11
Trunk Port zwischen bintec r1200wu und linksys srw224g4p
Hallo ich habe Pobleme einen bintec r1200wu und einen linksys srw224g4p per VLANs miteinander zu verbinden.
Auf dem linksys sind 3 VLANs eingerichtet
Port G1 ist eine Trunk Line zum bintec, also alles getagged und in jedem der VLANs Mitglied.
Jetzt habe ich auf dem Bintec die selben 3 VLANs angelegt
Schnittstelle en1-0 gehört zur Bridge br0 mit der IP 192.168.0.1
Schnittstelle vss1-x ist jeweils ein WLAN und gehört auch zur Bridge br0 mit der IP 192.168.0.1
So weit so gut!
Ich kann vom WLAN aus (je nach dem in welchem WLAN ich gerade bin) auch nur die Rechner erreichen die am Switch in meinem VLAN sind.
Soe wies ja sein soll.
Mein Problem ist jetzt das jedoch immer nur 1 VLAN ins Internet geroutet wird.
Ich kann beim Bintec unter LAN -> VLAN -> Verwaltung bei "Bridge-Gruppe br0 VLAN-Optionen"
immer nur ein VLAN als "Verwaltungs-VID" auswählen.
Und immer nur das ausgewählte wird ins Internet geroutet.
Aber die 2 anderen VLAN sollen doch auch ins Internet.
in der Routing Tabelle steht momentan
201.11.234.122 255.255.255.255 91.47.34.15 WAN_T-ONLINE 0 Hostroute
192.168.0.0 255.255.255.0 192.168.0.1 LAN_BR0 0 Netzwerkroute
Kann mir jemand sagen was ich falsch mache?
Wo liegt mein Fehler???
| VLANID | VLANNAME | PORTS | Port Mode |
| 1 | MANAGEMENT | 1 bis 4 | Access - Untagged |
| 10 | Development | 5 bis 8 | Access - Untagged |
| 11 | User | 9 bis 12 | Access - Untagged |
Port G1 ist eine Trunk Line zum bintec, also alles getagged und in jedem der VLANs Mitglied.
Jetzt habe ich auf dem Bintec die selben 3 VLANs angelegt
| VLANID | VLANNAME | Schnittstelle | Ausgehende Regel |
| 1 | MANAGEMENT | en1-0 | tagged |
| vss1-0 | untagged | ||
| 10 | Development | en1-0 | tagged |
| vss1-1 | untagged | ||
| 11 | User | en1-0 | tagged |
| vss1-2 | untagged |
Schnittstelle en1-0 gehört zur Bridge br0 mit der IP 192.168.0.1
Schnittstelle vss1-x ist jeweils ein WLAN und gehört auch zur Bridge br0 mit der IP 192.168.0.1
So weit so gut!
Ich kann vom WLAN aus (je nach dem in welchem WLAN ich gerade bin) auch nur die Rechner erreichen die am Switch in meinem VLAN sind.
Soe wies ja sein soll.
Mein Problem ist jetzt das jedoch immer nur 1 VLAN ins Internet geroutet wird.
Ich kann beim Bintec unter LAN -> VLAN -> Verwaltung bei "Bridge-Gruppe br0 VLAN-Optionen"
immer nur ein VLAN als "Verwaltungs-VID" auswählen.
Und immer nur das ausgewählte wird ins Internet geroutet.
Aber die 2 anderen VLAN sollen doch auch ins Internet.
in der Routing Tabelle steht momentan
201.11.234.122 255.255.255.255 91.47.34.15 WAN_T-ONLINE 0 Hostroute
192.168.0.0 255.255.255.0 192.168.0.1 LAN_BR0 0 Netzwerkroute
Kann mir jemand sagen was ich falsch mache?
Wo liegt mein Fehler???
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 126104
Url: https://administrator.de/contentid/126104
Printed on: April 26, 2024 at 19:04 o'clock
11 Comments
Latest comment
Vermutlich gar nichts !
Um zwischen den VLANs routen zu können muss entweder der Switch routen können also eine IP Adresse pro VLAN haben oder der Bintec Router muss das können indem er je eine IP in jedem VLAN hat.
Nur so ist eine VLAN übergreifende Kommunikation möglich !
Diese Threads bzw. Tutorials zeigen Beispiele dazu:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN einrichten - Mehrere Betriebe und Router FSM7352
6 VLANs mit 3COM 4200G Switche - Verständniss -Frage zu Planung und Endausbau
3Com Switch 4500 mit 2 Vlans und einem DHCP Server 2008
Allgemeininfos zu VLANs:
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
Um zwischen den VLANs routen zu können muss entweder der Switch routen können also eine IP Adresse pro VLAN haben oder der Bintec Router muss das können indem er je eine IP in jedem VLAN hat.
