14
VLAN mit 2 Routern. Routen in ein vom anderen Router geroutetes VLAN möglich?
Hi,
wir haben ein Netzwerk, welches ein PFSense routet für mehrere Wohnungen. Der PFSense routet Türkommunikation, also Asterisk in die Wohnungs-VLANs und Bild der Kamera auch.
In einer Wohnung ist ein Router, welcher VLAN-fähig ist (Ubiquiti Unifi USG). In dieser Wohnung sollen VLAN's zum Einsatz kommen. Da ein Bussystem installiert ist und eine Visualisierung zum Einsatz kommt, muss jedes Endgerät (Smartphone, Tablet, PC...) im VLAN sein, welches der PFSense kennt, um ein Bild der Kamera zu bekommen und das Telefon (Gigaset) ebenso. Das erschwert eine Trennung irgendwie, denn so bleibt ja trotzdem alles im gleichen LAN.
Ist es nun möglich, dass diese Geräte in der Wohnung in einem VLAN sind, welches der PFSense nicht kennt und man mit dem USG in das bekannte VLAN routet damit der PFSense es weiter routet?
Also so:
- PFSense Tür (VLAN 3), Wohnung VLAN 20. PFSense routet die Kommunikation in das VLAN 20.
- Wohnung VLAN 20 und Geräte VLAN 21. Geräte von VLAN 21 sollen in das VLAN 3 kommen, ohne dass der PFSense es routet, da er die VLANs nicht kennt, in welchem die Geräte stecken.
Kann der USG z.B. vom VLAN 21 in das VLAN 20 routen und der PFSense dann weiter von VLAN 20 zu VLAN 3? Theoretisch müsste das Netzwerkpaket ja umgetaggt werden mit VLAN 20, damit der PFSense es akzeptiert.
Aufbau:
PFSense <> Cisco SG200 <> Unifi Switch <> Unifi USG
Der Trunk zwischen dem SG200 und dem Unifi Switch kennt VLAN 21 nicht und der PFSense auch nicht.
Mögliche Lösung, die aber ungewünscht ist:
- PFSense routet nicht zum VLAN 20, sondern hat dieses als statische Route drin. Dadurch muss sich der USG dazu im Türnetzwerk befinden und routet dann. Dies ist leider unerwünscht und ich kann das nicht beeinflussen.
Hat jemand einen Tipp, wie das funktionieren kann?
Viele Grüße
Nils
wir haben ein Netzwerk, welches ein PFSense routet für mehrere Wohnungen. Der PFSense routet Türkommunikation, also Asterisk in die Wohnungs-VLANs und Bild der Kamera auch.
In einer Wohnung ist ein Router, welcher VLAN-fähig ist (Ubiquiti Unifi USG). In dieser Wohnung sollen VLAN's zum Einsatz kommen. Da ein Bussystem installiert ist und eine Visualisierung zum Einsatz kommt, muss jedes Endgerät (Smartphone, Tablet, PC...) im VLAN sein, welches der PFSense kennt, um ein Bild der Kamera zu bekommen und das Telefon (Gigaset) ebenso. Das erschwert eine Trennung irgendwie, denn so bleibt ja trotzdem alles im gleichen LAN.
Ist es nun möglich, dass diese Geräte in der Wohnung in einem VLAN sind, welches der PFSense nicht kennt und man mit dem USG in das bekannte VLAN routet damit der PFSense es weiter routet?
Also so:
- PFSense Tür (VLAN 3), Wohnung VLAN 20. PFSense routet die Kommunikation in das VLAN 20.
- Wohnung VLAN 20 und Geräte VLAN 21. Geräte von VLAN 21 sollen in das VLAN 3 kommen, ohne dass der PFSense es routet, da er die VLANs nicht kennt, in welchem die Geräte stecken.
Kann der USG z.B. vom VLAN 21 in das VLAN 20 routen und der PFSense dann weiter von VLAN 20 zu VLAN 3? Theoretisch müsste das Netzwerkpaket ja umgetaggt werden mit VLAN 20, damit der PFSense es akzeptiert.
Aufbau:
PFSense <> Cisco SG200 <> Unifi Switch <> Unifi USG
Der Trunk zwischen dem SG200 und dem Unifi Switch kennt VLAN 21 nicht und der PFSense auch nicht.
Mögliche Lösung, die aber ungewünscht ist:
- PFSense routet nicht zum VLAN 20, sondern hat dieses als statische Route drin. Dadurch muss sich der USG dazu im Türnetzwerk befinden und routet dann. Dies ist leider unerwünscht und ich kann das nicht beeinflussen.
