emil89
Goto Top

VLAN mit NETGEAR GS724T und Fritzbox 7490

Guten Tag,
Ich habe mich bereits intensiv mit dem Thema VLAN beschäftigt, jedoch kommen mir immernoch einige Fragen auf welche ich nicht zu 100% beantworten konnte.


geplanter Aufbau:

Fritzbox 7490
Netgear GS724Tv4
8 VLAN
mehrere PC´s
Netzwerkdrucker


Frage:
ich möchte für 5 Computer 5 seperate VLAN einrichten, damit die sich untereinander nicht sehen können.
  • VLAN für IP Telefonie
  • VLAN für Netzwerkkameras
  • VLAN für 2 Computer

ein Gerät in VLAN 1 soll ein Gerät in VLAN 2 nicht sehen können. -- Das ist kein Problem zum einrichten.
Alle Geräte sollen Zugriff auf den Netzwerkdrucker haben. -- Layer3 Switch benötigt oder alternativ ein Router.
Den Netzwerkdrucker würde ich direkt eine DNS von der Fritzbox geben.

Im Datenblatt vom Netgear Netgear GS724Tv4 steht dass er Layer 3 Lite bzw. Layer 3-based (DSCP) prioritization beherrscht.

Datenblatt: http://www.downloads.netgear.com/files/GDC/datasheet/en/GS716Tv3-GS724T ...

Somit bräuchte ich keinen Router dafür wie z.B. einen Mikrotik, da der Netgear Switch das Routing übernehmen kann.

Geräte welche mit dem WLAN verbunden sind müssen mit allen VLAN´s kommunizieren können (normales WLAN nur für administration)
Geräte im Gäste WLAN sollen nur mit dem Internet kommunizieren können, nicht untereinander oder mit den VLAN´s

Kann ich dafür die WLAN funktion von der Fritzbox verwenden, oder brauch ich einen seperaten WLAN router welcher auch als VLAN angeschlossen ist.

also zusammengefasst:
kommen alle Geräte ins Internet und können alle Geräte Auf den Netzwerkdrucker zugreifen ohne jedoch die anderen PC´s im Netzwerk zu sehen ?
WLAN von Fritzbox nutzbar, oder seperaten WLAN Router verwenden ?

Ich habe noch 2 Links angehangen vom Netgear Forum, worauf auf mein Problem eingegangen wird.

http://kb.netgear.com/24754/What-is-VLAN-Routing
http://kb.netgear.com/24755/How-do-I-configure-VLAN-Routing-on-a-smart- ...

Die Fritzbox und der Netgear Switch sind bereits gekauft worden, falls wirklich andere oder zusatz- Hardware benötigt kann ich die auch zulegen.

Dies ist mein erster Post, ich bitte euch Formfehler zu entschuldigen.

Content-Key: 330035

Url: https://administrator.de/contentid/330035

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: chiefteddy
chiefteddy 21.02.2017 um 09:07:01 Uhr
Goto Top
Hallo,

im Prinzip kannst Du Deine Vorstellungen mit dieser Technik weitestgehend umsetzen. Die Trennung der VLAN-Kommunikation mußt Du über ACL realisieren.

Besser wäre eine dedizierte Firewall (die mit ihrem Regelwerk die Trennung realisiert). Dann bräuchtest Du aber keinen L3-Switch.

Beachte aber bei der Aufteilung der VLANs: Dtenverkehr zwischen 2 Geräten dauert bei Routing länger als beim Switching - Datentransfer zB. zwischen PC und NAS im gleichen VLAN (switching) geht schneller als in unterschiedlichen VLANs (routing).

Der Switch beherrscht "Statisches Routing", dh. er kann zwischen seinen VLANs routen und alle anderen Routen müssen manuell eingerichtet werden (also kein RIP, OSPF usw.).

Ob die Struktur Deines Netzwerkes OK ist - jeder PC in einem eigenen VLAN - erschließt sich aus den Angaben nicht.

Administration über WLAN ist immer eine schlechte Idee (Sicherheit, Verfügbarkeit usw.; zB. Firmware-Update über WLAN ist ein No Go!).

Die Gast-WLAN-Funktion in der Fritz-Box ist eher eine Spielerei. Besser wäre in Deiner Situation Du nutzt das WLAN der Fritz-Box nur für Gäste und beschaffst einen zusätzlichen Accesspoint für das "sichere" WLAN, den Du am Switch anschließt.

Jürgen

PS. Zur Etikette: Es fehlt der Gruß.
Mitglied: aqui
aqui 21.02.2017 aktualisiert um 12:24:46 Uhr
Goto Top
Die FritzBüx supportet gar keine VLANs auf ihrem LAN Port insofern hat sich das Thema VLAN mit der FB schon erledigt.
Den Rest erklärt das hiesige VLAN Tutorial was alle deine Fragen beantworten sollte.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Wenn der gruselige NG Switch eh ein Layer 3 Routing Switch ist, dann stellt sich die Frage VLAN und FritzBox ja auch gar nicht erst.
Dieser Thread beschreibt wie man so einen Router richtig an ein L3 VLAN Switch anschliesst. Denk dir nur einfach statt "SG-300" dann "NetGear". Die ToDos sind wie immer identisch.
Die FritzBox liegt dabei immer in einem dedizierten Internet VLAN und niemals in den Produktiv Traffic VLANs. Dort will man ja keinen Internet Traffic haben.
Verständnissproblem Routing mit SG300-28
Mitglied: emil89
emil89 22.02.2017 um 00:58:10 Uhr
Goto Top
Vielen Dank für eure Antworten,

Mit den Einschränkungen vom langsamen Datentransfer zwischen verschiedenen VLAN kann ich leben.

