26228
May 08, 2012, updated at Oct 18, 2012 (UTC)
9868
14
0
Wie VLAN für VDSL einrichten?
Hallo zusammen,
ich trage mich mit dem Gedanken, für unser kleines Unternehmen VDSL 50 zu beantragen. Der T-Com-Außendienstler war heute zu einem Vorgespräch da.
Die Leitung ist laut dessen Auskunft auch verbindlich verfügbar, da ein Outdoor-DSLAM mit Glasfaseranbindung an die Vermittlungsstelle nur ca. 60 Mtr.
neben unserem Grundstück steht.
Nun habe ich gelesen, das ich für VDSL VLAN's einrichten muss und mich da ein bisschen rein gelesen. Vielleicht kann sich ja mal jemand
die beigefügte Datei anschauen, die ich erstellt habe und mir sagen ob das so richtig ist und ich es kapiert habe
Gibt es da irgendwelche Stolperfallen bei der VDSL-Einrichtung oder bei VLAN, die man unbedingt beachten muss?
Vorab vielen Dank.
Gruß
Arno
ich trage mich mit dem Gedanken, für unser kleines Unternehmen VDSL 50 zu beantragen. Der T-Com-Außendienstler war heute zu einem Vorgespräch da.
Die Leitung ist laut dessen Auskunft auch verbindlich verfügbar, da ein Outdoor-DSLAM mit Glasfaseranbindung an die Vermittlungsstelle nur ca. 60 Mtr.
neben unserem Grundstück steht.
Nun habe ich gelesen, das ich für VDSL VLAN's einrichten muss und mich da ein bisschen rein gelesen. Vielleicht kann sich ja mal jemand
die beigefügte Datei anschauen, die ich erstellt habe und mir sagen ob das so richtig ist und ich es kapiert habe
Gibt es da irgendwelche Stolperfallen bei der VDSL-Einrichtung oder bei VLAN, die man unbedingt beachten muss?
Vorab vielen Dank.
Gruß
Arno
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 184629
Url: https://administrator.de/contentid/184629
Printed on: April 20, 2024 at 10:04 o'clock
14 Comments
Latest comment
Hi,
Sorry, aber VLAN hin oder her, ich lege doch nicht mein Internes Netz an den selben Switch wie das externe! Bin ich denn wahnsinnig ?!
Das "Modem" als Router laufen lassen und wenn sein muss noch ne extra FW/Router dahinter und denn erst das interne Netz. In diesem Falls dann vom DSL-Router zum internen Router direkt ohne Switch dazwischen.
mfg
MRX
Sorry, aber VLAN hin oder her, ich lege doch nicht mein Internes Netz an den selben Switch wie das externe! Bin ich denn wahnsinnig ?!
Das "Modem" als Router laufen lassen und wenn sein muss noch ne extra FW/Router dahinter und denn erst das interne Netz. In diesem Falls dann vom DSL-Router zum internen Router direkt ohne Switch dazwischen.
mfg
MRX
Hallo MRX,
genau das ist mir an dieser Geschichte auch etwas suspekt. Die Trennung von intern und extern wäre dann ja nur durch die beiden VLAN in der selben Hardware (Switch), was ich auch für ziemlich unsicher ansehe.
Gibt es den Router oder Router mit Firewall, die am WAN diese VLAN ID7 auflegen können?
genau das ist mir an dieser Geschichte auch etwas suspekt. Die Trennung von intern und extern wäre dann ja nur durch die beiden VLAN in der selben Hardware (Switch), was ich auch für ziemlich unsicher ansehe.
Gibt es den Router oder Router mit Firewall, die am WAN diese VLAN ID7 auflegen können?
Hi Arno,
Stolperfalle 1:
Der Router routet in das Netz 192.168.177.x. Von da gibt es keine Route mehr ins öffentliche Netz der T-Com.
Also muss der Router ins-T-Com-Netz routen. Er bekomt ja von da auch siene IP zugewiesen. Der Router sollte also sinnvollerweise das Taggen beherrschen.
Mitgelieferte oder gemietete Router können direkt als VDSL konfiguriert werden. Da ist das Modem integriert.
Der Switch muss für die Konfiguration zwingend eine IP im LAN haben.