Hat jemand einen Tipp, wie das funktionieren kann?
Viele Grüße
Nils
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 391483
Url: https://administrator.de/contentid/391483
Printed on: April 26, 2024 at 22:04 o'clock
14 Comments
Latest comment
Moin ...
Jo, völlig anders
Schmeiß das meiste an Gerätschaften raus ...
packe alles was im Smarthome im einem Netz benötigt wird in ein VLAN, die Wohnungen selbst trennst du mit weiteren VLAN's ... die Kamera sollte via IP aus jedem Netz erreichbar sein ansonsten -> Tonne
VG
Jo, völlig anders
Schmeiß das meiste an Gerätschaften raus ...
packe alles was im Smarthome im einem Netz benötigt wird in ein VLAN, die Wohnungen selbst trennst du mit weiteren VLAN's ... die Kamera sollte via IP aus jedem Netz erreichbar sein ansonsten -> Tonne
VG
Moin,
einfach Router an die beiden VLANS hängen und Routing passend einstellen (statische Routen in den default-Routern oder Clients eintragen).
Allerdings würde ich das Design nochmal überdenken.
lks
Was soll ich an Gerätschaften raus schmeißen?
Der Cisco SG200 und PFSense sind im Hausnetzwerk und gehören mir quasi nur zum Teil. Und mein Router ist halt in meinem Netz, wie jede Wohnung selber auch ihren Router hat, nur das die alle eine FritzBox nutzen uns ich meine Gerätschaften trennen möchte.
Kamera und Türkommunikation ist ja so eine Sache. Ich könnte trennen und den PFSense in jedes VLAN routen lassen, wo ich Audio oder Video davon benötige, aber dann routet mein USG nicht mehr, sondern der PFSense, auf den nicht nur ich Zugriff habe.
Der Cisco SG200 und PFSense sind im Hausnetzwerk und gehören mir quasi nur zum Teil. Und mein Router ist halt in meinem Netz, wie jede Wohnung selber auch ihren Router hat, nur das die alle eine FritzBox nutzen uns ich meine Gerätschaften trennen möchte.
Kamera und Türkommunikation ist ja so eine Sache. Ich könnte trennen und den PFSense in jedes VLAN routen lassen, wo ich Audio oder Video davon benötige, aber dann routet mein USG nicht mehr, sondern der PFSense, auf den nicht nur ich Zugriff habe.
@ Lochkartenstanzer
Genau beim Routing frage ich mich ja, wie am besten.
Design:
Der PFSense gehören zum Haus und die Türkommunikation samt Kamera auch. Zudem der SG200.
Jede Wohnung hat ein eigenes Netzwerk und eine eigene Internet-Verbindung und hat für die Türkommunikation eine statische Route.
In meiner Wohnung habe ich das auch, möchte aber in sinnvoll VLAN's trennen ohne dass der PFSense das mitbekommt. Denn auf diesen habe nicht nur ich Zugriff.
Was würdest Du also am Design ändern, bzw. was könnte ich überhaupt ändern?
Schmeiße ich den PFSense raus, muss mein Router alles routen. Schmeiße ich den USG raus, routet alles der PFSense. Beides suboptimal, da ich mich ja gerne abkapseln möchte.
Ist halt beides doof. Ein Router in einer Wohnung von 5 sollte nicht alles routen, was auch die Hausnetzwerke angeht und die Türkommunikation der anderen Wohnungen und der Router vom Haus sollte nicht meine Netzwerke routen.
Ich weiß also nicht, was ich hardwaretechnisch ändern kann. Das Haus gehört ja nicht mir alleine.
Ich bin ja auch der einzige der 5 Wohnungen, der ein Problem hat und zwar weil ich VLAN's erstellen möchte und damit meine Geräte im für den PFSense unbekannten VLAN's stecken.
Genau beim Routing frage ich mich ja, wie am besten.
Design:
Der PFSense gehören zum Haus und die Türkommunikation samt Kamera auch. Zudem der SG200.
Jede Wohnung hat ein eigenes Netzwerk und eine eigene Internet-Verbindung und hat für die Türkommunikation eine statische Route.
In meiner Wohnung habe ich das auch, möchte aber in sinnvoll VLAN's trennen ohne dass der PFSense das mitbekommt. Denn auf diesen habe nicht nur ich Zugriff.
Was würdest Du also am Design ändern, bzw. was könnte ich überhaupt ändern?
Schmeiße ich den PFSense raus, muss mein Router alles routen. Schmeiße ich den USG raus, routet alles der PFSense. Beides suboptimal, da ich mich ja gerne abkapseln möchte.
