iceteamann
Goto Top

VLAN Routing mit Cisco SG-300-10

Guten Abend zusammen!

Folgendes Scenario:

Ich habe 2 VLANs. In Einem steht ein Win2k8-Server der per DHCP IP-Adressen an die PC's verteilt - dieses Netz hat bisher keinen Internetzugriff.
Im zweiten VLAN steht ein Router der wiederum per DHCP IP-Adressen an diverse Clients (unter anderem Media Receiver von der Telekom) verteilt.

Da ich mich im Routing immer schon etwas schwer getan habe muss ich ein paar Fragen loswerden.

Der Cisco ist bisher folgendermaßen Konfiguriert:

2 VLANs:

192.168.3.2 -> Statische IP des Switch im VLAN 1
192.168.2.2 -> Statische IP des Switch im VLAN 2

Wie müsste eine Route aussehen um vom VLAN1 ins Internet zu kommen? Noch zur Info: Der Router Im VLAN 2 hat die IP 192.168.2.1. Ist das überhaupt möglich oder kommen sich die DHCP Server in die Quere?


Und noch etwas:
Bisher war alles in einem Netz, somit wurden wurden für VPN-Zugriff, E-Mail etc. einfach die Ports weitergeleitet. Ist es möglich eine Route direkt vom Router im VLAN2 zum Server (192.168.3.1, VLAN 1) einzurichten ohne das gleich das ganze VLAN 2 auf das VLAN 1 zugreifen kann?


Vielen Dank im Vorraus!

Content-Key: 185806

Url: https://administrator.de/contentid/185806

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: gijoe
gijoe 01.06.2012 um 23:52:58 Uhr
Goto Top
Hi, wie lautet der Standardgateway im VLAN 1? Denn dieser muss schlussendlich die statische Route kennen. Ist dein Router überhaupt VLAN-fähig?

1. Ansatz
Hat dein Server 2 Netzwerkkarten? Denn dann könnte dieser die Clients ins Internet Routen (dann musst du allerdings Routing zwischen den 2 Netzwerkkarten auf dem Server aktivieren).

2. Ansatz
Du kannst auch von einem Switch-Port im Trunk-Modus auf den Router . Der Router muss einfach auf der Schnittstelle zwei IPs vertragen => was hast du für einen Router?
Mitglied: IceTeaMann
IceTeaMann 02.06.2012 um 11:56:20 Uhr
Goto Top
Danke für die Antworrt, aber ich hab es nun anders gelöst. Bzw. ich muss es anders lösen, da der blöde Router von der Telekom einfach nicht Routen kann (traurig aber wahr). Ich habe dem Server jetzt 2 tagged VLAN zugeteilt. Ich versuche diesen grade einzurichten (Win2k8 Server). Es sind 2 VLANs vorhanden, in einem steht ein Router der Internetzugriff hat. Das 2. VLAN ist für Windows Clients, die über den Server per NAT Internetzugriff (bzw. zugriff auf VLAN1) erhalten.

Jetzt ist es so, das Windows ja genau hierfür einen Assistenten anbietet: Also VPN-Zugriff übers Internet und die Windows Clients bekommen per NAT zugriff. Nur kann ich mich nicht per VPN einwählen. Aus dem lokalem Netz funktioniert es noch, aber sobald ich versuche über meine DynDNS Adresse zugriff zu bekommen geht nichts mehr.

Die Konfig sieht so aus:
192.168.2.1 --> WAN Router im VLAN1
192.168.2.10 --> Server-Addr im VLAN1

192.168.3.1 --> Server-Addr im VLAN2

Alle Ports sowie GRE im Router zeigen auf 192.168.2.10.

