12
VLAN Konfigurationsproblem - VLANs werden nicht voneinander getrennt!
Hallo,
ich möchte drei VLANs einrichten die beide voneinander getrennt sind, aber über einen Router ins Internet gelangen sollen.
Die VLANs erstrecken sich derzeit über 4 Switches und einem Router, die allesamt entsprechende Konfigurationsmöglichkeiten anbieten.
Das Ganze ist derzeit folgendermaßen konfiguriert:
Switches:
VLAN ID1: Endgeräte Ports Untagged, Uplink Ports Untagged
VLAN ID2: Endgeräte Ports Untagged, Uplink Ports Tagged
VLAN ID3: Endgeräte Ports Untagged, Uplink Ports Tagged
Router:
VLAN ID1: Endgeräte Ports Untagged, Uplink Port Untagged
VLAN ID2: Endgeräte Ports Not Member, Uplink Port Tagged
VLAN ID3: Endgeräte Ports Not Member, Uplink Port Tagged
IP Bereiche:
VLAN ID1: 192.168.1.0/24, Gateway 192.168.1.1
VLAN ID2: 192.168.2.0/24, Gateway 192.168.2.1
VLAN ID3: 192.168.3.0/24, Gateway 192.168.3.1
Der Router fungiert in jedem VLAN als DHCP Server
Problem: Ich kann mit dieser Konfiguration von VLAN 1 aus alle Rechner in VLAN 2 und 3 pingen oder Webserver in diesen VLANs ansprechen.
Ebenso komme ich von VLAN 2 und 3 Problemlos in VLAN 1 und 3 bzw. 1 und 2.
Es erfolgt also keine Trennung der VLANs.
Die Frage ist nun, was habe ich falsch konfiguriert?
Vielen Dank für etwas Konfigurationshilfe!
ich möchte drei VLANs einrichten die beide voneinander getrennt sind, aber über einen Router ins Internet gelangen sollen.
Die VLANs erstrecken sich derzeit über 4 Switches und einem Router, die allesamt entsprechende Konfigurationsmöglichkeiten anbieten.
Das Ganze ist derzeit folgendermaßen konfiguriert:
Switches:
VLAN ID1: Endgeräte Ports Untagged, Uplink Ports Untagged
VLAN ID2: Endgeräte Ports Untagged, Uplink Ports Tagged
VLAN ID3: Endgeräte Ports Untagged, Uplink Ports Tagged
Router:
VLAN ID1: Endgeräte Ports Untagged, Uplink Port Untagged
VLAN ID2: Endgeräte Ports Not Member, Uplink Port Tagged
VLAN ID3: Endgeräte Ports Not Member, Uplink Port Tagged
IP Bereiche:
VLAN ID1: 192.168.1.0/24, Gateway 192.168.1.1
VLAN ID2: 192.168.2.0/24, Gateway 192.168.2.1
VLAN ID3: 192.168.3.0/24, Gateway 192.168.3.1
Der Router fungiert in jedem VLAN als DHCP Server
Problem: Ich kann mit dieser Konfiguration von VLAN 1 aus alle Rechner in VLAN 2 und 3 pingen oder Webserver in diesen VLANs ansprechen.
Ebenso komme ich von VLAN 2 und 3 Problemlos in VLAN 1 und 3 bzw. 1 und 2.
Es erfolgt also keine Trennung der VLANs.
Die Frage ist nun, was habe ich falsch konfiguriert?
Vielen Dank für etwas Konfigurationshilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 141558
Url: https://administrator.de/contentid/141558
Printed on: April 19, 2024 at 16:04 o'clock
12 Comments
Latest comment
Hallo,
kann es nicht sein das der Router einfach routet ??
Dann wären die VLANs über diesen verbunden ....
VG
Deepsys
kann es nicht sein das der Router einfach routet ??
Dann wären die VLANs über diesen verbunden ....
VG
Deepsys
Moin,
Frage: Hast Du am Router die Subnetze per Firewall regeln getrennt? Wenn nicht, ist es doch ganz normal, wenn sich die VLANs untereinander Pingen können, sie sind ja per Router verbunden.
lg,
Slainte
/EDIT: Mist, zu langsam
Frage: Hast Du am Router die Subnetze per Firewall regeln getrennt? Wenn nicht, ist es doch ganz normal, wenn sich die VLANs untereinander Pingen können, sie sind ja per Router verbunden.
lg,
Slainte
/EDIT: Mist, zu langsam
Hallo,
daran hatte ich auch erst gedacht.
Ich habe in unserem 3Com Router im Punkt "Firewall/ACLs" versucht "Self-Access Policies" anzulegen.
