85807
Goto Top

Gateway bei VLANs

Hallo Admins.

Mir ist kein besserer Berreich für meine Frage eingefallen.
So mal sehen ob ich hier meine Antwort bekomme.

Ich bin gerade dabei ein VLAN Netzwerk einzurichten.
Ich habe eine USG 100 von Zyxel und ein ES-1528 Switch von Zyxel.
Der Switch ist in 3 VLANs eingeteilt. wobei Port 26 immer der Tagging Port ist.
Einfacher halber für den Testaufbau habe ich Port 1 = VLAN 101, Port 2 = VLAN 102 und Port 3 = VLAN 102 gesetzt.

So nun bin ich dabei auf der USG die VLANs einzutragen und jedem VLAN eine fixe IP zuzuweißen damit ich dann später in der Firewall Regeln erstellen kann wie zB VLAN 101 zu 102 darf
und VLAN 101 zu 103 darf nicht.
Mein Problem und Frage ist, welche IP Konfig ich nach dem ganzen auf den PCs in den jeweiligen VLANs einstellen muss.
sprich Gateway und DNS???

VLAN 101 -> IP-Range: 10.1.20.0
VLAN 102 -> IP-Range: 10.1.21.0
VLAN 103 -> IP-Range: 10.1.22.0


So meine Kernfrage ist:
Was ist nun der Gateway?

Egal ob ich jetzt die LAN IP von der Zyxel USG (192.168.1.254) oder die VLAN-IP (10.1.20.1) eintrage, kann ich dann sofort die anderen Netzte pingen.
Ist also diese Fixe VLAN IP auch mein Gateway?


Ich hoffe jmd kann das mit eigenen Worten erklären ohne einen google oder wiki Link zu posten.

Ich bedanke mich schon mal im vorraus.

mit freudnlichen Grüßen

Christian

Content-Key: 150246

Url: https://administrator.de/contentid/150246

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 02.09.2010 um 16:25:16 Uhr
Goto Top
Moin,

ganz einfach:
Als Gateway musst du die IP eintragen, die die USG im jeweiligen Subnetz (=VLAN) hat. DNS ist dann dein DNS Server wie bisher auch.

lg,
Slainte
Mitglied: StyX82
StyX82 02.09.2010 um 16:29:40 Uhr
Goto Top
Hallo Christian,

wenn ich dich richtig verstanden habe, müsste deine Gateway-Adresse die IP-Adresse des VLAN-Interfaces am Router sein.
Du solltest dann in alle VLANs (sofern du es noch nicht eingeschränkt hast) pingen können.

Schönen Gruß
Mitglied: spacyfreak
spacyfreak 02.09.2010 um 16:43:53 Uhr
Goto Top
Bei Routern ohne VLANs ist das jeweilige Routerinterface bzw. die IP auf dem Interface das def. GW.
Bei Routern mit VLANs ist das VLAN Interface bzw. die IP auf dem Interface das def. GW.

Ebenso ist der Unterschied in einem grösseren Netzwerk zwische...
1. ....netzen, die an der FW hängen,
und
2. Netzen die NICHT an der FW hängen,
nur der, dass...
...das layer3 Interface auf dem Backbone ODER auf der Firewall liegt.
Für jedes Netz das man mit der FW schützen will, verlagert man das def. gw. dieses Netzes einfach auf der Firewall,
und jedes Paket das aus oder in dieses netz will, muss die FW und ihre Regeln passieren.

So einfach ist die netzwerk-welt!

face-smile
Mitglied: brammer
brammer 02.09.2010 um 16:49:21 Uhr
Goto Top
Hallo,

je nachdem wie du es als Standard definierst kannst du die Gateway Adresse des jeweiligen VLAN's eintragen.
In den meisten fällen wird die erste Adresse im Netz als Gateway angenommen. d.h. bei dir wäre das dann:

VLAN 101 -> IP-Range: 10.1.20.0 -> Gateway 10.1.20.1
VLAN 102 -> IP-Range: 10.1.21.0 -> Gateway 10.1.21.1
VLAN 103 -> IP-Range: 10.1.22.0 -> Gateway 10.1.22.1

Da du keine Aussage über die größe der Netze machst, gehe ich mal von einer Maske 255.255.255.0 (/24) aus.
Du kannst allerdings auch jede andere IP Adresse des jeweiligen Netzes nehmen.
Wenn der Switch Layer3 Funktionalität besitzt und diese aktiviert ist kannst du sofort in alle direkt angeschlossenen
Netze pingen und die Geräte in diesen VLAN's erreichen.

Deine "Fixe VLAN IP" is damit immer auch deine Gateway Adresse, denn diese Adresse ist dem Switch als "Tor" zu diesem
Netz ja durch die Konfiguration bekannt gemacht worden.


Mein Problem und Frage ist, welche IP Konfig ich nach dem ganzen auf den PCs in den jeweiligen VLANs einstellen muss.
sprich Gateway und DNS???


