michi1509
Goto Top

2 VLANs 1 Router HP1920g Switch routing

Hallo, ich komme nicht ganz weiter. Bin schon ein paar Jahre aus dem Bereich raus.

Ich habe zwei Netze VLAN1 und VLAN10. VLAN1 Bestand schon und läuft alles.

Jetzt kommt ein weiteres Netz hinzu (VLAN10). Hier sind Clients, die nicht auf die Geräte im VLAN1 zugreifen sollen, allerdings sollen die über den Router (speedport von Telekom) ins Internet kommen.

Alles ist an einem HP1920g Switch 24 Port angeschlossen. Ich komme nicht ganz mit dem Routing zurecht.

Meine bisherigen Einstellungen am HP-Switch:

Port 3-24 sind im VLAN1
Port 1 ist Hybrid VLAN1, VLAN10
Port 2 ist im VLAN10 (hier hängen die neuen Geräte drauf)

IP-Adresse VLAN1: 192.168.2.0/24 Managment-Switch 192.168.2.250; Router-IP 192.168.2.1
IP-Adresse VLAN10: 192.168.10.0/24 Managment-Switch 192.168.10.250

Routing, VLAN (siehe Bild)

Ist das überhaupt möglich?


Oder gibt es eine Möglichkeit (z.B. per ACL) den Traffic am Port 2 nur auf die Router IP zu leiten, ohne das die Zugriff auf die anderen IPs haben?


Vielen Dank.

Grüße Michi
vlan
routing

Content-Key: 327815

Url: https://administrator.de/contentid/327815

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: aqui
aqui 28.01.2017 aktualisiert um 21:24:01 Uhr
Goto Top
Ich komme nicht ganz mit dem Routing zurecht.
Das musst du auch nicht , denn der HP Switch macht das von ganz allein sofern er ein Layer 3 sprich also Routing Switch ist.
Ist das überhaupt möglich?
Ja, das ist ein simpler Allerweltsklassiker. Das VLAN Tutorial hier im Forum erklärt die Details dazu:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Denk dir den dortigen externen Router einfach intern im Switch...
den Traffic am Port 2 nur auf die Router IP zu leiten, ohne das die Zugriff auf die anderen IPs haben?
Dein Grundproblem ist das dein Internet Router im VLAN 1 hängt. Für dieses Konstrukt ist das kontraproduktiv, denn du müsstest einen erheblichen Aufwand mit ACLs machen um das zu realisieren.
Es wäre erheblich einfacher wenn du nur ein klein wenig das Design änderst so wie es mit L3 Switches eigentlich üblich ist.
Der Internet Router gehört niemals in ein Produktiv VLAN sondern sollte immer in einem separaten VLAN arbeiten.
Hier sind deine ToDoi Schritte um das schnell und einfach umzusetzen: (IP Adressen sind nur Beispiele !)
  • Richte ein VLAN 99 ein mit einem untagged Port und der VLAN IP 192.168.99.254 auf dem Switch
  • Gib dem Internet Router die IP 192.168.99.1
  • Switch bekommt eine Default Route auf die 192.168.99.1
  • Internet Router bekommt eine statische Route für das 192.168.10.0 /20 (Maske: 255.255.240.0) Netz auf die 192.168.99.254. Das routet alle IP Netze von 192.168.1.0 bis 192.168.15.0 auf den L3 Switch.
  • Dann schottest du das VLAN 10 mit einer DENY Accessliste ala DENY network source:192.168.10.0 nach destination: 192.168.1.0 ab, danach dann ein PERMIT source: 192.168.10.0 destination: any. Das blockt dann den Zugrif auf das 192.168.1.0er Netz aus dem 10er Netz komplett erlaubt aber den Zugriff ins Internet via Internet Router.
  • Fertisch !

Ein simples einfaches VLAN Standardszenario was millionenfach in segmentierten Netzen so gemacht wird also nichts besonderes.
Für dich kommt aber der sofortige Todesstoß mit dem o.a. Speedport face-sad
Speedport Router sind ganz gruselige Schrottrouter der untersten Kategorie, die nicht einmal sowas simples wie statische IP Routen supporten. Damit ist dann diese etablierte Lösung für dich unmöglich umzusetzen, weil du an den fehlenden Hardware Features des Routers scheiterst.

Du hast nur 2 Möglichkeiten das umzusetzen:
  • Router tauschen gegen einen der den Namen verdient. z.B. FritzBox
  • Hinter den Speedport einen kleinen (richtigen) Router kaskadieren wie z.B. einen kleinen 35 Euro Mikrotik. Der Mikrotik macht dann zum Speedport NAT (IP Adresstranslation) Un überschreibt damit alle Absender IPs aus deinem Netz so das keine Routen dort erforderlich sind. Geroutet und ACL gefiltert wird dann auf dem Mikrotik davor.
Die fehlende NAT Problematik beschreibt dieses Tutorial recht genau:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
So, und nun kommst du ! Routertausch oder Workaround ?! Deine beiden einzigen Chancen !
Mitglied: Michi1509
Michi1509 29.01.2017 um 02:42:59 Uhr
Goto Top
Vielen Dank, dann werde ich den gleich am Montag tauschen.

Eine Frage dann noch, bei der ACL, was trage ich bei der Source Wildcard und was bei der Destination Wildcard ein? Und bei der PERMIT regel muss ich ja bei destination auch eine IP eintragen mit Wildcard, sowie bei Source Wildcard.

Grüße
Mitglied: aqui
aqui 29.01.2017 aktualisiert um 12:21:33 Uhr
Goto Top
Eine Frage dann noch, bei der ACL, was trage ich bei der Source Wildcard und was bei der Destination Wildcard ein?
Nehmen wir mal an du verwendest einen 24er prefix (24er maske) was du uns ja leider nicht mitteilst face-sad dann sieht das so aus:
!
interface vlan 10
ip address 192.168.10.254 /24
deny 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
permit 192.168.10.0 0.0.0.255 any
!

Das blockiert dann eingehend alle IP Pakete mit einer Absender IP 192.168.10.x und einer Ziel IP von 192.168.1.x und erlaubt alles andere was KEINE Ziel IP mit der 192.168.1.x hat.
Eigentlich doch ganz easy zu verstehen, oder ?