Woran kann es liegen das ich keien VPN-Zugriff bekomme?
Mitglied: aqui
aqui 02.06.2012 aktualisiert um 12:14:15 Uhr
Goto Top
Es ist allgemein bekannt das die Speedport Gurken keine statischen Routen supporten und damit ungeeignet sind für solch ein Szenario.
Es sind halt billige Consumer Router...mehr nicht.
Was hindert dich aber daran einen Router einzusetzen der wenigstens statische Routen kann ? Gute Baumarkt Router sind den Speedports da meilenweit überlegen wie ander auch z.B. Linksys WRT54 , Mikrotik 750 (40 Euro) usw.
All diese Router können das und sind in jedem Fall die bessere Lösung als die Frickelei die du jetzt angehst nur weil du einen schrottigen DSL Router hast. Damit konterkarierst du dein eigentlich sehr sinnvolles Netzwerk Design.
Intelligenter ist es also den dummen Speedport mit PPPoE Passthrough in dem Modem Modus zu konfigurieren und dahinter einen gescheiten Breitbandrouter zu betreiben wie z.B. den Mikrotik 750. Die 40 Euro sollte dir das doch allemal wert sein, oder ?
Ansonsten ist dein Szenario recht einfach:
  • Der Switch bekommt eine Default Route auf die IP des Internet Routers
  • Der Internet Router 1 oder besser 2 statische Routen der Switch VLAN Netze auf die VLAN IP des des Switches in dessen VLAN sich der Router befindet. Wenn du schon einen guten VLAN fähigen Routing Switch hast wie den SG-300 macht es Sinn noch ein 3tes VLAN einzurichten und dort den Internet Router zu plazieren. So hast du beide Produktiv VLANs vom Internet Traffic getrennt.
Grundlegende Infos findest du in diesen Tutorials hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Wobei du den externen Routing Part in deinem Design immer ignorieren kannst, denn das macht ja dein Cisco SG-300 !
Weitere SG-300 spezifische Infos gibt es zudem vom Forumskollegen edipfisterer hier im Forum:
http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-busin ...
Mitglied: IceTeaMann
IceTeaMann 02.06.2012 aktualisiert um 13:01:37 Uhr
Goto Top
Im Grunde funktioniert ja jetzt alles.
Im Vlan1 stehen alle Geräte die keinen direkten zugriff auf die Windows Rechner brauchen. Ebenso kommen hier WLAN Clients rein, die sich dann bei bedarf mit per VPN auf den Server einwählen (lokal).
Im Vlan2 stehen alle Windows Clients, die per NAT zugriff auf Vlan1/Internet bekommen.

Einzig die VPN einwahl über meine DynDNS Adresse funktioniert nicht.

EDIT:
Sind die geräte denn für IP-TV geeignet? Das heißt unstützen die VLAN auf WAN Seite? ich konnte jetzt nichts dazu finden. Bei Draytek habe ich schon angefragt, aber deren Geräte sind nur mit VDSL Anschluss IP-TV fähig.
Mitglied: aqui
aqui 02.06.2012 aktualisiert um 13:11:41 Uhr
Goto Top
Die VPN Einwahl ist eine komplett andere Baustelle ! Vermutlich hast du da wie immer die entsprechenden Port Forwardings auf dem Router vergessen !
Dieses Tutorial sagt dir was du machen musst:
VPNs einrichten mit PPTP (Server hinter NAT Firewall)
Leider teilst du uns dein VPN Protokoll ja nicht mit aber das oben gesagte gilt für PPTP basierte VPNs (bei IPsec, SSL usw. ist das anders da andere Ports verwendet werden !)

Das blödsinninge ist nur das du mit dem SG-300 einen routingfähigen Switch hast der sowas elegant und auch performant regeln kann. Ein klassisches Design also.
Das verschlimmbesserst du nun mit exterenm Routing und NAT über den Server nur weil du einen schrottigen, billigen Consumer Router hast den man mit billigem Geld problemlos ersetzen könnte.
Dann hätte es ein SG-200er Switch auch getan wozu dann also diese Investition in einen Routing Switch ?
Aber egal wenn du mit diesem kranken Krückenszenario leben kannst und zufrieden bist, dann sind wir es auch...
Mitglied: IceTeaMann
IceTeaMann 02.06.2012 um 13:05:21 Uhr
Goto Top
Nein, Portfowarding ist definitiv eingeschaltet. Es hat ja bisher auch funktioniert, nur war eben alles in einem Netz bzw. der Server hatte nur eine IP.
Mitglied: aqui
aqui 02.06.2012 aktualisiert um 13:11:08 Uhr
Goto Top
Auf WELCHE IP Adressen zeigt denn dein Port Forwarding ?? TCP 1723 und das GRE Protokoll müssen das sein wenn es sich um PPTP dreht ?! PPTP besteht wie jeder weiss aus 2 Protokollen !! Siehe Tutorial oben.
Da der dumme SP nicht statisch routen kann müssen das die IP des Servers im gleichen VLAN IP Segment wo auch der Router ist.
Klar das die Server Firewall auch angepasst werden muss damit diese externe IPs zulässt !
Installier dir einen kostenlosen Wireshark oder MS NetMonitor auf dem Server und checke ob der Router TCP 1723 und GRE (Protokoll 47) Pakete von sich einwählenden VPN Clients sauber an den Server forwardet !!
Dann weisst du doch was los ist !
Mitglied: IceTeaMann
IceTeaMann 02.06.2012 um 13:21:05 Uhr
Goto Top
Hat sich grad erledigt, der blöde Speedport hat sich aufgehängt. Hab ihn grad resettet, jetzt gehts.
Mitglied: aqui
aqui 02.06.2012 aktualisiert um 13:42:08 Uhr
Goto Top
"Blöder Speedport" ist wohl genau die treffende Bezeichnung. Schade das du dein ansonsten gutes LAN Design davon unnötigerweise aushöhlen lässt...aber nungut, dir reicht es ja...

Wenns das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !