Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Anleitung Netzwerke

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

01.03.2009, aktualisiert 19.10.2016, 186497 Aufrufe, 66 Kommentare, 9 Danke

Das folgende Tutorial beschreibt in einzelnen und einfach nachvollziehbaren Schritten, wie man die o.a. Firewall oder Router in eine bestehende, oder auch neu zu installiernde VLAN-Switch Infrastruktur, integriert bzw. an VLAN fähige Switches anschliesst um zwischen VLANs routen zu können, wenn kein Layer 3 (Routing) Switch verfügbar ist.
Damit ist eine sichere Kommunikation und Firewall Funktionalität zwischen (V)LANs (z.B. einem Gäste Netz abgetrennt vom Firmennetz) einfach und schnell realisierbar.
Die Verwendung von pfSense ist dabei nicht zwingend ! Das Tutorial zeigt eine allgemeine Lösung am Beispiel einfacher und preiswerter VLAN fähiger Router oder Firewalls.
Die VLAN Grundprozeduren zur Konfiguration gelten generell auch für andere Netzwerk Komponenten (Switches, Router, Firewalls, Server etc.) die allgemein VLANs nach dem IEEE 802.1q Standard supporten.



Allgemeines zum Thema VLAN:

Das folgende Tutorial behandelt das Einrichten und Routen von VLANs auf Switches und Routern/Firewalls, also dem Segmentieren von Netzen was generell Skalierbarkeit und Performance in LAN Netzen sicherstellt.
Es wird vorausgesetzt das ein wenig Basiswissen zum Thema VLANs und VLAN-Tagging nach dem IEEE 802.1q Standard und VLANs im Allgemeinen vorhanden ist !
Als Basis Lektüre zum weiteren Verständnis und speziell zu diesem Thema VLAN sind folgende Informationen hilfreich und sinnvoll zu lesen:

Netzmafia:
http://www.netzmafia.de/skripten/netze/netz7.html#7.12
Edi's VLAN Tutorial:
http://www.schulnetz.info/2011/04/
bzw.
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
Als Video bei YouTube:
https://www.youtube.com/watch?v=TuGoZ9TgTOA
https://www.youtube.com/watch?v=Dah0wXQz0Q4
und
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
und auch VLANs auf Servern und Endgeräten:
http://www.administrator.de/VLAN_Routing_%C3%BCber_802.1q_Trunk_auf_MS_ ...

Das Tutorial lehnt sich bei einigen der hier vorgestellten Hardwarelösungen an bereits bei Administrator.de bestehende Tutorials an wie z.B. das Einrichten einer pfSense Firewall:
http://www.administrator.de/index.php?content=149915
oder auch das Tutorial zum Captive Portals bzw. Gäste Hotspots mit dieser Firewall:
http://www.administrator.de/index.php?content=91413
Oder bezieht sich auf Router Reviews wie z.B. das zum beliebten Mikrotik RB750(G)
http://www.administrator.de/contentid/124700

Diese Anleitung zur Einrichtung von VLAN Support ist keineswegs fest auf auf die o.a. pfSense Firewall bezogen, sondern kann ebenfalls problemlos für eine allgemeine Integration von VLAN (Tagging) fähigen Endgeräten in eine bestehende VLAN Umgebung verwendet werden, um so die Kommunikation zwischen VLAN Segmenten sicherzustellen.
Zwei weitere Punkte befassen sich mit der Einrichtung von VLANs bzw. VLAN Routing auf einem Router mit der populären DD-WRT Firmware auf WRT54GL oder Buffalo WZR HP-G300NH usw. Hardware und auf dem sehr preiswerten Mikrotik_RB750 Router bzw. dem hexLite Modell als seinen Nachfolger !
Die Linkliste am Schluß verweist zusätzlich auf die VLAN Konfiguration von Netzwerk Karten in Windows und Linux Rechnern unter anderem auch dem populären Raspberry Pi.

