sodden
Goto Top

Heimnetz trennen (VLAN-DHCP-DSL)

Hallo miteinander,

ich hab folgendes Problem. Bei mir zuhause gibt es 2 DSL Leitungen, einmal über eine FritzBox(192.168.178.1) und die andere über einen SpeedTouch (192.168.178.101). Bis jetzt hab ich das ganze immer manuell über das Gateway getrennt was auch super klappt. Nun möchte ich mir das Leben auf dauer jedoch ein bisschen einfacher machen und das ganze über zwei DHCP Adressbereiche laufen lassen. Es hakt aber daran das ich Resourcen (NAS etc.) habe die in beiden Netzen erreichbar sein müssen.

Zur Verfügung stehen:
FritzBox 7330
SpeedTouch 536v6
Zyxel GS1910-24
TP-Link WR1043DN (OpenWRT FW)

Ich hab Versucht das ganze so auf zu bauen.

IP Adressbereiche:
192.168.178.0/24 <- FritzBox Netz
192.168.1.0/24 <- SpeedTouch Netz


Zyxel GS1910-24:
VLAN10 (Alle Ports die über den SpeedTouch raus sollen)
VLAN20 (Alle Ports die über die FritzBox raus sollen)

Port 24 als "Frame Type" Tagged -> geht an TP-Link mit OpenWRT Port1

TP-Link OpenWRT:

Switch:
VLAN10: Port 1 Tagged, CPU Tagged. alle anderen "off"
VLAN20: Port 1 Tagged, CPU Tagged. alle anderen "off"

Interfaces:
VLAN10: Interface VLAN10, IP 192.168.1.1, GW 192.168.1.2 (SpeedTouch), DHCP aktiv
VLAN20: Interface VLAN20, IP 192.168.178.1, GW 192.168.178.1 (FirtzBox), DHCP aktiv

Static Routes:
VLAN10 192.168.178.0/24 192.168.1.1
VLAN20 192.168.1.0/24 192.168.178.1


Aber bis jetzt klappt das alles nicht. Vielleicht mach ich auch was völlig falsch oder es gibt ne viel simplere Lösung. Abgesehen von nem L3 Switch.
Ich hoffe jemand kann mir bei meinem Vorhaben weiterhelfen.


Bilder:
OpenWRT IP:
d67ca19cd624c2096b9c79dfac573a43
OpenWRT Interfaces:
bd26ffd5371734b7ae7468a9031e082d
Switch VLAN:
b876c2288d6999743ecc82425e890900
Switch VLAN Ports:
7f5eb365239661f49c70e51988ad9345

Content-Key: 243744

Url: https://administrator.de/contentid/243744

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: aqui
Lösung aqui 16.07.2014, aktualisiert am 19.07.2014 um 14:41:30 Uhr
Goto Top
Generell hast du von der Planung her alles richtig gemacht. Um zwischen den beiden IP Netzen zu kommunizieren benötigst du einen Router oder eine kleine Firewall wie deinen OpenWRT.
Mit deinen 2 VLANs ist das vom Design her auch richtig. Soweit so gut....

Vermutlich machst du aber einen Denkfehler beim Routing wie leider sehr oft hier ?!
Deine Routen auf dem OpenWRT sind eigentlich Blödsinn, denn der braucht keinerlei statische Routen ! Wozu auch, denn die beiden IP Netze sind ja direkt an ihm angeschlossen so das er diese IPs also so oder so "kennt".
Statische Routen sind hier also überflüssiger Blödsinn den du auch besser schnell wieder entfernen solltest denn diese Konfig ist kontraproduktiv und macht die Problematik noch schlimmer !
Das einzige was der OpenWRT konfiguriert haben muss ist ein Default Gateway und da musst du dich final zwischen FritzBox Anschluss oder SpeedTouch Anschluss entscheiden. Default gateway kann es immer nur eines geben, es sei denn du arbeitest mit einem Dual WAN Balancing Router aber das würde neue Hardware und ein anderes Design bedeuten !

WO du statische Routen brauchst sind immer die beiden Internet Router FritzBox und SpeedTouch, denn das sind ja die Default Gateways für deine jeweiligen Endgeräte in den beiden IP Segmenten !! NICHT der OpenWRT Koppelrouter für die beiden Segmente !
Folglich müssen DA auf den Internet Routern also diese statischen Routen konfiguriert werden und zwar so:

FritzBox Router:
IP Netz: 192.168.178.0/24
IP Adresse FB: 192.168.178.1
OpenWRT Adresse: 192.168.178.254
Statische Route in FritzBox: Zielnetz: 192.168.1.0, Maske: 255.255.255.0, Gateway: 192.168.178.254

SpeedTouch Router:
IP Netz: 192.168.1.0/24
IP Adresse SpeedTouch: 192.168.1.1
OpenWRT Adresse: 192.168.1.254
Statische Route in SpeedTouch: Zielnetz: 192.168.178.0, Maske: 255.255.255.0, Gateway: 192.168.1.254
Achte darauf das die OpenWRT IP Adressen im jeweiligen IP Segment NICHT im DHCP Adresspool des jeweiligen Routers dort liegen sonst hast du ein Adress Problem !!