Ich habe mich heute mal rangemacht und den Switch eingestellt.

folgendes Setup:

Fritzbox
192.168.178.1

Netgear
192.168.178.62

VLAN10
192.168.10.254

VLAN20
192.168.20.254

Habe testweise nur 2 VLAN erstellt.
2 verschiedene PC´s in 2 unterschiedlichen VLAN können sich anpingen.
Man kann die Switchgateway vom andere VLAN anpingen.

Soweit so gut.

Ich kann leider keine Geräte welche direkt mit der Fritzbox verbunden sind anpingen.
Internetverbindung ist nicht möglich.

Beim VLAN Membership sind bei VLAN10 Port1 untagged (wo der PC angeschlossen ist) und Port2 tagged (verbindung zur Fritzbox).

VLAN ID 1, 2 und 3 welche standardmäßig vorhanden sind habe ich nicht angefasst.

VLAN ID 1 : alle Ports untagged
VLAN ID 2: alle Ports leer
VLAN ID 3: alle Ports leer


Ich habe in der Fritzbox eine statische IP4 Router erstellt mit folgenden Punkten
IPv4 Netzwerk: 192.168.10.254 (IP von VLAN10)
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.62 (IP vom Netgear Switch)
aktiv ja

habe testweise nur eine Route erstellt, allerdings komme ich von dem PC welches sich im VLAN 10 befindet leider nicht ins Internet.
Da ich auch keine anderen Computer welche direkt an die Fritzbox angeschlossen sind erreichen kann wird da etwas mit dem Routing nicht stimmen.

Unter Switching -> Adresstable bei Netgear werden allerdings die MAC Adressen von den mit der Fritzbox direkt verbundenen Geräten gezeigt.

Die Einstellungen vom Netzwerkadapter sehen folgendermaßen aus:

Folgende IP-Adresse verwenden:
IP-Adresse: 192.168.10.1
Subnetzmaske: 255.255.255.0
Standardgateway: 192.168.10.254

Folgende DNS-Serverdaten verwenden:
192.168.178.1

Habe jetzt versucht eine default route zur fritzbox zu erstellen.
Er sagt mir das etwas mit dem Subnetz nicht hinhaut.

Ich werde wohl die IP Adresse vom Netgear auf 192.168.1.2 ändern und als Gateway und DNS Server 192.168.1.1 eintragen.
Kann ich dies so machen ?
Mitglied: emil89
emil89 22.02.2017 um 01:14:44 Uhr
Goto Top
Habe jetzt die IP Adresse vom Netgear auf 192.168.1.62 geändert und den Gateway und DNS Server 192.168.1.1 eingetragen.
Route welche auf die 192.168.178.1 verweist ist angelegt.

Muss ich auch noch ein VLAN für das Internet erstellen ?
Mitglied: aqui
aqui 22.02.2017 aktualisiert um 12:28:09 Uhr
Goto Top
Ich kann leider keine Geräte welche direkt mit der Fritzbox verbunden sind anpingen.
Wie immer vermutlich die klassischen Fehler gemacht:
  • Auf dem NetGear MUSS eine default Route auf die FritzBox LAN IP eingetragen sein !!
  • Auf der FritzBox MUSS jeweils einen Route auf die VLANs 10 und 20 Netze eingetragen sein mit Gateway IP des NetGear im FritzBox LAN
Eins davon oder beides hast du garantiert vergessen !?!
Ich habe in der Fritzbox eine statische IP4 Router erstellt mit folgenden Punkten
Eine Route ?? Das ist ja nur die halbe Miete ! Wo ist die Route dort für dein VLAN 20 ???
Bei der FritzBox muss folgendes stehen:
Zielnetz: 192.168.10.0, Maske: 255.255.255.0, Gateway: 192.168.1.62
Zielnetz: 192.168.20.0, Maske: 255.255.255.0, Gateway: 192.168.1.62

Man kann aber statt alle Netze einzeln auch beide Netze und ggf. noch mehr die du einrichten willst mit einer Summary Route zusammenziehen auf der FB:
Zielnetz: 192.168.0.0, Maske: 255.255.224.0, Gateway: 192.168.1.62

Man achte auf die Maske...!
Das routet dann alle IP Adressen von 192.168.0.1 bis 192.168.31.254 auf den NetGear in seine VLANs.
Auf dem NetGear Switch selber dann NICHT die Default Route auf die 192.168.1.1 (LAN IP FritzBox) vergessen !!
Traceroute (tracert) und Pathping sind hier deine besten Freunde beim Troubleshooting.

Nochwas:
Ein Netzwerker vergibt Infrastrukturgeräten wie Routern niemals IP Adressen die "mittendrin" in einer Range liegen sondern immer IP ganz oben oder ganz unten.
Damit sind IP Adressüberschneidungen und daraus resultierendes Chaos per se sicher ausgeschlossen.
Wenn du also dein FritzBox Netz auf 192.168.1.0 /24 umgestellt hast (was übrigens vollkommen unnötig war, denn es klappt auch mit dem .178.0er Netz) dann nimmt man dort am besten:
192.168.1.1 /24 = FritzBüx
192.168.1.254 /24 = NetGear
Das ist aber nur kosmetisch und zur erleichterten Orientierung. Klappen tuts natürlich auch mit der .62
Wenn....ja wenn man die IP Routen oben nicht vergisst wie du es sehr wahrscheinlich gemacht hast.

