Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VLAN Konfigurationsproblem - VLANs werden nicht voneinander getrennt!

Frage Netzwerke

Mitglied: X-Dimension

X-Dimension (Level 1) - Jetzt verbinden

27.04.2010, aktualisiert 18.10.2012, 6702 Aufrufe, 12 Kommentare

Hallo,

ich möchte drei VLANs einrichten die beide voneinander getrennt sind, aber über einen Router ins Internet gelangen sollen.
Die VLANs erstrecken sich derzeit über 4 Switches und einem Router, die allesamt entsprechende Konfigurationsmöglichkeiten anbieten.

Das Ganze ist derzeit folgendermaßen konfiguriert:

Switches:
VLAN ID1: Endgeräte Ports Untagged, Uplink Ports Untagged
VLAN ID2: Endgeräte Ports Untagged, Uplink Ports Tagged
VLAN ID3: Endgeräte Ports Untagged, Uplink Ports Tagged

Router:
VLAN ID1: Endgeräte Ports Untagged, Uplink Port Untagged
VLAN ID2: Endgeräte Ports Not Member, Uplink Port Tagged
VLAN ID3: Endgeräte Ports Not Member, Uplink Port Tagged

IP Bereiche:
VLAN ID1: 192.168.1.0/24, Gateway 192.168.1.1
VLAN ID2: 192.168.2.0/24, Gateway 192.168.2.1
VLAN ID3: 192.168.3.0/24, Gateway 192.168.3.1
Der Router fungiert in jedem VLAN als DHCP Server

Problem: Ich kann mit dieser Konfiguration von VLAN 1 aus alle Rechner in VLAN 2 und 3 pingen oder Webserver in diesen VLANs ansprechen.
Ebenso komme ich von VLAN 2 und 3 Problemlos in VLAN 1 und 3 bzw. 1 und 2.
Es erfolgt also keine Trennung der VLANs.

Die Frage ist nun, was habe ich falsch konfiguriert?

Vielen Dank für etwas Konfigurationshilfe!
Mitglied: Deepsys
27.04.2010 um 11:59 Uhr
Hallo,

kann es nicht sein das der Router einfach routet ??

Dann wären die VLANs über diesen verbunden ....

VG
Deepsys
Bitte warten ..
Mitglied: SlainteMhath
27.04.2010 um 12:00 Uhr
Moin,

Frage: Hast Du am Router die Subnetze per Firewall regeln getrennt? Wenn nicht, ist es doch ganz normal, wenn sich die VLANs untereinander Pingen können, sie sind ja per Router verbunden.

lg,
Slainte

/EDIT: Mist, zu langsam
Bitte warten ..
Mitglied: X-Dimension
27.04.2010 um 13:01 Uhr
Hallo,

daran hatte ich auch erst gedacht.
Ich habe in unserem 3Com Router im Punkt "Firewall/ACLs" versucht "Self-Access Policies" anzulegen.
Die sehen dann in etwa so aus:
Source: Subnet 192.168.1.0/24
Destination: Subnet 192.168.2.0/24
Action: Deny

Das ist dem Router aber offenbar wurscht. Ich kann in alle VLANs pingen und auch auf die dort vorhandenen Webserver zugreifen.
Bitte warten ..
Mitglied: SlainteMhath
27.04.2010 um 13:10 Uhr
Moin,

Das ist definitiv eine Router/Firewall sache. Selbst wenn die VLANs nicht sauber (auf Portebene) getrennt währen, kann ein Host aus dem Netz 192.168.1.0/24 ohne Router keinen Host aus dem Netz 192.168.2.0/24 erreichen.

Mit 3com hab ich leider keine Erfahrung - ggfs muss die FW Regel noch an anderer Stelle eingetragen werden,

lg,
Slainte
Bitte warten ..
Mitglied: Deepsys
27.04.2010 um 13:12 Uhr
Zitat von X-Dimension:
Das ist dem Router aber offenbar wurscht. Ich kann in alle VLANs pingen und auch auf die dort vorhandenen Webserver zugreifen.

