tez2009
Goto Top

VLANs ins Internet bringen

Hallo, habe noch nicht all zu viel Erfahrung mit Einrichtung und Konfiguration von VLANs und suche deshalb hier ein wenig unterstützung.
Habe die Suche bereits bemüht und auch gute Beiträge gefunden, jedoch beantworten diese noch nicht alle meiner Fragen.

So folgende Ausgangssituation: Ein Kunde möchte ein Netzwerk mit 5 festen Mitarbeitern eingerichtet haben, dann noch ein netzwerk (räumlich getrennter anderer Raum) wo freie Mitarbeiter sich an UAE´s anschließen können und ebenfalls auf das Netzwerk + Internetzugang zugreifen können (also selbes VLAN).

Dann soll noch gästen ermöglicht werden auf das Internet zuzugreifen jedoch nicht auf die Firmendaten (2. VLAN) aus sicherheitsgründen soll alles kabelgebunden realisiert werden.

So, nun habe ich einen VLAN-fähigen switch und dort statische Ports eingerichtet für 2 VLAN´s. Die Rechner die sich an die jeweiligen Ports anschließen sind damit ja nun direkt in einem VLAN "eingeloggt" und können nicht auf andere Rechner in einem anderen Vlan zugreifen.

Die festen Mitarbeiter PC´s bekommen die IP´s 192.168.1.10 - 192.168.1.15.
Müssen die 2 VLAN´s unterschiedliche Subnetze haben? Also das VLAN 2 dann z.B. 192.168.2.0 hat oder kann das Vlan2 auch im gleichen Netz wie VLAN1 sein?

Wenn nein, kann ich im switch einstellen das die rechner die sich in port x anschließen automatisch ip y bekommen? Oder wie ist dies sonst zu realisieren?

Jetzt sollen beide VLANs ja voneinander getrennt sein jedoch über die gleiche Internetverbindung sich einwählen können. Also brauche ich ja schonmal einen Router der VLAN-tagging unterstütz, richtig? Wenn jetzt aus einem VLAN Daten zum Router rausgesendet werden ist im Header ja ein VLAN Tag gesetzt damit der Router weiß von welchem VLAN die Daten kommen, richtig? Wenn nun eine Rückantwort von "draußen" zum router kommt, ist dann immer noch ein VLAN Tag gesetzt, oder wenn nicht woher weiß der Router nun wohin er die Daten zu senden hat?

Reicht es nun einen VLAN-tagging Router mit mehreren Ports zu haben und je ein Kabel zu beiden VLAN´s zu ziehen?
Es soll halt die möglichst einfachste und kostengünstigste variante gefunden werden.

Das ganze soll wenn möglich halt ohne Server realisiert werden, habe aber hier ne Anleitung gefunden das man auch einfach einen Windows Rechner mit ner Netzwerkkarte die VLAN Tagging unterstützt einsetzen kann, auf der Netzwerkkarte die VLANs einstellt und die IP des Rechners als Gateway bei allen clients eingibt, und dann geht auch ein Internetzugang-wo hängt dann der Router?

Ein layer 3 Switch soll nicht verwendet werden.

So bedanke mich schonmal im Vorraus für die Antworten,

Tez

PS; Achja, kann ich auch einen Drucker einrichten auf den beide VLANS zugreifen können?

Content-Key: 114926

Url: https://administrator.de/contentid/114926

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: dog
dog 29.04.2009 um 09:30:26 Uhr
Goto Top
Müssen die 2 VLAN´s unterschiedliche Subnetze haben?

Theoretisch nicht. In deiner speziellen Anwendung aber auf jeden Fall!

das die rechner die sich in port x anschließen automatisch ip y bekommen? Oder wie ist dies sonst zu realisieren?

Entweder du benutzt pro VLAN einen eigenen DHCP-Server oder du stellst bei dem Switch die "helper-address" ein und benutzt einen DHCP-Server der nur statische Vergabe macht.

Also brauche ich ja schonmal einen Router der VLAN-tagging unterstütz, richtig?

Nicht zwingend. Du brauchst nur einen Router, der mehrere konfigurierbare LAN-Interfaces unterstützt.