Das .1.0er IP Netz an der FB ist auch eine nicht gerade besonders intelligente Wahl wenn du mal das VPN Feature auf der FB nutzen willst oder musst.
Warum das so ist kannst du hier genau nachlesen:
VPNs einrichten mit PPTP
Mitglied: emil89
emil89 22.02.2017 aktualisiert um 22:37:39 Uhr
Goto Top
Also ich habe jetzt folgendes gemacht:

Fritzbox IP: 192.168.178.1
Netgear IP: 192.168.178.254

VLAN10 IP Adresse: 192.168.10.0
VLAN20 IP Adresse: 192.168.20.0


In der Fritzbox sind 2 Routen eingetragen

VLAN10
IPv4-Netzwerk 192.168.10.0
Subnetzmaske 255.255.255.0
Gateway 192.168.178.254

VLAN20
IPv4-Netzwerk 192.168.20.0
Subnetzmaske 255.255.255.0
Gateway 192.168.178.254


Wenn ich jetzt die default Route in den Netgear eintragen möchte kriege ich folgenden Fehler angezeigt:

Error! The specified Static Route Next Hop Router Address can't be in the same subnet as the service/network port.

1
2

PVID für VLAN10 und VLAN20 sind eingetragen.
Mitglied: aqui
aqui 22.02.2017 aktualisiert um 23:02:27 Uhr
Goto Top
VLAN10 IP Adresse: 192.168.10.0 , VLAN20 IP Adresse: 192.168.20.0
Das sind KEINE IP Adressen sondern Netzwerke !! (Alle Hostbits auf 0)
Die Switch VLANs müssen IP Hostadressen haben also:
VLAN10 IP Adresse: 192.168.10.254
VLAN20 IP Adresse: 192.168.20.254
In der Fritzbox sind 2 Routen eingetragen
Beides richtig !
kriege ich folgenden Fehler angezeigt:
Das liegt wohl daran das du unsinnigerweise die 2 VLANs auch im NetGear als statische Routen eingetragen hast, diese Routen aber völliger Quatsch sind, da du da z..B. das 10er Netz auf sich selbst als Next Hop ins eigene Netz routet.
Sowas ist natürlich logisch und routigtechnischer Blödsinn. Müsste auch einen Laien einleuchten und klar das auch ein NetGear über soviel Unsinn meckert.
Die VLAN 10 und 20 IP Netze "kennt" der Switch doch, da sie an ihm direkt selber angeschlossen sind. Routen dahin sind also überflüssig.
Lösche den Quatsch also im NetGear, dann meckert der Netgear auch nicht mehr und alles kommt sofort zum Fliegen.
Dort muss einzig nur die Default Route stehen mehr nicht !
Mitglied: emil89
emil89 23.02.2017 um 01:47:33 Uhr
Goto Top
Danke für deine Antwort am späten Abend.
Ich habe die VLAN10 und VLAN20 Routen im Netgear gelöscht, leider krieg ich immernoch den gleichen Fehler angezeigt.

Was ich aber nicht verstehe ist, wenn ich die Routen lösche, dann sind ja auch die Eintragungen weg dass VLAN10 die IP Adresse 192.168.10.254 und VLAN20 die IP 192.168.20.254 hat.

Woher soll dann der Router, oder der Switch überhaupt wissen welches VLAN welches Netzwerk hat ?

Woanders kann ich die IP Adressen soweit ich gelesen und gesehen habe nicht eintragen
Mitglied: emil89
emil89 23.02.2017 um 04:13:18 Uhr
Goto Top
Ich glaube die jetztige Konstallation hat keinen Sinn bzw. Zukunftssicherheit.
Ich möchte auch noch WLAN haben welches mit bestimmten VLAN´s kommunizieren kann und einen Gast WLAN.

Meint ihr mit dem Router Mikronik RB2011UIAS-2HND-IN wäre ich für die folgende Konstallation gut bedient ?

Ich müsste dann natürlich noch ein Modem kaufen welches die Internetverbindung herstellt und kann dann auf die Fritzbox verzichten.

tsa sonnen

Das ganze hat folgenden Hintergrund :

Die Anlage wird in einer Fortbildungseinrichtung für Jugendliche installiert.

Daher auch die Konstallation mit dem VLAN´s

VLAN 40 sind die Rechner welche an die Rezeption und ins Büro kommen sollen

VLAN 50-90 sind Rechner für die Lehrer, welche nur Zugriff auf VLAN 30 und ins Internet haben soll.

Würde gerne extra für jeden Lehrer Rechner ein VLAN erstellen, damit falls bei einem PC ein Virus oder Malware drauf ist es sich nicht auf die anderen Rechner ausbreitet.

2 WLAN Netze, eins welches auf VLAN 30 und 40 zugreifen kann, und ein WLAN welches nur ins Internet kommt.

Mich würde interessieren ob mit der Hardware in der Zeichnung vorhanden ist meine Wünsche funktionieren.

