Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VLAN und VPN

Frage Netzwerke Router & Routing

Mitglied: N-A-G-U-S

N-A-G-U-S (Level 1) - Jetzt verbinden

22.10.2014, aktualisiert 18:28 Uhr, 1748 Aufrufe, 6 Kommentare

Hallo zusammen,

ich hätte folgende Ausgangssituation:

  • Gateway ins Internet
  • Zwei Clients, die einfach nur ins Internet sollen
  • VPN Router zu einem entfernten Netz
  • Einen VLAN-fähigen Switch (Netgear GS108T)
  • Zwei Clients, die über den VPN Router ausschließlich im entfernten VPN arbeiten sollen

Meine Idee ist:

Switch in 3 VLANs teilen.
Port 1-4 bekommen PVID 2, darin Gateway, die zwei Clients und der WAN Port des VPN Routers.
Port 5-7 bekommen PVID 3, darin der LAN-Port des VPN-Routers und die zwei VPN-Clients.
Port 8 bekommt PVID 1 und dient als Config-Port für den Switch, da dies aus beiden Netzen nicht möglich sein darf.

Funktioniert das so?
Was sollte ich dabei unbedingt bedenken?
Irgendwelche groben Fehler drin?
Sind PVID 2 und 3 "sicher" voneinander getrennt?

Ich hoffe, dass es wirklich so einfach ist, wie ich es mir momentan wünsche. Wirklich daran glauben kann ich noch nicht. Wäre ja fast zu einfach...

Vielen Dank für Eure Vorschläge!

Viele Grüße,
N-A-G-U-S
Mitglied: aqui
LÖSUNG 22.10.2014, aktualisiert um 18:28 Uhr
Funktioniert das so?
Ja, das funktioniert so... Ein Klassiker...
Was sollte ich dabei unbedingt bedenken?
Eigentlich nichts wenn die VLANs sauber auf dem Switch eingerichtet sind.
Irgendwelche groben Fehler drin?
Nein
Sind PVID 2 und 3 "sicher" voneinander getrennt?
Ja, wenigstens innerhalb des Switches. Wenn du natürlich ein Kabel in den falschen Port steckst kann der Switch nix dafür. Stelle also sicher das der Faktor "Mensch" weitestgehend ausgeschaltet ist.
Ich hoffe, dass es wirklich so einfach ist, wie ich es mir momentan wünsche.
Es ist so einfach (wenn man mal von der sehr üblen und grottenschlechten VLAN Konfig Logik bei den NetGear Gurken absieht !!) und das es wirklich so ist kannst du in diesem Forumstutorial nochmal genau nachlesen:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: N-A-G-U-S
22.10.2014 um 18:32 Uhr
Aqui, in gewohnt schneller, klarer und bestechender Support-Manier!

Meinen besten Dank dafür!

Das Tutorial lese ich noch, ich bin sicher, dass das eventuelle weitere Fragen erschöpfend behandelt.

Schönen Abend.

N-A-G-U-S
Bitte warten ..
Mitglied: N-A-G-U-S
23.10.2014, aktualisiert 24.10.2014
Hallo nochmal,

mal sehen, ob ich meine Lektüren richtig verstanden habe:

Grundsätzlich ist für mein Vorhaben ein port-based VLAN ausreichend. Brauche ja nur den einen Switch. Das Verfahren ist aber nicht standardisiert und außerdem veraltet, sodass ich mit IEEE 802.1q Tags arbeiten sollte. Außerdem kann ich port-based beim GS108T gar nicht mehr auswählen (im Gegensatz zu aqui's Tutorial des GS10XE).

Eine andere Quelle sprach von höherer Sicherheit des port-based VLAN gegenüber 802.1q, weil die Entscheidung, welches VLAN verwendet wird, dann ausschließlich beim Switch, also der Hardware bzw. der Verkabelung und damit beim Administrator liegt - ist da was dran? (Das alles gibt ein geschlossenes System, da werden keine Kabel durch Anwender hin oder her gesteckt... Es geht primär einfach nur darum, den Platz für einen zweiten Switch einzusparen.)

Demgegenüber dürften bei 802.1q Broadcasts nicht an Ports anderer VLANs ausgegeben werden, die Stärke liegt dabei also eher in der Performance. (?)

Da ich aber die bestehenden Geräte nicht antasten / anders konfigurieren möchte, sie zum Teil auch nicht VLAN-fähig sind, muss ich alle Ports im Netgear-Interface auf "untagged" setzen (ist das dann nicht wieder port-based?), weil von den Geräten niemals ein VLAN-Tag gesendet oder erwartet werden wird.

Soweit richtig? Dann würde ich nun folgende Einstellungen am Netgear GS108Tv2 vornehmen:

VLAN Membership
  • VLAN 1: g1 bis g7 = "blank"; g8 = "U"ntagged
  • VLAN 10: g1 bis g4 = "U"ntagged; g5 bis g8 = "blank"
  • VLAN 20: g1 bis g4 = "blank"; g5 bis g7 = "U"ntagged; g8 = "blank"

Port PVID Configuration
  • PVID: "10" für g1 bis g4, "20" für g5 bis g7 und "1" für g8
  • Acceptable Frame Types: alle "Admit all" (damit die Daten der Geräte, die ungetaggte Frames zum Switch senden (also in meinem Fall alle?), dort auch angenommen werden)
  • Ingress Filtering: alle "Enabled" (damit der Switch nur Datenverkehr an die Ports weiterleitet, der aus dem selben VLAN kommt)

Im VLAN 10 ist der DHCP-Server des Gateways (LAN, g1) aktiv.
Im VLAN 20 ist der DHCP-Server des entfernten VPNs (LAN, g5) aktiv.