Die sehen dann in etwa so aus:
Source: Subnet 192.168.1.0/24
Destination: Subnet 192.168.2.0/24
Action: Deny
Das ist dem Router aber offenbar wurscht. Ich kann in alle VLANs pingen und auch auf die dort vorhandenen Webserver zugreifen.
daran hatte ich auch erst gedacht.
Ich habe in unserem 3Com Router im Punkt "Firewall/ACLs" versucht "Self-Access Policies" anzulegen.
Die sehen dann in etwa so aus:
Source: Subnet 192.168.1.0/24
Destination: Subnet 192.168.2.0/24
Action: Deny
Das ist dem Router aber offenbar wurscht. Ich kann in alle VLANs pingen und auch auf die dort vorhandenen Webserver zugreifen.
Moin,
Das ist definitiv eine Router/Firewall sache. Selbst wenn die VLANs nicht sauber (auf Portebene) getrennt währen, kann ein Host aus dem Netz 192.168.1.0/24 ohne Router keinen Host aus dem Netz 192.168.2.0/24 erreichen.
Mit 3com hab ich leider keine Erfahrung - ggfs muss die FW Regel noch an anderer Stelle eingetragen werden,
lg,
Slainte
Das ist definitiv eine Router/Firewall sache. Selbst wenn die VLANs nicht sauber (auf Portebene) getrennt währen, kann ein Host aus dem Netz 192.168.1.0/24 ohne Router keinen Host aus dem Netz 192.168.2.0/24 erreichen.
Mit 3com hab ich leider keine Erfahrung - ggfs muss die FW Regel noch an anderer Stelle eingetragen werden,
lg,
Slainte
Zitat von @X-Dimension:
Das ist dem Router aber offenbar wurscht. Ich kann in alle VLANs pingen und auch auf die dort vorhandenen Webserver zugreifen.
Das ist dem Router aber offenbar wurscht. Ich kann in alle VLANs pingen und auch auf die dort vorhandenen Webserver zugreifen.
Hallo,
wenn du kannst, würde ich an deiner Stelle mal alle VLANs aus dem Router ziehen, also Kabel raus (oder Router aus). Dann weißt du ob das der Router macht, oder eben nicht.
VG
Deepsys
/Edit: Mist, zu langsam
Hallo,
ich habe mal in der VLAN Konfiguration des Routers den Uplink Port im VLAN 2 und 3 auf Not Member gesetzt. Damit haben
VLAN 2 und 3 im Prinzip keine Verbindung mehr zum Router.
Jetzt können nur noch die PCs innerhalb eines VLANs miteinander Kommunizieren.
Das Problem ist also wirklich so wie ihr es festgestellt habt der Router!
Es gibt neben den "Self Access Policies" eigentlich nur noch "LAN/WAN", "DMZ/LAN" und "DMZ/WAN" Richtlinien.
Da hört es dann aber auch schon auf mit den Einstellmöglichkeiten in der Firewall.
Ich wüsste aber nicht was ausser den SelfAccess Policies in Frage kommen könnte.
Ansonsten kann man noch Statische Routen anlegen.
Ich weiß nicht wo ich im Router ansetzen könnte.
Alternativ hätte ich noch einen Netgear FVX538 Router, der bietet aber keine VLAN Konfigurationsmöglichkeiten.
ich habe mal in der VLAN Konfiguration des Routers den Uplink Port im VLAN 2 und 3 auf Not Member gesetzt. Damit haben
VLAN 2 und 3 im Prinzip keine Verbindung mehr zum Router.
Jetzt können nur noch die PCs innerhalb eines VLANs miteinander Kommunizieren.
Das Problem ist also wirklich so wie ihr es festgestellt habt der Router!
Es gibt neben den "Self Access Policies" eigentlich nur noch "LAN/WAN", "DMZ/LAN" und "DMZ/WAN" Richtlinien.
Da hört es dann aber auch schon auf mit den Einstellmöglichkeiten in der Firewall.
Ich wüsste aber nicht was ausser den SelfAccess Policies in Frage kommen könnte.
Ansonsten kann man noch Statische Routen anlegen.
Ich weiß nicht wo ich im Router ansetzen könnte.
Alternativ hätte ich noch einen Netgear FVX538 Router, der bietet aber keine VLAN Konfigurationsmöglichkeiten.
Vermutlich routet der Router in der Tat sauber zwischen den VLANs !!
Pingen ist völlig unmöglich wenn sich die Ping Partner in unterschiedlichen IP Netzen befinden. In der Beziehung ist es also schon unsinnig was du schreibst. Du kannst niemals von einem .1.0er Client einen .2.0er Client anpingen, das würde nichtmal auf einem simplen Hub funktionieren !!