Ich kann auch gerne einen neuen Thread erstellen wenn dies besser ist.
Mitglied: aqui
aqui 23.02.2017 aktualisiert um 09:13:09 Uhr
Goto Top
Was ich aber nicht verstehe ist, wenn ich die Routen lösche, dann sind ja auch die Eintragungen weg dass VLAN10 die IP Adresse 192.168.10.254 und VLAN20 die IP 192.168.20.254 hat.
OK, das darf dann natürlich nicht sein und dann muss das logischerweise bleiben.
Das ist der Flucht des gruseligen und unlogischen NetGear GUIs face-sad
Dann zeigt das die local connected IP Adressen vermutlich so an...also lassen.

Die Frage ist was die schwachsinnige Fehlermeldung bedeutet. Die next Hop IP Adresse muss zwangsweise im selben Subnetz sein wie die Management IP.
Nur mal doof nachgefragt:
Die Management IP Adresse des Switches hast du auch auf die 192.168.178.254 gesetzt ??
http://www.downloads.netgear.com/files/GDC/GS716TV3/GS716Tv3_GS724Tv4_G ...
Seite 38
Hier musst du auf "Static" gehen und die 192.168.7.254, 255.255.255.0 eintragen und als Default Gateway die 192.168.178.1 !
Als VLAN ID bleibt die "1"
Nicht das die jetzt noch auf einem anderen Wert steht ??

Was du mal probieren kannst ist den Switch auf die Factory Defaults setzen, und dann erst Management und Default Route setzen und dann danach die VLAN 10 und 20 IP Adressierung. Möglich das sich das irgendwie beisst bei dem kranken NetGear.
Auch möglich das das Default Gateway nur über ein dediziertes VLAN erreicht werden kann und nicht im Default VLAN 1...?! Da hilft wohl nur das Handbuch Studium weiter....
Mich würde interessieren ob mit der Hardware in der Zeichnung vorhanden ist meine Wünsche funktionieren.
Ja, natürlich, das ist alles damit umsetzbar !
Dein Design ist auch ein ganz normales und weit verbreitetes und absolut realistisch so. Knackpunkt ist das du einen netGear gekauft hast. Das ziemlich Übelste und unlogischate was es als GUI gibt...siehe oben.
Aber keine Sorge wir bekommen das schon raus wie der Switch das haben will um das umzusetzen.
Deine Vorgehensweise ist auch absolut richtig das jetzt erstmal mit 2 VLAN 10 und 20 wasserdicht zu testen und wenn es dann alles klappt mit ein paar Mausklicks die anderen VLANs dazuzunehmen.
Also alles richtig gemacht bis jetzt. (außer netgear zu kaufen natürlich face-wink )
Ich kann auch gerne einen neuen Thread erstellen wenn dies besser ist.
Nein nicht nötig, das zerfieselt die Infos nur.

Hier nochmal deinen ToDos:
  • IP Adresse am Switch checken .178.254 ebenso Gateway IP .178.1
  • VLAN Routing global aktivieren. Seite 148 im Handbuch
  • In Routing > VLAN > VLAN Routing Wizard musst du ein Interface aktivieren fürs Routing. Seite 152 im Handbuch Das musst du natürlich auch fürs VLAN 1 und die .178.254er IP machen. Warum man diesen Unsinn machen muss weiss wohl nur NetGear ?!
  • Es ist möglich das Routing über das VLAN 1 Interface nicht geht. Dann musst du ein dediziertes VLAN aufsetzen z.B. 100 und die Internet Router Adressierung da reinbringen. Müsste aber eigentlich auch mit VLAN 1 gehen, denn jeder andere Hersteller am Markt supportet das auch.
Vermutlich ist die globale Routing Aktivierung ganz sicher aber die Definition eines Routing Interfaces laut Seite 152 im Handbuch der Schlüssel zum Erfolg das es geht.
Warum NG das so überkompliziert und umständlich macht wissen wohl nur sie selber. Zeigt mal wieder das NG die falsche Wahl bei Switches ist. face-sad
Mitglied: emil89
emil89 23.02.2017 um 10:29:48 Uhr
Goto Top
IP Adresse vom Switch ist auf 192.168.178.254 und sie ist statisch. Default Getaway ist 192.168.178.1 und VLAN ID ist 1.

Factory defaults habe ich mittlerweile schon 3mal wiederhergestellt, da ich zuviel ausprobiert hatte und nochmal von neu anfangen wollte.

Handbuch S. 148 VLAN routing ist auch manuell aktiviert worden. (immer mein erster Schritt nach 3mal neu aufsetzen gewesen)

Routing für VLAN 1 habe ich nicht gemacht gehabt.

Was sollte ich da für eine IP Adresse eintragen ?

VLAN 100 aufsetzen und die Internet Router Adressierung z.B. 192.168.178.250 mit reinbringen habe ich probiert, leider wieder eine Fehlermeldung bekommen gehabt.

Ich werde mir das ganze heute Abend nochmal anschauen und einfach al hoffen das es am Routing von VLAN1 lag.

Soll ich die Ports bei VLAN1 alle als untagged lassen ?
Mitglied: aqui
aqui 23.02.2017 aktualisiert um 12:14:28 Uhr
Goto Top
Routing für VLAN 1 habe ich nicht gemacht gehabt.
Wäre das denn konfigtechnisch möglich ??
VLAN 1 Routing muss ja in jedem Fall zwingend aktiviert sein, denn darüber geht ja die Default Route raus zur FritzBox.
Wenn es also möglich ist in der Konfig dann natürlich aktivieren !
Die Frage ist warum NG immer einzeln will das man VLANs fürs Routing aktiviert. Eigentlich Blödsinn aber nehmen wir das mal so hin.
Was sollte ich da für eine IP Adresse eintragen ?
Die 192.168.178.254 ! Das ist ja die VLAN 1 IP des Switches face-wink
VLAN 100 aufsetzen und die Internet Router Adressierung z.B. 192.168.178.250 mit reinbringen habe ich probiert, leider wieder eine Fehlermeldung bekommen gehabt.
Das ist auch klar wenn du VORHER nicht die 192.168.178er IP vom VLAN 1 management Interface entfernt hast.
Wenn nicht hast du ja 2 gleiche IP netze an einem Switch und da ist es dann klar das auch NetGear meckert...
und einfach al hoffen das es am Routing von VLAN1 lag.
Vermutlich ist es wirklich nur das... Technisch muss das möglich sein, denn alle anderen am markt machen das auch so.
Soll ich die Ports bei VLAN1 alle als untagged lassen ?
Ja, das native VLAN ist immer untagged.
Mitglied: 108012
108012 23.02.2017 um 14:13:14 Uhr
Goto Top
Hallo zusammen,

geplanter Aufbau:
Fritzbox 7490
Netgear GS724Tv4
8 VLAN
mehrere PC´s
Netzwerkdrucker

Frage:
ich möchte für 5 Computer 5 seperate VLAN einrichten, damit die sich untereinander nicht sehen können.
•VLAN für IP Telefonie
•VLAN für Netzwerkkameras
•VLAN für 2 Computer

Also das Layer3 light Menü muss das dann aber auch hergeben! Denn einfach nur behaupten man hat ein Gerät das statische Routen
vergeben kann und unterstützt ist eventuell auch nicht ok. Man müsste jetzt eigentlich folgendes auf dem Switch und der AVM FB 7490
konfigurieren. Denn die AVM FB kann keine VLANs bzw. nur am WAN Port zur Trennung von IPTV, VOIP und Internetdaten und der Switch
ist leider nur ein Layer3 light oder besser noch ein Layer2+ Switch der Layer2 plus statischem Routing beherrscht.

So wie ich das weiter oben mitgelesen bzw. heraus gelesen habe, muss ein Transfernetz her dass dann die IP Adresse der AVM FB 7490
als Gateway IP hat.

AVM Fritz!Box 7490:
Netz 192.168.11.0/24 (255.255.255.0)
IP Adresse 192.168.11.253/24
Switch Port 1 - AVM Port LAN 1

Netgear Switch:
VLAN1 - 192.168.1.0/24 - ID Management VLAN - alle Netzwerkgeräte Geräte sind hier Mitglied
VLAN2 - 192.168.2.0/24 - ID VOIP - alle VOIP Geräte sind hier Mitglied
VLAN3 - 192.168.3.0/24 - ID Drucker - alle Drucker sind hier Mitglied
VLAN4 - 192.168.4.0/24 - ID Kameras - alle Kameras sind hier Mitglied
VLAN5 - 192.168.5.0/24 - ID PC1 - PC1 ist hier nur Mitglied
VLAN6 - 192.168.6.0/24 - ID PC2 - PC2 ist hier nur Mitglied
VLAN7 - 192.168.7.0/24 - ID PC3 - PC3 ist hier nur Mitglied
VLAN8 - 192.168.8.0/24 - ID PC4 - PC4 ist hier nur Mitglied
VLAN9 - 192.168.9.0/24 - ID PC5 - PC5 ist hier nur Mitglied
VLAN10 - 192.168.10.0/24 - ID PC6 & PC7 - PC6 & PC7 sind hier Mitglied
VLAN11 - 192.168.11.0/24 - ID AVM Router - nur der AVM FB Router ist Mitglied und seine IP Adresse ist 192.168.11.253

Das sollte jetzt so passen, für jedes VLAN sollte eine DHCP Adresse vergeben werden können und auch eine Gateway IP Adresse!
Ist das nicht der Fall, ist das Layer3 Menü des Switches zu sehr "kastriert" worden und man sollte das alles mittels eines kleinen
MikroTik Routers oder gar eines RaspBerry PI´s erledigen lassen, dazu hat das @aqui hier auch Anleitungen und ist sicherlich auch
behilflich denn das ist vor gfut und gerne einem Monat heir schon einmal durchgekaut worden mit einem RaspBerry PI und einem
Switch hinsichtlich des PIM Routings und IGMPv3 was zum routen von IPTV Inhalten herhalten musste.


Gruß
Dobby
Mitglied: aqui
aqui 23.02.2017 aktualisiert um 15:46:07 Uhr
Goto Top
Denn die AVM FB kann keine VLANs
Das ist ja auch gar nicht gewollt, denn der NG ist ja ein L3 Switch. DER soll also routen zwischen den VLANs und soll dann den Internet Traffic über VLAN 1 bzw. seine IP da zentral auf die FritzBüx routen.
Ein klassisches Design also mit einem L3 fähigen Switch.
VLANs auf der FB zu terminieren würde bei Verwendung eines L3 Switches wie hier ja keinen Sinn machen.

