Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VLAN Routing mit Cisco SG-300-10

Frage Microsoft Windows Netzwerk

Mitglied: IceTeaMann

IceTeaMann (Level 1) - Jetzt verbinden

01.06.2012 um 21:41 Uhr, 7679 Aufrufe, 9 Kommentare

Guten Abend zusammen!

Folgendes Scenario:

Ich habe 2 VLANs. In Einem steht ein Win2k8-Server der per DHCP IP-Adressen an die PC's verteilt - dieses Netz hat bisher keinen Internetzugriff.
Im zweiten VLAN steht ein Router der wiederum per DHCP IP-Adressen an diverse Clients (unter anderem Media Receiver von der Telekom) verteilt.

Da ich mich im Routing immer schon etwas schwer getan habe muss ich ein paar Fragen loswerden.

Der Cisco ist bisher folgendermaßen Konfiguriert:

2 VLANs:

192.168.3.2 -> Statische IP des Switch im VLAN 1
192.168.2.2 -> Statische IP des Switch im VLAN 2

Wie müsste eine Route aussehen um vom VLAN1 ins Internet zu kommen? Noch zur Info: Der Router Im VLAN 2 hat die IP 192.168.2.1. Ist das überhaupt möglich oder kommen sich die DHCP Server in die Quere?


Und noch etwas:
Bisher war alles in einem Netz, somit wurden wurden für VPN-Zugriff, E-Mail etc. einfach die Ports weitergeleitet. Ist es möglich eine Route direkt vom Router im VLAN2 zum Server (192.168.3.1, VLAN 1) einzurichten ohne das gleich das ganze VLAN 2 auf das VLAN 1 zugreifen kann?



Vielen Dank im Vorraus!
Mitglied: gijoe
01.06.2012 um 23:52 Uhr
Hi, wie lautet der Standardgateway im VLAN 1? Denn dieser muss schlussendlich die statische Route kennen. Ist dein Router überhaupt VLAN-fähig?

1. Ansatz
Hat dein Server 2 Netzwerkkarten? Denn dann könnte dieser die Clients ins Internet Routen (dann musst du allerdings Routing zwischen den 2 Netzwerkkarten auf dem Server aktivieren).

2. Ansatz
Du kannst auch von einem Switch-Port im Trunk-Modus auf den Router . Der Router muss einfach auf der Schnittstelle zwei IPs vertragen => was hast du für einen Router?
Bitte warten ..
Mitglied: IceTeaMann
02.06.2012 um 11:56 Uhr
Danke für die Antworrt, aber ich hab es nun anders gelöst. Bzw. ich muss es anders lösen, da der blöde Router von der Telekom einfach nicht Routen kann (traurig aber wahr). Ich habe dem Server jetzt 2 tagged VLAN zugeteilt. Ich versuche diesen grade einzurichten (Win2k8 Server). Es sind 2 VLANs vorhanden, in einem steht ein Router der Internetzugriff hat. Das 2. VLAN ist für Windows Clients, die über den Server per NAT Internetzugriff (bzw. zugriff auf VLAN1) erhalten.

Jetzt ist es so, das Windows ja genau hierfür einen Assistenten anbietet: Also VPN-Zugriff übers Internet und die Windows Clients bekommen per NAT zugriff. Nur kann ich mich nicht per VPN einwählen. Aus dem lokalem Netz funktioniert es noch, aber sobald ich versuche über meine DynDNS Adresse zugriff zu bekommen geht nichts mehr.

Die Konfig sieht so aus:
192.168.2.1 --> WAN Router im VLAN1
192.168.2.10 --> Server-Addr im VLAN1

192.168.3.1 --> Server-Addr im VLAN2

Alle Ports sowie GRE im Router zeigen auf 192.168.2.10.

Woran kann es liegen das ich keien VPN-Zugriff bekomme?
Bitte warten ..
Mitglied: aqui
02.06.2012, aktualisiert um 12:14 Uhr
Es ist allgemein bekannt das die Speedport Gurken keine statischen Routen supporten und damit ungeeignet sind für solch ein Szenario.
Es sind halt billige Consumer Router...mehr nicht.
Was hindert dich aber daran einen Router einzusetzen der wenigstens statische Routen kann ? Gute Baumarkt Router sind den Speedports da meilenweit überlegen wie ander auch z.B. Linksys WRT54 , Mikrotik 750 (40 Euro) usw.
All diese Router können das und sind in jedem Fall die bessere Lösung als die Frickelei die du jetzt angehst nur weil du einen schrottigen DSL Router hast. Damit konterkarierst du dein eigentlich sehr sinnvolles Netzwerk Design.
Intelligenter ist es also den dummen Speedport mit PPPoE Passthrough in dem Modem Modus zu konfigurieren und dahinter einen gescheiten Breitbandrouter zu betreiben wie z.B. den Mikrotik 750. Die 40 Euro sollte dir das doch allemal wert sein, oder ?
Ansonsten ist dein Szenario recht einfach:
  • Der Switch bekommt eine Default Route auf die IP des Internet Routers
  • Der Internet Router 1 oder besser 2 statische Routen der Switch VLAN Netze auf die VLAN IP des des Switches in dessen VLAN sich der Router befindet. Wenn du schon einen guten VLAN fähigen Routing Switch hast wie den SG-300 macht es Sinn noch ein 3tes VLAN einzurichten und dort den Internet Router zu plazieren. So hast du beide Produktiv VLANs vom Internet Traffic getrennt.
Grundlegende Infos findest du in diesen Tutorials hier:
http://www.administrator.de/contentid/56073
http://www.administrator.de/contentid/110259
und
http://www.administrator.de/contentid/58974
Wobei du den externen Routing Part in deinem Design immer ignorieren kannst, denn das macht ja dein Cisco SG-300 !
Weitere SG-300 spezifische Infos gibt es zudem vom Forumskollegen edipfisterer hier im Forum:
http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-busin ...
Bitte warten ..
Mitglied: IceTeaMann
02.06.2012, aktualisiert um 13:01 Uhr
Im Grunde funktioniert ja jetzt alles.
Im Vlan1 stehen alle Geräte die keinen direkten zugriff auf die Windows Rechner brauchen. Ebenso kommen hier WLAN Clients rein, die sich dann bei bedarf mit per VPN auf den Server einwählen (lokal).
Im Vlan2 stehen alle Windows Clients, die per NAT zugriff auf Vlan1/Internet bekommen.

