Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN-mal anders herum

Frage Netzwerke

Mitglied: LuckyMchn

LuckyMchn (Level 1) - Jetzt verbinden

05.07.2010, aktualisiert 18.10.2012, 4842 Aufrufe, 7 Kommentare

Vlan-Einwahl und Zuweisung bei mehren Domänen und VLAN's

Hallo,

befasse mich schon etwas mit VLAN und weiß auch schon einiges.
Es ist kein Problem bei mehren VLANS über ein VLAN 1 oder VLAN0 (jeder wählt da was anderes) alle Vlans über einen Router, der an das VLAN1 angeschlossen, ins Internet zu lassen.
Bei mir stellt sich nun die Frage anders herum.

Der Benutzer der Fa. XY wählt sich mit Benutzernamen, Kennwort beim DSL-Router ein.

Ich würde folgende Konfiguration einsetzen wollen:
DSL-Router z.B Netgear 834 GB
Layer3 Switch auf dem die VLAN zugewiesen sind
Virtuelle Maschinen aufgesetzt mit XEN-Server 5.5


Bei nur einem Netz, so wie es jetzt ist, steht hinter dem DSL-Router ein DC der die Einwahl überwacht bzw. zulässt. Somit kein Problem mit dem Zugriff auf die Domäne. Der Router ist Pass through konfiguriert.

Sorry wenn ich es etwas ausführlich beschreibe, aber es soll ja für einen Außenstehenden nachvollziehbar sein.

Nun zum Kernpunkt meiner Frage.

Wie gehe ich vor, wenn hinter dem DSL-Router mehrere Domänen respektive VLAN sind.
Der Router ist ja erstmal blöd, mit Benutzernamen und Kennwort kann der ja nichts anfangen, bzw. weiß nicht wer zu welcher Domäne gehört. Das gleiche gilt ja auch für den
Layer 3 –Switch. Kann es sein das ich irgendwas grundlegendes übersehe bzw. nicht bedenke?

Hatte mir überlegt einen DC hinter dem Router zu stellen der alle VLAN’s –IP auf die Netzwerkkarte gebunden bekommt. Im AD kann man ja den jeweiligen Benutzer unter dem Register „Einwählen“ eine IP zuweisen. 2. Möglichkeit dem Benutzer unter dem Register Konto „Anmelden an..“ einen PC zuweisen Aber haut das in der Praxis hin. Außerdem würden die Vorteile von DHCP verloren gehen

Evtl.gibt es ja eine ganz einfach und technische saubere Lösung, die nicht gleich ein Vermögen kostet.

Vielleicht hat einer oder mehre von Euch für den richtigen Input bzw. Lösungsansatz für mich

Thanks
Lucky
Mitglied: aqui
05.07.2010, aktualisiert 18.10.2012
OK, du mischt hier alles etwas wild durcheinander aber um es mal zu sortieren geht es dir vermutlich darum von remote Zugriff auf die virtuellen Server zu bekommen die in den einzelnen VLANs liegen, richtig ??

Wenn dem so ist, dann ist das ein Kinderspiel und ein klassisches Allerweltsdesign.
Da du ja einen Layer 3 Switch, also einen routing fähigen Switch einsetzt, routet dieser Switch zwischen den einzelnen VLANs und stellt so auch die Verbindung IP seitig sicher.
In einem separaten VLAN (z.B. VLAN ID 99) trennt man dann den DSL Router ab um diesen nicht in einem Produktiv VLAN der Server zu betreiben.
Der L3 Switch bekommt eine default Route auf die VLAN 99 IP Adresse des DSL Routers !
Der Router bekommt für jeweils jedes VLAN IP Netz eine statische Route konfiguriert auf die Switch IP Adresse im VLAN 99 als next Hop ! Fertig !
Damit wäre das IP Routing dann schon mal sauber umgesetzt.

