6
VLAN und VPN
Hallo zusammen,
ich hätte folgende Ausgangssituation:
Meine Idee ist:
Switch in 3 VLANs teilen.
Port 1-4 bekommen PVID 2, darin Gateway, die zwei Clients und der WAN Port des VPN Routers.
Port 5-7 bekommen PVID 3, darin der LAN-Port des VPN-Routers und die zwei VPN-Clients.
Port 8 bekommt PVID 1 und dient als Config-Port für den Switch, da dies aus beiden Netzen nicht möglich sein darf.
Funktioniert das so?
Was sollte ich dabei unbedingt bedenken?
Irgendwelche groben Fehler drin?
Sind PVID 2 und 3 "sicher" voneinander getrennt?
Ich hoffe, dass es wirklich so einfach ist, wie ich es mir momentan wünsche. Wirklich daran glauben kann ich noch nicht. Wäre ja fast zu einfach...
Vielen Dank für Eure Vorschläge!
Viele Grüße,
N-A-G-U-S
ich hätte folgende Ausgangssituation:
- Gateway ins Internet
- Zwei Clients, die einfach nur ins Internet sollen
- VPN Router zu einem entfernten Netz
- Einen VLAN-fähigen Switch (Netgear GS108T)
- Zwei Clients, die über den VPN Router ausschließlich im entfernten VPN arbeiten sollen
Meine Idee ist:
Switch in 3 VLANs teilen.
Port 1-4 bekommen PVID 2, darin Gateway, die zwei Clients und der WAN Port des VPN Routers.
Port 5-7 bekommen PVID 3, darin der LAN-Port des VPN-Routers und die zwei VPN-Clients.
Port 8 bekommt PVID 1 und dient als Config-Port für den Switch, da dies aus beiden Netzen nicht möglich sein darf.
Funktioniert das so?
Was sollte ich dabei unbedingt bedenken?
Irgendwelche groben Fehler drin?
Sind PVID 2 und 3 "sicher" voneinander getrennt?
Ich hoffe, dass es wirklich so einfach ist, wie ich es mir momentan wünsche. Wirklich daran glauben kann ich noch nicht. Wäre ja fast zu einfach...
Vielen Dank für Eure Vorschläge!
Viele Grüße,
N-A-G-U-S
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 252761
Url: https://administrator.de/contentid/252761
Printed on: April 24, 2024 at 21:04 o'clock
6 Comments
Latest comment
Funktioniert das so?
Ja, das funktioniert so... Ein Klassiker...Was sollte ich dabei unbedingt bedenken?
Eigentlich nichts wenn die VLANs sauber auf dem Switch eingerichtet sind.Irgendwelche groben Fehler drin?
NeinSind PVID 2 und 3 "sicher" voneinander getrennt?
Ja, wenigstens innerhalb des Switches. Wenn du natürlich ein Kabel in den falschen Port steckst kann der Switch nix dafür. Stelle also sicher das der Faktor "Mensch" weitestgehend ausgeschaltet ist.Ich hoffe, dass es wirklich so einfach ist, wie ich es mir momentan wünsche.
Es ist so einfach (wenn man mal von der sehr üblen und grottenschlechten VLAN Konfig Logik bei den NetGear Gurken absieht !!) und das es wirklich so ist kannst du in diesem Forumstutorial nochmal genau nachlesen:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Aqui, in gewohnt schneller, klarer und bestechender Support-Manier!
Meinen besten Dank dafür!
Das Tutorial lese ich noch, ich bin sicher, dass das eventuelle weitere Fragen erschöpfend behandelt.
Schönen Abend.
N-A-G-U-S
Meinen besten Dank dafür!
Das Tutorial lese ich noch, ich bin sicher, dass das eventuelle weitere Fragen erschöpfend behandelt.
Schönen Abend.
N-A-G-U-S
Hallo nochmal,
mal sehen, ob ich meine Lektüren richtig verstanden habe:
Grundsätzlich ist für mein Vorhaben ein port-based VLAN ausreichend. Brauche ja nur den einen Switch. Das Verfahren ist aber nicht standardisiert und außerdem veraltet, sodass ich mit IEEE 802.1q Tags arbeiten sollte. Außerdem kann ich port-based beim GS108T gar nicht mehr auswählen (im Gegensatz zu aqui's Tutorial des GS10XE).
