Zwei Lancom Router - LANs trennen

Fragen zur LANCOM Management Windows Software/ LANtolls: LANconfig, LANmonitor, WLANmonitor.

Moderator: Lancom-Systems Moderatoren

mrHS
Beiträge: 35
Registriert: 12 Okt 2019, 09:49

Zwei Lancom Router - LANs trennen

Beitrag von mrHS »

Hallo liebes Forum,

ich kenne mich mit den Lancoms nur rudimentär aus, möchte jetzt aber folgendes realisieren:

Im Keller steht ein Lancom 1783VAW , welcher sich um die Internetverbindung (VDSL) kümmert. Außerdem soll dieser Router die LAN-Geräte im Keller und im Erdgeschoss in einem IP-Netz verwalten (NETZ 2).
Im 1. Stock steht ein weitere Lancom Router, der 1781A-4G , der die Geräte im 1. Stock verwalten soll (NETZ 1).

Das Ziel ist folgendes: Die Geräte aus NETZ 1 (192.168.1.x) sollen Zugriff auf das Internet der 1783VAW im Keller haben und gleichzeitig auch Zugriff auf alle Geräte in NETZ 2 (192.168.2.x). Der Router im Keller soll die IP 192.168.1.1 haben, der Router im ersten Stock 192.168.1.2. Die Geräte aus NETZ 2 sollen nur ins Internet dürfen, aber keine Geräte aus NETZ 1 aufrufen dürfen.
Der Router im 1. Stock hängt am ETH-1 des Routers im Keller und ein Switch für die LAN-Geräte im Keller am ETH-2, d.h. hier könnte man portbasiertes Trennen ermöglichen. Auch WLAN des Routers im Keller soll natürlich IPs aus NETZ 2 vergeben, also 192.168.2.x, damit diese WLAN Clients nicht auf Geräte aus NETZ 1 zugreifen können.

Ich weiß da im Moment nicht so aus, möchte das aber in ca. 4 Wochen so umsetzen, da dann die obere Wohnung im 1. Stock fertig renoviert ist.

Könnt ihr mir erklären, wie man das bei dem Router dann einrichten kann?

Vielen Dank!
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Zwei Lancom Router - LANs trennen

Beitrag von Jirka »

Hallo,

dazu brauch man aber nicht zwei LANCOM-Router, das kann man alles mit einem machen (ich nehme an, dass die 4G-Karte im 1781A-4G nicht in Verwendung ist). Einfach ein zweites Netz im 1783VAW einrichten, die Netze mit Schnittstelle-/Routing-Tags entsprechend trennen und dann entsprechend den Schnittstellen (BRG-1 bzw. LAN-2) zuordnen und die logischen Schnittstellen dann wiederum den Ports (ETH-1 bzw. ETH-2). Am Ende eine Firewall-Regel, die dann Zugriff in die eine Richtung erlaubt (Achtung, Routing-Tag mit umtaggen nicht vergessen). Fertig. Man kann auch ohne Routing-Tag arbeiten, dann bräuchte man eine Firewall-Regel, die ein Zugriff in der entsprechenden Richtung verbietet. Den 1781A-4G kann man natürlich noch als (teure) 4-fach-Switch einrichten, falls es einem derzeit an Ports im ersten OG mangelt. Ach ja, DHCP evt. noch einschalten beim neu erstellten zusätzlichen Netz.

Viele Grüße,
Jirka
mrHS
Beiträge: 35
Registriert: 12 Okt 2019, 09:49

Re: Zwei Lancom Router - LANs trennen

Beitrag von mrHS »

Ja, das klingt alles so einfach, aber ich habe keine Ahnung, wie man das macht, ein zweites Netz einrichten, Schnittstellen-Tags etc. vergeben usw. Gibt es dazu eine Anleitung?

Der 4G Router soll schon genutzt werden als Backup mit Datensim für den 1. Stock falls das Internet mal ausfällt.
mrHS
Beiträge: 35
Registriert: 12 Okt 2019, 09:49

Re: Zwei Lancom Router - LANs trennen

Beitrag von mrHS »

Hallo nochmal,

kann mir vielleicht nochmal jemand helfen, gerne bezahle ich auch dafür, denn ich weiß wirklich nicht so genau, wie ich vorgehen soll.

Also Aufgabe ist jetzt einfach nur noch: LAN Port 1 soll 192.168.1.* Netzwerk sein, LAN Port 2 soll 192.168.2.* Netzwerk sein. Dementsprechend sollen auch DHCP Server konfiguriert sein. Beide Netze sollen ins Internet, aber nur von Netz 1 soll man auf Netz 2 zugreifen können, aber von Netz 2 NICHT auf Netz 1.

