Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VLAN und VPN

Frage Netzwerke Router & Routing

Mitglied: N-A-G-U-S

N-A-G-U-S (Level 1) - Jetzt verbinden

22.10.2014, aktualisiert 18:28 Uhr, 1654 Aufrufe, 6 Kommentare

Hallo zusammen,

ich hätte folgende Ausgangssituation:

  • Gateway ins Internet
  • Zwei Clients, die einfach nur ins Internet sollen
  • VPN Router zu einem entfernten Netz
  • Einen VLAN-fähigen Switch (Netgear GS108T)
  • Zwei Clients, die über den VPN Router ausschließlich im entfernten VPN arbeiten sollen

Meine Idee ist:

Switch in 3 VLANs teilen.
Port 1-4 bekommen PVID 2, darin Gateway, die zwei Clients und der WAN Port des VPN Routers.
Port 5-7 bekommen PVID 3, darin der LAN-Port des VPN-Routers und die zwei VPN-Clients.
Port 8 bekommt PVID 1 und dient als Config-Port für den Switch, da dies aus beiden Netzen nicht möglich sein darf.

Funktioniert das so?
Was sollte ich dabei unbedingt bedenken?
Irgendwelche groben Fehler drin?
Sind PVID 2 und 3 "sicher" voneinander getrennt?

Ich hoffe, dass es wirklich so einfach ist, wie ich es mir momentan wünsche. Wirklich daran glauben kann ich noch nicht. Wäre ja fast zu einfach...

Vielen Dank für Eure Vorschläge!

Viele Grüße,
N-A-G-U-S
Mitglied: aqui
LÖSUNG 22.10.2014, aktualisiert um 18:28 Uhr
Funktioniert das so?
Ja, das funktioniert so... Ein Klassiker...
Was sollte ich dabei unbedingt bedenken?
Eigentlich nichts wenn die VLANs sauber auf dem Switch eingerichtet sind.
Irgendwelche groben Fehler drin?
Nein
Sind PVID 2 und 3 "sicher" voneinander getrennt?
Ja, wenigstens innerhalb des Switches. Wenn du natürlich ein Kabel in den falschen Port steckst kann der Switch nix dafür. Stelle also sicher das der Faktor "Mensch" weitestgehend ausgeschaltet ist.
Ich hoffe, dass es wirklich so einfach ist, wie ich es mir momentan wünsche.
Es ist so einfach (wenn man mal von der sehr üblen und grottenschlechten VLAN Konfig Logik bei den NetGear Gurken absieht !!) und das es wirklich so ist kannst du in diesem Forumstutorial nochmal genau nachlesen:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: N-A-G-U-S
22.10.2014 um 18:32 Uhr
Aqui, in gewohnt schneller, klarer und bestechender Support-Manier!

Meinen besten Dank dafür!

Das Tutorial lese ich noch, ich bin sicher, dass das eventuelle weitere Fragen erschöpfend behandelt.

Schönen Abend.

N-A-G-U-S
Bitte warten ..
Mitglied: N-A-G-U-S
23.10.2014, aktualisiert 24.10.2014
Hallo nochmal,

mal sehen, ob ich meine Lektüren richtig verstanden habe:

Grundsätzlich ist für mein Vorhaben ein port-based VLAN ausreichend. Brauche ja nur den einen Switch. Das Verfahren ist aber nicht standardisiert und außerdem veraltet, sodass ich mit IEEE 802.1q Tags arbeiten sollte. Außerdem kann ich port-based beim GS108T gar nicht mehr auswählen (im Gegensatz zu aqui's Tutorial des GS10XE).

Eine andere Quelle sprach von höherer Sicherheit des port-based VLAN gegenüber 802.1q, weil die Entscheidung, welches VLAN verwendet wird, dann ausschließlich beim Switch, also der Hardware bzw. der Verkabelung und damit beim Administrator liegt - ist da was dran? (Das alles gibt ein geschlossenes System, da werden keine Kabel durch Anwender hin oder her gesteckt... Es geht primär einfach nur darum, den Platz für einen zweiten Switch einzusparen.)

Demgegenüber dürften bei 802.1q Broadcasts nicht an Ports anderer VLANs ausgegeben werden, die Stärke liegt dabei also eher in der Performance. (?)

Da ich aber die bestehenden Geräte nicht antasten / anders konfigurieren möchte, sie zum Teil auch nicht VLAN-fähig sind, muss ich alle Ports im Netgear-Interface auf "untagged" setzen (ist das dann nicht wieder port-based?), weil von den Geräten niemals ein VLAN-Tag gesendet oder erwartet werden wird.

Soweit richtig? Dann würde ich nun folgende Einstellungen am Netgear GS108Tv2 vornehmen:

VLAN Membership
  • VLAN 1: g1 bis g7 = "blank"; g8 = "U"ntagged
  • VLAN 10: g1 bis g4 = "U"ntagged; g5 bis g8 = "blank"
  • VLAN 20: g1 bis g4 = "blank"; g5 bis g7 = "U"ntagged; g8 = "blank"

Port PVID Configuration
  • PVID: "10" für g1 bis g4, "20" für g5 bis g7 und "1" für g8
  • Acceptable Frame Types: alle "Admit all" (damit die Daten der Geräte, die ungetaggte Frames zum Switch senden (also in meinem Fall alle?), dort auch angenommen werden)
  • Ingress Filtering: alle "Enabled" (damit der Switch nur Datenverkehr an die Ports weiterleitet, der aus dem selben VLAN kommt)

Im VLAN 10 ist der DHCP-Server des Gateways (LAN, g1) aktiv.
Im VLAN 20 ist der DHCP-Server des entfernten VPNs (LAN, g5) aktiv.