VLAN 101 -> IP-Range: 10.1.20.0 -> Gateway 10.1.20.1
Die Endgeräte bekommen dann die IP Adressen 10.1.20.2 - 254 zugeordnet
VLAN 102 -> IP-Range: 10.1.21.0 -> Gateway 10.1.21.1
Die Endgeräte bekommen dann die IP Adressen 10.1.21.2 - 254 zugeordnet
VLAN 103 -> IP-Range: 10.1.22.0 -> Gateway 10.1.22.1
Die Endgeräte bekommen dann die IP Adressen 10.1.22.2 - 254 zugeordnet

Als DNS kannst du dann die IP Adresse des Routers eintragen.

Ein kleiner Tipp am Rande: Zur einfacheren Suche und Fehlerbehebung solltest du dir es mit den IP Adressen und VLAN ID etwas einfacher machen
VLAN 101 = 10.1.101.0
VLAN 102 = 10.1.102.0
VLAN 103 = 10.1.103.0

Ist natürlich bei VLAN 401 nicht mehr so möglich, da könnte man dann aber zum Beispiel folgendes verwenden:
VLAN 401 = 10.4.101.0

brammer
Mitglied: 85807
85807 02.09.2010 um 19:19:46 Uhr
Goto Top
WoW

Vielen Dank, jetzt hat es klick gemacht bei mir.
Das war alles überaus verständlich.


Zudem hab ich noch eine Frage bezüglich des Aufwandes.
So wie ich das jetzt einrichte, kann jedes VLAN zu jedem anderen.
Also muss ich dann ziemlich viele Regeln erstellen damit ne Kommunikation untereinander nicht möglich ist.
Und das wichtigste wäre dann die Kommuinikation zwischen LAN1 und Zywall selbst auf das notwendigste (Port 80) zu beschränken.

Laut diesem Konfigurationsbeispiel bin ich vorgegangen:
http://www.zyxel.ch/files/knowledgebase/USG100_200-VLAN-Zone.pdf
Mitglied: brammer
brammer 02.09.2010 um 19:22:05 Uhr
Goto Top
Hallo,

Drei Regeln würde ich nicht als "ziemlich viele" bezeichnen...

brammer
Mitglied: 85807
85807 02.09.2010 um 20:13:49 Uhr
Goto Top
Hallo,

Wie kommst du nur auf 3?
Wenn ich ne Regeln mache Zone:LAN1 zu Zone:LAN2 ist das eine Richtung.
Ich muss dann natürlich auch eine machen für LAN2 zu LAN1.
Das sind mind 9 Regeln dann.

Chris
Mitglied: sk
sk 02.09.2010 um 20:19:15 Uhr
Goto Top
Zitat von @85807:
Zudem hab ich noch eine Frage bezüglich des Aufwandes.
So wie ich das jetzt einrichte, kann jedes VLAN zu jedem anderen.
Also muss ich dann ziemlich viele Regeln erstellen damit ne Kommunikation untereinander nicht möglich ist.

Das liegt schlicht daran, dass die Default-Config der USG absolut Sch***e ist. Ein wesentlicher Kritikpunkt ist z.B., dass das Default-Firewallregelwerk alles grundsätzlich erlaubt, was nicht aktiv verboten wurde.
So wäre es besser: http://www.zyxel.ch/knowledgebase/3153.html

Gruß
Steffen
Mitglied: sk
sk 02.09.2010 um 20:21:25 Uhr
Goto Top
Zitat von @85807:
Wie kommst du nur auf 3?
Wenn ich ne Regeln mache Zone:LAN1 zu Zone:LAN2 ist das eine Richtung.
Ich muss dann natürlich auch eine machen für LAN2 zu LAN1.

Nein musst Du nicht...
Mitglied: aqui
aqui 02.09.2010, aktualisiert am 18.10.2012 um 18:43:20 Uhr
Goto Top
Das folgende Tutorial sollte dir auch helfen im Handumdrehen zu verstehen wie die Gateways eingetragen werden:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ist zwar kein Zyxel Schr*** das Prinzip ist aber immer das gleiche.
Weitere Infos dazu findest du noch hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
und hier
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
Mitglied: 85807
85807 02.09.2010 um 20:57:46 Uhr
Goto Top
Terrific !!!

Danke Leute.
Das hat mir echt ein großes Stueck weitergeholfen und einige Stunden Kopfzerbrechen erspart.
Ja die Default Regel der USG is wirklich ###e, und wenn man vorher nicht aufgepasst hat sperrt man sich gleich komplett aus^^

mfG
Christian
Mitglied: aqui
aqui 02.09.2010, aktualisiert am 18.10.2012 um 18:43:21 Uhr
Goto Top
Mitglied: sk
sk 03.09.2010, aktualisiert am 18.10.2012 um 18:43:21 Uhr
Goto Top

Wer nicht in der Lage ist, beim Konfigurieren einer Firewall seinen Kopf zu benutzen, vor dem ist auch bei M0n0wall und pfSense das relevante Häkchen nicht sicher...