Komisch war ja nur die o.a. Fehlermeldung die dem handbuch diametral widerspricht. Dort wurde angemeckert das das Gateway im gleichen IP Netz liegt was aber im Handbuch (richtigerweise) so vorausgesetzt wird.
Vermutlich lag es aber wohl daran das man das VLAN explizit fürs IP Forwarding markieren muss. Warum das so sein muss weiss keiner.
Mitglied: 108012
108012 23.02.2017 um 18:28:32 Uhr
Goto Top
Das ist ja auch gar nicht gewollt, denn der NG ist ja ein L3 Switch.
Ja schon, aber was gibt sein Layer3 Menü an Funktionen her, eigentlich nur Layer2 plus statischem Routing (L2+) und
das wird entweder zu wenig sein wenn man und auf jeden Fall darf man es nicht mit dem Layer3 Menü eines Cisco SG300/SG350
das nämlich nur so strotzt vor Funktionen, Optionen und Möglichkeiten. und das des Netgear Switches ist starkt eingeschränkt (kastriert)!

DER soll also routen zwischen den VLANs und soll dann den Internet Traffic über VLAN 1 bzw. seine IP da zentral auf
die FritzBüx routen.
Richtig und dann ist doch ein Transfernetz (VLAN) von Nöten in dem nur die AVM FB vorhanden ist und die IP Adresse
des AVM FB Routers ist dann die Gateway IP Adresse von diesem VLAN.

Ein klassisches Design also mit einem L3 fähigen Switch.
Also das Layer3 Menü eines Cisco SG300 und dem Netgear Switch ist nicht das gleiche!

VLANs auf der FB zu terminieren würde bei Verwendung eines L3 Switches wie hier ja keinen Sinn machen.
Man kann auch ohne das Transfernetz einfach von allen VLANs eine Route auf den Netgear legen, wenn denn so
viele Routen dort hinterlegt werden können!

Gruß
Dobby
Mitglied: emil89
emil89 23.02.2017 aktualisiert um 22:56:33 Uhr
Goto Top
Also ich habe jetzt mehrere Sachen versucht, leider alle ohne Erfolg.

Sobald ich versuche bei VLAN1 Routing zu aktiveren kriege ich folgende Fehlermeldung:
Error! VLAN Routing mode cannot be enabled on Management VLAN

Wenn ich eine Default Route erstellen möchte welche auf dem Bereich der Fritzbox liegt kriege ich folgende Fehlermeldung.
Error! The specified Static Route Next Hop Router Address can't be in the same subnet as the service/network port.

Wenn ich irgend ein VLAN auf den Adressbereich der Fritzbox bringen möchte sagt er nur folgendes:
Error! Failed to Set 'IP Address' with '192.168.178.1'


Ich weiss langsam nicht mehr weiter ob ich irgendwo immerwieder einen Fehler mache oder ob ich was übersehe.

Ich weiss es ist eigentlich nicht Zweck des Forums, aber vielleicht würde mir mehr geholfen werden wenn sich das einer mal direkt anschauen könnte per Fernwartung vielleicht.

Ich würde selbstverständlich alles dokumentieren und hier dann auch zur Verfügung stellen damit andere auch etwas davon haben.

Vielen Dank
Mitglied: emil89
emil89 24.02.2017 aktualisiert um 04:56:33 Uhr
Goto Top
OK, so langsam komme ich der ganzen Sache immer näher face-smile

Undzwar bin ich ein bisschen nach dieser Anleitung https://drive.google.com/file/d/0B4PuVEYxkQ5oX0w0Yll0U1d2MlE/view?pli=1 vorgegangen und habe dann folgendes eingestellt:

IP Fritzbox: 192.168.178.1

IP Netgear: 192.168.100.254

VLAN10: 192.168.178.250

VLAN20: 192.168.200.254

VLAN10 Ports Port1: PC1 Port24: Uplink zur Fritzbox Ports untagged

VLAN20 Port Port2: PC2 Port untagged

defaultroute Netgear ist auch gesetzt .

In der Fritzbox habe ich als statische IPv4 Route folgendes eingetragen:

IPv4-Netzwerk 192.168 200.0.
Subnetzmaske 255.255 255.255
Gateway 192.168 178.250

und es funktioniert fast soweit.

Ich kann einen Drucker welcher an VLAN20 angeschlossen ist und dem ich die IP 192.168.200.253 und Gateway 192.168.200.254 gegeben habe anpingen.

Allerdings kann ich einen PC an VLAN20 nicht anpingen, dafür kann ich von dem PC an VLAN20 einen Netzwerkdrucker in VLAN20 anpingen, auch die Fritzboxen kann ich anpingen und ins Internet komme ich auch.

IPv4 Einstellungen PC an VLAN20

IP 192.168.200.252
Subnetz 255.255.255.0
Gateway 192.168.200.254
DNS 192.168.178.1