Stolperfalle 2:
Gerade in einem kleinen Netz ist die Hardware nicht so getrennt, dass man nicht versehentlich ein Kabel falsch anschließen könnte.
Beim Cisco 866VA braucht man das Modem nicht. Dann muss man sich auch keine Gedanken wegen des WAN-Protokolls machen und der Switch kann normal fürs LAN verwendet werden. Der HAP18xx ist nur begrenzt managebar. Man kann ihn nur über die Weboberfläche konfigurieren, aber nicht fernsteuern, was in komplexen Umgebungen sinnvoll wäre (SNMP). Ansonsten ist das eine leise Möglichkeit.
Gruß
Netman
Stolperfalle 1:
Der Router routet in das Netz 192.168.177.x. Von da gibt es keine Route mehr ins öffentliche Netz der T-Com.
Also muss der Router ins-T-Com-Netz routen. Er bekomt ja von da auch siene IP zugewiesen. Der Router sollte also sinnvollerweise das Taggen beherrschen.
Mitgelieferte oder gemietete Router können direkt als VDSL konfiguriert werden. Da ist das Modem integriert.
Der Switch muss für die Konfiguration zwingend eine IP im LAN haben.
Stolperfalle 2:
Gerade in einem kleinen Netz ist die Hardware nicht so getrennt, dass man nicht versehentlich ein Kabel falsch anschließen könnte.
Beim Cisco 866VA braucht man das Modem nicht. Dann muss man sich auch keine Gedanken wegen des WAN-Protokolls machen und der Switch kann normal fürs LAN verwendet werden. Der HAP18xx ist nur begrenzt managebar. Man kann ihn nur über die Weboberfläche konfigurieren, aber nicht fernsteuern, was in komplexen Umgebungen sinnvoll wäre (SNMP). Ansonsten ist das eine leise Möglichkeit.
Gruß
Netman
Hallo Netman,
da kommen wieder die Unwissenheitsfehler der Nebenher-Admins in Kleinbetrieben raus
Bei meinem ersten Bild wäre dann also die IP 192.168.177.X falsch. Bekäme dieses VLAN Nr. 7 dann über das Modem auf den WAN-Port des Routers die von der T-Com zugewiesene externe IP? Oder hab ich da wieder mal einen Grundlagen-Knoten im Hirn?
Du meinst dann wahrscheinlich, das es wie in Bild Nr. 2 (oben) aussehen soll, oder?
Gruß Arno
da kommen wieder die Unwissenheitsfehler der Nebenher-Admins in Kleinbetrieben raus
Bei meinem ersten Bild wäre dann also die IP 192.168.177.X falsch. Bekäme dieses VLAN Nr. 7 dann über das Modem auf den WAN-Port des Routers die von der T-Com zugewiesene externe IP? Oder hab ich da wieder mal einen Grundlagen-Knoten im Hirn?
Du meinst dann wahrscheinlich, das es wie in Bild Nr. 2 (oben) aussehen soll, oder?
Gruß Arno
das zweite Bild ist gut.
Und vermutlich kannst du das Modem sein lassen, wenn du den Cisco nutzt.
Gruß
Netman
Und vermutlich kannst du das Modem sein lassen, wenn du den Cisco nutzt.
Gruß
Netman
Hier findest du noch ein paar Tips zu dem Thema:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Firewall VDSL
bzw. Eine Cisco Konfig:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Fazit: Nimm den 886va und du hast keine Probleme mehr...
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Firewall VDSL
bzw. Eine Cisco Konfig:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Fazit: Nimm den 886va und du hast keine Probleme mehr...
Vielen Dank für die Info.
Ein paar Fragen hätte ich allerdings noch:
Bringt der Cisco 886VA ausreichende Sicherheitsfunktionen mit?
Sollte ich den Server im Zuge der Umstellung gleich in eine DMZ stellen?
Wäre als Router der LANCOM 1681V eine Alternative? Hab jetzt zwar schon viel Lob
über den Cisco 886VA gelesen, aber ich bin eher der Kommandozeilen- und Terminaldummie.
Ein paar Fragen hätte ich allerdings noch:
Bringt der Cisco 886VA ausreichende Sicherheitsfunktionen mit?
