Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

2 VLANs untereinander erreichbar machen. Router: CISCO RV110W, Switch: Netgear GS108E

Mitglied: emil89

emil89 (Level 1) - Jetzt verbinden

14.02.2018 um 05:52 Uhr, 396 Aufrufe, 19 Kommentare

Guten Tag.
Ich habe mir hier mit folgender Anleitung https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ... ein Netzwerk mit 3 VLAN´s aufgebaut. Ich kann in den jeweiligen VLAN´s alle Geräte im selben VLAN sehen und anpingen, und die Routeradresse der anderen VLAN´s anpingen.
Allerdings kann ich keine Geräte in den anderen VLAN´s erreichen, was ja eigentlich auch Sinn der ganzen Geschichte ist.
Ich habe insgesamt 3 VLAN´s aufgesetzt.
VLAN 1 - Management (vorgegeben)
VLAN 2 - Netzwerkdrucker
VLAN 3 - Raum A
VLAN 4 - Raum B

Jetzt würde ich gerne das VLAN 2 & 3 , und VLAN 2 & 4 sich sehen können.
Habe mich etwas mehr damit beschäftigt, allerdings geht bei dieser Konstallation anscheinend kein Inter VLAN Routing, und auch kein normales Routing.
Ich habe versucht mehrere Regeln in der ACL zu setzen, allerdings nimmt er Sie alle nicht an, da Ursprung IP und Ziel IP beide im Router angelegt sind, und ich eine Fehlermeldung bekomme.
Falls jemand eine Lösung weiss wäre ich sehr dankbar.
Ich habe jetzt in der Eile keine Screenshots angehängt, falls gewünscht kann ich diese selbstverständlich erstellen und hochladen.

Vielen Dank
Mitglied: StefanKittel
14.02.2018 um 07:25 Uhr
Moin,

mit welchen Geräten denn genau?
Wo findet das Routing statt. So wie im Beispiel im Router oder hast Du einen L3-Switch?

Zitat von emil89:
Allerdings kann ich keine Geräte in den anderen VLAN´s erreichen, was ja eigentlich auch Sinn der ganzen Geschichte ist.
Nein, eigentlich nicht. Den Zugriff der einzelnen VLANs untereinander muss man im Router entsprechend konfigurieren. Das kann man dann auch Port- oder IP-basierend eingrenzen.

Stefan
Bitte warten ..
Mitglied: emil89
14.02.2018 um 08:14 Uhr
Als Router verwende ich einen Cisco RV110W und als Switch einen Netgeat GS108E. Das Routing findet im Router statt da der Switch kein L3 beherrscht. Das Setup ist eigentlich genauso wie im Beispiel, nur 3 statt 2 VLAN‘s. Im Cisco Router selbst finde ich keine Möglichkeit das Routing zwischen den VLAN‘s einzustellen oder zu programmieren.
Bitte warten ..
Mitglied: StefanKittel
14.02.2018 um 08:30 Uhr
Moin,

dann vermute ich, dass es mit dem nicht geht.
Genau wissen tue ich es nicht.
Ich hatte damals kurz einen und habe ihn schnell gegen eine 2C4 mit pfsense ausgetauscht, da die Dual-WAN-Anbindung nicht gut funktionierte.

Aber warten wir mal bis Aqui aufgestanden ist.
Der weiß sowas.

Stefan
Bitte warten ..
Mitglied: aqui
14.02.2018, aktualisiert um 08:39 Uhr
Allerdings kann ich keine Geräte in den anderen VLAN´s erreichen, was ja eigentlich auch Sinn der ganzen
Nein, in einem Layer 3 VLAN Umfeld ist das gerade NICHT Sinn der Sache denn durch die gewollte Layer 3 (Routing) Kopplung will man ja gerade eine VLAN übergreifenden Kommunikation sicherstellen ?!
Diese Schlußfolgerung ist also falsch.
Richtig ist hingegen das es in einer reinen Layer 2 Umgebung, also ohne ein IP Routing, natürlich eine vollständige Isolation der VLANs gibt. Oder eben wenn man keinerlei Gateway IP in einem VLAN hat, die Kommunikation in andere IP Netze ermöglicht. Nur untzer diesen Konfig Bedingungen sind diese VLANs vollständig isoliert.

Der Cisco RV110 supportet natürlich ein Routing zw. den VLANs. Das Tutorial:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
erklärt das ja auch mit einer abtippfertigen Konfig.
Dadurch das du die Router IPs der jeweils anderen VLANs pingen kannst von Endgeräten in den lokalen VLANs ist klar ersichtlich das dein Layer 3 Forwarding, sprich also dein Routing zwischen den VLANs, sauber und richtig funktioniert. Ohne ein Routing wäre ja das Pingen der anderen Router Gateway IPs unmöglich.
Das Tutorial beschreibt eine funktionierende Praxiskonfig in so fern war das erwartbar das es klappt.

Dein Fehler liegt also klar bei den Endgeräten !
Hier ist das vermutlich wie immer die lokale Firewall, besonders bei Winblows Rechnern.
Das in den VLANs die jeweilige VLAN Router IP das Default Gateway bei deinen Endgeräten ist, davon gehen wir mal aus. Überprüfen kannst du das wie immer mit ipconfig -all.
Das der Switch laut Tutorial richtig konfiguriert ist setzen wir auch mal voraus (802.1q based VLANs).
Windows blockiert per Default das ICMP Protokoll (Ping, Traceroute) was du in der Firewall erst entsprechend aktivieren musst:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Insbesondere wird auch jeglicher Traffic blockiert der NICHT aus dem jeweiligen lokalen Netzwerk kommt. IP Traffic mit einer anderen als der lokalen Absender IP wird also generell geblockt. Hier musst du ebenso die lokale Firewall der Endgeräte entsprechend anpassen und hier wird sicher auch der grundsätzliche Fehler liegen.
Ist der RV110 dein Internet Router oder betreibst du den in einer Router Kaskade mit einem anderen Router ?
Bitte warten ..
Mitglied: emil89
14.02.2018 um 20:13 Uhr
Hallo,
die Firewalls sind alle deaktivert, habe auch ein paar Netzwerkdrucker die ich auch nicht anpingen kann.
Default Gateway bei den jeweiligen Geräten wird richtig angezeigt.
Als ich es zum ersten Mal eingerichtet hatte kam es mir so vor als ob ich Geräte in anderen VLAN´s anpingen konnte.
Nach ein bisschen rumspielerei dachte ich mir OK setz den nochmal neu auf......und seitdem funktioniert es nicht mehr.
Habe den bestimmt 4mal zurückgesetzt, sowohl den Router als auch den Switch. Leider keine Besserung.
Ich habe ein paar Screenshots angehängt die die Einstellungen zeigen.
admin1 - Klicke auf das Bild, um es zu vergrößern
admin2 - Klicke auf das Bild, um es zu vergrößern
admin3 - Klicke auf das Bild, um es zu vergrößern
admin4 - Klicke auf das Bild, um es zu vergrößern
admin5 - Klicke auf das Bild, um es zu vergrößern
admin6 - Klicke auf das Bild, um es zu vergrößern
admin7 - Klicke auf das Bild, um es zu vergrößern
admin8 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
16.02.2018 um 09:33 Uhr
Ich teste das parallel nochmal mit einem RV110 und einem GS105E
Bitte warten ..
Mitglied: emil89
16.02.2018 um 21:52 Uhr
Vielen Dank fürs testen.
Ich habe jetzt aber glaube ich rausgefunden woran es gelegen hat.
Unter Networking->Routing habe ich einzig und allein unten Inter-VLAN-Routing aktiviert und gespeichert.
Seit dem funktioniert jetzt die Kommunikation unter den VLANs.
Jetzt muss ich nur noch wissen wie ich den VLAN´s untereinander verbieten kann zu kommunizieren.
Sprich VLAN 10 & 30 dürfen sich untereinander nicht sehen und auch nicht kommunizieren.
Bei Firewall->Access Rules kann ich leider nicht Lan zu Lan einstellen, sonder nur LAN->WAN, WAN->LAN und WAN->DMZ
Bitte warten ..
Mitglied: emil89
16.02.2018 um 22:06 Uhr
So hab jetzt noch ein wenig ausprobiert.
Der RV110W hängt an einer Fritzbox welches die Internetverbindung herstellt und auch ein eigenes Netzwerk hat.
Wenn ich bei der RV110W als Betriebsmodus Gateway auswähle, muss ich Inter-VLAN-Routing aktivieren damit es funktioniert.
Wenn ich als Betriebsmodus Router auswähle, brauche ich kein Inter-VLAN-Routing aktivieren damit die VLANs sich untereinander sehen können, allerdings komme ich dann nicht mehr ins Internet.
Bleibt noch die Frage wie ich den VLAN´s 10 & 30 sage dass Sie sich nicht sehsn dürfen.
Bitte warten ..
Mitglied: aqui
17.02.2018 um 14:12 Uhr
Seit dem funktioniert jetzt die Kommunikation unter den VLANs.
Oha...kleine Ursache..große Wirkung ! Das ist natürlich ein Muss sonst nix Routing...klar
Der RV110W hängt an einer Fritzbox welches die Internetverbindung herstellt
In einer Router Kaskade mit 2mal NAT oder so das die FB nur eine reines NUR-Modem konfiguriert ist und der RV110 PPPoE am WAN Port macht ?!
Wenn ich bei der RV110W als Betriebsmodus Gateway auswähle, muss ich Inter-VLAN-Routing aktivieren damit es funktioniert.
Das ist klar, denn damit macht der RV110 NAT = IP Adress Translation.
Das ist nicht besonders gut, denn damit machst du doppeltes NAT was nicht gut für die Performance ist und weitere Probleme verursachen kann. Besser ist immer der Router Mode !!
Wenn ich als Betriebsmodus Router auswähle, brauche ich kein Inter-VLAN-Routing aktivieren
Auch klar, denn damit ist dann NAT deaktiviert und nur Routing aktiv.
allerdings komme ich dann nicht mehr ins Internet.
Der Grund dafür dürfte dann eine fehlerhafte Konfig der FritzBox sein !!!
Da du kein NAT machst auf dem RV110 "sieht" die FB nun auch die Original IP Absender Adressen der VLANs 10 und 30 !
Und mit an Sicherheit grenzender Wahrscheinlichkeit hast du die dann zwingend erforderlichen statischen Routen auf der FritzBox vergessen zu konfigurieren !!!
Kann das sein ?
Auf der FritzBox muss dann unter IP Routing zwingend 2 statische Routen eingetragen werden:
Zielnetz: 192.168.2.0, Maske: 255.255.255.0, Gateway: <WAN-Port-IP_RV110>
Zielnetz: 192.168.3.0, Maske: 255.255.255.0, Gateway: <WAN-Port-IP_RV110>