Alles in allem also eine Universalanleitung um eine Kommunikation zwischen VLANs bzw. VLAN Switches zu ermöglichen wenn diese LAN Switches keine interne Layer 3 (Routing) Fähigkeit besitzen !
Nur zum Verständniss: Niemals darf man VLAN mit VPN verwechseln !
VLAN Technik bietet keine Verschlüsselung. Sie sorgt lediglich für einen Trennung, sprich das sich 2 und mehr Netzwerk Segmente (Subnetze) innerhalb eines VLAN Switches nicht "sehen", hat also mit "VPN" rein gar nichts zu tun.

Generell sind VLANs damit also völlig getrennte LAN Segmente (Layer 2 Broadcast Domains) auf einer Physik, sprich einem LAN Switch die per se erstmal nicht miteinander kommunizieren können. Sie verhalten sich wie physisch völlig getrennte LAN Netzwerke.
Kommunikation kann nur ein Router zwischen den VLANs herstellen.
Die grafische Funktionsübersicht eines Netzes mit VLAN Segmentierung zeigt das folgende Bild:
1fef1f59630bab64b639cd8956cd5de8-vlanklein - Klicke auf das Bild, um es zu vergrößern

(Statt des Server Symbols kann man sich auch ein Router Symbol denken.)

Dieses Tutorial geht nicht im Detail auf die Installation von pfSense und seine Router- bzw. Firewall und VPN Funktionen ein. Auch nicht auf das Flashen von DD-WRT Firmware auf den dafür passenden Routerplattformen.
Die vollständige Installationsprozedur für alle diese Hardwarelösungen beschreiben die u.g. Tutorials hier im Forum oder weitere Threads unten in den Weiterführenden Links.

Die mit ca. 35 €uro preiswerteste Möglichkeit einfach und effektiv zwischen VLANs zu routen und Firewalling zu nutzen bietet ein Mikrotik Router RB 750 oder RB 750G (Gigabit) oder der aktuelle Nachfolger hexLite wie hier im Forum vorgestellt:
http://www.administrator.de/index.php?content=124700
Für größere Installationen in Bezug auf Ports und Performance ist aber eher ein Mikrotik 2011 empfehlenswert:
http://varia-store.com/Hardware/MikroTik-Routers/MikroTik-RouterBoard/R ...
bzw. ohne grafische Statusanzeige auf dem Front Panel bzw. wer darauf verzichten möchte:
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/Mikrotik- ...
Diese Hardware ist auch Grundlage des Tutorials zum Routing zwischen 2 und mehr LAN IP Netzen:
http://www.administrator.de/index.php?content=56073#toc16

Wer mehr Sicherheit bei der VLAN Segmentierung fordert dem empfiehlt sich natürlich immer der Einsatz einer kleinen VLAN fähigen Firewall:
http://www.administrator.de/contentid/149915
Diese Hardware ist auch wiederum Grundlage des Captive Portal / Hotspot Tutorials für Gastnetze hier bei Administrator.de. Das u.a. Kapitel Praxisbeispiel beschreibt die Integration von Gstnetzen in eine VLAN Infrastruktur im Detail::
http://www.administrator.de/WLAN_oder_LAN_Gastzugang_einrichten_mit_ein ...
Infos zu DD-WRT Firmware findet man detailiert auf deren Webseite bzw. Wiki und in Teilen hier:
http://www.administrator.de/index.php?content=123285#toc2
Los gehts...