Ich muss natürlich um auf den Netgear zuzugreifen einen freien Port wählen und das Netzwerk von Netgear einstellen.
Mitglied: aqui
aqui 24.02.2017 aktualisiert um 10:18:05 Uhr
Goto Top
VLAN10: 192.168.178.250
Warum hast du schon wieder so eine "mittendrin" IP genommen und nicht die .254 für das Gateway ?? face-sad
Aber das design zeigt, das NetGear hier wohl wie schon anfangs vermutet ein Problem mit dem VLAN 1 hat face-sad Netgear eben....
Du hast ja den Internet Zugang jetzt wie oben schon angedacht in ein separates VLAN gezogen (10) und damit entkoppelt von VLAN 1
Vermutlich war das dann wirklich die Lösung. Du hast soweit alles richtig gemacht dafür. Das du den Drucker anpingen kannst ist der eindeutige Beweis dafür.
Du solltest dann ggf. das Management VLAN auch auf 10 setzen im Management IP Setup, damit du den NetGear Switch aus dem .178.0er Netz fürs Management erreichen kannst !
Übrigens: von WO und mit welcher Absender IP pingst du den ???
Allerdings kann ich einen PC an VLAN20 nicht anpingen
Das ist auch klar, denn 2 Dinge verhindern das:
Dein Drucker hat keine Firewall deshalb funktioniert das da problemlos und zeigt auch gleichzeitig das du nur noch ein Firewall Problem hast.
Mitglied: emil89
emil89 25.02.2017 um 18:45:32 Uhr
Goto Top
Ich hatte zum testen so eine mittendrin IP genommen, da ich mir unsicher war wegen den ganzen Routen die ich vorher eingerichtet hatte, damit die sich nicht beissen.
Wenn es denn wie gewünscht läuft werde ich das alles nochmal sauber neu aufsetzen mit IP Adressen .254

Ich werde heute Abend nochmal schauen ob ich das Management VLAN auf 10 setzen kann, bzw. auf ein VLAN im selben IP Adressbereich wie die Fritzbox.

Ich muss dann auch noch die Firewall von Netgear einstellen, damit die VLANs nicht untereinander kommunizieren können.

Habe schonmal einen kleinen Blick in dir Firewall geworfen, bin allerdings nicht ganz schlau draus geworden.

Habt ihr vielleicht schon einen Tipp wie ich die Firewall vom Netgear einstellen kann damit die VLANs nicht untereinander kommunizieren ?
Mitglied: aqui
aqui 25.02.2017 um 18:59:49 Uhr
Goto Top
Das ist ganz einfach und machst du unter Security > ACL > Advanced > IP ACL Handbuch Seite 215 !
Es reicht eine einfache IP Accessliste mit der Indexnummer 1 bis 99 wenn du komplette Netze verbieten willst.
Die Indexlisten 100 bis 199 sind granularer, da kannst du auf UDP und TCP Dienste filtern wenn du doch irgendwo detailierte Anwendungen von Einzelsystemen zulassen willst.

Um z.B. Traffic aus VLAN 10 auf VLAN 20 zu blockieren ins Internet aber zu erlauben brauchst du sowas:
Rule 100
Rule ID 1
deny src 192.168.10.0 srcmask 255.255.255.0 dst 192.168.20.0 dstmask 255.255.255.0
Rule ID 2
permit src 192.168.10.0 srcmask 255.255.255.0 dst any

Fertisch.
Diese Rule aktiviert man dann am VLAN 10 IP Interface.

Hier macht es sind sich eine geschickte IP Adressierung auszudenken so das du nicht 30 Subnetze eintragen musst zum DENYen sondern das mit einer entsprechen geschickten Wildcard Maske mit einem einzigen Eintrag macht.
Erspart ne Menge Tipparbeit face-wink
Mitglied: emil89
emil89 25.02.2017 um 19:16:38 Uhr
Goto Top
OK, wenn ich jetzt das Setup z.B. so aussieht

VLAN10 192.168.10.0
VLAN20 192.168.20.0
usw.

dann müsste ich doch trotzdem für jedes VLAN ein DENY zu den anderen VLANs machen welche blockiert werden sollen.

und bei der Firewall von Netgear gilt auch der 1. treffer in der liste oder ?
also er checkt erstmal ob das was gesendet wird an ein VLAN geht und schickt dann erst die Daten ins Internet.

heisst folgende Regel

Rule ID 2
permit src 192.168.10.0 srcmask 255.255.255.0 dst any

das wenn die vorherigen Regeln nicht zutreffen das er alles kann, also z.B. ins Internet oder z.B. mit der Fritzbox verbinden ?

und was genau meinst du mit geschickte IP Adressierung, bzw. wie sollte ich das dann umsetzen ?
Mitglied: aqui
aqui 25.02.2017 um 22:13:36 Uhr
Goto Top
Du könntest es auch vereinfachen:
Rule 100
Rule ID 1
deny src 192.168.10.0 srcmask 255.255.192.0 dst 192.168.20.0 dstmask 255.255.255.0
Rule ID 2
permit src 192.168.10.0 srcmask 255.255.255.0 dst any

Blockt alle Netze bis 192.168.63.0 oder 255.255.128.0 als Maske blockt alles bis 192.168.127.0.
So musst du statt x mal deny nur eine einzige Rule für die Subnetze eintragen pro Interface.
und bei der Firewall von Netgear gilt auch der 1. treffer in der liste oder ?
Das ist generell so bei ACLs. //First match wins..." face-wink
also er checkt erstmal ob das was gesendet wird an ein VLAN geht und schickt dann erst die Daten ins Internet.
Jein. Ist technisch falsch ausgedrückt, vermutlich meinst du aber das richtige.
Inbound checkt der Switch anhand der ACL die Regeln was in Absender IP und Ziel IP steht.
Matcht eine Regel schmeisst der Switch das Paket weg.
Matcht es nicht lässt er es passieren, Da Internet IP Adressen keine 192.168er IPs als Ziel sind passieren die also.
Ganz einfache Logik face-wink
Mitglied: emil89
emil89 25.02.2017 um 22:21:11 Uhr
Goto Top
OK, wenn ich folgendes verwenden würde