Du bekommst nun aber ein Problem, da du wie viele die VPN Einwahl nicht auf dem Router terminieren willst und so zwangsweise mit Port Forwarding arbeiten musst. Generell ja kein Problem wenn du einen zentralen Server zur Einwahl hast, den du nutzen kannst um von dem dann normal in alle anderen VLAN IP Netze geroutet zu werden.
Hast du unterschiedliche Klienten also muss sich jeder remote User auf einem bestimmten Server einwählen geht das so ohne weiteres nicht mit VPN.
Weder PPTP noch IPsec bzw. L2TP supporten eine IP Adress Translation über die NAT Firewall dieses Routers.
Du kannst dann lediglich nur mit Port Forwarding bzw. Translation arbeiten in Verbindung mit RDP. Also das du z.B.
RDP Port 53389 auf Server 1 Port 3389
RDP Port 54389 auf Server 2 Port 3389
RDP Port 55389 auf Server 3 Port 3389
usw.
forwardest und mit dem RDP Client dann über den Port den Zielserver bestimmst.
Du siehst selber das das ziemlicher Unsinn ist und nicht wirklich skaliert wenn man mehrere Server hat.
Sinnvoll ist es hier also wie allgemein auch üblich eine zentrale VPN Einwahl auf dem Router zu aktivieren. Damit erspart man sich die NAT und Port Forwarding Fricklei mit DSL Billigroutern.
VPN Router kosten nur geringfügig mehr zudem gibt es zuhauf kostenfreie Lösungen wie du hier sehen kannst:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
http://www.administrator.de/wissen/vpn-einrichtung-%28pptp%29-mit-dsl-r ...
http://www.administrator.de/wissen/vpns-mit-dd-wrt%2c-m0n0wall-oder-pfs ...
Mit der Firewall könntest du sogar den L3 Switch sparen und einen VLAN Switch ohne L3 Option betreiben und das Routing und VPN Einwahl direkt auf dem Firewall Router machen ! Dieses Tutorial beschreibt dir wie es geht:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

Es gibt also schon lange die einfache und preiswerte technische Lösung die das im Handumdrehen realisiert !
Bitte warten ..
Mitglied: dog
06.07.2010 um 00:10 Uhr
Es ist kein Problem bei mehren VLANS über ein VLAN 1 oder VLAN0 (jeder wählt da was anderes) alle Vlans über einen Router, der an das VLAN1 angeschlossen, ins Internet zu lassen.

Wie kommst du denn darauf?
Wenn mehrere verschiedene VLANs auf einen Router zugreifen wollen, dann muss entweder
a) dieser VLAN-fähig sein und jedes VLAN dem Port zugeordnet sein
b) davor ein Layer 3 Switch stehen, der selbst schon Routing betreibt
Alles andere sind herstellerspezifische Erweiterungen...

Und nun zu deinem Problem:
Du hast auf einer öffentlichen IP mehrere Domains und für jede sollen die User VPN-Einwahl betreiben?
Hört sich absurd an, aber mit IPSec/L2TP sollte das theoretisch möglich sein, wenn der L2TP-Server LAC/LNS kann und die Benutzer auf verschiedene Tunnel werfen kann.

(Das wäre dann grob das Setup, was die Telekom mit DSL-Resellern benutzt...)
Bitte warten ..
Mitglied: LuckyMchn
06.07.2010 um 14:30 Uhr
Hallo,

erstmal danke für die Antworten und Tips


aqui

geht es dir vermutlich darum von remote Zugriff auf die virtuellen Server zu bekommen die in den einzelnen VLANs liegen, richtig ??


genau das beabsichtige ich.

In einem separaten VLAN (z.B. VLAN ID 99) trennt man dann den DSL Router ab um diesen nicht in einem Produktiv VLAN der Server zu betreiben.
Der L3 Switch bekommt eine default Route auf die VLAN 99 IP Adresse des DSL Routers


So weit ist mir dies klar und hatte es auch so vor. Nur hatte es als VLAN1 und nicht VLAN99 bezeichnet, aber das ist egal

Der Router bekommt für jeweils jedes VLAN IP Netz eine statische Route konfiguriert auf die Switch IP Adresse im VLAN 99 als next Hop ! Fertig !

Denke das habe ich verstanden
Wenn z. B VLAN 99 die IP 192.168.10.X
Dann müsst für VLAN1 192.168.1.X

Der Routingeintrag lauten:
IP-Zieladresse 192.168.1.0
SM 255.255.255.0
Gateway-IP-Adresse 192.168.10.0

Ist korrekt so?

Hast du unterschiedliche Klienten also muss sich jeder remote User auf einem bestimmten Server einwählen

Genau zutreffend, kann aber auch nur ein Client wie XP oder Windows 7 sein



Sinnvoll ist es hier also wie allgemein auch üblich eine zentrale VPN Einwahl auf dem Router zu aktivieren

Verstehe ich jetzt nicht ganz.

Der Netgear 834 GB kann ja VPN. Allerdings kann der keine Benutzer bzw. Berechtigunsprüfung vornehmen.

Meinst du einen VPN-Router der eine Benutzervrwaltung integriert hat?


DD-WRT Firmware

Die Lösung mit diesem Tool geht mit dem Netgear nicht, da dieser nicht auf der Liste zum flashen ist.