Wenn nun eine Rückantwort von "draußen" zum router kommt, ist dann immer noch ein VLAN Tag gesetzt, oder wenn nicht woher weiß der Router nun wohin er die Daten zu senden hat?

Da du mit hoher Sicherheit einen NAT-Router benutzen wirst, musst du dir darum keine Sorgen machen - das Umschreiben der Pakete macht der Router automatisch.

Reicht es nun einen VLAN-tagging Router mit mehreren Ports zu haben und je ein Kabel zu beiden VLAN´s zu ziehen?

Vorsicht! "Tagged" bedeutet eben genau, dass du mehrere VLANs über ein Kabel transportierst. Nur in der "Untagged"-Konfiguration brauchst du ein Kabel pro VLAN.

PS; Achja, kann ich auch einen Drucker einrichten auf den beide VLANS zugreifen können?

Ja, mach einfach ein drittes VLAN mit dem Router und Drucker und konfigurier die Firewall des Routers so, dass Datenverkehr zum Subnet des Druckers aus den beiden Anderen erlaubt ist.
Mitglied: aqui
aqui 29.04.2009, aktualisiert am 18.10.2012 um 18:38:05 Uhr
Goto Top
Das Koppeln der VLANs löst du am besten mit einer Firewall wenn du keinen L3 Switch verwenden willst.
Die kann dann auch gleich die Authentifizierung für das Gäste LAN/WLAN übernehmen.

Wie man das einfach realisiert kannst du hier sehen:

WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Du kannst natürlich auch mit einem tagged Link vom Switch auf die Firewall arbeiten, denn die supportet auch tagged VLANs, wenn du die Einzelstrippen vermeiden willst.
Wie man das realisiert kannst du hier sehen:

VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: Tez2009
Tez2009 29.04.2009 um 09:50:47 Uhr
Goto Top
Zitat von @dog:
> Müssen die 2 VLAN´s unterschiedliche Subnetze haben?

Theoretisch nicht. In deiner speziellen Anwendung aber auf jeden
Fall!
> das die rechner die sich in port x anschließen automatisch
ip y bekommen? Oder wie ist dies sonst zu realisieren?
Entweder du benutzt pro VLAN einen eigenen DHCP-Server oder du
stellst bei dem Switch die "helper-address" ein und benutzt
einen DHCP-Server der nur statische Vergabe macht.
Gut, also brauche ich wirklich einen richtigen Server? Oder kann ich die DHCP Funktion nicht auch im Switch oder Router einstellen? Ich weiß das meine Fritzbox zu hause ja auch eine dhcp funktion integriert hat.
Das VLAN1 ist ja nicht das problem, dort sind ja die festen mitarbeiter dort kann ich an den clients ja die ip festlegen, nur die freien MA .. befinden sich ja im gleichen VLAN. Also lass ich es besser mit fester ip einstellen und gehe dann einfach im switch/router die dhcp funktion für die vlans aktivieren?

Und wenn ich dhcp auch für vlan 2 aktiviere, gibt er dem netz dann auch autom. ein anderes subnetz oder muss ich da dann auch noch was manuell verstellen?
> Also brauche ich ja schonmal einen Router der VLAN-tagging
unterstütz, richtig?

Nicht zwingend. Du brauchst nur einen Router, der mehrere
konfigurierbare LAN-Interfaces unterstützt.
Welchen Router könnte ich da als Bsp. benutzen?

> Reicht es nun einen VLAN-tagging Router mit mehreren Ports zu
haben und je ein Kabel zu beiden VLAN´s zu ziehen?

Vorsicht! "Tagged" bedeutet eben genau, dass du mehrere
VLANs über ein Kabel transportierst. Nur in der
"Untagged"-Konfiguration brauchst du ein Kabel pro VLAN.
> PS; Achja, kann ich auch einen Drucker einrichten auf den beide
VLANS zugreifen können?
Ja, mach einfach ein drittes VLAN mit dem Router und Drucker und
konfigurier die Firewall des Routers so, dass Datenverkehr zum Subnet
des Druckers aus den beiden Anderen erlaubt ist.

Also VLAN 1 mit meinetwegen 12 Ports im Switch festlegen VLAN 2 mit 10Ports und VLAN 3 mit 2 Port wo Drucker und Router dranhängen.