VLAN Netzdesign und Switches

VLAN fähige Switches sind heute mittlerweile gang und gäbe und das auch im billigen Consumer Bereich. Alle Hersteller in diesem Comodity Bereich haben sich auf den Produktnamen Websmart Switches geeinigt, welche sich über ein einfaches Webinterface konfigurieren lassen.
Populäre einfache Vertreter sind z.B.:
NetGear_GS105E_und_108E
D-Link_DGS-1210-16 bzw. die baugleiche 24 und 48 Port Variante
Trendnet_TEG-160WS
Cisco_SLM2024
Cisco_SG-200 (Sogar mit 8 Port Model und PoE)
HP-1700_Switch
Alle anderen Consumer Marken wie Allnet, Longshine & Co. sind ebenfalls mit entsprechenden Modellen vertreten.
Bei Premium Marken wie Cisco, Extreme, Brocade, Juniper ist die VLAN Funktionalität selbstverständlich.

Es wird für die folgenden Beispiele vorausgesetzt das bereits ein VLAN Switch vorhanden ist, der die entsprechenden VLAN IDs eingerichtet hat (IDs 10, 20 30 usw.) und ein Switchport, der sog. Uplink oder "Trunk" Port ist, wo alle VLANs tagged übertragen werden.
Pakete erthalten an diesem Port vom Switch einen VLAN Tag mit der Angabe des VLANs. Über diese VLAN ID Ziffer kann ein empfangener Switch oder Endgerät dieses Paket sofort wieder dem richtigen VLAN zuordnen.
In den beiden Switch Beispielkonfigurationen von Cisco und HP unten ist dies immer der Switchport 1 !
Generell kann die VLAN Zuordnung zu jedem vorhandenen Hardware Interface der pfSense Firewall, Router oder Server gemacht werden.
Als Beispiel für dieses Tutorial dient hier das VLAN Trunking auf dem Standard LAN Interface vr0 der pfSense (ALIX Hardware)

3523cdb54040ecf1995687a980d623f2 - Klicke auf das Bild, um es zu vergrößern

Analog kann dies natürlich auch auf dem WAN Interface vr1 oder dem dritten physischen "OPT" Interface vr2 (sofern vorhanden) passieren, sollte man z.B. mehrere unabhängige Gast VLANs, Firmen VLANs oder generell mehrere unabhängige IP Segmente (Netze) einrichten wollen.
Auch eine VLAN Struktur an mehreren Interfaces parallel ist machbar, wenn auch weniger sinnvoll.

Wichtig ist hierfür immer das sog. Parent Interface (Basis Interface) an der pfSense, zu dem die VLANs bzw. deren ID Taggings korrespondieren.
Will man also wie hier im Beispiel das LAN Interface (vr0) als sog. "Parent" Interface für die VLANs verwenden, dann wird das Default VLAN 1 hier untagged übertragen und alle weiteren VLANs auf diesem Interface mit einem 802.1q Tag versehen, denn entsprechende VLAN fähige Switches dann wieder verstehen.
Wenn Router/Firewall und VLAN-Switch auf dem Tisch liegen kanns losgehen...


VLAN Setup auf dem Netzwerk Switch

Es gibt eine Vielzahl solcher Switches am Markt, da die Netz Segmentierung mit VLANs heutzutage auch in kleineren Netzen mittlerweile zum Standard gehört.
Zum erfolgreichen Anschluss der VLAN Router oder Firewall Konfiguration an eine bestehende Switch Infrastruktur mit VLAN Nutzung gehört natürlich zuallererst auch die Betrachtung der Switch Konfiguration bzw. der Anschluss des so eingerichteten Router Ports an einen VLAN fähigen Switch. Dies geschieht immer über einen sog. Tagged Uplink !
Die Einrichtung wird deshalb hier beispielhaft an zwei VLAN fähigen Switches wie dem Cisco Catalyst 29xx und einem billigen HP ProCurve Switch beschrieben und zusätzlich an 2 sog. "Web Smart" Switches von D-Link und Trendnet.
Bei anderen VLAN oder Web Smart Switch Herstellern im Consumer Bereich ist das Verfahren analog ! Ggf. sogar per simplen Mausklick über das Web Management des Switches zu machen wie bei Linksys, D-Link oder NetGear u.a.

