netzwerkzugriff per Routingtabelle. Also Routingtabelle kontrollieren:

# route -4 print

https://de.wikipedia.org/wiki/Routingtabelle

und insbesondere einen genauen Blick auf die Default-Route (0.0.0.0/0.0.0.0) und die Angaben der Netzwerkschnittstelle (Interface) werfen.
https://www.giga.de/downloads/windows-1 ... -so-gehts/

Für die Fehlersuche im Bereich "VLAN" empfehle ich Wireshark und "Packet Capture". Siehe dazu:

fragen-zur-lancom-systems-routern-und-g ... ml#p106568

fragen-zur-lancom-systems-routern-und-g ... ml#p109508

Tipp: Spalte "VLAN" in der Ansicht von Wireshark einblenden. Siehe auch:
https://community.upc.ch/assets/files/2 ... unrise.png

Wurden die Virtuellen Maschinen (VM's) so konfiguriert, dass sie eine simulierte Netzwerkumgebung verwenden, die als (Software-)Bridge zur "echten" Netzwerkschnittstelle fungiert?
https://de.wikipedia.org/wiki/Bridge_(Netzwerk)

https://docs.vmware.com/en/VMware-Works ... 8A60A.html

Und noch was: Der Einsatz von DHCP sollte bei IPv4 möglichst vermieden werden. Der Einsatz von DHCP bei IPv4 ist nur sinnvoll, wenn in diesem Netzwerksegment mindestens ein Mobilgerät oder mindestens ein wandernder Netzwerkteilnehmer eingesetzt wird. Bei festinstallierten Netzwerkteilnehmern in IPv4-Netzwerken sollte kein DHCP eingesetzt werden. DHCP ist nur eine mögliche Fehlerquelle, die es zu vermeiden gilt.
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: Wie stellt man die Priorisierung mehrerer VLAN-Adapter auf 1 RJ45-Port korrekt ein?

Beitrag von tar »

GrandDixence hat geschrieben: 10 Mai 2022, 22:18Der Intel-Netzwerktreiber und sein Umfeld wird wahrscheinlich für jedes VLAN eine "virtuelle" Netzwerkkarte respektive eine eigenständige Netzwerkschnittstelle erstellen (Interface).
Ja - jeweils einen separaten Netzwerkadapter.
GrandDixence hat geschrieben: 10 Mai 2022, 22:18Also Konfiguration der Netzwerkschnittstellen (Interfaces) kontrollieren:
# route -4 print

und insbesondere einen genauen Blick auf die Default-Route (0.0.0.0/0.0.0.0) und die Angaben der Netzwerkschnittstelle (Interface) werfen.
https://www.giga.de/downloads/windows-1 ... -so-gehts/
Das hat geholfen.

Lösung war:
# route delete 10.0.7.0
# route add 10.0.7.0 mask 255.255.255.0 10.0.2.1

Damit werden sämtliche Verbindungen von der Workstation zum 10.0.7.x-Netz trotz eigener IP im selben Netz über das andere Netz und damit den Router geleitet und folglich greifen auch die Router-Firewall-Regeln.

Eingehende Verbindungen entsprechend umzuleiten dürfte wohl schwierig bis unmöglich sein, oder? Also dass man Direktanfragen aus dem 10.0.7.x-Netz generell blockiert und alle Anfragen von da an 10.0.7.10 zu 10.0.7.1 -> 10.0.2.1 -> 10.0.2.10 umleitet, so dass man hier auch die Router-Firewall zur Steuerung nutzen könnte?

Das dürfte insbesondere daran scheitern, da die VM ja geradewegs den Netzwerkadapter 10.0.7.10 der Workstation nutzen, um überhaupt zu kommunizieren, nicht wahr? Oder gibt es da eine Möglichkeit?
GrandDixence hat geschrieben: 10 Mai 2022, 22:18Wurden die Virtuellen Maschinen (VM's) so konfiguriert, dass sie eine simulierte Netzwerkumgebung verwenden, die als (Software-)Bridge zur "echten" Netzwerkschnittstelle fungiert?
Jap: https://www.vladan.fr/how-to-create-and ... rkstation/
GrandDixence hat geschrieben: 10 Mai 2022, 22:18Und noch was: Der Einsatz von DHCP sollte bei IPv4 möglichst vermieden werden. Der Einsatz von DHCP bei IPv4 ist nur sinnvoll, wenn in diesem Netzwerksegment mindestens ein Mobilgerät oder mindestens ein wandernder Netzwerkteilnehmer eingesetzt wird. Bei festinstallierten Netzwerkteilnehmern in IPv4-Netzwerken sollte kein DHCP eingesetzt werden. DHCP ist nur eine mögliche Fehlerquelle, die es zu vermeiden gilt.
Werden denn auch bei deaktiviertem DHCP-Server die IPs unter IPv4 -> BOOTP -> Stationen meinen Geräten zugewiesen?
Antworten