Hallo,

wenn du kannst, würde ich an deiner Stelle mal alle VLANs aus dem Router ziehen, also Kabel raus (oder Router aus). Dann weißt du ob das der Router macht, oder eben nicht.

VG
Deepsys

/Edit: Mist, zu langsam
Bitte warten ..
Mitglied: X-Dimension
27.04.2010 um 13:46 Uhr
Hallo,

ich habe mal in der VLAN Konfiguration des Routers den Uplink Port im VLAN 2 und 3 auf Not Member gesetzt. Damit haben
VLAN 2 und 3 im Prinzip keine Verbindung mehr zum Router.
Jetzt können nur noch die PCs innerhalb eines VLANs miteinander Kommunizieren.
Das Problem ist also wirklich so wie ihr es festgestellt habt der Router!

Es gibt neben den "Self Access Policies" eigentlich nur noch "LAN/WAN", "DMZ/LAN" und "DMZ/WAN" Richtlinien.
Da hört es dann aber auch schon auf mit den Einstellmöglichkeiten in der Firewall.
Ich wüsste aber nicht was ausser den SelfAccess Policies in Frage kommen könnte.
Ansonsten kann man noch Statische Routen anlegen.

Ich weiß nicht wo ich im Router ansetzen könnte.
Alternativ hätte ich noch einen Netgear FVX538 Router, der bietet aber keine VLAN Konfigurationsmöglichkeiten.
Bitte warten ..
Mitglied: aqui
27.04.2010, aktualisiert 18.10.2012
Vermutlich routet der Router in der Tat sauber zwischen den VLANs !!
Pingen ist völlig unmöglich wenn sich die Ping Partner in unterschiedlichen IP Netzen befinden. In der Beziehung ist es also schon unsinnig was du schreibst. Du kannst niemals von einem .1.0er Client einen .2.0er Client anpingen, das würde nichtmal auf einem simplen Hub funktionieren !!
Diese Tutorials sollten die zum Verständnis helfen:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
http://www.administrator.de/wissen/vlan-routing-%c3%bcber-802.1q-trunk- ...
Bitte warten ..
Mitglied: X-Dimension
28.04.2010 um 09:33 Uhr
Kurzum: Mein VLAN Setup ansich ist korrekt, aber die Trennung der VLANs ist eine Sache der Firewall, wenn ich das richtig verstehe.

Ich habe jetzt auch mal in den 3Com Support Foren gewühlt und gemerkt, daß dort mehrere User fragten wie man VLAN Internen Traffic beeinflussen bzw. verhindern kann.
Es gab dazu keinerlei Antwort seitens der Supportmitarbeiter. Ich vermute daher, daß der Router hier keinerlei Einstellmöglichkeiten bietet.

Wäre es möglich über ein zweites bzw. drittes Kabel zwischen Router und Switch ein entsprechendes Setup zu erreichen, wenn ich dafür die Beiden DMZ Ports des
Routers nutze? Den Traffic zwischen DMZ und LAN kann ich nämlich per Firewall Richtlinien beeinflussen und ich kann die DMZ Ports auch zu einem VLAN hinzufügen.
Bitte warten ..
Mitglied: aqui
28.04.2010, aktualisiert 18.10.2012
Du musst hier erstmal generell trennen zwischen..
a.) Einen reinen OSI Layer 2 VLAN Switch
b.) einem OSI Layer 3 (Routing fähigen) VLAN Switch

Bei a.) benötigst du in jedem Falle ein externes Gerät sei es Router oder was auch immer um zwischen den VLANs kommunizieren zu können, das ist klar, denn der Switch kann es de facto nicht denn er ist OSI Layer 2 (Mac Adresse) only, kennt also keine IP Netze !!
Die VLANs verhalten sich hier im Switch wie separate Drähte ! Ein Kommunikation untereinander ist generell NICHT möglich, auch wenn du z.B. 2 gleiche IP Netze in den VLANs benutzen solltest.
Da herrscht eine vollkommene physikalische Trennung...ist ja auch der tiefere Sinn eines VLANs !!!