Scheint ja kein großes Ding zu sein, ist aber für einen Normalnutzer echt schwierig.

Vielen Dank
philiplb
Beiträge: 25
Registriert: 29 Okt 2019, 15:49

Re: Zwei Lancom Router - LANs trennen

Beitrag von philiplb »

Ansich easy:
- Schnittstellen -> LAN -> Ethernet Ports -> ETH1 auf LAN1, ETH2 auf LAN2
- IPv4 -> IP-Netzwerke -> Beide Netze anlegen, Netz 1 mit LAN1, Netz 2 mit LAN 2, Tag 0 auf Netz 1, Tag 1 auf Netz 2 (Tag 0 darf auf andere Netze mit Tag != 0 zugreifen, nicht umgekehrt)
- Wahrscheinlich noch: IPv4 -> DHCPv4 -> DHCP-Netzwerke -> Für beide Netze einen DHCP-Server einrichten, das Flag "DHCP-Server aktiviert" auf "Ja"

Habe ich was übersehen?

Wenn das halbwegs passt alles und gerade wenig Zeit oder meine Stichpunkte unverständlich formuliert, können wir gerne eine schnelle Teamviewer-Session machen.
mrHS
Beiträge: 35
Registriert: 12 Okt 2019, 09:49

Re: Zwei Lancom Router - LANs trennen

Beitrag von mrHS »

Vielen Dank schonmal.

Ich hätte schon ein paar Rückfragen bei dem Punkt 2:
Wenn ich ein IP-Netzwerk hinzufüge, muss ich mehrere Felder ausfüllen. Weiß aber nicht, was wo rein soll.

- Netzwerkname: Da denke ich mir etwas aus, z.B. Netz1, oder?
- IP-Adresse: Was gebe ich da an? 192.168.1.1 oder 192.168.1.* oder wie macht man das da.
- Netzwerktyp: Keine Ahnung... Intranet?
- VLAN-ID: steht derzeit auf 0, keine Ahnung...
- Adressprüfung: steht auf flexibel, stimmt das?

Ich komme mir echt dumm vor... :-(
DanLo
Beiträge: 65
Registriert: 08 Jan 2019, 12:44

Re: Zwei Lancom Router - LANs trennen

Beitrag von DanLo »

mrHS hat geschrieben: 24 Nov 2019, 21:00 Vielen Dank schonmal.

Ich hätte schon ein paar Rückfragen bei dem Punkt 2:
Wenn ich ein IP-Netzwerk hinzufüge, muss ich mehrere Felder ausfüllen. Weiß aber nicht, was wo rein soll.

- Netzwerkname: Da denke ich mir etwas aus, z.B. Netz1, oder?
- IP-Adresse: Was gebe ich da an? 192.168.1.1 oder 192.168.1.* oder wie macht man das da.
- Netzwerktyp: Keine Ahnung... Intranet?
- VLAN-ID: steht derzeit auf 0, keine Ahnung...
- Adressprüfung: steht auf flexibel, stimmt das?

Ich komme mir echt dumm vor... :-(
Du brauchst dir nicht dumm vorkommen, jeder hat mal klein angefangen :-)

In Reihenfolge der Fragen:

- Ja, denk dir was aus.
- Die IP-Adresse ist die Adresse, die dein Gerät inerhalb des Netzwerks haben soll, und über die es erreichbar ist. Die Größe des Netzwerks gibst du dann über die Netzmaske ein (ein /24 (bzw. X.Y.Z.*) entspricht beispielsweise der Maske 255.255.255.0)
- Netzwerktyp Intranet istfür ein LAN richtig-
- Wenn du keine Ahnung hast, was eine VLAN-ID überhaupt ist, lass das Feld einfach auf 0 stehen.
- Flexibel ist auch ok.

Zur Unterscheidung der Netzwerke benutzt du in deinem Beispiel das Routing-Tag (nicht das VLAN-Tag; das hat Philip uneindeutig ausgedrückt).

Unter der Spalte "Interface" gibst du übrigens den Namen eines logischen LANs an (LAN-1 bis LAN-4), und am besten bei beiden Netzwerken ein anderes. Diese LAN-1 bis LAN-4 werden über die Tabelle /Setup/Interfaces/Ethernet-Ports auf die physikalischen Ports gelegt, an denen das passende Kabel steckt.