Die beschriebenen Switches haben im Beispieldesign folgende Portzuordnung:

Switch Port 1: Uplink Anschluss der o.a. konfigurierten pFsense/M0n0wall, Tagged Links für alle VLANs 10 bis 40 und VLAN 1 (Default VLAN)
Switch Port 10-11: Endgeräte (untagged) VLAN 10
Switch Port 12-13: Endgeräte (untagged) VLAN 20
Switch Port 14-15: Endgeräte (untagged) VLAN 30
Switch Port 16-17: Endgeräte (untagged) VLAN 40

Beispiel Konfiguration Cisco Catalyst IOS Switch
Cisco_Switch# 
 
clock timezone MET 1 
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00 
spanning-tree mode rapid-pvst 
spanning-tree extend system-id 
interface FastEthernet0/1 
 description Tagged Link zur Firewall 
 switchport mode trunk 
 switchport trunk encapsulation dot1q 
(switchport trunk allow vlan all)   -->> (neuere IOS Versionen) 
interface FastEthernet0/10 
 description Enduser Ports in VLAN 10 
 switchport access vlan 10 
 spanning-tree portfast 
interface FastEthernet0/11 
 description Enduser Ports in VLAN 10 
 switchport access vlan 10 
 spanning-tree portfast 
interface FastEthernet0/12 
 description Enduser Ports in VLAN 20 
 switchport access vlan 20 
 spanning-tree portfast 
interface FastEthernet0/13 
 description Enduser Ports in VLAN 20 
 switchport access vlan 20 
 spanning-tree portfast 
interface FastEthernet0/14 
 description Enduser Ports in VLAN 30 
 switchport access vlan 30 
 spanning-tree portfast 
interface FastEthernet0/15 
 description Enduser Ports in VLAN 30 
 switchport access vlan 30 
 spanning-tree portfast 
interface FastEthernet0/16 
 description Enduser Ports in VLAN 40 
 switchport access vlan 40 
 spanning-tree portfast 
interface FastEthernet0/17 
 description Enduser Ports in VLAN 40 
 switchport access vlan 40 
 spanning-tree portfast 
interface Vlan1 
 ip address 172.16.1.254 255.255.255.0 
 no ip route-cache 
no ip http server 
ip http secure-server 
end
Beispiel Konfiguration HP Switch
HP_Switch# 
 
time timezone 60 
time daylight-time-rule Middle-Europe-and-Portugal 
spanning-tree protocol-version rstp 
spanning-tree force-version rstp-operation 
exit 
interface 1 
   name "VLAN Tagged Link zur Firewall" 
exit 
vlan 1 
   name "DEFAULT_VLAN" 
   untagged 1-9 
   ip address 172.16.1.254 255.255.255.0 
   exit 
vlan 10 
   name "Firma" 
   untagged 10-11 
   tagged 1 
   exit 
vlan 20 
   name "Firmen WLAN" 
   untagged 12-13 
   tagged 1 
   exit 
vlan 30 
   name "Server" 
untagged 14-15 
   tagged 1 
   exit 
vlan 40 
   name "Gaeste Netzwerk" 
untagged 16-17 
   tagged 1 
   exit
Beispiel Konfiguration Dell PowerConnect Switch
interface Ethernet 1 
 description Tagged Link zur Firewall 
 switchport mode trunk 
 switchport trunk allowed vlan 10-40 
interface Ethernet 10 
 description Enduser Ports in VLAN 10 
 switchport mode access  
 switchport access vlan 10 
interface Ethernet 11 
 description Enduser Ports in VLAN 10 
 switchport mode access  
 switchport access vlan 10 
interface Ethernet 12 
 description Enduser Ports in VLAN 20 
 switchport mode access  
 switchport access vlan 20 
interface Ethernet 13 
 description Enduser Ports in VLAN 20 
 switchport mode access  
 switchport access vlan 20 
interface Ethernet 14 
 description Enduser Ports in VLAN 30 
 switchport access vlan 30 
 switchport mode access  
interface Ethernet 15 
 description Enduser Ports in VLAN 30 
 switchport access vlan 30 
 switchport mode access  
interface Ethernet 16 
 description Enduser Ports in VLAN 40 
 switchport access vlan 40 
 switchport mode access  
interface Ethernet 17 
 description Enduser Ports in VLAN 40 
 switchport mode access  
 switchport access vlan 40 
! 
Bei Cisco und Dell sind vorher die VLANs mit dem Kommando vlan-database einzurichten ! Neuere Cisco IOS Versionen benötigen dies nicht mehr. Dort reicht z.B. ein "vlan 10" als Kommando.
Weitere Details zum Thema VLANs und deren Konfiguration speziell auf Cisco und HP Switches findet man auch HIER im hiesigen Forum.