Mit der Firewall könntest du sogar den L3 Switch sparen und einen VLAN Switch ohne L3 Option betreiben und das Routing und VPN Einwahl direkt auf dem Firewall Router machen !

Allerdings hänge ich jetzt nicht unbedingt an diesem Netgear-DSL-Router.
Was wäre den ein empfehlenswerter VPN-Router mit dem ich ohne viel Action das gewünschte Ziel ereiche?

Ciao Lucky
Bitte warten ..
Mitglied: LuckyMchn
06.07.2010 um 14:32 Uhr
Ich plane doch einen Layer 3 Switch ein!

Die Überlegung ist eine zentrale VPN-Einwahl und dann erst die Verteilung auf die verschiedenen Domänen bzw. VLAN's

Hatte mir auch mal überlegt in die Subnetze zu routen. Aber die einhellige Meinung im Internet ist, dass man VLAN aus verschieden Gründen bevorzugen sollte. Aus diesem Grund habee ich es gelassen.
Bitte warten ..
Mitglied: aqui
06.07.2010 um 16:48 Uhr
Hier nochmal dein Design mit den VLANs. Damit dürfte dann auch das Routing klar sein, hast du aber schon korrekt erkannt:

d2703687828c6dfcf852c79ba4a3f2bf - Klicke auf das Bild, um es zu vergrößern

VLAN 1 sollte man nicht nehmen, denn das ist das Default VLAN und ein VLAN 0 gibt es gar nicht !
Dein größtes Problem ist wie dog schon oben richtig angesprochen hat nicht das Routing und die VLANs an sich, sondern das du unterschiedliche User für unterschiedliche Windows Domains in den VLANs authentisieren musst.
So ein Schrott wie Billigheimer NetGear ist da schon mal keine besonders intelligente Wahl. Jeder einigermaßen passable VPN Router kann VPN Clients extern per Radius authentisieren. Wenn der nichtmal das kann ists peinlich aber von NetGear hätte man auch nix anderes erwartet.
Ist die Frage ob überhaupt eine VLAN Verbindung zwischen den unterschiedlichen VLANs sein muss ? Wenn du pro VLAN unterschiedliche Kunden hast wollen die sich ja meist auch gar nicht untereinander "sehen", was aber mit einem Layer 3 VLAN Switch immer gegeben ist. Vielleicht ist es hier klüger nur einen Layer 2 VLAN Switch zu nehmen und das VLAN Routing über ein tagged Interface auf einer Firewall wie z.B. Pfsense, IPCop oder M0n0wall zu machen wie dir das o.a. Tutorial aufzeigt.
Diese Firewall supporten zudem (fast) alle Arten von VPNs und die Authentisierung über einen Radius/IAS Server so das du deine User selektieren kannst. Zudem bieten sie über die Firewall Funktion einen Zugriffschutz zwischen den VLANs, den man auch für bestimmte Dienste oder IP Adressen freigeben kann.
Generell ist so ein System erheblich flexibler für deine Anforderungen und bietet zudem auch noch Schutz der Kunden untereinander.
Leider weiss man aber nicht 100% genau was du erreichen willst und/oder ab das überhaupt Kriterien für dein design sind, deshalb kann man hier nur raten und ins blaue schiessen
Ein VPN Dialin unterschiedlicher User über den NAT Router hinweg direkt auf die Server in den VLANs scheitert aber komplett am Port Forwarding. Das ist technisch so nicht machbar und diese Option kannst du gleich vergessen.
Du musst also die User zentral authentisieren auf dem Router oder einer Firewall so wie du es auch vorhast. Hilfreich wäre hier ein Router der das mit Radius über z.B. einen IAS machen kann. NetGear kann es ja vermutlich nicht...jedenfalls nicht die externe User Authentisierung ?!
Bitte warten ..
Mitglied: LuckyMchn
07.07.2010 um 15:38 Uhr
Ok, habe den Wink hinsichtlich Netgear verstanden. *g*

Übrings super Skizze, danke

Der Vorteil vom Netgear ( war nicht meine Kaufentscheidung) war offensichtlich das er ein DSL-Modem integriert hat.
Gut da sehe ich kein Problem einen guten Router und ein DSl-Modem zusammen zu bringen.

Hast vielleicht eine Empfehlung welcher Router für meine beabsichtigten Zwecke gut geeignet wäre. Fas Angebot ist ja massig hätte deshalb gerne ein praxisorientierten Ratschlag.
Muss ja nicht gleich Ciso sein!!

Nein es ist nicht gewünscht, dass sich die VLAN’s gegenseitig sehen. Aber ich war bisher der Meinung dass sich unterschiedliche Netze ohnehin nicht sehen.