Viele Grüße
Daniel

PS: Ich wage mal die Mutmaßung, dass du bisher nicht viel Erfahrungen mit dem Planen und Einrichten von Netzwerken hast. Es gibt da auf der Seite von LANCOM eine Support-Knowledge-Base, weo auch Basiskonzepte der LANCOM-Geräte erklärt werden. Beispielsweise hier: https://support.lancom-systems.com/know ... frastuktur
mrHS
Beiträge: 35
Registriert: 12 Okt 2019, 09:49

Re: Zwei Lancom Router - LANs trennen

Beitrag von mrHS »

Hallo DanLo,

vielen Dank. Ja, das stimmt. Bislang habe ich einfach alle Netzwerkgeräte an einen Switch angeschlossen und dann ging das. :-)
Wusste gar nicht, dass es so Webinar-Videos gibt - die schaue ich mir dann direkt mal an.

Vielen Dank auch für die Erläuterungen, eine Rückfrage habe ich jedoch zu dem Punkt:
Die IP-Adresse ist die Adresse, die dein Gerät inerhalb des Netzwerks haben soll, und über die es erreichbar ist. Die Größe des Netzwerks gibst du dann über die Netzmaske ein (ein /24 (bzw. X.Y.Z.*) entspricht beispielsweise der Maske 255.255.255.0)
Welches Gerät ist hier gemeint? Im Netz-1 sind ja viele Geräte angeschlossen, in Netz-2 auch. Oder ist das die IP des Routers dann? Wie kann der dann aber zwei IPs haben, denn für Netz-2 gebe ich ja dann als IP 192.168.2.* an, oder?
DanLo
Beiträge: 65
Registriert: 08 Jan 2019, 12:44

Re: Zwei Lancom Router - LANs trennen

Beitrag von DanLo »

Hallo!

"dein Gerät" meint in diesem Fall das Gerät, dessen Konfiguration du gerade editierst.

Der Router braucht, um mit Geräten aus dem NEtz 192.168.1.* reden zu können, eine IP-Adresse, die in dieses Muster passt. Für Geräte im Netz 192.168.2.* braucht er ebenfalls eine Adresse aus diesem Netz.

Dein Gerät hat am Ende also 2 Adressen, je Netzwerk eine. Ja, ein Router kann so was, denn sonst könnte er gar nicht zwischen verschiedenen Netzwerken Routen.

Viele Grüße
Daniel
mrHS
Beiträge: 35
Registriert: 12 Okt 2019, 09:49

Re: Zwei Lancom Router - LANs trennen

Beitrag von mrHS »

So, habe den Router mal resettet und alles neu eingerichtet, diesmal hat der Router 192.168.1.1 bekommen (vorher war noch 192.168.2.1).
Dann habe ich Telekom neu eingerichtet, Internet geht schon mal.

Dann habe ich ETH-1 auf LAN-1 und ETH-2 auf LAN-2 gestellt.
Jetzt habe ich zusätzlich zum bereits vorhandenen Netzwerk INTRANET mit 192.168.1.1 noch jeweils ein LAN1 (192.168.1.1, Schnittstellentag 0) und ein LAN2 (192.168.2.1, Schnittstellentag 1) eingerichtet.
Dazu jeweils einen DHCP-Server und den DHCP-Server von INTRANET habe ich deaktiviert.

Irgendwie scheint es schon soweit zu funktionieren, dass die IPs richtig zugewiesen werden, je nachdem, ob man an einem Switch an Port 1 oder Port 2 hängt.

Ich kann auch von LAN1 auf LAN2 zugreifen - obwohl ich irgendwo las, man müsse noch Firewallregeln definieren. Das habe ich nicht gemacht. Wie kann das sein?
Ich muss auch noch testen, ob der Zugriff von LAN2 auf LAN1 auch nicht geht.

Edit:
Darf ich gleich noch eine Frage hinterherschicken?
Ich habe hier auch noch einen Lancom 452agnd Access Point mit WLAN. Wenn ich diesen jetzt an meinem Switch in LAN1 anhänge, sodass dieser WLAN zur Verfügung stellt, kann ich auf diesem dann auch mehrere WLANs voneinander trennen, also z.B. eines für Gäste, eines für IOT-Geräte usw., die alle ins Internet können, aber GAST und IOT nicht auf LAN-Geräte, weder in LAN1 noch in LAN2?
DanLo
Beiträge: 65
Registriert: 08 Jan 2019, 12:44

Re: Zwei Lancom Router - LANs trennen

Beitrag von DanLo »

Hallo!