Rule 100
Rule ID 1
deny src 192.168.10.0 srcmask 255.255.192.0 dst 192.168.20.0 dstmask 255.255.255.0
Rule ID 2
permit src 192.168.10.0 srcmask 255.255.255.0 dst any

würde er alles blocken bis 192.168.63.0.
Dann sollte ich das VLAN vom Drucker und QNAP als 192.168.70.254 nehmen z.B. damit ich dies dann nicht extra erlauben muss.

und das 192.168.20.0 in "deny src 192.168.10.0 srcmask 255.255.192.0 dst 192.168.20.0 dstmask 255.255.255.0"
ist dann auch "egal" da er trotzdem alles bis 192.168.63.0 blockt, richtig ?
Mitglied: emil89
emil89 26.02.2017 aktualisiert um 03:00:21 Uhr
Goto Top
OK, hab versucht das Management VLAN zu wechseln. Sobald ich da ein VLAN eingebe sagt er das es nicht geht weil für dieses VLAN ein routing besteht.

Hab danach ein VLAN erzeugt ohne ihm eine IP zuzuweisen, hab dann das Management VLAN darauf gewechselt, danach war der Netgear nicht mehr erreichbar.

Habe dann ein neues VLAN 30 erzeugt, ihm Port 24 zugewiesen und PVID 30 gegeben. Danach das Management VLAN auf 30 gestellt und versucht eine Route auf die Fritzbox zu erstellen. Leider wieder die Fehlermeldung:
"Error! The specified Static Route Next Hop Router Address can't be in the same subnet as the service/network port."
Es sind keine anderen Routen eingestellt !!

Habe im Netgear Forum noch folgendes gefunden, konnte es allerdings nicht verstehen / entschlüsseln.

https://community.netgear.com/t5/Managed-Switches/Help-with-routing/td-p ...

Habe noch ein wenig rumprobiert, aber es ist mir nicht einmal möglich ein VLAN mit der IP 192.168.178.254 zu erstellen.

Ich glaube einfach das bei diesem Switch, bzw Layer2+ oder Layer3 light Switch es einfach nicht möglich ist dies zu machen, sondern hierfür sozusagen extra ein PC abgestellt werden muss um den Switch zu administrieren, bzw. die IP Adresse bei einem PC dann auf die vom Switch eingestellt werden muss.

Falls es denn nicht anders geht wäre dies auch erstmal in Ordnung, da der Switch wahrscheinlich nur einmal eingestellt werden muss und dann bei Änderungen in der Verkabelung, bzw. neuen Pc´s was maximal einmal alle 6 Monate vorkommt halt dieser Umweg gegangen werden muss.


Falls ihr noch Ideen habt oder falls ihr euch mal raufschalten wollt könnt ihr mir gerne Bescheid geben.

Bis hierhin schon einmal vielen Dank an euch alle, besonders an dich aqui
Mitglied: aqui
aqui 27.02.2017 aktualisiert um 12:34:15 Uhr
Goto Top
Dann sollte ich das VLAN vom Drucker und QNAP als 192.168.70.254 nehmen z.B. damit ich dies dann nicht extra erlauben muss.
Ja richtig. Ansonsten müsstest du es extra noch erlauben ala:
Rule 100
Rule ID 1
permit src 192.168.10.0 srcmask 255.255.255.0 dst host 192.168.20.210
Rule ID 2
permit src 192.168.10.0 srcmask 255.255.255.0 dst host 192.168.20.222
Rule ID 3
deny src 192.168.10.0 srcmask 255.255.192.0 dst 192.168.20.0 dstmask 255.255.255.0
Rule ID 4
permit src 192.168.10.0 srcmask 255.255.255.0 dst any

ist dann auch "egal" da er trotzdem alles bis 192.168.63.0 blockt, richtig ?
Richtig ! Exakt so ist es. Die Subnetz Ranges kannst du dir auch selber ausrechnen:
https://www.heise.de/netze/tools/netzwerkrechner/
Sobald ich da ein VLAN eingebe sagt er das es nicht geht weil für dieses VLAN ein routing besteht.
Mmhhh...ja ist auch wieder verständlich und eigentlich logisch, denn du erreichst den Switch ja auch IMMER über die Routing IP Adresse in diesem VLAN !
Da macht es dann also wenig Sinn das VLAN global zu setzen. Eigentlich könnte man die Management IP in VLAN 1 dann auch vergessen.

Was den Forums Eintrag anbetrifft hat der Kollege ein Telnet oder SSH Zugang auf den Switch gemacht.
Das wäre für dich auch mal ganz sinnvoll, denn scheinbar hat der Switch auch ein CLI was vielleicht die Kommando Struktur etwas logischer macht als diese gruselige GUI. Die Äußerung dort: "I'm obviously not understanding the way the GSM is doing its routing," sagt eigentlich schon alles... Es ist wirklich unlogisch.
Nimm mal ein PuTTY oder TeraTerm und telnette mal das CLI des Switches.
GGf. helfen die dort im Forum geposteten Kommandos.
Gib dort mal ein show ip vlan ein. Das sollte etwas Licht ins Dunkel bringen.
Scheinbar hat der Switch ein per vlan Interface routing so das du Routes unter dem Interface konfigurieren musst.
Fazit: Finger weg von NetGear face-sad
Mit nem Cisco SG300 oder sogar nem gruseligen HP oder TP-Link wärst du vermutlich schon längst online...