Du kannst sehen das jetzt Pakete die ins jeweils andere IP Netz sollen über den OpenWRT VLAN Router jeweils auch von den jeweiligen lokalen Internet Routern (die Default Gateway der Endgeräte sind) dahin geroutet werden !!
Damit funktioniert das Design auf Anhieb !

Du kannst dir die Grundlagen und ToDos dazu in diesem Forums Tutorial nochmal genau nachlesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Es entspricht genau deinem Design.
Für ein VLAN Umfeld ist das analog und die Settings dazu beschreibt dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: MrNetman
MrNetman 16.07.2014 um 10:05:35 Uhr
Goto Top
Hi Sodden,

Sag, mal, hast du drei Router in Betrieb?
Speedport Fritzbox und TP-Link?

ein Bild von deinem Aufbau wäre praktisch. Das bekommst du über die Bearbeiten Funktion deines Beitrages rein.

Hier ist eine schöne Anleitung von aqui zur Nutzung von 2 Routern: kopplung-von-2-routern-am-dsl-port Das Konzept ist ausbaubar und kombinierbar.
Wenn die Netze gemeinsame Resocurcen nutzen sollen, kannst du die gemeinsamen Resourcen hinter den dritten Router stecken und dort mit Zugriffslisten (ACL) arbeiten.

Gruß
Netman
Mitglied: Sodden
Sodden 16.07.2014 um 16:38:19 Uhr
Goto Top
Ich hab das mal wie du das beschrieben hast versucht. Das Problem scheint zu sein das der OpenWrt Router nicht in die VLAN's kommt. Ich hab mal Bilder hinzugefügt wie das ganze aussieht.
Mitglied: MrNetman
Lösung MrNetman 16.07.2014, aktualisiert am 19.07.2014 um 14:41:51 Uhr
Goto Top
Das sind Screenshots, kein Aufbau.
Aber schön, dass du das mit den Bildern gefunden hast. Kannst auch als Link in irgend einen Kommentar einfügen.

Wenn der Open WRT als Hauptrouter verwendet wird, was man anhand der Screenshots ja nicht erkennen kann, dann muss er mit allen VLANs verbunden werden und somit bekommt sein Switchinterface alle VLANs getaggt angeliefert. Also Open-WRT taggen und Switch taggen und alle VLANS drauf konfigurieren. Weiters müssen die VLANs nicht nur konfiguriert, sondern auch einem Interface zugeordnet werden.

Gruß
Netman
Mitglied: Sodden
Sodden 16.07.2014 aktualisiert um 18:22:13 Uhr
Goto Top
Den OpenWRT Router hab ich nur dazu genommen um die VLAN's zu koppeln. Der steckt am Switch auf Port 24 und hat alle VLAN's.

Ich mach noch ne Grafik wie das ganze aussehen soll.

Edit: Hier mal der grobe Aufbau
0a9d18f520ecb7dbfe65856bd740af1f
Mitglied: Sodden
Sodden 17.07.2014 aktualisiert um 21:17:28 Uhr
Goto Top
ES LÄUFT!!!!!!

Hatte heute beim rum tüfteln ein EUREKA! Erlebnis.

Ich hatte auf der OpenWRT Kiste nochmal bei 0 angefangen, da es mir irgendwie komisch vor kam das auf den beiden sub-interfaces eth0.10 und eth0.20 nichts an kam bzw. wenn dann nur auf einem.
Als dann die Kiste wieder eingerichtet war hab ich mir meinen Laptop geschnappt, an einen Port gehängt, in VLAN10 gesetzt und fleißig gepingt. Als ich dann die richtigen Einstellungen für den TRUNK gefunden hatte und aus dem VLAN10 das VLAN10 interface pingen konnte hab ich den Port vom Laptop auf VLAN20 umgestellt. So weit hatte ich das ja anfangs auch schon am laufen, aber das andere VLAN ging dann ja nicht, was auch jetzt der Fall war. Ping ging nicht durch. Was aber komisch war, das überhaupt nichts zurück kam, kein "destination unreachable" oder so, der ping blieb einfach stehen als wenn er jeden Moment loslegen wollte. An der stelle ist mir aufgefallen das es immer das VLAN betrifft aus dem der OpenWrt Router eine IP hat. In der Simulation hat der Router erst gar keine IP. Naja und dann traf es mich wie der Blitz. DEFAULT ROUTE. Einige Router haben die Lustige Eigenschaft sich als default route das zu nehmen was sie als erstes beigebracht bekommen, eigenes Netz als Ziel -> gateway = Eigene IP. Ist ja auch in der Regel richtig. Kurzerhand die default route "192.168.178.0/24 gateway 192.168.178.3(Router IP)" rausgeschmissen und siehe da der Ping geht sofort durch.

Kurz Version: Es geht, Fehler war "Default Route" auf "VLAN Vermittlungs Router". Router sollte nur die Routen über die VLAN-Interfaces kennen.

P.S. Besteht Interesse an dem PaketTracer file ? Würde ich dann zur freien Verfügung stellen.

P.S.S. Danke für die schnelle Hilfe an MrNetman und aqui.