Wir haben hier noch einen Ciso Catalyst 2950 rumliegen, allerdings ohne irgendeiner Dokumentation. Wenn ich es richtig weiß kann der VLAN auf Level 2, bin aber nicht sicher.

Habe schon mal nach dem Consolenkabel gesucht, leider erfolglos.

Wenn schon ein neuer Switch bewilligt wird warum dann nicht gleich einen Level 3!!!

Ich war bisher der Meinung dass in der Kombi mit einem Level 3 Switch das Ganze leichter wird. Wen ich nun Deinen letzten und vorletzten Absatz lese wird mir gleich ganz anders, einfach scheint es wohl doch nicht zu sein. Aber Mann ist ja lernfähig !!!

Kurz noch zur Vorgabe bzw. zum gewünschten Design.

Bisher laufen virtuelle Server (SQL,TS usw.) und Clientrechner (XP, Windows 7) in einer Multimandantenumgebung. Hostsystem ist XEN 5.5. Netzwerkbereich ist ein C-Klasse Netz
Es ist eine Domäne mit 2 DC eingerichtet die hinter dem besagten Netgear 834 GB steht.
Die User wählen sich über den DSL-Router mittels VPN ein, die Berechtigungsprüfung erfolgt mittel pass througt auf den DC bzw. den dort installierten RAS.
Der Benutzer geht dann mittel RDP auf die ihm zugewiesene Maschine (DNS-Namensauflösung). Die von ihm benötigten Netzlaufwerke, wie z. B zum DB-Server werden mit der Anmeldung gemappt.
Das alles läuft auch bisher sauber ohne Störungen.
Jetzt sollen die einzelnen Firmen bzw. Firmenteile in verschiedene Domänen aufgeteilt werden aber weiterhin gemeinsam von einer EDV gehostet und betreut werden und die Einwahl soll zentral bleiben bzw. erfolgen.


Aufgrund dieser Vorgaben bin ich auf VLAN gekommen weil ich dachte dass dies der sauberste, sicherste und am schnellsten realisierbare Weg ist.
Das Problem das ich dann erkannte und weswegen ich auch hier im Forum nachfragte, war die Benutzerzuweisung in die jeweilige Domäne. Das Problem wurde hier ja auch erkannt.

Vielleicht gibt es ja einen ganz anderen Lösungsansatz für die gesamt Konfiguration.
Das mit dem "tagged Interface" habe ich jetzt nicht verstanden. Und googlen hat mich auch nicht viel schlauer gemacht.


Ciao Lucky
Bitte warten ..
Mitglied: aqui
08.07.2010, aktualisiert 18.10.2012
.. ."Hast vielleicht eine Empfehlung welcher Router für meine beabsichtigten Zwecke gut geeignet wäre...."
Nimm eine ALIX Platform, ein kleines Gehäuse und flash dir da nen PFsense rauf:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Fertig sieht es so aus:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ... (runterscrollen)
Falls du 2 linke Hände hast und nicht mit einem Schraubendreher umgehen kannst, kann man das auch fertig von der Stange kaufen:
http://www.applianceshop.eu/index.php/appliances/firewalls.html

Dann noch ein preiswertes Modem an die Alix/Pfsense Router/FW anschliessen:
http://www.pollin.de/shop/dt/NTM4ODgyOTk-/Computer_und_Zubehoer/Netzwer ...
Fertig bist du schon mal mit dem Router der alles kann was du benötigst !
Damit bist du preiswert auf der sicheren Seite und kannst viel machen in Bezug auf VLANs und VPN Dialin.
VLANs einrichten zum Beispiel:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

Dort hast du dann auch gleich deine fix und fertige Switch Konfig für deinen Cisco 2950 die du nur abtippen musst:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Einfach nur mal in Ruhe etwas lesen wie es geht.....

Zum Thema " 8021.q tagged Interfaces" findest du hier ein paar Informationen:
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network#Tagged_VLANs
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
http://www.administrator.de/wissen/vlan-routing-%c3%bcber-802.1q-trunk- ...
...das sollte eigentlich alle deine Fragen zu diesem Thema klären ?! Sonst...hier posten !
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Linux Netzwerk
OpenVPN, zwei OpenWRT Router verbinden und VLAN durchs VPN leiten (6)

Frage von sharbich zum Thema Linux Netzwerk ...

Switche und Hubs
gelöst VLAN fähiger VPN Router gesucht (33)

Frage von Leo-le zum Thema Switche und Hubs ...

Netzwerkmanagement
gelöst Mehrere Switche per Trunk verbinden - korrekte VLAN-Config (8)

Frage von Stadtaffe84 zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...