Diese Tutorials sollten die zum Verständnis helfen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Pingen ist völlig unmöglich wenn sich die Ping Partner in unterschiedlichen IP Netzen befinden. In der Beziehung ist es also schon unsinnig was du schreibst. Du kannst niemals von einem .1.0er Client einen .2.0er Client anpingen, das würde nichtmal auf einem simplen Hub funktionieren !!
Diese Tutorials sollten die zum Verständnis helfen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Kurzum: Mein VLAN Setup ansich ist korrekt, aber die Trennung der VLANs ist eine Sache der Firewall, wenn ich das richtig verstehe.
Ich habe jetzt auch mal in den 3Com Support Foren gewühlt und gemerkt, daß dort mehrere User fragten wie man VLAN Internen Traffic beeinflussen bzw. verhindern kann.
Es gab dazu keinerlei Antwort seitens der Supportmitarbeiter. Ich vermute daher, daß der Router hier keinerlei Einstellmöglichkeiten bietet.
Wäre es möglich über ein zweites bzw. drittes Kabel zwischen Router und Switch ein entsprechendes Setup zu erreichen, wenn ich dafür die Beiden DMZ Ports des
Routers nutze? Den Traffic zwischen DMZ und LAN kann ich nämlich per Firewall Richtlinien beeinflussen und ich kann die DMZ Ports auch zu einem VLAN hinzufügen.
Ich habe jetzt auch mal in den 3Com Support Foren gewühlt und gemerkt, daß dort mehrere User fragten wie man VLAN Internen Traffic beeinflussen bzw. verhindern kann.
Es gab dazu keinerlei Antwort seitens der Supportmitarbeiter. Ich vermute daher, daß der Router hier keinerlei Einstellmöglichkeiten bietet.
Wäre es möglich über ein zweites bzw. drittes Kabel zwischen Router und Switch ein entsprechendes Setup zu erreichen, wenn ich dafür die Beiden DMZ Ports des
Routers nutze? Den Traffic zwischen DMZ und LAN kann ich nämlich per Firewall Richtlinien beeinflussen und ich kann die DMZ Ports auch zu einem VLAN hinzufügen.
Du musst hier erstmal generell trennen zwischen..
a.) Einen reinen OSI Layer 2 VLAN Switch
b.) einem OSI Layer 3 (Routing fähigen) VLAN Switch
Bei a.) benötigst du in jedem Falle ein externes Gerät sei es Router oder was auch immer um zwischen den VLANs kommunizieren zu können, das ist klar, denn der Switch kann es de facto nicht denn er ist OSI Layer 2 (Mac Adresse) only, kennt also keine IP Netze !!
Die VLANs verhalten sich hier im Switch wie separate Drähte ! Ein Kommunikation untereinander ist generell NICHT möglich, auch wenn du z.B. 2 gleiche IP Netze in den VLANs benutzen solltest.
Da herrscht eine vollkommene physikalische Trennung...ist ja auch der tiefere Sinn eines VLANs !!!
Bei b.) hat der Switch aber ein IP Interface in jedem VLAN. Das ist zwar virtuell aber wirkt wie ein Router wenn dieses Interface bei den VLAN Clients als Gateway angegeben wird !
So routet also der Switch problemlso zwischen den VLANs. Aus Sicht der Endgeräte sieht es so aus als ob trotz unterschiedlicher IP Adressen eine any zu any Kommunikation besteht.
Auch das ist normales Verhalten für einen Router...nichts anderes hast du hier !
Um nun im Szenario b.) eine Zugriffsbeschränkung unter den VLANs einzurichten, musst du an den virtuellen IP Interfaces am L3 Switch immer mit Access Listen arbeiten. So gut wie jeder L3 Switch am Markt supportet das...vermutlich auch deiner.
Das ist eine Binsenweissheit und weiss eigentlich jeder Netzwerk Laie so das vermutlich deshalb niemand auf solche Anfragen antwortet.
Sieh dir also im Handbuch an was unter der Rubik Access List oder Access Restrictions bei VLANs steht...da wirst du fündig !
Wenn du das Szenario a.) hast und mit externen Routern arbeitest wie z.B. hier beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dann legst du eben dort an den IP Interfaces die Accesslisten an ! Es ist das gleiche Spielechen wie bei a.) nur das du dies nun logischerweise auf dem externen L3 Device (Router) machen musst !! Logisch !
