garlic
Goto Top

VLAN mit zwei Subnets aber nur managed Layer 2 Switch

Hi zusammen,

ich habe eine kleine Frage zum Thema VLAN - und bitte seht es mir nach, das ist nicht mein Spezialgebiet... Dennoch habe ich mich vor Jahren mal ein bißchen mit dem Thema Layer 3-Switches beschäftigt....

Nun habe ich aber kein Laye 3, sondern nur 2 managed Layer 2 und möchte aber Folgendes erreichen:

Ich habe ein Netzwerk laufen in 192.168.0.XX... Mein guter Freund und gleichzeitig Nachbar hat 192.168.178.xx. Wir haben unsere Häuser nun mit einem CAT7-Erdkabel verbunden und sind an die jeweilige Verteilung gegangen, da wir Urlaubsfotos etc. einfacher tauschen wollen.
Jeder von uns hat einen NAS-Server in seinem Netzwerk laufen, der über Berechtigungen den anderen auf bestimmte Ordner Leserechte geben soll (also die Urlaubsfotos, aber auch unsere Surf-Videos usw.).

Soweit so gut.

Nun folgendes Problem: Ich würde gerne beide Netze als VLANs laufen lassen, denn eigentlich sollten sich nicht alle Teilnehmer sehen können, gleichzeitig laufen 2 DHCP Server in dem Netz und 2 WAN-Gateways, d.h. jeder möchte natürlich in seinem Netz/VLAN bleiben. Nur auf den jeweiligen NAS sollten (bestimmte) Clients zugreifen dürfen, eingeschränkt am Berechtigungskonzept.

Die beiden Netze sind so verbunden, dass sie jeweils an einem managed Layer 2 Switch hängen - dort hängt auch der jeweilige NAS dran. Nun würde ich eigentlich alles gerne so konfigurieren, dass die 178 da VLAN1 und die 0 das VLAN2 ist und alles hübsch getrennt, aber eben die Clients von VLAN2 auf den NAS des VLAN1 kommen und umgekehrt.
Im Prinzip ist das auch einfach über die Ports des Switches zu steuern - nur das Problem ist natürlich, dass die NAS jeweils in einem anderen Subnet hängen. D.h. es nützt mir nichts das VLAN auch auf den Port zu legen, die können so einfach dennoch nicht damit reden.

Folgende Lösungsmöglichkeiten sind mir klar, aber verworfen:

1) Layer 3 Switch. Dann könnte ich routen, aber Layer 3 Switches sind viel zu teuer für so eine Anwendung.
2) 2te Netzwerkkarte im NAS: Geht nicht, simpler NAS.
3) Statische IP-Adressen im selben Subnet verwenden und Gateways manuell eintragen: Find ich irgendwie unschön...
4) Router im Netzwerk. Siehe 1)
5) Subnetmaske auf 255.255.0.0 ziehen am NAS und den jeweiligen Clients: Finde ich nicht so schön, müsste aber gehen, oder?
6) VLAN am Switch bridgen: Ich glaube das kann mein simpler TP-Link Smart Switch nicht... (35€... jaja...)
7) Assymetrisches VLAN: Habe ich irgendwo gelesen, aber nicht ganz verstanden, wie man das konfiguriert. Klingt wie bridgen in nur eine Richtung, aber ob das der TP-Link kann und was das genau ist, ist mir nicht klar...

Habt ihr eine einfache Idee, wie ich das auf Layer 2 gelöst bekomme und trotzdem die Netzwerke halbwegs getrennt bleiben?

Danke!
VG, Garlic

Content-Key: 242167

Url: https://administrator.de/contentid/242167

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: shadynet
Lösung shadynet 28.06.2014, aktualisiert am 29.06.2014 um 20:09:03 Uhr
Goto Top
Hi,

ein kleiner Router wie ein Mikrotik RB750GL (GL wichtig, weil Gigabit) sollte da vollkommen reichen. Liegt weit unter 100€ und schaufelt ziemlich gut die Daten hin und her. Die eine Seite an das LAN-Kabel, was von deinem Nachbar kommt, die andere Seite an deinen Switch, VLANs brauchst du nicht zu definieren, da der Router ja beide Switche schon auf L3 trennt.
Mitglied: 108012
108012 28.06.2014 um 23:31:14 Uhr
Goto Top
Hallo,

Nun habe ich aber kein Laye 3, sondern nur 2 managed Layer 2 und möchte aber Folgendes erreichen:
Ok, dann kann man ja auch einen kleinen Router dazwischen hängen und der routet dann zwischen den
VLANs hin und her.

Ich habe ein Netzwerk laufen in 192.168.0.XX... Mein guter Freund und gleichzeitig Nachbar hat
192.168.178.xx.
Ok, kein Thema bis hierher.