Sind dieses Mal grobe Schnitzer dabei?

Ich als Anfänger konnte mich anhand Deiner (aqui) Infos und Tutorials, aber auch folgender Website gut durchhangeln. Wenn das, was ich nun zu verstanden gehabt haben meine, richtig ist, könnte man diesen Link vielleicht als Einstiegsinfo, vor allem für die Netgear-Konfiguration, hier oder in VLAN Tutorials publizieren:

http://riceball.com/d/content/vlans-netgear-gs108t

Danke fürs Lesen und evtl. Kommentare! Für Anregungen jedweder Art bin ich dankbar!

Viele Grüße,
N-A-G-U-S
Bitte warten ..
Mitglied: aqui
LÖSUNG 24.10.2014, aktualisiert 25.10.2014
Grundsätzlich ist für mein Vorhaben ein port-based VLAN ausreichend. Brauche ja nur den einen Switch. Das Verfahren ist aber nicht standardisiert und außerdem veraltet, sodass ich mit IEEE 802.1q
Heute redet man nur noch von 802.1q Tags die auch Grundlage aller Port based VLANs sind. Andere Techniken gibt es gar nicht mehr als den Standard. Ist also etwas verwirrend was du mit der Aussage eigentlich meinst ?!!
Vermutlich beziehst du dich auf den proprietären VLAN Konfig Schrott bei NetGear !
Vergiss das bitte ganz schnell. Was NetGear hier macht ist eigener Müll und hat mit standardtisierten VLANs nichts zu tun. Ingnorieren diesen Unsinn auf den NetGear Switches also. Bei renomierten Switch Herstellern gibt es diesen überflüssigen Bullshit gar nicht erst !
Eine andere Quelle sprach von höherer Sicherheit des port-based VLAN gegenüber 802.1q
Völliger Quatsch ! Port based VLANs ist in beiden Verfahren gleich. Das .1q Tagging beschreibt ja nur ein Verfahren den VLAN Traffic zenral auf einem gemeinsamen Uplink zu übertragen. Aber das machst du ja gar nicht !!
Dir geht es ja nur die Ports in einer getrennten Broadcast Domain zu betreiben ohne tagged Uplink. Bleib also beim Standard ignorier den proprietären NG Unsinn und alles ist gut !
Demgegenüber dürften bei 802.1q Broadcasts nicht an Ports anderer VLANs ausgegeben werden
Ja und das ist zwingend auch so gewollt !! VLAN = abgetrennte Broadcast Domain !!
muss ich alle Ports im Netgear-Interface auf "untagged" setzen (ist das dann nicht wieder port-based?)
Ja und auch so gewollt. Wie gesagt der Terminus "Port based" gilt immer bei VLANs und beschreibt global das einen bestimmte Anzahl von Ports in einem VLAN sprich einer abgetrennten Broadcast Domain zugeordnet sind ..nicht ehr und nicht weniger.
Mach dich frei von proprietärer NG Denke !
Soweit richtig?
Soweit richtig und dein Konfig ist auch korrekt (Igitt, übelste NG Logik !)
Sind dieses Mal grobe Schnitzer dabei?
Nein, alles bestens... wenn man mal davon absieht das du NG verwendest
Bitte warten ..
Mitglied: N-A-G-U-S
25.10.2014 um 05:10 Uhr
Hallo aqui,

nochmal ein großes Dankeschön für Deine zweite Antwort. Freut mich, dass ich es einigermaßen verstanden zu haben scheine. Ich habe es zwischenzeitlich mal umgesetzt und muss sagen - es funktioniert einwandfrei.

Die (gebrauchten) NG-Geräte gab's in größerer Stückzahl umsonst, für diesen Zweck (non-profit) daher genau richtig. Und einem geschenkten Gaul...

Um von der NG-Denke, wie du es nennst, wegzukommen, werde ich das die Tage nochmal an meiner Pfsense und meinem Heim Netz mit HP Switch testen. Die Beschäftigung mit der Thematik bringt einen doch auf nette Ideen.

Also nochmal, vielen Dank und
viele Grüße,

N-A-G-U-S
Bitte warten ..
Mitglied: aqui
25.10.2014, aktualisiert um 10:22 Uhr
Klar für geschonken gekrochen akzeptiert man dann sogar auch die grauslichen NetGear Gurken
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Linux Netzwerk
OpenVPN, zwei OpenWRT Router verbinden und VLAN durchs VPN leiten (6)

Frage von sharbich zum Thema Linux Netzwerk ...

Switche und Hubs
gelöst VLAN fähiger VPN Router gesucht (33)

Frage von Leo-le zum Thema Switche und Hubs ...

Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...