So kannst du das mit weiteren Ports...besser aber mit VLANs natürlich am externen Router oder Firewall lösen !!
a.) Einen reinen OSI Layer 2 VLAN Switch
b.) einem OSI Layer 3 (Routing fähigen) VLAN Switch
Bei a.) benötigst du in jedem Falle ein externes Gerät sei es Router oder was auch immer um zwischen den VLANs kommunizieren zu können, das ist klar, denn der Switch kann es de facto nicht denn er ist OSI Layer 2 (Mac Adresse) only, kennt also keine IP Netze !!
Die VLANs verhalten sich hier im Switch wie separate Drähte ! Ein Kommunikation untereinander ist generell NICHT möglich, auch wenn du z.B. 2 gleiche IP Netze in den VLANs benutzen solltest.
Da herrscht eine vollkommene physikalische Trennung...ist ja auch der tiefere Sinn eines VLANs !!!
Bei b.) hat der Switch aber ein IP Interface in jedem VLAN. Das ist zwar virtuell aber wirkt wie ein Router wenn dieses Interface bei den VLAN Clients als Gateway angegeben wird !
So routet also der Switch problemlso zwischen den VLANs. Aus Sicht der Endgeräte sieht es so aus als ob trotz unterschiedlicher IP Adressen eine any zu any Kommunikation besteht.
Auch das ist normales Verhalten für einen Router...nichts anderes hast du hier !
Um nun im Szenario b.) eine Zugriffsbeschränkung unter den VLANs einzurichten, musst du an den virtuellen IP Interfaces am L3 Switch immer mit Access Listen arbeiten. So gut wie jeder L3 Switch am Markt supportet das...vermutlich auch deiner.
Das ist eine Binsenweissheit und weiss eigentlich jeder Netzwerk Laie so das vermutlich deshalb niemand auf solche Anfragen antwortet.
Sieh dir also im Handbuch an was unter der Rubik Access List oder Access Restrictions bei VLANs steht...da wirst du fündig !
Wenn du das Szenario a.) hast und mit externen Routern arbeitest wie z.B. hier beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dann legst du eben dort an den IP Interfaces die Accesslisten an ! Es ist das gleiche Spielechen wie bei a.) nur das du dies nun logischerweise auf dem externen L3 Device (Router) machen musst !! Logisch !
So kannst du das mit weiteren Ports...besser aber mit VLANs natürlich am externen Router oder Firewall lösen !!
Danke für die Infos!
Wir nutzen hier Layer 2 Switches, der 3Com Router bietet jedoch keine ACLs für den VLAN Verkehr und routet alle Pakete fleissig weiter in das jeweils andere VLAN.
Das ist der Knackpunkt, denn das soll er nicht! Daher auch die Idee mit der DMZ denn hier kann ich im Router fleissig ACLs setzen.
Wir nutzen hier Layer 2 Switches, der 3Com Router bietet jedoch keine ACLs für den VLAN Verkehr und routet alle Pakete fleissig weiter in das jeweils andere VLAN.
Das ist der Knackpunkt, denn das soll er nicht! Daher auch die Idee mit der DMZ denn hier kann ich im Router fleissig ACLs setzen.
Mmmhhh wieder ein Grund mehr von 3Com die Finger zu lassen... Na ja mit der HP Übernahme löst sich das Problem wohl demnächst von selbst..
Sogar billige NetGear L3 Switches können ACLs an den IP Interfaces insofern ist es wirklich verwunderlich das 3Com das nicht kann...
Was für ein Modell ist das denn ???
Ansonsten nimmst du ein externes Device wie PFsense z.B. und lässt den 3Com im L2 Mode laufen. Damit sind ACLs zwischen den VLANs dann problemlos möglich.
Wenns das war bitte
How can I mark a post as solved?
nicht vergessen !
Sogar billige NetGear L3 Switches können ACLs an den IP Interfaces insofern ist es wirklich verwunderlich das 3Com das nicht kann...
Was für ein Modell ist das denn ???
Ansonsten nimmst du ein externes Device wie PFsense z.B. und lässt den 3Com im L2 Mode laufen. Damit sind ACLs zwischen den VLANs dann problemlos möglich.
Wenns das war bitte
How can I mark a post as solved?
nicht vergessen !
Vielen Dank an alle, die Antworten waren sehr aufschlussreich und haben durchaus Licht ins dunkel gebracht.
Ich werde den Beitrag daher als gelöst markieren und mich ggf. nach anderer Hardware umsehen oder mir eine Notlösung ausdenken.
Ich werde den Beitrag daher als gelöst markieren und mich ggf. nach anderer Hardware umsehen oder mir eine Notlösung ausdenken.