Wir haben unsere Häuser nun mit einem CAT7-Erdkabel verbunden und sind an die
jeweilige Verteilung gegangen, da wir Urlaubsfotos etc. einfacher tauschen wollen.
Das war aber erst nach dem Grillen, als aller Alkohol schon alle war oder?
Zwei Gebäude und dazu zählen auch Häuser verkabelt man am besten und sichersten
mittels Fiberglas! Und ich hoffe sehr dass das CAT. 7 Kabel auch in einem Kabelkanal
verlegt wurde oder aber zumindest eine Outdoorummantelung hat.

Jeder von uns hat einen NAS-Server in seinem Netzwerk laufen,
der über Berechtigungen den anderen auf bestimmte Ordner Leserechte
geben soll (also die Urlaubsfotos, aber auch unsere Surf-Videos usw.).
Kein Thema.

Nun würde ich eigentlich alles gerne so konfigurieren, dass die 178 da VLAN1 und die 0
das VLAN2 ist und alles hübsch getrennt, aber eben die Clients von VLAN2 auf den NAS
des VLAN1 kommen und umgekehrt.
Das VLAN 1 ist in der Regel das "default" VLAN und dem gehören immer alle Geräte an.

1) Layer 3 Switch. Dann könnte ich routen, aber Layer 3 Switches sind viel zu teuer für
so eine Anwendung.
Naja ich würde mal eher auf der Fiberglaskabel als Kostenfaktor setzen.
Denn so ein Layer3 Switch kostet auch nicht mehr die Welt und die Kosten
kann man sich ja auch durch zwei teilen.

Cisco SG300-10 ~200 €
Cisco SG300-26 ~400 €


2) 2te Netzwerkkarte im NAS: Geht nicht, simpler NAS.
ok

3) Statische IP-Adressen im selben Subnet verwenden und Gateways manuell eintragen:
Find ich irgendwie unschön...
Ok

4) Router im Netzwerk. Siehe 1)
Ein MikroTik RB450G oder RB2011 kostet auch nur um die 200 €
aber das spart man ja auch wieder ein wenn man schon einmal einen Layer3 Switch hat!

5) Subnetmaske auf 255.255.0.0 ziehen am NAS und den jeweiligen Clients:
Finde ich nicht so schön, müsste aber gehen, oder?
Damit fange bitte gar nicht erst an, lass alles auf 255.255.255.0 und gut ist es!

6) VLAN am Switch bridgen: Ich glaube das kann mein simpler TP-Link Smart Switch nicht...
(35€... jaja...)
Bridge wenn Du musst und route wenn Du kannst!
Wenn Du das alles, was Du hier aufzählst, auch so umsetzen wirst, ist eigentlich
alles was man nur falsch machen kann auch gleich erledigt! Herzlichen Glückwunsch.

7) Assymetrisches VLAN: Habe ich irgendwo gelesen, aber nicht ganz verstanden, wie man
das konfiguriert. Klingt wie bridgen in nur eine Richtung, aber ob das der TP-Link kann und
was das genau ist, ist mir nicht klar...
Wenn billig, billig, billig sein muss und günstig noch zu teuer ist.......

Habt ihr eine einfache Idee, wie ich das auf Layer 2 gelöst bekomme und trotzdem die
Netzwerke halbwegs getrennt bleiben?
Wenn man die VLANs auf einem Layer2 Switch anlegt kann man untereinander (VLANs)
nicht drauf zugreifen, weil niemand zwischen den VLANs routet!

Es muss irgend etwas dazwischen installiert werden was das Routing übernimmt.

- Mittels eines Routers
- Mittels eines Layer3 Switches
- Mittels am NAS aktiviertem Routing
- Gar nicht

Es gibt auch Alternativen dazu die nicht so teuer sind, aber ein paar Sachen würde ich immer
einhalten wollen;
- Fiberglaskabel zwischen Gebäuden bzw. um diese miteinander zu verbinden.
Außenkabel
- Layer3 Switch der auch routen kann oder aber Layer2 Switch mit zusätzlichem Router dazu
Switch

Gruß
Dobby
Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.06.2014 aktualisiert um 09:54:21 Uhr
Goto Top
Moin,

falscher Ansatz. Mit einem level-2-switch allein bekommst Du die netze eh nicht zusammen. Du muß zwingend einen Router in Euer netz stelen, der die beiden Ip-Netze verbindet. Sofern das nur ein einfacher Router ist, kann dann aber jedes System mit jedem anderen kommunizieren. Da müssen dann überall authentifizierte Zugriffe und Benutzerrechte eingestellt werden, wenn man die Zugriffe einschränken will.

besser wäre eine eine Firewall zwischen den Netzen. Da reicht ein einfaches alix-board mit pfsense oder monowall, der den zugriff von einem LAN ins andere (ggf benutzer- oder device-bezogen) regelt.

lks

PS. Unser @aqui hat da schon Vorarbeit geleistet.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.06.2014 aktualisiert um 10:23:46 Uhr
Goto Top
Zitat von @garlic:

Noch ein nachtrag zu Deinen "Ideen":

1) Layer 3 Switch. Dann könnte ich routen, aber Layer 3 Switches sind viel zu teuer für so eine Anwendung.