Sollte ich den Server im Zuge der Umstellung gleich in eine DMZ stellen?
Wäre als Router der LANCOM 1681V eine Alternative? Hab jetzt zwar schon viel Lob
über den Cisco 886VA gelesen, aber ich bin eher der Kommandozeilen- und Terminaldummie.
Wenn der Server nicht von aussen erreichbar sein muss (private Cloud) kann er auch ohne DMZ leben. Beide Router unterstützen beides.
Cisco oder Lancom ist eine Geschmacksfrage. Auch Lancom ist über die Commandozeile konfigurierbar. Der Cisco wir auch nicht mehr verkauft (NOTE: This product is no longer being sold and might not be supported.).
Vorteil einer Text-Lösung: Man kann vorkonfigurierte Konfigurationen benutzen und modifizieren. Bei der Weboberfläche fängt man bei Adam und Eva an.
Viel Erfolg.
Netman
Cisco oder Lancom ist eine Geschmacksfrage. Auch Lancom ist über die Commandozeile konfigurierbar. Der Cisco wir auch nicht mehr verkauft (NOTE: This product is no longer being sold and might not be supported.).
Vorteil einer Text-Lösung: Man kann vorkonfigurierte Konfigurationen benutzen und modifizieren. Bei der Weboberfläche fängt man bei Adam und Eva an.
Viel Erfolg.
Netman
Hallo Netman,
danke für die schnelle Antwort.
Doch, der Server sollte von außen erreichbar sein für SMTP, POP3 über SSL, HTTPS und Sharepoint Remote Web.
Für eine DMZ brauch ich doch zwingend 2 Router, oder? Oder können das moderne Router auch mit getrennten VLAN's
bewerkstelligen?
Mal sehen, wann ich Zeit finde mich mal intensiver mit der "Text-Lösung" zu befassen.
Oder wäre PFSense auf zwei ausrangierten Rackservern ne Alternative?
Gruß Arno
danke für die schnelle Antwort.
Doch, der Server sollte von außen erreichbar sein für SMTP, POP3 über SSL, HTTPS und Sharepoint Remote Web.
Für eine DMZ brauch ich doch zwingend 2 Router, oder? Oder können das moderne Router auch mit getrennten VLAN's
bewerkstelligen?
Mal sehen, wann ich Zeit finde mich mal intensiver mit der "Text-Lösung" zu befassen.
Oder wäre PFSense auf zwei ausrangierten Rackservern ne Alternative?
Gruß Arno
Wieso zwei Router?
Das können Ciso wie Lancom allein.
Es muss ja für die extern erreichbaren Dienste ein Portweiterleitung an den Server gemacht werden. Das sollte doch bislang auch schon sein. Der Server steht in einem anderen VLAN / Subnetz. Das Routing innerhalb der VLANs / Netze läuft über den selben Router, nur dass jetzt keine Regeln notwendig wären. somit sind Netz und Server sauber getrennt.
Wenn auf dem Server, der ja nun beinahe offen zugänglich ist, neben der Benutzerverwaltung, noch ander Dienste laufen wie Virenschutz ist nicht verkehrt.
Sind Die Email-Services denn auf dem Server gehostet oder werden die extern vorgehalten und nur gemeinsam abgeholt?
Zu viele Dienste, die lokal nötig sind, sollten aber nicht auf ein und demselben Server in der DMZ stehen.
Gruß
Netman
Das können Ciso wie Lancom allein.
Es muss ja für die extern erreichbaren Dienste ein Portweiterleitung an den Server gemacht werden. Das sollte doch bislang auch schon sein. Der Server steht in einem anderen VLAN / Subnetz. Das Routing innerhalb der VLANs / Netze läuft über den selben Router, nur dass jetzt keine Regeln notwendig wären. somit sind Netz und Server sauber getrennt.
Wenn auf dem Server, der ja nun beinahe offen zugänglich ist, neben der Benutzerverwaltung, noch ander Dienste laufen wie Virenschutz ist nicht verkehrt.
Sind Die Email-Services denn auf dem Server gehostet oder werden die extern vorgehalten und nur gemeinsam abgeholt?
Zu viele Dienste, die lokal nötig sind, sollten aber nicht auf ein und demselben Server in der DMZ stehen.