Du kannst auch mit einer Summary Route arbeiten dann brauchst du nur einen Eintrag:
Zielnetz: 192.168.2.0, Maske: 255.255.252.0, Gateway: <WAN-Port-IP_RV110>

Das routet dir dann alle Netze von .0.1 bis .3.254 auf den RV110
Oder falls du mehr Netze brauchst:
Zielnetz: 192.168.2.0, Maske: 255.255.248.0, Gateway: <WAN-Port-IP_RV110>

Was dann alles bis .7.254 auf den VLAN Router RV110 routet !
Mit diesen IP Routen funktioniert auch das Internet sofort. Klar, denn sonst ohne diese statischen Routen würde die FritzBox ja die VLAN IP Adressen Richtiung Provider routen (das Default Gateway) und damit dann ins Nirwana !
Siehe auch:
https://www.administrator.de/wissen/routing-2-ip-netzen-windows-linux-ro ...
Lesen hilft
Bitte warten ..
Mitglied: emil89
17.02.2018 um 16:44 Uhr
Vielen Dank, ich werd dies nachher probieren und hier berichten. Weisst du auch wie ich bei dem Model RV110W ACL‘s erstellen kann damit Vlan 10&30 sich nicht untereinander sehen ? Geht leider nicht mit normalen Listen.
Bitte warten ..
Mitglied: aqui
17.02.2018 um 17:00 Uhr
ich werd dies nachher probieren und hier berichten.
Wir sind gespannt
wie ich bei dem Model RV110W ACL‘s erstellen kann
Hast du es mal mit Access Rules:
https://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/rv110w/administra ...
Kapitel 4, Seite 88ff. probiert ?
Bitte warten ..
Mitglied: emil89
17.02.2018 um 17:48 Uhr
Ja, kann aber kein Lan zu Lan einstellen, sondern nur Wan zu Lan, Lan zu Wan und Wan zu DMZ.
Bitte warten ..
Mitglied: aqui
17.02.2018 um 17:54 Uhr
...dann hast du ein Problem mit den ACLs.
Geht denn mit der FB Route nun das Internet ?
Bitte warten ..
Mitglied: emil89
17.02.2018 um 21:08 Uhr
Ja, Routing ist eingerichtet und funktioniert.
Nur bei den ACL bin ich am verzweifeln, finde keine Möglichkeit dies im RV100W einzustellen.
Bitte warten ..
Mitglied: emil89
17.02.2018 um 22:46 Uhr
Also nach langem probieren und suchen scheint es sich erledigt zu haben.
Habe auf der Seite https://supportforums.cisco.com/t5/small-business-routers/rv110w-inter-v ... folgendes gefunden:


RV110W inter-vlan firewalling

Wibert,

You are correct; it's either all or nothing with intervlan routing. All of small business router line doesn't allow LAN-to-LAN ACE. Its LAN-to-WAN or WAN-to-LAN only. We generally have a manageable switch to set up ACL/ACE to control our traffic between vlans if we are trying to specify specific allow or deny rules between LAN-to-LAN.

Hope this helps,
Bitte warten ..
Mitglied: emil89
17.02.2018, aktualisiert um 23:42 Uhr
Ich hab hier noch einen Buffalo WHR-HP-GN mit DD-WRT rumliegen.
Leider hat dieser unter dem Punkt Setup keinen VLAN Tab.
dd-wrt - Klicke auf das Bild, um es zu vergrößern

Kennt ihr vielleicht einen einigermaßen günstigen Router (ca. 80-100 Euro, wenn möglich kein Mikrotik) wo ihr mit Sicherheit sagen könnt dass dieser funktioniert, undzwar so dass ich entweder ACL erstellen kann oder anderweitig die Kommunikation zwischen bestimmten VLANs verbieten oder erlauben kann.

Vielen Dank
Bitte warten ..
Mitglied: StefanKittel
17.02.2018 um 23:47 Uhr
Hallo,

Zitat von emil89:
Kennt ihr vielleicht einen einigermaßen günstigen Router (ca. 80-100 Euro, wenn möglich kein Mikrotik) wo ihr mit Sicherheit sagen könnt dass dieser funktioniert, undzwar so dass ich entweder ACL erstellen kann oder anderweitig die Kommunikation zwischen bestimmten VLANs verbieten oder erlauben kann.

APU 2C4 mit pfSense kann eigentlich alles. Aber kostet eher so 200 Euro.
http://amzn.to/2EPXuJ4

Hast Du einen Server oder NAS wo Du es als VM einrichten kannst?

Stefan
Bitte warten ..
Mitglied: emil89
18.02.2018 um 03:02 Uhr
Leider ist kein Server vorhanden, und kein NAS welches ich dafür entbehren kann, da der Aufbau des VLAN´s an einem anderen Standort geschieht.
Theoretisch müsste ich aber auch anstatt der Fritzbox den Buffalo Router mit DD-WRT nehmen können welche am WAN Anschluss des Cisco RV110W hängt.
Ich müsste dann die statischen Routen im Buffalo Router eintragen und per IPTable die Kommunikation zwischen VLAN 10&30 verbieten können.
Bräuchte da je theoretisch keine VLANs anlegen, da Sie bereits im RV110W hinterlegt sind, und der Buffalo nur das Routing übernimmt und die ACL auch.
Habe im Netz auch ein paar IPTABLES gefunden, allerdings nur um die VLANs komplett untereinander abzuschirmen

iptables -I FORWARD -s 192.168.1.0/255.255.255.0 -j DROP
iptables -I FORWARD -s 192.168.2.0/255.255.255.0 -j DROP
iptables -I FORWARD -s 192.168.3.0/255.255.255.0 -j DROP
iptables -I FORWARD -s 192.168.4.0/255.255.255.0 -j DROP