Wenn Interfaces per Schnittstellen-Tag getrennt sind, werden sie automatisch durch das Routing getrennt, nicht durch die Firewall. Die Firewall bräuchtest du, um bestimmte Verbindungen explizit zwischen Schnittstellen mit verschiedenen Schnittstellen-Tags zu erlauben.

Zu den WLANs kann ich dir gerade leider nicht viel sagen, ich würde aber annehmen, dass diese ähnlich getrennt werden können. Ich hab leider gerade kein WLAN-Fähiges Gerät parat, um das nachzuschauen, vielleicht hat da ja jemand anderes eine fundierte Meinung dazu... ?
mrHS
Beiträge: 35
Registriert: 12 Okt 2019, 09:49

Re: Zwei Lancom Router - LANs trennen

Beitrag von mrHS »

Hallo DanLo,

danke für deine Antwort. OK, also die Schnittstellen-Tags separieren die Netzwerke, aber wieso kann ich dann von LAN1 (Tag 0) auf LAN2 (Tag 1) zugreifen, ohne, dass ich da noch irgendwas gemacht habe? Von LAN2 kann ich nicht auf LAN1 zugreifen.

Ist das normal?
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: Zwei Lancom Router - LANs trennen

Beitrag von hyperjojo »

hi,

ja, das Schnittstellen-Tag 0 hat die Sonderfunktion, dass es auf alle Netze zugreifen kann. Änderst du das beispielsweise auf 2, sind die Netze getrennt. Die Null nutzt man i.d.R. für ein Management-Netz, welches auf andere Netze zugreifen können soll...

Gruß hyperjojo
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: Zwei Lancom Router - LANs trennen

Beitrag von ittk »

Etwas die Doku, Handbuecher, LANconfig Hilfe und KB danach zu durchsuchen, waere mal schoen.

Hier z. B. dieser Artikel, der dir das LANCOM Advanced Routing and Forwarding (ARF) anhand eines Beispiels erlaeutert und auch Deine Fragen- bzw. Aufgabenstellung vollstaendig umfassen sollte:

https://www2.lancom.de/kb.nsf/bf0ed2a4d ... df00545486

Und dieser:

https://www.lancom-systems.de/fileadmin ... ARF-DE.pdf

Sowie aus dem Refmanual: https://www.lancom-systems.de/docs/LCOS ... 88845.html
1. Weisen Sie den IP-Netzwerken die Schnittstelle und das Schnittstellen-Tag zu. Öffnen Sie dazu den Konfigurationsdialog IP-Netzwerke.

Info:
IP-Netzwerke mit dem Schnittstellen-Tag 0 können auf alle anderen Netze zugreifen.
IP-Netzwerke mit einem Schnittstellen Tag 1-65535 können nur auf IP-Netze zugreifen, die das gleiche Schnittstellen-Tag verwenden.
mrHS hat geschrieben: 26 Nov 2019, 16:02 Hallo DanLo,

danke für deine Antwort. OK, also die Schnittstellen-Tags separieren die Netzwerke, aber wieso kann ich dann von LAN1 (Tag 0) auf LAN2 (Tag 1) zugreifen, ohne, dass ich da noch irgendwas gemacht habe? Von LAN2 kann ich nicht auf LAN1 zugreifen.

Ist das normal?
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
mrHS
Beiträge: 35
Registriert: 12 Okt 2019, 09:49

Re: Zwei Lancom Router - LANs trennen

Beitrag von mrHS »

Hallo ihr Lieben,

darf ich trotz Handbuch und Videos, die ich geschaut habe, nochmal was fragen?

Ich habe also den Router im Keller, Port 1 geht ein Kabel in den 1. OG, dort hängt ein Switch mit allen Geräten und Netz ist 192.168.1.1, Schnittstellen-Tag ist hier 0.
Auf Port 2 geht ein Kabel ins Erdgeschoss, dort hängt ein Switch mit allen Geräten und Netz ist 192.168.2.1, Schnittstelle 1. Soweit funktioniert das alles.

Wenn ich jetzt im 1. OG noch ein separates Netz für z.B. IP Kameras aufmachen möchte, die per WLAN angebunden sind, dann geht das sicher nicht so einfach, oder? Denn der WLAN AP kommt ja bei Port 1 unten an und das ist ja ein separates Netz.

Könnte ich hier den anderen Lancom Router, den ich noch habe, nutzen und wieder zwei postbasierte Netze machen (so wie eine Kaskade irgendwie) oder ist das Schwachsinn?

Vielen Dank!
Antworten