Gruß
Netman
Hallo Netman,
ja, klar...die Portweiterleitung auf die entsprechenden Dienste sind natürlich vorhanden. Davor hängt auch ein Router mit Firewall und es sind nur die Ports offen,
die ich zwingend brauche. Virenschutz und Antispam (Client/Server-Lösung) sowie Page Rating und Sperre bösartiger Seiten ist natürlich vorhanden.
Die Email-Services werden auf dem Server gehostet.
Bei unserem kleinen Betrieb und nur 5-Clients im Netz ist halt das Budget sehr begrenzt und mehrere Server nicht drin. Von daher ist der Server leider
die "eierlegende Wollmilchsau".
Ist das dann bei der Lösung mit einem Router so, das der in 2 VLAN's getrennt wird nach dem Schema:
Internet -> Router WAN-PORT -> [Router Firewall vor VLAN1] -> [Router VLAN 1 als DMZ mit Server] -> [Router Firewall vor VLAN2] -> [VLAN2] -> Switch -> Clients
wobei alles in dann innerhalb des einen Routers stattfindet?
Gruß Arno
ja, klar...die Portweiterleitung auf die entsprechenden Dienste sind natürlich vorhanden. Davor hängt auch ein Router mit Firewall und es sind nur die Ports offen,
die ich zwingend brauche. Virenschutz und Antispam (Client/Server-Lösung) sowie Page Rating und Sperre bösartiger Seiten ist natürlich vorhanden.
Die Email-Services werden auf dem Server gehostet.
Bei unserem kleinen Betrieb und nur 5-Clients im Netz ist halt das Budget sehr begrenzt und mehrere Server nicht drin. Von daher ist der Server leider
die "eierlegende Wollmilchsau".
Ist das dann bei der Lösung mit einem Router so, das der in 2 VLAN's getrennt wird nach dem Schema:
Internet -> Router WAN-PORT -> [Router Firewall vor VLAN1] -> [Router VLAN 1 als DMZ mit Server] -> [Router Firewall vor VLAN2] -> [VLAN2] -> Switch -> Clients
wobei alles in dann innerhalb des einen Routers stattfindet?
Gruß Arno
das wird so klappen. Es gibt viele Funktionen, die diese Geräteklasse beherrscht und jeder Port kann ein eigenes Netz addressieren und auch mit VLAN-Tags versehen werden. Steht auch in Datenblatt und Handbuch.
Wenn nur ein Server die DMZ ist, braucht der Switch gar keine VLANs konfiguriert haben. Ein Reserverport ist aber bestimmt nicht übel.
Gruß
Netman
Wenn nur ein Server die DMZ ist, braucht der Switch gar keine VLANs konfiguriert haben. Ein Reserverport ist aber bestimmt nicht übel.
Gruß
Netman
Hallo Netman,
Hab mir gerade mal das Handbuch von Lancom zu Gemüte geführt. Das ist für so Rookies wie mich echt klasse und sehr umfangreich mit griffigen Beispielen erklärt.
Da kam schon ein wenig Licht ins dunkle Hirn
Vielen Dank einstweilen, das du dir die Mühe gemacht hast, hier zu helfen.
Gruß
Arno
Hab mir gerade mal das Handbuch von Lancom zu Gemüte geführt. Das ist für so Rookies wie mich echt klasse und sehr umfangreich mit griffigen Beispielen erklärt.
Da kam schon ein wenig Licht ins dunkle Hirn
Vielen Dank einstweilen, das du dir die Mühe gemacht hast, hier zu helfen.
Gruß
Arno
@knuddel
Der Cisco 886va bringt von sich aus ein Firewall und Security Image mit.
Damit hat sich dann wohl deinen Frage nach "Security" erübrigt, oder ??
Alle deine Sicherheitsanforderungen inkl. richtiger DMZ lassen sich damit problemlos umsetzen !
Der Cisco 886va bringt von sich aus ein Firewall und Security Image mit.
Damit hat sich dann wohl deinen Frage nach "Security" erübrigt, oder ??
Alle deine Sicherheitsanforderungen inkl. richtiger DMZ lassen sich damit problemlos umsetzen !