Was meint ihr zu der Konstallation ?
Bitte warten ..
Mitglied: aqui
18.02.2018, aktualisiert um 14:06 Uhr
Leider hat dieser unter dem Punkt Setup keinen VLAN Tab.
Kann sein das du ein falsches DD WRT Image geflasht hast ?!
Kennt ihr vielleicht einen einigermaßen günstigen Router
Ja !
Nimm einen Mikrotik hex:
http://varia-store.com/Wireless-Systeme/MikroTik-Komplettsysteme/Mikrot ...
Mit 50 Euronen liegst du da noch weit unter deinem Minimalbudget und das Teil kann ALLES was du willst und noch 10mal mehr !
Vergiss den Unsinn mit NAS und der Linux Firewalling und Routing da. Ein NAS ist ein NAS und KEIN Router !
Beschaff dir den Mikrotik und du hast eine optimale Lösung.
Wenn dir 100Mbit Router bandbreite reichen (der obige hat 1Gig) dann sparst du auch nochmal 10 Euro:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-R ...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
CISCO RV110W als AccessPoint im VLAN
gelöst Frage von JudgeDreddLAN, WAN, Wireless19 Kommentare

Hallo Zusammen, ich habe mir dieses Tutorial zu herzen genommen und dachte ich komme damit weiter. Leider bleiben aber ...

LAN, WAN, Wireless

2 VLANs mit Layer 3 Switch und Netgear Router

gelöst Frage von minimi90LAN, WAN, Wireless70 Kommentare

Hallo liebe Wissende. Zum Thema VLANs gibt es hier bei administrator.de schon viele gute Beiträge und Tutorials. Für mein ...

Switche und Hubs

Switch Netgear gs108 an Fritzbox 7170 Störung

gelöst Frage von Manu-SchSwitche und Hubs7 Kommentare

Meine Hardware: Router und DHCP Server: Fritzbox 7170 -neueste Firmware daran Switch Netgear gs108 v.2 Daran will ich meinen ...

LAN, WAN, Wireless

VLAN Switch nicht mehr erreichbar

gelöst Frage von SpitzbubeLAN, WAN, Wireless10 Kommentare

Hallo, habe mich die letzten Wochen mit dem Thema VLAN beschäftigt und die Umstellung von meinem Netzwerk in Anlehnung ...

Neue Wissensbeiträge
Administrator.de Feedback

Entwicklertagebuch: Datenschutzerklärung nach DS-GVO

Information von admtech vor 5 MinutenAdministrator.de Feedback

Hallo Administrator User, Wir respektieren eure Privatsphäre und möchten euch daher auf die Möglichkeiten für den Umgang mit euren ...

Voice over IP

Rufnummernblock aufbrechen nun möglich bei DTAG

Tipp von Datenreise vor 3 StundenVoice over IP

Bei der Telekom ist es seit einigen Tagen laut Aussage der Geschäftskunden-Hotline möglich, eine Rufnummernübernahme auch dann durchzuführen, wenn ...

Netzwerke
Riesiges Botnetz in Deutschland
Tipp von FFSephiroth vor 5 StundenNetzwerke1 Kommentar

Überprüft mal eure Router und NAS

Soziale Netzwerke

Freitag, der 25.05 - Facebook baut weltgrößtes P.ähm Antip.archiv der Welt auf

Information von certifiedit.net vor 6 StundenSoziale Netzwerke3 Kommentare

Guten Morgen, da fragt man sich doch allen ernstes, was Facebook damit bezwecken möchte, ich tippe ja darauf, dass ...

Heiß diskutierte Inhalte
Datenschutz
E-Mail Verschlüsselung DSGVO 2018
gelöst Frage von SoccerdeluxDatenschutz33 Kommentare

Hallo zusammen, ich verzweifele langsam und wende mich an euch und hoffe vielleicht ein paar Antworten zu finden. Ich ...

HTML
Link nicht vollständig
Frage von jensgebkenHTML33 Kommentare

Hallo Gemeinschaft, ich erstelle mit Word einen Serienbrief, den ich per Mail versende. Nun mein Problem der Wordserienbrief holt ...

Server-Hardware
HPE DL 360e GEN8 - P420 - Lüfter drehen auf nach Festplattenwechsel
Frage von maniacmacpainServer-Hardware20 Kommentare

Hallo, ich kenne den Effekt, dass man bei der GEN8 von HP ein Array eingerichtet haben muss, damit die ...

Server-Hardware
ILO4 auf HP DL20 Gen9 deaktivieren
Frage von it-fraggleServer-Hardware16 Kommentare

Hallo, es ist zum verrückt werden. Auf dem Server lässt sich iLO nicht abschalten. Das Problem hatte ich schon ...