Nur so ist eine VLAN übergreifende Kommunikation möglich !
Diese Threads bzw. Tutorials zeigen Beispiele dazu:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN einrichten - Mehrere Betriebe und Router FSM7352
6 VLANs mit 3COM 4200G Switche - Verständniss -Frage zu Planung und Endausbau
3Com Switch 4500 mit 2 Vlans und einem DHCP Server 2008
Allgemeininfos zu VLANs:
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
hmmm ... ja logisch.
ich habe auch noch einen anderen ansatz verfolgt
ich habe auf dem bintec für jedes VLAN eine eigene Schnittstelle angelegt und jeder eine eigene Bridgegruppe zugewiesen. also
en1-0 in br0 mit 192.168.0.1
vss1-0 in br0
en1-1 in br1 mit 192.168.1.1
vss1-1 in br1
en1-2 in br2 mit 192.168.2.1
vss1-2 in br2
mit dieser konfiguration hat jedes VLAN sein eigenes Subnetz und ich kann zwischen den VLANs routen.
Jedes der VLANs wird ins internet geroutet.
Nur somit brauche ich ja für jedes VLAN einen eigenen tagged Link zum Switch.
Und das geht nicht da mein Switch schon voll ist.
Ich hätte halt gerne einen einzigen Trunk Port über den der Router mit dem Switch verbunden ist.
Ist das eher der richtige ansatz? Gibt es für den Trunk Port evtl. eine Lösung?
Und bei dieser Lösung muss ja der DHCP Server der im Management VLAN steht VIDS unterstützen!?
ich habe auch noch einen anderen ansatz verfolgt
ich habe auf dem bintec für jedes VLAN eine eigene Schnittstelle angelegt und jeder eine eigene Bridgegruppe zugewiesen. also
en1-0 in br0 mit 192.168.0.1
vss1-0 in br0
en1-1 in br1 mit 192.168.1.1
vss1-1 in br1
en1-2 in br2 mit 192.168.2.1
vss1-2 in br2
| VLANID | VLANNAME | Schnittstelle | Ausgehende Regel |
| 1 | MANAGEMENT | en1-0 | tagged |
| vss1-0 | untagged | ||
| 10 | Development | en1-1 | tagged |
| vss1-1 | untagged | ||
| 11 | User | en1-2 | tagged |
| vss1-2 | untagged |
mit dieser konfiguration hat jedes VLAN sein eigenes Subnetz und ich kann zwischen den VLANs routen.
Jedes der VLANs wird ins internet geroutet.
Nur somit brauche ich ja für jedes VLAN einen eigenen tagged Link zum Switch.
Und das geht nicht da mein Switch schon voll ist.
Ich hätte halt gerne einen einzigen Trunk Port über den der Router mit dem Switch verbunden ist.
Ist das eher der richtige ansatz? Gibt es für den Trunk Port evtl. eine Lösung?
Und bei dieser Lösung muss ja der DHCP Server der im Management VLAN steht VIDS unterstützen!?
Nein, DHCP kannst du zentral mit ip helper Adressen (dhcp forwarding) lösen.
Die Frage die sich stellt ist wie der Bintec Trunks behandelt ?!
Kannst du den Bintec nicht so konfigurieren, das z.B. das Interface en1-0 tagged in allen VLANs drin ist, was ja auch Sinn macht.
So werden jedenfalls L3 Switches konfiguriert ! Es ist ja eigentlich vollkommen sinnlos jedes Interface tagged zu behandeln. Das könntest du dann auch tagged belassen, wenn von jedem VLAN ein Draht in den Switch muss...
Genau DAS will man ja bei tagged Links verhindern um die VLANs kabelschonend zu übertragen in der Beziehung bist du mit deinem Vorhaben da schon ganz richtig davor.
Anhand dieses Beispiels hier kannst du ja auch sehen wie es richtig und sinnvoll gemacht wird.
Genau so müsste der Bintec das auch handeln sofern seine Konfig das denn zulässt..
Die Frage die sich stellt ist wie der Bintec Trunks behandelt ?!
Kannst du den Bintec nicht so konfigurieren, das z.B. das Interface en1-0 tagged in allen VLANs drin ist, was ja auch Sinn macht.
So werden jedenfalls L3 Switches konfiguriert ! Es ist ja eigentlich vollkommen sinnlos jedes Interface tagged zu behandeln. Das könntest du dann auch tagged belassen, wenn von jedem VLAN ein Draht in den Switch muss...
Genau DAS will man ja bei tagged Links verhindern um die VLANs kabelschonend zu übertragen in der Beziehung bist du mit deinem Vorhaben da schon ganz richtig davor.
Anhand dieses Beispiels hier kannst du ja auch sehen wie es richtig und sinnvoll gemacht wird.