Bei b.) hat der Switch aber ein IP Interface in jedem VLAN. Das ist zwar virtuell aber wirkt wie ein Router wenn dieses Interface bei den VLAN Clients als Gateway angegeben wird !
So routet also der Switch problemlso zwischen den VLANs. Aus Sicht der Endgeräte sieht es so aus als ob trotz unterschiedlicher IP Adressen eine any zu any Kommunikation besteht.
Auch das ist normales Verhalten für einen Router...nichts anderes hast du hier !

Um nun im Szenario b.) eine Zugriffsbeschränkung unter den VLANs einzurichten, musst du an den virtuellen IP Interfaces am L3 Switch immer mit Access Listen arbeiten. So gut wie jeder L3 Switch am Markt supportet das...vermutlich auch deiner.
Das ist eine Binsenweissheit und weiss eigentlich jeder Netzwerk Laie so das vermutlich deshalb niemand auf solche Anfragen antwortet.
Sieh dir also im Handbuch an was unter der Rubik Access List oder Access Restrictions bei VLANs steht...da wirst du fündig !

Wenn du das Szenario a.) hast und mit externen Routern arbeitest wie z.B. hier beschrieben:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Dann legst du eben dort an den IP Interfaces die Accesslisten an ! Es ist das gleiche Spielechen wie bei a.) nur das du dies nun logischerweise auf dem externen L3 Device (Router) machen musst !! Logisch !

So kannst du das mit weiteren Ports...besser aber mit VLANs natürlich am externen Router oder Firewall lösen !!
Bitte warten ..
Mitglied: X-Dimension
28.04.2010 um 13:27 Uhr
Danke für die Infos!

Wir nutzen hier Layer 2 Switches, der 3Com Router bietet jedoch keine ACLs für den VLAN Verkehr und routet alle Pakete fleissig weiter in das jeweils andere VLAN.
Das ist der Knackpunkt, denn das soll er nicht! Daher auch die Idee mit der DMZ denn hier kann ich im Router fleissig ACLs setzen.
Bitte warten ..
Mitglied: aqui
29.04.2010 um 12:53 Uhr
Mmmhhh wieder ein Grund mehr von 3Com die Finger zu lassen... Na ja mit der HP Übernahme löst sich das Problem wohl demnächst von selbst..
Sogar billige NetGear L3 Switches können ACLs an den IP Interfaces insofern ist es wirklich verwunderlich das 3Com das nicht kann...
Was für ein Modell ist das denn ???
Ansonsten nimmst du ein externes Device wie PFsense z.B. und lässt den 3Com im L2 Mode laufen. Damit sind ACLs zwischen den VLANs dann problemlos möglich.

Wenns das war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: X-Dimension
02.05.2010 um 13:00 Uhr
Vielen Dank an alle, die Antworten waren sehr aufschlussreich und haben durchaus Licht ins dunkel gebracht.
Ich werde den Beitrag daher als gelöst markieren und mich ggf. nach anderer Hardware umsehen oder mir eine Notlösung ausdenken.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
VLAN mit pfSense Routing: Server als Mitglied in mehreren VLANs (1)

Frage von Ruuder zum Thema LAN, WAN, Wireless ...

Netzwerke
gelöst Zugriff auf Server von verschiedenen VLANs aus (6)

Frage von Kroeger02 zum Thema Netzwerke ...

Switche und Hubs
gelöst 2 VLANs, tragged und mit link aggregation oder Verbinden oder einzeln (1)

Frage von ADORSE zum Thema Switche und Hubs ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...