Beispiel Konfiguration Cisco Switch SG-200er Serie
Den Reigen der Beispielkonfigurationen für die zahllosen SOHO (Small Office, Home Office) Web Smart Switches eröffnet ein Cisco aus der SF bzw. SG-200er Serie.
Die Konfiguration ist in der Grundstruktur immer gleich wie die folgenden Screenshots aus einer Auswahl verbreiteter Web Smart VLAN Switches zeigen.
Sie besteht immer aus den zwei Schritten: VLAN einrichten, Switchports den VLANs tagged (mit VLAN ID) oder untagged zuordnen:
bf6207dd2b97f34a2198e0d01cbf582a - Klicke auf das Bild, um es zu vergrößern
4ae873dec92dbf8419d0b4a4f0001b8d - Klicke auf das Bild, um es zu vergrößern
Der Port G8 ist hier der tagged Port im VLAN 10 der mit dem o.a. beschriebenen Router/Firewall verbunden ist.

Beispiel Konfiguration Web Smart Switch Trendnet TEG-160WS
Der Trendnet TEG-160WS ist ein Web Smart Switch der rein über ein Web Interface konfiguriert wird:
7636cec6d85db611bae10d58624e31b2 - Klicke auf das Bild, um es zu vergrößern
(Uplink Port zur VLAN Firewall Router ist hier Port 16 !)

Verbindet man nun den Uplink Port (Port 1) des Switches (Port 16 beim o.a. Trendnet Beispiel) mit dem VLAN Port der Firewall (LAN Port) steht einem ersten Test nichts mehr im Wege !

Ein Ping zwischen Endgeräten in den unterschiedlichen VLANs sollte nun problemlos möglich sein sofern die Firewall Regeln entsprechend stimmen !
Über diese Regel ist hinterher, sofern gewünscht, eine Einschränkung der Kommunikation sehr leicht möglich um z.B. Gast VLANs mit eingeschränkten Zugriffsrechten zu betreiben und andere VLANs vor unberechtigtem Zugriff zu schützen.

Beispiel Konfiguration Web Smart Switch D-Link DGS-1210
Auch hier ist die VLAN Einrichtung über das WebGUI wieder identisch:
ba61ec571d2fb2e4c5c5bdc02a8fc51d - Klicke auf das Bild, um es zu vergrößern

Beispiel Konfiguration NetGear Prosafe GS10xE Serie
NetGear bietet mit dem GS105E und dem GS108E zwei konkurenzlos preiswerte VLAN Switches. Der GS105E dürfte mit 25 Euro Straßenpreis einer der günstigsten VLAN Switches am Markt sein.
Bei viel Freud gibt es auch wie immer einiges Leid, denn der NetGear bietet einige Fussfallen bei der VLAN Konfiguration wie es diverse Leidensthreads hier im Forum leider belegen.
Deshalb hier eine wasserdichte Anleitung wie man die etwas gewöhnungsbedürftige VLAN Konfiguration bei NetGear Switches sicher in den Griff bekommt.
Die kleinen NetGear Modelle GS105E und 108E bieten kein WebGUI das erst ab den 108Tv2 Modellen und aufwärts verfügbar ist. Das ProSafe Installationstool ist aber ähnlich zur WebGUI so das die Konfiguration analog ähnlich wie mit dem WebGUI ist.
Hat man den Switch mit dem Tool im Netz erkannt, ist es ganz wichtig bei der VLAN Installation den Button 802.1q und NICHT den Button "Port basiert" anzuklicken. "Port basiert" ist ein nicht standardkonformes NetGear Verfahren, kann also nicht mit anderen Switches kombiniert werden !
Fazit also: nur einzig "802.1q" klicken und dann "Erweitert".