Und dann lasse ich das mit dem tagged einfach weg, und ziehe in kabel vom Router in vlan 1 und eins in vlan2.
Das wars dann?

Dankeschonmal,

Tez
Mitglied: Tez2009
Tez2009 29.04.2009, aktualisiert am 18.10.2012 um 18:38:05 Uhr
Goto Top
Zitat von @aqui:
Das Koppeln der VLANs löst du am besten mit einer Firewall wenn
du keinen L3 Switch verwenden willst.
Die kann dann auch gleich die Authentifizierung für das
Gäste LAN/WLAN übernehmen.

Wie man das einfach realisiert kannst du hier sehen:

WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Du kannst natürlich auch mit einem tagged Link vom Switch auf
die Firewall arbeiten, denn die supportet auch tagged VLANs, wenn du
die Einzelstrippen vermeiden willst.
Wie man das realisiert kannst du hier sehen:

VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Sorry für den Doppelpost, aber habe mir das gerade durchgelesen und das klingt wirklich genial.

Würde denn theoretisch es nach folgenden Aufbau funktionieren?

Internet -> einfachen FritzBox Router m. intergr. Modem -> Switch (an dem hängt das Firmennetzwerk dran + dem M0n0wall Rechner) -> M0n0wall Rechner -> FritzBox WLAN Router -> die gastclients.

Trennt der M0n0wall also wie ein VLAN die beiden Netzwerke auch voneinander? Das wäre ja deutlich besser als mit VLANs das Netzwerk einzurichten, da ich hier ja auch noch eine Loginseite realisieren kann ohne großen Aufwand.

DHCP kann ich für das Firmennetzwerk dann im M0n0wall Rechner einstellen?

Dankeschonmal

Tez
Mitglied: aqui
aqui 29.04.2009, aktualisiert am 18.10.2012 um 18:38:05 Uhr
Goto Top
Ja, die Firewall trennt die beiden LAN Segmente vollkommen voneinander. Wenn du 3 Netzwerkinterfaces benutzt dann benötigst du keinen getaggten VLAN Trunk sondern kannst in jedes VLAN auf dem Switch eine Strippe ziehen oder 2 getrennte Switches verwenden.
Die Firewall hat den Vorteil das du für Drucker usw. kleine Löcher ins Netz bohren kannst um z.B. Drucker aus beiden Netzen zu bedienen was du ja auch vorhast !

Die FB die das WLAN im Gastsegment bedient musst du dann zu einem dummen WLAN Accesspoint machen ! Sie darf nicht als Router betrieben werden !!!

Wie das geht sagt dir dieses Tutorial:

Kopplung von 2 Routern am DSL Port

Damit ist die Realisierung deines Netzes ein Kinderspiel !!
Mitglied: Tez2009
Tez2009 29.04.2009 um 11:04:27 Uhr
Goto Top
Super, dankeschön! Besser geht es glaube nicht ;)

Kann ich das zu Hause theoretisch auch nachbauen und mal testen?

Habe eine normale Fritbox Fon Wlan 7270 einen Desktop PC und ein Laptop.

Mir fehlt zwar nun ein 2. Router als AP fürn Laptop bzw. ein switch/hub o.ä. aber wenn ich mein desktop pc als m0n0wall einrichte und da den wlan router ranklemme müsste es doch auch funktionieren, auch wenn ich dann natürlich kein 2. Netzwerk habe, oder?
Mitglied: aqui
aqui 29.04.2009, aktualisiert am 18.10.2012 um 18:38:05 Uhr
Goto Top
Wenn du nur eine Netzwerkkarte im Test PC hast, dann musst du bei mehreren VLANs zwangsweise mit einem tagged Link arbeiten wie im o.a Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wie willst du sonst unterschiedlich getrennte netze realisieren ??

Hast du 2 Karten drin ist das kein Thema, denn dann kannst du die Trennnung testen. Ggf. kaufst du für 5 Euro eine zusätzliche Karte im PC Shop um die Ecke oder beim Blösmarkt !
Den AP benötigst du nicht unbedingt, denn der bridged ja nur in das Gast LAN Segment. Du kannst hier auch mit einer Kupferverbindung testen !