Sind dieses Mal grobe Schnitzer dabei?

Ich als Anfänger konnte mich anhand Deiner (aqui) Infos und Tutorials, aber auch folgender Website gut durchhangeln. Wenn das, was ich nun zu verstanden gehabt haben meine, richtig ist, könnte man diesen Link vielleicht als Einstiegsinfo, vor allem für die Netgear-Konfiguration, hier oder in VLAN Tutorials publizieren:

http://riceball.com/d/content/vlans-netgear-gs108t

Danke fürs Lesen und evtl. Kommentare! Für Anregungen jedweder Art bin ich dankbar!

Viele Grüße,
N-A-G-U-S
Bitte warten ..
Mitglied: aqui
LÖSUNG 24.10.2014, aktualisiert 25.10.2014
Grundsätzlich ist für mein Vorhaben ein port-based VLAN ausreichend. Brauche ja nur den einen Switch. Das Verfahren ist aber nicht standardisiert und außerdem veraltet, sodass ich mit IEEE 802.1q
Heute redet man nur noch von 802.1q Tags die auch Grundlage aller Port based VLANs sind. Andere Techniken gibt es gar nicht mehr als den Standard. Ist also etwas verwirrend was du mit der Aussage eigentlich meinst ?!!
Vermutlich beziehst du dich auf den proprietären VLAN Konfig Schrott bei NetGear !
Vergiss das bitte ganz schnell. Was NetGear hier macht ist eigener Müll und hat mit standardtisierten VLANs nichts zu tun. Ingnorieren diesen Unsinn auf den NetGear Switches also. Bei renomierten Switch Herstellern gibt es diesen überflüssigen Bullshit gar nicht erst !
Eine andere Quelle sprach von höherer Sicherheit des port-based VLAN gegenüber 802.1q
Völliger Quatsch ! Port based VLANs ist in beiden Verfahren gleich. Das .1q Tagging beschreibt ja nur ein Verfahren den VLAN Traffic zenral auf einem gemeinsamen Uplink zu übertragen. Aber das machst du ja gar nicht !!
Dir geht es ja nur die Ports in einer getrennten Broadcast Domain zu betreiben ohne tagged Uplink. Bleib also beim Standard ignorier den proprietären NG Unsinn und alles ist gut !
Demgegenüber dürften bei 802.1q Broadcasts nicht an Ports anderer VLANs ausgegeben werden
Ja und das ist zwingend auch so gewollt !! VLAN = abgetrennte Broadcast Domain !!
muss ich alle Ports im Netgear-Interface auf "untagged" setzen (ist das dann nicht wieder port-based?)
Ja und auch so gewollt. Wie gesagt der Terminus "Port based" gilt immer bei VLANs und beschreibt global das einen bestimmte Anzahl von Ports in einem VLAN sprich einer abgetrennten Broadcast Domain zugeordnet sind ..nicht ehr und nicht weniger.
Mach dich frei von proprietärer NG Denke !
Soweit richtig?
Soweit richtig und dein Konfig ist auch korrekt (Igitt, übelste NG Logik !)
Sind dieses Mal grobe Schnitzer dabei?
Nein, alles bestens... wenn man mal davon absieht das du NG verwendest
Bitte warten ..
Mitglied: N-A-G-U-S
25.10.2014 um 05:10 Uhr
Hallo aqui,

nochmal ein großes Dankeschön für Deine zweite Antwort. Freut mich, dass ich es einigermaßen verstanden zu haben scheine. Ich habe es zwischenzeitlich mal umgesetzt und muss sagen - es funktioniert einwandfrei.

Die (gebrauchten) NG-Geräte gab's in größerer Stückzahl umsonst, für diesen Zweck (non-profit) daher genau richtig. Und einem geschenkten Gaul...

Um von der NG-Denke, wie du es nennst, wegzukommen, werde ich das die Tage nochmal an meiner Pfsense und meinem Heim Netz mit HP Switch testen. Die Beschäftigung mit der Thematik bringt einen doch auf nette Ideen.

Also nochmal, vielen Dank und
viele Grüße,

N-A-G-U-S
Bitte warten ..
Mitglied: aqui
25.10.2014, aktualisiert um 10:22 Uhr
Klar für geschonken gekrochen akzeptiert man dann sogar auch die grauslichen NetGear Gurken
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Wie verhält sich VLAN bei VPNs
gelöst Frage von GoreenNetzwerkmanagement7 Kommentare

Hi zusammen, ich bin ein versierter Benutzer-"Profi" mit ausreichend Halbwissen um euch alle zu verwirren! ;) Mein Ziel: 1. ...

Router & Routing
Verbindung VPN zu VLAN
Frage von piepsyRouter & Routing6 Kommentare

Hallo zusammen, ich habe eine eigentlich alltägliche Problemstellung für die ich bis jetzt keine Lösung gefunden habe. Auf einem ...

Netzwerkmanagement
Per VPN von außen in VLANs zugreifen
gelöst Frage von killing.ApfelkuchenNetzwerkmanagement12 Kommentare

Im Rahmen einer Umbaumaßnahme möchte ich gerne die Netzwerkstruktur anpassen und VLANs für jeden Standort vergeben. Die VLANs sollen ...

Switche und Hubs
VLAN fähiger VPN Router gesucht
gelöst Frage von Leo-leSwitche und Hubs33 Kommentare

Hallo Leute, ich suche einen voll managebaren Switch bzw. Router, womit ich per vpn erreichbar sein kann und der ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless8 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...