Die darauf folgende Warnung das alle vorherigen VLAN Konfigs gelöscht werden kann man getrost abnicken !
1.) Der erste Schritt ist die Einrichtung der VLAN IDs (hier aus dem Tutorial Beispiel 10, 20 und 30):
f3ab388dc0ce52a76b702fb39c7371ed - Klicke auf das Bild, um es zu vergrößern

2.) Der zweite Schritt ist die Zuweisung der Ports zu den VLANs. Im Beispiel Screenshot ist hier der Uplink Port (Tagged) der Port 5 und der Endgeräteport (Untagged) der Port 4 für das VLAN 10. NetGear kennzeichnet die Ports entsprechend mit "U" und "T" wenn man in den Port klickt.
Analog geht man so für alle Ports der anderen VLANs vor:
bd8f7c05e3ab8ef48848b601bbd411e9 - Klicke auf das Bild, um es zu vergrößern

3.) Der dritte Schritt ist eine NetGear Besonderheit (oder sollte man "Bosheit" sagen), die viel Verwirrung schafft und über die leider viele VLAN Anfänger stolpern bei NetGear Switch Hardware.
NetGear erzwingt bei untagged Ports, also Ports an dem Endgeräte wie PCs usw. angeschlossen werden, eine VLAN ID zu vergeben !
Andere Switchhersteller machen das automatisch mit der globalen VLAN Portzuweisung, nicht so NetGear. Hier gilt es also aufzupassen !
Man muss also untagged Ports explizit zusätzlich eine VLAN ID zuweisen, obwohl man diesen Port schon untagged in ein VLAN mit dem vorangegangenen Konfig Schritt gesetzt hat.
(Für die technisch interessierten: NetGear muss bei eingehendem untagged Traffic wissen in welches VLAN dieser Traffic geforwardet werden muss, deshalb die nochmalige dedizierte Zuweisung der zum Port gehörigen VLAN ID. Fehlt sie, landet der Traffic in VLAN 1)

Diese eigentlich überflüssige Prozedur von NetGear birgt leider gefährliches Fehlkonfigurations Potenzial !
Ist ein Port z.B. untagged in ein entsprechendes VLAN gesetzt worden, fehlt aber die dazu korrespondierende VLAN ID an dem untagged Port wird eingehender Traffic ins default VLAN 1 geforwardet. Ausgehender Traffic kommt aber aus einem anderen VLAN. Logisch das entsprechende VLAN Konfigs dann scheitern und Laien verstehen oft nicht warum. Leider ein großes "NetGear Problem".
Wichtig ist hier also zwingend darauf zu achten das entsprechende untagged Ports in den VLANs auch zusätzlich die korrekte, zu ihnen korrespondierende VLAN ID gesetzt bekommen !!!
Wenn man das Obige entsprechend aufmerksam beachtet und umsetzt funktioniert es aber fehlerlos.
Der folgende Screenshot zeigt wie es richtig und wasserdicht auszusehen hat:
71b1cff1bc6a8ba5a5c733b734018ef2 - Klicke auf das Bild, um es zu vergrößern

Wichtig: Der Uplink Port (Tagged) bleibt hier in der Default VLAN ID 1 !! Logisch, denn eingehender Traffic der tagged ist mit einer entsprechenden VLAN ID sagt dem Switch ja schon in welches VLAN er gehört !
Die o.a. zusätzliche VLAN ID Zuweisung betrifft also außschliesslich NUR untagged Ports !
Beachtet man das alles klappt auch die NetGear VLAN Installation fehlerlos !