Genau so müsste der Bintec das auch handeln sofern seine Konfig das denn zulässt..
das blöde bei dem bintec ist:
zu jedem VLAN muss immer genau eine Bridgegruppe zugewiesen sein.
eine Bridgegruppe hat immer genau einen IP-Bereich und eine Bridgegruppe kann eine bis mehrere Schnittstellen haben.
Jedoch eine Schnittstelle kann immer nur zu genau einer Bridgegruppe gehören!
Also en1-0 in mehrere VLAN zu zuweisen geht nur wie oben in meinem 1. Beispiel!
????
Die Konfiguration von dem Bintec ist wirklich nicht schön gemacht. und das Handbuch und die Onlinehilfe dazu kann mann vergessen!
zu jedem VLAN muss immer genau eine Bridgegruppe zugewiesen sein.
eine Bridgegruppe hat immer genau einen IP-Bereich und eine Bridgegruppe kann eine bis mehrere Schnittstellen haben.
Jedoch eine Schnittstelle kann immer nur zu genau einer Bridgegruppe gehören!
Also en1-0 in mehrere VLAN zu zuweisen geht nur wie oben in meinem 1. Beispiel!
????
Die Konfiguration von dem Bintec ist wirklich nicht schön gemacht. und das Handbuch und die Onlinehilfe dazu kann mann vergessen!
Dann nimm ne Monowall, damit klappt es auf Anhieb mit ein paar Mausklicks und... ist zudem noch kostenfrei !
Ich habe das gleiche Problem. Sun ist jes eine Lösung?
Nein, leider haben wir das Problem bisher nicht lösen können.
Falls du eine Lösung finden solltest wären wir sehr interresiert daran.
Falls du eine Lösung finden solltest wären wir sehr interresiert daran.
Da dieses Thema bei der beliebten Suchmaschine mit den sechs Buchstaben als eines der ersten Ergebnisse ausgespuckt wird, wenn man nach "bintec" und "vlan" sucht, erlaube ich mir einfach mal, mich in dieser Thread-Leiche zu äußern.
Generell beherrschen Bintecs VLAN-Trunking nur im Routing-Modus. Der betreffende physische Port muss also zu einem logischen Interface gehören, welches im Mode=Routing betrieben wird, nicht Mode=Bridging. Bridge-Gruppen arbeiten isoliert von der Router-Logik und dürften nur in speziellen Konfigurationen sinnvoll sein.
Da jedes Routing-Interface nur eine VLAN-ID hat, müssen darauf aufbauen weitere virtuelle Interfaces erstellt werden (z.B. en1-0-n), um alle benötigten Segmente abzubilden. Der Verkehr auf diesem Port ist dann immer und ohne Ausnahme "tagged".
Zu beachten ist, dass im Routing-Modus generell das getan wird, was der Name sagt: es wird zwischen den VLANs geroutet. Um das zu unterbinden, müssen ACLs bemüht werden (was bei entsprechend vielen Segmenten einen nicht unerheblichen Administrationsbedarf bedeutet). Den Zugriff auf den Router selbst regelt man für die einzelnen Interfaces über Setup->Security->Local Services (shell) bzw. Systemverwaltung->Administrativer Zugriff (FCI).
Viel Freude damit!
Generell beherrschen Bintecs VLAN-Trunking nur im Routing-Modus. Der betreffende physische Port muss also zu einem logischen Interface gehören, welches im Mode=Routing betrieben wird, nicht Mode=Bridging. Bridge-Gruppen arbeiten isoliert von der Router-Logik und dürften nur in speziellen Konfigurationen sinnvoll sein.
Da jedes Routing-Interface nur eine VLAN-ID hat, müssen darauf aufbauen weitere virtuelle Interfaces erstellt werden (z.B. en1-0-n), um alle benötigten Segmente abzubilden. Der Verkehr auf diesem Port ist dann immer und ohne Ausnahme "tagged".
Zu beachten ist, dass im Routing-Modus generell das getan wird, was der Name sagt: es wird zwischen den VLANs geroutet. Um das zu unterbinden, müssen ACLs bemüht werden (was bei entsprechend vielen Segmenten einen nicht unerheblichen Administrationsbedarf bedeutet). Den Zugriff auf den Router selbst regelt man für die einzelnen Interfaces über Setup->Security->Local Services (shell) bzw. Systemverwaltung->Administrativer Zugriff (FCI).
Viel Freude damit!
