Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gateway bei VLANs

Frage Netzwerke Netzwerkgrundlagen

Mitglied: stormwind81

stormwind81 (Level 2) - Jetzt verbinden

02.09.2010, aktualisiert 18.10.2012, 8713 Aufrufe, 13 Kommentare

Hallo Admins.

Mir ist kein besserer Berreich für meine Frage eingefallen.
So mal sehen ob ich hier meine Antwort bekomme.

Ich bin gerade dabei ein VLAN Netzwerk einzurichten.
Ich habe eine USG 100 von Zyxel und ein ES-1528 Switch von Zyxel.
Der Switch ist in 3 VLANs eingeteilt. wobei Port 26 immer der Tagging Port ist.
Einfacher halber für den Testaufbau habe ich Port 1 = VLAN 101, Port 2 = VLAN 102 und Port 3 = VLAN 102 gesetzt.

So nun bin ich dabei auf der USG die VLANs einzutragen und jedem VLAN eine fixe IP zuzuweißen damit ich dann später in der Firewall Regeln erstellen kann wie zB VLAN 101 zu 102 darf
und VLAN 101 zu 103 darf nicht.
Mein Problem und Frage ist, welche IP Konfig ich nach dem ganzen auf den PCs in den jeweiligen VLANs einstellen muss.
sprich Gateway und DNS???

VLAN 101 -> IP-Range: 10.1.20.0
VLAN 102 -> IP-Range: 10.1.21.0
VLAN 103 -> IP-Range: 10.1.22.0


So meine Kernfrage ist:
Was ist nun der Gateway?

Egal ob ich jetzt die LAN IP von der Zyxel USG (192.168.1.254) oder die VLAN-IP (10.1.20.1) eintrage, kann ich dann sofort die anderen Netzte pingen.
Ist also diese Fixe VLAN IP auch mein Gateway?


Ich hoffe jmd kann das mit eigenen Worten erklären ohne einen google oder wiki Link zu posten.

Ich bedanke mich schon mal im vorraus.

mit freudnlichen Grüßen

Christian
Mitglied: SlainteMhath
02.09.2010 um 16:25 Uhr
Moin,

ganz einfach:
Als Gateway musst du die IP eintragen, die die USG im jeweiligen Subnetz (=VLAN) hat. DNS ist dann dein DNS Server wie bisher auch.

lg,
Slainte
Bitte warten ..
Mitglied: StyX82
02.09.2010 um 16:29 Uhr
Hallo Christian,

wenn ich dich richtig verstanden habe, müsste deine Gateway-Adresse die IP-Adresse des VLAN-Interfaces am Router sein.
Du solltest dann in alle VLANs (sofern du es noch nicht eingeschränkt hast) pingen können.

Schönen Gruß
Bitte warten ..
Mitglied: spacyfreak
02.09.2010 um 16:43 Uhr
Bei Routern ohne VLANs ist das jeweilige Routerinterface bzw. die IP auf dem Interface das def. GW.
Bei Routern mit VLANs ist das VLAN Interface bzw. die IP auf dem Interface das def. GW.

Ebenso ist der Unterschied in einem grösseren Netzwerk zwische...
1. ....netzen, die an der FW hängen,
und
2. Netzen die NICHT an der FW hängen,
nur der, dass...
...das layer3 Interface auf dem Backbone ODER auf der Firewall liegt.
Für jedes Netz das man mit der FW schützen will, verlagert man das def. gw. dieses Netzes einfach auf der Firewall,
und jedes Paket das aus oder in dieses netz will, muss die FW und ihre Regeln passieren.

So einfach ist die netzwerk-welt!

Bitte warten ..
Mitglied: brammer
02.09.2010 um 16:49 Uhr
Hallo,

je nachdem wie du es als Standard definierst kannst du die Gateway Adresse des jeweiligen VLAN's eintragen.
In den meisten fällen wird die erste Adresse im Netz als Gateway angenommen. d.h. bei dir wäre das dann:

VLAN 101 -> IP-Range: 10.1.20.0 -> Gateway 10.1.20.1
VLAN 102 -> IP-Range: 10.1.21.0 -> Gateway 10.1.21.1
VLAN 103 -> IP-Range: 10.1.22.0 -> Gateway 10.1.22.1

Da du keine Aussage über die größe der Netze machst, gehe ich mal von einer Maske 255.255.255.0 (/24) aus.
Du kannst allerdings auch jede andere IP Adresse des jeweiligen Netzes nehmen.
Wenn der Switch Layer3 Funktionalität besitzt und diese aktiviert ist kannst du sofort in alle direkt angeschlossenen
Netze pingen und die Geräte in diesen VLAN's erreichen.

Deine "Fixe VLAN IP" is damit immer auch deine Gateway Adresse, denn diese Adresse ist dem Switch als "Tor" zu diesem
Netz ja durch die Konfiguration bekannt gemacht worden.


Mein Problem und Frage ist, welche IP Konfig ich nach dem ganzen auf den PCs in den jeweiligen VLANs einstellen muss.
sprich Gateway und DNS???


VLAN 101 -> IP-Range: 10.1.20.0 -> Gateway 10.1.20.1
Die Endgeräte bekommen dann die IP Adressen 10.1.20.2 - 254 zugeordnet
VLAN 102 -> IP-Range: 10.1.21.0 -> Gateway 10.1.21.1
Die Endgeräte bekommen dann die IP Adressen 10.1.21.2 - 254 zugeordnet
VLAN 103 -> IP-Range: 10.1.22.0 -> Gateway 10.1.22.1
Die Endgeräte bekommen dann die IP Adressen 10.1.22.2 - 254 zugeordnet

Als DNS kannst du dann die IP Adresse des Routers eintragen.