Einzig die VPN einwahl über meine DynDNS Adresse funktioniert nicht.

EDIT:
Sind die geräte denn für IP-TV geeignet? Das heißt unstützen die VLAN auf WAN Seite? ich konnte jetzt nichts dazu finden. Bei Draytek habe ich schon angefragt, aber deren Geräte sind nur mit VDSL Anschluss IP-TV fähig.
Bitte warten ..
Mitglied: aqui
02.06.2012, aktualisiert um 13:11 Uhr
Die VPN Einwahl ist eine komplett andere Baustelle ! Vermutlich hast du da wie immer die entsprechenden Port Forwardings auf dem Router vergessen !
Dieses Tutorial sagt dir was du machen musst:
http://www.administrator.de/contentid/117700 (Server hinter NAT Firewall)
Leider teilst du uns dein VPN Protokoll ja nicht mit aber das oben gesagte gilt für PPTP basierte VPNs (bei IPsec, SSL usw. ist das anders da andere Ports verwendet werden !)

Das blödsinninge ist nur das du mit dem SG-300 einen routingfähigen Switch hast der sowas elegant und auch performant regeln kann. Ein klassisches Design also.
Das verschlimmbesserst du nun mit exterenm Routing und NAT über den Server nur weil du einen schrottigen, billigen Consumer Router hast den man mit billigem Geld problemlos ersetzen könnte.
Dann hätte es ein SG-200er Switch auch getan wozu dann also diese Investition in einen Routing Switch ?
Aber egal wenn du mit diesem kranken Krückenszenario leben kannst und zufrieden bist, dann sind wir es auch...
Bitte warten ..
Mitglied: IceTeaMann
02.06.2012 um 13:05 Uhr
Nein, Portfowarding ist definitiv eingeschaltet. Es hat ja bisher auch funktioniert, nur war eben alles in einem Netz bzw. der Server hatte nur eine IP.
Bitte warten ..
Mitglied: aqui
02.06.2012, aktualisiert um 13:11 Uhr
Auf WELCHE IP Adressen zeigt denn dein Port Forwarding ?? TCP 1723 und das GRE Protokoll müssen das sein wenn es sich um PPTP dreht ?! PPTP besteht wie jeder weiss aus 2 Protokollen !! Siehe Tutorial oben.
Da der dumme SP nicht statisch routen kann müssen das die IP des Servers im gleichen VLAN IP Segment wo auch der Router ist.
Klar das die Server Firewall auch angepasst werden muss damit diese externe IPs zulässt !
Installier dir einen kostenlosen Wireshark oder MS NetMonitor auf dem Server und checke ob der Router TCP 1723 und GRE (Protokoll 47) Pakete von sich einwählenden VPN Clients sauber an den Server forwardet !!
Dann weisst du doch was los ist !
Bitte warten ..
Mitglied: IceTeaMann
02.06.2012 um 13:21 Uhr
Hat sich grad erledigt, der blöde Speedport hat sich aufgehängt. Hab ihn grad resettet, jetzt gehts.
Bitte warten ..
Mitglied: aqui
02.06.2012, aktualisiert um 13:42 Uhr
"Blöder Speedport" ist wohl genau die treffende Bezeichnung. Schade das du dein ansonsten gutes LAN Design davon unnötigerweise aushöhlen lässt...aber nungut, dir reicht es ja...

Wenns das denn war bitte
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst VLAN Routing - L3 oder Firewall? (17)

Frage von pataya zum Thema LAN, WAN, Wireless ...

Switche und Hubs
gelöst Frage zu SFP+ Einschub für Cisco SG-500X Switches (4)

Frage von the-datzl zum Thema Switche und Hubs ...

Router & Routing
gelöst HP VLAN routing (5)

Frage von homermg zum Thema Router & Routing ...

RedHat, CentOS, Fedora
LAG Bonding mit VLAN Routing Centos7 (20)

Frage von OIOOIOOIOIIOOOIIOIIOIOOO zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (14)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...