matthiash
Goto Top

VLANS mit Monowall und Speedport LTE II Modem einrichten

Hallo,

in unserem Heimnetz habe ich folgende Netzwerkstruktur aufgebaut:

Speedport LTE II Modem <--> Monowall (WAN) <--> Monowall (LAN)

<--> VLAN10 <--> PC1
<--> VLAN20 <-->
<--> VLAN30 <-->
<--> VLAN40 <-->

Die Monowall läuft auf einem ALIX.2D13 Board von PC Engines.

Folgende Adressen sind festgelegt:
Speedport II:
Modem: 192.168.0.5 (LAN-Schnittstelle)

Monowall:
*General Setup:
DNS-Server: 192.25.2.129 (DNS-Server der Telekom)

*Interfaces:
- LAN: 192.168.1.1/24
- WAN (static)
IP-Adresse: 192.168.0.2 (Liegt im Adressbereich des Routers)
Gateway: 192.168.0.5 (Ist die Adresse des Routers)
-VLAN10
- 192.168.10.1
-VLAN20
- 192.168.20.1
-VLAN30
- 192.168.30.1
-VLAN40
- 192.168.40.1

*Firewall
- Rules:
- WAN: Keine Regel definiert
- LAN: alles erlaubt
- VLAN10: alles erlaubt
- VLAN20: alles erlaubt
- VLAN30: alles erlaubt
- VLAN40: alles erlaubt

*Services
- DHCP Server: LAN aktiv, 192.168.1.100 bis 192.168.1.199
VLAN10 aktiv, 192.10.100 bis 192.168.10.199
VLAN20 aktiv, 192.20.100 bis 192.168.20.199
VLAN30 aktiv, 192.30.100 bis 192.168.30.199
VLAN40 aktiv, 192.40.100 bis 192.168.40.199

Der PC1 wird wie folgt konfiguriert:
Vom DHCP-Server hat der PC1 die Adresse 192.168.10.199 zugewiesen bekommen.
Für den DNS-Server ist die Adresse 192.168.10.1 eingetragen.
Auf diesem Rechner läuft das Betriebssystem Windows 7 und die Windows-Firewall ist abgeschaltet.

Folgendes Verhalten hat das Netzwerk aus Sicht von PC1:
Ping auf 192.168.10.1 funktioniert
Ping auf 192.168.20.1 funktioniert
Ping auf 192.168.30.1 funktioniert
Ping auf 192.168.40.1 funktioniert
Ping auf 192.168.1.1 funktioniert

Ping auf www.heise.de wird geblockt
Der Aufruf der Monowall Oberfläche aus dem Browser funktioniert.

Als VLAN-Switch habe ich von TP-Link den TL-SG3216 Ver. 1.6 im Einsatz und dieser ist entsprechend konfiguriert.

Auf die Frage warum wird der Internetzugriff geblockt finde ich keine Antwort. Hoffentlich kann mir hier jemand den richtigen Hinweis geben.

Wenn ich an den Router direkt einen PC anschließe, dann funktioniert der Zugriff auf das Internet, somit kann ich den Router als Fehlerquelle vorerst einmal ausschliessen.

Viele Grüße
Matthias

Content-Key: 219914

Url: https://administrator.de/contentid/219914

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.10.2013 um 00:11:05 Uhr
Goto Top
*Interfaces:
- LAN: 192.168.1.1/24
- WAN (static)
IP-Adresse: 192.168.0.2 (Liegt im Adressbereich des Routers)
Gateway: 192.168.0.5 (Ist die Adresse des Routers)

LAN ist wohl generell Intern MW?
WAN ist MW zum SP hin?
und Gateway ist der SP? Richtig?

Das Routing scheint ja ordentlich zu gehen. Hast du das NAT/Die Netzrouten ordentlich definiert? (Und ich wette, das geht mit dem Speedport nicht)
Mitglied: 108012
108012 21.10.2013 um 01:12:28 Uhr
Goto Top
Hallo,

kannst Du bitte einmal etwas präziser Aussagen zu Deinem Netzwerk machen und etwas genauer werden?
Der SpeedPort ist ein Router und kein Modem. (In der Regel)
Die mOnOwall ist eine Firewall und kein Router. (Das verwirrt nur)
Und wenn man nur eine mOnOwall hat dann bitte auch nur ein "aufzeigen". (Das verwirrt nur)

Speedport LTE II Modem <--> Monowall (WAN) <--> Monowall (LAN)
Das heißt für mich eigentlich folgendes:

Der SpeedPort ist ein Router und kein Modem und der kann in der Regel weder VLANs noch sonst irgend etwas,
und dann sollte das alles so aussehen:

Internet --- ISP (Telekom) --- SpeddPort (als Modem) --- mOnOwall --- TP-Link Switch --- Klienten (PCs, Server & NAS)

Den SpeedPort nur als Modem im so genannten "bridged Mode" ist die richtige Wahl denke ich, und dann
eben die VLANs zwischen der mOnOwall und dem TP Link Switch aufspannen und gut ist es, dann sollte das auch
funktionieren wie Du Dir das vorstellst.

Hier noch einen schönen Gruß von der Suchfunktion:
- VLAN Installation und Routing mit M0n0wall, pfSense, DD-WRT oder Mikrotik

Und falls der SpeedPort des WLAN wegen dennoch weiter als Router genutzt werden soll:
- Kopplung von 2 Routern am DSL Port

Gruß
Dobby
Mitglied: aqui
aqui 21.10.2013 aktualisiert um 09:26:47 Uhr
Goto Top
Der Internet Zugriff wird vermutlich nicht geblockt, denn du hast einen Kardinalsfehler in der DNS Konfig gemacht.Vorab erstmal die Frage: Das Forumstutorial zur Einrichtung so eines Szenarios hast du vollständig gelesen ??:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Wenn dem so ist dann ist dein DNS Server falsch.
Das von dir als "LTE II Modem" bezeichnete Gerät ist mit an Sicherheit grenzender Wahrscheinlichkeit KEIN Modem ! Leider wird das hier im Forum immer und immer wieder falsch bezeichnet, denn das Gerät ist vermutlich ein kompletter LTE NAT Router !
Ein Modem wäre ein rein passiver Medienwandler was es für LTE gar nicht gibt.
Der LTE Router ist also ein Router und ist selber ein Proxy DNS Server und arbeitet mit deiner Monowall / pfSense in einer Router Kaskade also:
(Internet)----LTE----(LTE-Router)----Koppel LAN----(Monowall)-----Tagged LAN----(VLAN-Switch)

Fazit: Du musst die LAN IP des LTE Routers statisch im DNS Setup der Firewall eintragen.
Zudem musst du zwingend den Haken am WAN Port "Block RFC 1918 IP Networks" entfernen !
Das Koppelnetz zum LTE Router darf nicht geblockt werden ! Das ist vermutlich was dich zu Fall bringt oder eben ein DNS Problem durch die Fehlkonfig oben.
Als nächsten Schritt solltest du mit ipconfig -all die IP Adressvergabe im VLAN 10 prüfen ob die OK ist ?
Gateway Ip= Firewall IP, DNS Server=LAN IP des LTE Routers
Wenn das alles so korrekt ist pingst du erstmal eine nackte Internet IP um ggf. DNS Problemen erstmal aus dem Weg zu gehen wie z.B. 8.8.8.8.
Ein "ping 8.8.8.8" am PC sollte also eine positive Antwort geben, damit wäre dann der Internet Zugang generell OK.
Nun nimmst du mal einen Hostnamen zum pingen wie z.B. "ping www.heise.de". Ist alles OK mit dem DNS sollte das nun auch funktionieren !
Damit wäre dann alles einsatzklar. Kommt man eigentlich auch von selber drauf wenn man mal ein wenig nachdenkt...?!
Mitglied: MatthiasH
MatthiasH 21.10.2013 um 17:34:44 Uhr
Goto Top
Hallo,

vielen Dank für die Rückmeldungen und die Links zu weiteren Artikeln.
Ja, ich habe diese im Vorfeld gelesen und versucht richtig umzusetzen.

Der Hinweis von Aqui das die Adresse für den DNS-Server in der Monowall falsch ist, trifft es.

In der Monowall habe ich unter System:General Setup in das Eingabefeld für DNS-Servers die lokale IP des LTE Speedport Routers (192.168.0.5) eingetragen.
Und siehe da, der Ping auf 8.8.8.8 und ein Ping auf einen Hostnamen (www.heise.de) liefert brauchbare Ergebnisse und somit kann sich der Rechner aus VLAN10
mit dem Internet verbinden.

Folgende Adressen gibt der ipconfig -all für den PC1 im VLAN10 aus:
IP4-Adresse: 192.168.10.197
Standardgateway: 192.168.10.1
DHCP-Server: 192.168.10.1
DNS-Server: 192.168.10.1

Aqui, ist die Adresse für den DNS-Server so richtig oder muss hier die LAN-IP (192.168.0.5) des LTE Routers stehen und wenn ja,
wo muss ich meine Konfiguration der Monowall ändern?

Viele Grüße

Matthias
Mitglied: aqui
aqui 22.10.2013 aktualisiert um 10:01:30 Uhr
Goto Top
Nein, für den PC (Client) in VLAN 10 an der Firewall ist das absolut so korrekt und richtig !
Die Firewall ist selber ja auch wieder DNS Proxy also folglich steht sie dann selber auch als DNS Server drin bei den Endgeräten.
Das ist immer so wenn man eine Router Kaskade aus 2 Routern betreibt.

Alles richtig also und wie es sein soll face-wink

Wenns das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.