Nunja, nicht mal der Tod ist umsonst, der kostet einen das Leben.

2) 2te Netzwerkkarte im NAS: Geht nicht, simpler NAS.

besseren NAS kaufen? und den alten bei epay vertickern?

3) Statische IP-Adressen im selben Subnet verwenden und Gateways manuell eintragen: Find ich irgendwie unschön...

Und gibt immer wieder Probleme, wenn man icht genau weis, was man tut.

4) Router im Netzwerk. Siehe 1)

10€ sind zu teuer?

5) Subnetmaske auf 255.255.0.0 ziehen am NAS und den jeweiligen Clients: Finde ich nicht so schön, müsste aber gehen,
oder?

Ganz schlechte Idee. udn funktioniert nicht so wie Du Dir das denkst. Fürht zu verbindungsproblemen wegen mißverständnissen was netz udn was Host ist.

6) VLAN am Switch bridgen: Ich glaube das kann mein simpler TP-Link Smart Switch nicht... (35€... jaja...)

Dann kannst Du Dir auch das VLAN sparen.

7) Assymetrisches VLAN: Habe ich irgendwo gelesen, aber nicht ganz verstanden, wie man das konfiguriert. Klingt wie bridgen in nur
eine Richtung, aber ob das der TP-Link kann und was das genau ist, ist mir nicht klar...

Für 35€ ? Nunja, man bekommt schon viel für wenig geld aber irgendow ist schluß.

Habt ihr eine einfache Idee, wie ich das auf Layer 2 gelöst bekomme und trotzdem die Netzwerke halbwegs getrennt bleiben?


Du könntest VLANs auf den Clients aktivieren udn hättest so bei den Kisten, die ins "andere" netz müssen eine zweite NIC. Dann mußt Du deinem Baumarktswitch nur sagen, daß die beide VLAns auf den Client geswitcht werden sollen.

lks
Mitglied: garlic
garlic 29.06.2014 um 19:46:29 Uhr
Goto Top
So, danke erstmal!

Ich gönne euch ja auch ein wenig Hybris face-smile
Im Privatsektor ist das halt was anderes als in der Firma - ich will ja nur ein Share einrichten und das lohnt halt nicht, wenn man mehrere 100€ in die Hand nehmen muss.
Der günstige Router scheint mir jedoch die beste Alternative zu sein!

Zum Kabel: Wir wohnen Hof an Hof und haben es im Kabelkanal verlegt und extra Erdkabel genommen - es geht um 11,5 Meter außerhalb der Gebäude. Wenn ich Glasfaser verlege, brauche ich einen optisch-wandler usw. Ich finde das bei 11,5 Metern einfach übertrieben - oder sehe ich das falsch?

Nun schaue ich mir mal den Router an!

VG, Garlic
Mitglied: garlic
garlic 29.06.2014 aktualisiert um 21:11:42 Uhr
Goto Top
Noch eine Frage bzgl. der Idee von shadynet:

Wenn ich keine VLANs definiere, weil der Router auf Level 3 trennt - habe ich dann nicht ein Problem mit Broadcasts z.B. bei DHCP Servern?! Denn wenn ich auf IP Ebene trenne - und die Clients aber noch gar keine IP haben - wir kann ich das dann verhindern/trennen?

Und: Kann ich bei dem RB750GL auch übrige Ports als normale switching-Funktion nutzen? Würde mir an der Stelle einen Switch sparen.

VG, Garlic
Mitglied: mhappe
mhappe 30.06.2014 um 02:12:31 Uhr
Goto Top
Es geht dabei nicht im die Länge der Cat7 Verkabelung, sondern darum das du dir per Cat7 keine potenzialfreie Verbindung zwischen beiden Gebäuden geschaffen hast und es so zu Potenzialverschleppungen kommt. Deshalb gehören Verbindungen zwischen verschiedenen Gebäuden immer per LWL ausgebaut egal wie kurz oder lang die Strecke ist. Gibt auch schon recht preiswerte kleine managed Switche mit 8-10 RJ45 Ports und dann 2 SFP Slots, für mini-GBICs, dann entfällt der medienconverter auch.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 30.06.2014 um 18:16:21 Uhr
Goto Top
Zitat von @mhappe:

Es geht dabei nicht im die Länge der Cat7 Verkabelung, sondern darum das du dir per Cat7 keine potenzialfreie Verbindung
zwischen beiden Gebäuden geschaffen hast und es so zu Potenzialverschleppungen kommt. Deshalb gehören Verbindungen
zwischen verschiedenen Gebäuden immer per LWL ausgebaut egal wie kurz oder lang die Strecke ist.

nun ja, mann könnte auch eine dicke Kupferscine zum Potentialausgleich dazulegen. man muß nur aufpassen, daß die gut gsichert ist, weil ansonsten Buntmetallräuber sowas gern mitgehen lassen. face-smile

lks