Die generelle Frage die aber bleibt ist die ob der Bintec auch ganz normal mit einem tagged Interface umgehen kann an dem mehrere VLANs übertragen werden so wie es in dem o.a. Tutorial ja beschrieben ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Nur so wäre eine Implementation sinnvoll wie der Threadowner es ja auch vorhat und es im allgemeinen ja auch Standard ist. Das bedeutet das nur ein Port auf dem Switch benutzt wird der alle VLANs tagged an den Router trägt und diese dort geroutet werden. Am Router selber wird auch nur ein Port benutzt an dem dann virtuell die Interfaces der VLANs liegen, also genau so wie im Tutorial und wie es in 99% dieser Standardsituationen auch aussieht.
Kann der Bintec das nicht und man muss für jedes VLAN ein separates, dediziertes Kabel ziehen ist der Bintec ganz klar für so einen VLAN umgebung vollkommen ungeeignet als Router !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Nur so wäre eine Implementation sinnvoll wie der Threadowner es ja auch vorhat und es im allgemeinen ja auch Standard ist. Das bedeutet das nur ein Port auf dem Switch benutzt wird der alle VLANs tagged an den Router trägt und diese dort geroutet werden. Am Router selber wird auch nur ein Port benutzt an dem dann virtuell die Interfaces der VLANs liegen, also genau so wie im Tutorial und wie es in 99% dieser Standardsituationen auch aussieht.
Kann der Bintec das nicht und man muss für jedes VLAN ein separates, dediziertes Kabel ziehen ist der Bintec ganz klar für so einen VLAN umgebung vollkommen ungeeignet als Router !
Mein ursprünglicher Beitrag war nur verständlich, wenn man mit der Konfiguration von Bintecs vertraut ist.
Die von mir erwähnten virtuellen Interfaces haben zunächst mal nichts mit VLANs zu tun. Sie sind lediglich an das zugrunde liegende Interface gebunden (z.B. virt. Interface en1-0-1 an Interface en1-0), können in ihrer Konfiguration von diesem aber abweichen (IP-Adressierung, VLAN ID etc). Jedem Switchport wird nun genau ein Interface (und gleichzeitig alle mit diesem Interface verbundenen virtuellen Interfaces) zugeordnet. Auf diese Weise lassen sich bei entsprechender Konfiguration Trunk Links nach 802.1Q realisieren. Dabei verhält sich der Bintec generell wie ein Router, nicht wie eine Bridge (siehe obiger Beitrag).
Meine ursprüngliche Aussage, wonach der Verkehr auf solch einem Port immer und ohne Ausnahme "tagged" ist, bitte ich ersatzlos aus dem Protokoll zu streichen. (Virtuelle Interfaces können auch "untagged" Pakete verdauen.)
Ein anderes Detail habe ich allerdings in der Tat etwas außer Acht gelassen: Da ich hier nur Bintecs ohne integriertes WLAN zur Hand habe, kann ich über das Verhalten von Funkschnittstellen in VLANs nur orakeln. Ich würde jedem WLAN eine eigene Bridge-Gruppe zuweisen, womit die flexible Zuweisung von VLANs möglich sein sollte.
Die von mir erwähnten virtuellen Interfaces haben zunächst mal nichts mit VLANs zu tun. Sie sind lediglich an das zugrunde liegende Interface gebunden (z.B. virt. Interface en1-0-1 an Interface en1-0), können in ihrer Konfiguration von diesem aber abweichen (IP-Adressierung, VLAN ID etc). Jedem Switchport wird nun genau ein Interface (und gleichzeitig alle mit diesem Interface verbundenen virtuellen Interfaces) zugeordnet. Auf diese Weise lassen sich bei entsprechender Konfiguration Trunk Links nach 802.1Q realisieren. Dabei verhält sich der Bintec generell wie ein Router, nicht wie eine Bridge (siehe obiger Beitrag).
Meine ursprüngliche Aussage, wonach der Verkehr auf solch einem Port immer und ohne Ausnahme "tagged" ist, bitte ich ersatzlos aus dem Protokoll zu streichen. (Virtuelle Interfaces können auch "untagged" Pakete verdauen.)
Ein anderes Detail habe ich allerdings in der Tat etwas außer Acht gelassen: Da ich hier nur Bintecs ohne integriertes WLAN zur Hand habe, kann ich über das Verhalten von Funkschnittstellen in VLANs nur orakeln. Ich würde jedem WLAN eine eigene Bridge-Gruppe zuweisen, womit die flexible Zuweisung von VLANs möglich sein sollte.
OK, das war etwas schwer verständlich. Wenn dem aber so ist dann ist ja eine VLAN Konfig multipler VLAN IDs tagged über eine physische Schnittstelle des Bintec generell kein Problem. Damit sind dann solche Standardszenarien fürs VLAN Routing problemlos auch mit Bintec umzusetzen.
Wäre auch ziemlich verwunderlich gewesen, denn Bintec ist ja nun kein Billigheimer unter den Routern !
Wäre auch ziemlich verwunderlich gewesen, denn Bintec ist ja nun kein Billigheimer unter den Routern !