Eine andere Quelle sprach von höherer Sicherheit des port-based VLAN gegenüber 802.1q, weil die Entscheidung, welches VLAN verwendet wird, dann ausschließlich beim Switch, also der Hardware bzw. der Verkabelung und damit beim Administrator liegt - ist da was dran? (Das alles gibt ein geschlossenes System, da werden keine Kabel durch Anwender hin oder her gesteckt... Es geht primär einfach nur darum, den Platz für einen zweiten Switch einzusparen.)
Demgegenüber dürften bei 802.1q Broadcasts nicht an Ports anderer VLANs ausgegeben werden, die Stärke liegt dabei also eher in der Performance. (?)
Da ich aber die bestehenden Geräte nicht antasten / anders konfigurieren möchte, sie zum Teil auch nicht VLAN-fähig sind, muss ich alle Ports im Netgear-Interface auf "untagged" setzen (ist das dann nicht wieder port-based?), weil von den Geräten niemals ein VLAN-Tag gesendet oder erwartet werden wird.
Soweit richtig? Dann würde ich nun folgende Einstellungen am Netgear GS108Tv2 vornehmen:
VLAN Membership
Port PVID Configuration
Im VLAN 10 ist der DHCP-Server des Gateways (LAN, g1) aktiv.
Im VLAN 20 ist der DHCP-Server des entfernten VPNs (LAN, g5) aktiv.
Sind dieses Mal grobe Schnitzer dabei?
Ich als Anfänger konnte mich anhand Deiner (aqui) Infos und Tutorials, aber auch folgender Website gut durchhangeln. Wenn das, was ich nun zu verstanden gehabt haben meine, richtig ist, könnte man diesen Link vielleicht als Einstiegsinfo, vor allem für die Netgear-Konfiguration, hier oder in VLAN Tutorials publizieren:
http://riceball.com/d/content/vlans-netgear-gs108t
Danke fürs Lesen und evtl. Kommentare! Für Anregungen jedweder Art bin ich dankbar!
Viele Grüße,
N-A-G-U-S
mal sehen, ob ich meine Lektüren richtig verstanden habe:
Grundsätzlich ist für mein Vorhaben ein port-based VLAN ausreichend. Brauche ja nur den einen Switch. Das Verfahren ist aber nicht standardisiert und außerdem veraltet, sodass ich mit IEEE 802.1q Tags arbeiten sollte. Außerdem kann ich port-based beim GS108T gar nicht mehr auswählen (im Gegensatz zu aqui's Tutorial des GS10XE).
Eine andere Quelle sprach von höherer Sicherheit des port-based VLAN gegenüber 802.1q, weil die Entscheidung, welches VLAN verwendet wird, dann ausschließlich beim Switch, also der Hardware bzw. der Verkabelung und damit beim Administrator liegt - ist da was dran? (Das alles gibt ein geschlossenes System, da werden keine Kabel durch Anwender hin oder her gesteckt... Es geht primär einfach nur darum, den Platz für einen zweiten Switch einzusparen.)
Demgegenüber dürften bei 802.1q Broadcasts nicht an Ports anderer VLANs ausgegeben werden, die Stärke liegt dabei also eher in der Performance. (?)
Da ich aber die bestehenden Geräte nicht antasten / anders konfigurieren möchte, sie zum Teil auch nicht VLAN-fähig sind, muss ich alle Ports im Netgear-Interface auf "untagged" setzen (ist das dann nicht wieder port-based?), weil von den Geräten niemals ein VLAN-Tag gesendet oder erwartet werden wird.
Soweit richtig? Dann würde ich nun folgende Einstellungen am Netgear GS108Tv2 vornehmen:
VLAN Membership
- VLAN 1: g1 bis g7 = "blank"; g8 = "U"ntagged
- VLAN 10: g1 bis g4 = "U"ntagged; g5 bis g8 = "blank"
- VLAN 20: g1 bis g4 = "blank"; g5 bis g7 = "U"ntagged; g8 = "blank"
Port PVID Configuration
- PVID: "10" für g1 bis g4, "20" für g5 bis g7 und "1" für g8
- Acceptable Frame Types: alle "Admit all" (damit die Daten der Geräte, die ungetaggte Frames zum Switch senden (also in meinem Fall alle?), dort auch angenommen werden)
- Ingress Filtering: alle "Enabled" (damit der Switch nur Datenverkehr an die Ports weiterleitet, der aus dem selben VLAN kommt)
Im VLAN 10 ist der DHCP-Server des Gateways (LAN, g1) aktiv.
Im VLAN 20 ist der DHCP-Server des entfernten VPNs (LAN, g5) aktiv.
Sind dieses Mal grobe Schnitzer dabei?