Ein kleiner Tipp am Rande: Zur einfacheren Suche und Fehlerbehebung solltest du dir es mit den IP Adressen und VLAN ID etwas einfacher machen
VLAN 101 = 10.1 .101.0
VLAN 102 = 10.1 .102.0
VLAN 103 = 10.1 .103.0

Ist natürlich bei VLAN 401 nicht mehr so möglich, da könnte man dann aber zum Beispiel folgendes verwenden:
VLAN 401 = 10 .4.101.0

brammer
Bitte warten ..
Mitglied: stormwind81
02.09.2010 um 19:19 Uhr
WoW

Vielen Dank, jetzt hat es klick gemacht bei mir.
Das war alles überaus verständlich.


Zudem hab ich noch eine Frage bezüglich des Aufwandes.
So wie ich das jetzt einrichte, kann jedes VLAN zu jedem anderen.
Also muss ich dann ziemlich viele Regeln erstellen damit ne Kommunikation untereinander nicht möglich ist.
Und das wichtigste wäre dann die Kommuinikation zwischen LAN1 und Zywall selbst auf das notwendigste (Port 80) zu beschränken.

Laut diesem Konfigurationsbeispiel bin ich vorgegangen:
http://www.zyxel.ch/files/knowledgebase/USG100_200-VLAN-Zone.pdf
Bitte warten ..
Mitglied: brammer
02.09.2010 um 19:22 Uhr
Hallo,

Drei Regeln würde ich nicht als "ziemlich viele" bezeichnen...

brammer
Bitte warten ..
Mitglied: stormwind81
02.09.2010 um 20:13 Uhr
Hallo,

Wie kommst du nur auf 3?
Wenn ich ne Regeln mache Zone:LAN1 zu Zone:LAN2 ist das eine Richtung.
Ich muss dann natürlich auch eine machen für LAN2 zu LAN1.
Das sind mind 9 Regeln dann.

Chris
Bitte warten ..
Mitglied: sk
02.09.2010 um 20:19 Uhr
Zitat von stormwind81:
Zudem hab ich noch eine Frage bezüglich des Aufwandes.
So wie ich das jetzt einrichte, kann jedes VLAN zu jedem anderen.
Also muss ich dann ziemlich viele Regeln erstellen damit ne Kommunikation untereinander nicht möglich ist.

Das liegt schlicht daran, dass die Default-Config der USG absolut Sch***e ist. Ein wesentlicher Kritikpunkt ist z.B., dass das Default-Firewallregelwerk alles grundsätzlich erlaubt, was nicht aktiv verboten wurde.
So wäre es besser: http://www.zyxel.ch/knowledgebase/3153.html

Gruß
Steffen
Bitte warten ..
Mitglied: sk
02.09.2010 um 20:21 Uhr
Zitat von stormwind81:
Wie kommst du nur auf 3?
Wenn ich ne Regeln mache Zone:LAN1 zu Zone:LAN2 ist das eine Richtung.
Ich muss dann natürlich auch eine machen für LAN2 zu LAN1.

Nein musst Du nicht...
Bitte warten ..
Mitglied: aqui
02.09.2010, aktualisiert 18.10.2012
Das folgende Tutorial sollte dir auch helfen im Handumdrehen zu verstehen wie die Gateways eingetragen werden:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Ist zwar kein Zyxel Schr*** das Prinzip ist aber immer das gleiche.
Weitere Infos dazu findest du noch hier:
http://www.administrator.de/wissen/vlan-routing-%c3%bcber-802.1q-trunk- ...
und hier
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
Bitte warten ..
Mitglied: stormwind81
02.09.2010 um 20:57 Uhr
Terrific !!!

Danke Leute.
Das hat mir echt ein großes Stueck weitergeholfen und einige Stunden Kopfzerbrechen erspart.
Ja die Default Regel der USG is wirklich scheiße, und wenn man vorher nicht aufgepasst hat sperrt man sich gleich komplett aus^^

mfG
Christian
Bitte warten ..
Mitglied: sk
03.09.2010, aktualisiert 18.10.2012

Wer nicht in der Lage ist, beim Konfigurieren einer Firewall seinen Kopf zu benutzen, vor dem ist auch bei M0n0wall und pfSense das relevante Häkchen nicht sicher...
Bitte warten ..
Ähnliche Inhalte
Firewall
gelöst PfSense WAN Failover-Gateway mit VLANs konfigurieren (6)

Frage von Androxin zum Thema Firewall ...

Switche und Hubs
gelöst Brücke zwischen zwei VLANS finden (9)

Frage von D1Ck3n zum Thema Switche und Hubs ...

Windows 8
Kein Zugriff mehr auf Standart Gateway über Webbrowser (7)

Frage von sunfireone zum Thema Windows 8 ...

Netzwerkgrundlagen
gelöst VLANs mit RSTP (15)

Frage von Alex29 zum Thema Netzwerkgrundlagen ...

Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(5)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Windows Server
gelöst Exchange HyperV Prozessorlast (19)

Frage von theoberlin zum Thema Windows Server ...

Hardware
16-20 Port POE Switch mit VLAN (19)

Frage von thomasreischer zum Thema Hardware ...

Windows Server
Server mit Netzwerkaussetzern (18)

Frage von SarekHL zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst Batchdatei um einen Proxy einzustellen (14)

Frage von CrystalFlake zum Thema LAN, WAN, Wireless ...