Ist halt beides doof. Ein Router in einer Wohnung von 5 sollte nicht alles routen, was auch die Hausnetzwerke angeht und die Türkommunikation der anderen Wohnungen und der Router vom Haus sollte nicht meine Netzwerke routen.
Ich weiß also nicht, was ich hardwaretechnisch ändern kann. Das Haus gehört ja nicht mir alleine.
Ich bin ja auch der einzige der 5 Wohnungen, der ein Problem hat und zwar weil ich VLAN's erstellen möchte und damit meine Geräte im für den PFSense unbekannten VLAN's stecken.
Hier findest du genau beschrieben WIE man sowas mit VLANs und der pfSense richtig und sauber löst:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Du kannst in das Netz aber auch immer mehrere Router integrieren...da sist kein Thema.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Du kannst in das Netz aber auch immer mehrere Router integrieren...da sist kein Thema.
Das ist irgendwie nicht so ganz das, was ich suche. Denn der PFSense ist nur ein Teil, der andere ist ein Unifi USG.
Machen kann man alles, das ist klar. Das "wie" steht aber auf einem anderen Blatt.
Soweit ich das bisher sehe, brauche ich dafür am USG sNAT, was in dem Link auch nicht erwähnt wird, erst recht nicht für dieses Gerät. Also bin ich immer noch am Suchen nach der richtigen Umsetzung. Allgemeine Tutorials zum Einrichten und routen kenne ich auch, aber da ist mein Problem nicht ansatzweise beschrieben.
Viele Grüße
Nils
Machen kann man alles, das ist klar. Das "wie" steht aber auf einem anderen Blatt.
Soweit ich das bisher sehe, brauche ich dafür am USG sNAT, was in dem Link auch nicht erwähnt wird, erst recht nicht für dieses Gerät. Also bin ich immer noch am Suchen nach der richtigen Umsetzung. Allgemeine Tutorials zum Einrichten und routen kenne ich auch, aber da ist mein Problem nicht ansatzweise beschrieben.
Viele Grüße
Nils
Das ist irgendwie nicht so ganz das, was ich suche.
Dann beschreibe doch mal etwas genauer WAS du suchst. Ggf. ne kleine Spizze.Wir machen dir hier dann eine Topologie Zeichnung mit einer ToDo Liste des "Wie" !
sNAT, was in dem Link auch nicht erwähnt wird,
Das liegt daran das die dortige FW sNAT per Default macht auf dem WAN Port aber da ist mein Problem nicht ansatzweise beschrieben.
Dann wäre eben die etwas präzisere Beschreibung hier der Schlüssel zum Erfolg !Versteht man dich oben richtig sieht dein geplantes Netzwerk ja so aus:
Daran siehst du schon das die Lösung im Grunde genommen kinderleicht ist.
Der Unify Router hängt mit einem Bein im Netz von Wohnung 3 (Annahme das er hier betrieben wird) und an ihm dran sind die internen VLANs der Wohnung 3
Mit einem entsprechenden Regelwerk auf der pfSense können diese internen VLANs auf alle anderen VLANs zugreifen. Nur die pfSense Firewall Regeln (oder zusätzlich auch die des Unify Routers) bestimmen wer was wohin darf.
Wo ist also dein Problem ?
Womit kann ich so ein Diagramm machen?
Wohnung 3 hatte ich nicht erwähnt, die PFSense hat kein Internet... eine Skizze scheint wohl notwendig zu sein.
Der PFSense routet in ein einziges Netzwerk meines USG. In diesem sind aber nicht die Geräte, die geroutet werden, sondern in einem anderen, was dem PFSense unbekannt bleiben soll...
PFSense routet von seinen VLAN's in sagen wir mein 20er. Und ein Gerät aus meinem 21er soll über das 20er Netz in die vom PFSense gerouteten Netzwerke gelangen.
Also bitte, sag mir, wie ich so eine Skizze erstellen kann, sonst muss ich es per Hand machen scannen
PFSense:
- VLAN 1, 2, 3, 20
- kein Internet
- Routet zwischen 1,2,3 & 20
L2-Switch (Vlan 1,2,3, 20)
L2-Switch (Vlan 1,2,3, 20)
USG:
- VLAN 20, 21, 22
- Statische Route zu VLAN 1,2,3
- Internet für VLAN 20, 21, 22
Möchte ich von 20 nach 3, geht das über eine statische Route zum PFSense und der routet.