Ich als Anfänger konnte mich anhand Deiner (aqui) Infos und Tutorials, aber auch folgender Website gut durchhangeln. Wenn das, was ich nun zu verstanden gehabt haben meine, richtig ist, könnte man diesen Link vielleicht als Einstiegsinfo, vor allem für die Netgear-Konfiguration, hier oder in VLAN Tutorials publizieren:
http://riceball.com/d/content/vlans-netgear-gs108t
Danke fürs Lesen und evtl. Kommentare! Für Anregungen jedweder Art bin ich dankbar!
Viele Grüße,
N-A-G-U-S
Grundsätzlich ist für mein Vorhaben ein port-based VLAN ausreichend. Brauche ja nur den einen Switch. Das Verfahren ist aber nicht standardisiert und außerdem veraltet, sodass ich mit IEEE 802.1q
Heute redet man nur noch von 802.1q Tags die auch Grundlage aller Port based VLANs sind. Andere Techniken gibt es gar nicht mehr als den Standard. Ist also etwas verwirrend was du mit der Aussage eigentlich meinst ?!!Vermutlich beziehst du dich auf den proprietären VLAN Konfig Schrott bei NetGear !
Vergiss das bitte ganz schnell. Was NetGear hier macht ist eigener Müll und hat mit standardtisierten VLANs nichts zu tun. Ingnorieren diesen Unsinn auf den NetGear Switches also. Bei renomierten Switch Herstellern gibt es diesen überflüssigen Bullshit gar nicht erst !
Eine andere Quelle sprach von höherer Sicherheit des port-based VLAN gegenüber 802.1q
Völliger Quatsch ! Port based VLANs ist in beiden Verfahren gleich. Das .1q Tagging beschreibt ja nur ein Verfahren den VLAN Traffic zenral auf einem gemeinsamen Uplink zu übertragen. Aber das machst du ja gar nicht !!Dir geht es ja nur die Ports in einer getrennten Broadcast Domain zu betreiben ohne tagged Uplink. Bleib also beim Standard ignorier den proprietären NG Unsinn und alles ist gut !
Demgegenüber dürften bei 802.1q Broadcasts nicht an Ports anderer VLANs ausgegeben werden
Ja und das ist zwingend auch so gewollt !! VLAN = abgetrennte Broadcast Domain !!muss ich alle Ports im Netgear-Interface auf "untagged" setzen (ist das dann nicht wieder port-based?)
Ja und auch so gewollt. Wie gesagt der Terminus "Port based" gilt immer bei VLANs und beschreibt global das einen bestimmte Anzahl von Ports in einem VLAN sprich einer abgetrennten Broadcast Domain zugeordnet sind ..nicht ehr und nicht weniger.Mach dich frei von proprietärer NG Denke !
Soweit richtig?
Soweit richtig und dein Konfig ist auch korrekt (Igitt, übelste NG Logik !)Sind dieses Mal grobe Schnitzer dabei?
Nein, alles bestens... wenn man mal davon absieht das du NG verwendest 
Hallo aqui,
nochmal ein großes Dankeschön für Deine zweite Antwort. Freut mich, dass ich es einigermaßen verstanden zu haben scheine. Ich habe es zwischenzeitlich mal umgesetzt und muss sagen - es funktioniert einwandfrei.
Die (gebrauchten) NG-Geräte gab's in größerer Stückzahl umsonst, für diesen Zweck (non-profit) daher genau richtig. Und einem geschenkten Gaul...
Um von der NG-Denke, wie du es nennst, wegzukommen, werde ich das die Tage nochmal an meiner Pfsense und meinem Heim Netz mit HP Switch testen. Die Beschäftigung mit der Thematik bringt einen doch auf nette Ideen.
Also nochmal, vielen Dank und
viele Grüße,
N-A-G-U-S
nochmal ein großes Dankeschön für Deine zweite Antwort. Freut mich, dass ich es einigermaßen verstanden zu haben scheine. Ich habe es zwischenzeitlich mal umgesetzt und muss sagen - es funktioniert einwandfrei.
Die (gebrauchten) NG-Geräte gab's in größerer Stückzahl umsonst, für diesen Zweck (non-profit) daher genau richtig. Und einem geschenkten Gaul...
Um von der NG-Denke, wie du es nennst, wegzukommen, werde ich das die Tage nochmal an meiner Pfsense und meinem Heim Netz mit HP Switch testen. Die Beschäftigung mit der Thematik bringt einen doch auf nette Ideen.
Also nochmal, vielen Dank und
viele Grüße,
N-A-G-U-S
Klar für geschonken gekrochen akzeptiert man dann sogar auch die grauslichen NetGear Gurken 