Ich möchte aber auch von VLAN 21 & 22 auf VLAN 3. Wenn der PFSense das routen soll, muss ich ihm vorgaukeln, dass die Anfrage aus dem 20er VLAN kommt (sNAT?) oder selber routen.
Genau da ist mein Problem...
Wohnung 3 hatte ich nicht erwähnt, die PFSense hat kein Internet... eine Skizze scheint wohl notwendig zu sein.
Der PFSense routet in ein einziges Netzwerk meines USG. In diesem sind aber nicht die Geräte, die geroutet werden, sondern in einem anderen, was dem PFSense unbekannt bleiben soll...
PFSense routet von seinen VLAN's in sagen wir mein 20er. Und ein Gerät aus meinem 21er soll über das 20er Netz in die vom PFSense gerouteten Netzwerke gelangen.
Also bitte, sag mir, wie ich so eine Skizze erstellen kann, sonst muss ich es per Hand machen scannen
PFSense:
- VLAN 1, 2, 3, 20
- kein Internet
- Routet zwischen 1,2,3 & 20
L2-Switch (Vlan 1,2,3, 20)
L2-Switch (Vlan 1,2,3, 20)
USG:
- VLAN 20, 21, 22
- Statische Route zu VLAN 1,2,3
- Internet für VLAN 20, 21, 22
Möchte ich von 20 nach 3, geht das über eine statische Route zum PFSense und der routet.
Ich möchte aber auch von VLAN 21 & 22 auf VLAN 3. Wenn der PFSense das routen soll, muss ich ihm vorgaukeln, dass die Anfrage aus dem 20er VLAN kommt (sNAT?) oder selber routen.
Genau da ist mein Problem...
Zitat von @Marino:
Also bitte, sag mir, wie ich so eine Skizze erstellen kann, sonst muss ich es per Hand machen scannen
Also bitte, sag mir, wie ich so eine Skizze erstellen kann, sonst muss ich es per Hand machen scannen
Z.B. damit about.draw.io/features/examples/
VG
Papier, Bleistift, Kamera vom Schlauphone draufhalten, fertig.
Geht viel schneller und einfacher als mit jedem elektronische Hilfsmittel, in das man sich einarbeiten muß.
lks
Ich habe mal google angeworfen und das gefunden:
https://www.foerderland.de/technik/tipps/artikel/unitymedia-horizon/
Danach reichen PowerLAN-Adapter und StreamingClients wie Kodi & Co.
lks
https://www.foerderland.de/technik/tipps/artikel/unitymedia-horizon/
Danach reichen PowerLAN-Adapter und StreamingClients wie Kodi & Co.
lks
Moin
Falscher Thread??
LG
Zitat von @Lochkartenstanzer:
Ich habe mal google angeworfen und das gefunden:
https://www.foerderland.de/technik/tipps/artikel/unitymedia-horizon/
Danach reichen PowerLAN-Adapter und StreamingClients wie Kodi & Co.
lks
Ich habe mal google angeworfen und das gefunden:
https://www.foerderland.de/technik/tipps/artikel/unitymedia-horizon/
Danach reichen PowerLAN-Adapter und StreamingClients wie Kodi & Co.
lks
Falscher Thread??
LG
Zitat von @ashnod:
Moin
Falscher Thread??
LG
Moin
Zitat von @Lochkartenstanzer:
Ich habe mal google angeworfen und das gefunden:
https://www.foerderland.de/technik/tipps/artikel/unitymedia-horizon/
Danach reichen PowerLAN-Adapter und StreamingClients wie Kodi & Co.
lks
Ich habe mal google angeworfen und das gefunden:
https://www.foerderland.de/technik/tipps/artikel/unitymedia-horizon/
Danach reichen PowerLAN-Adapter und StreamingClients wie Kodi & Co.
lks
Falscher Thread??
LG
Ups. stimmt.
Gehört eigentlich nach Horizon HD Recorder, TV-Anschluss über die Steckdose in einen anderen Raum übertragen möglich?
lks
Womit kann ich so ein Diagramm machen?
Winblows: Visio, Libre- oder Open Office DrawMac: Omnigraffle, Libre- oder Open Office Draw
Linux: Dia, Libre- oder Open Office Draw
Symbole dafür findest du z.B. hier:
https://www.cisco.com/c/dam/en_us/about/ac50/ac47/icon-library-productio ...
die PFSense hat kein Internet...
Dann denke dir die Internet Wolke weg ! Der Rest bleibt ja gleich !eine Skizze scheint wohl notwendig zu sein.
Ja, das würde eine zielführende Lösung hier erheblich erleichtern !!Abfotographierte Bleistiftskizze hilft uns aber auch