Der nächste Abschnitt beschäftigt sich nun mit der VLAN übergreifenden Kommunikation, also dem VLAN Routing !


VLAN Routing mit pfSense Firewall

(Die Screenshots zeigen hier teilweise noch die abgekündigte Monowall aber die Konfigschritte sind bei der pfSense vollkommen identisch in deren WebGUI !)

In der Web Konfigurationsseite klickt man auf Interfaces assign um die VLANs dem Port zuzuweisen. Dann wählt man oben den Karteireiter VLANs.
Mit einem Klick auf das + gelangt man ins VLAN Menü und wählt hier das Parent Interface also das Interface über das die VLANs laufen sollen (Hier im Beispiel das "vr0" das LAN Interface).
Unter VLAN Tag trägt man seine VLAN ID ein z.B. 10 für das VLAN 10. Unter Description fügt man eine Beschreibung des VLANs ein. Diese ist lediglich kosmetisch, erleichtert aber das Arbeiten beim Mangement nacher, da man das VLAN und dessen Funktion so leichter identifizieren kann.

25fc4de38e1990a95efb93c06eac3975 - Klicke auf das Bild, um es zu vergrößern

Man wechselt wieder ins Menü Interfaces assign und klickt wieder auf das + Symbol rechts unten um die VLAN Interfaces der Konfig hinzuzufügen und die Konfig mit Save zu sichern. Daraufhin erscheinen die VLAN Interfaces nun auch in der Interface Auswahl am linken Menürand.

af2af81555d94fd2da08697e8d26234b - Klicke auf das Bild, um es zu vergrößern

Im nächsten Schritt muss man diesen VLANs natürlich noch IP Adressen zuweisen die später die Gateway IP Adressen der angeschlossenen Endgeräte sind !
Das geschieht mit dem Klick auf das VLAN Interface links im Menüpunkt Interfaces:

04713023d51ef039146642dca78500c7-vlan2 - Klicke auf das Bild, um es zu vergrößern

Man aktiviert dieses Interface indem man oben den Haken bei "Enable Optional Interface" setzt und konfiguriert unten dann die IP Adresse !
(Hier das Beispiel 192.168.10.1 für das VLAN 10 !)
Achtung: Der Aktivierungshaken ist wichtig, sonst ist das Interface inaktiv und forwardet keine Ethernet Pakete !!
Es ist sehr sinnvoll in Die vorgegebene Beschreibung von OPT in z.B. VLAN-10 durch Überschreiben zu ändern um ein späteres Identifizieren der VLAN Interfaces zu erleichtern.
Den Eintrag "Bridge with" belässt man auf none !

Ein weiterer wichtiger Punkt ist die Einrichtung eines DHCP Servers auf diesem VLAN Segment bzw. Interface. Die pfSense bietet dieses Feature für jedes einzelne Interface und somit auch für jedes einzelne VLAN was man einrichtet !
!! Achtung !!: Es sei dringenst angeraten unbedingt VORHER abzuklären ob in diesem Segment bzw. IP Netz am VLAN Interface ggf. schon ein DHCP Server (Server, anderer Router, Accesspoint usw.) vorhanden ist BEVOR man diesen auf der pfSense Firewall aktiviert und mit dem VLAN Netz verbindet !!!
Andernfalls besteht die Gefahr der IP Adress Dopplung und damit eines Adress- und Routing Chaoses durch konkurierende, mehrfache DHCP Server in einem IP Netz !
Das gilt es unbedingt zu verhindern.

Eingestellt und aktiviert wird der DHCP Server im Menüpunkt "DHCP Server" für das entsprechende Interface !

91f9b1e558292e57dc555d3177a4e6e3-vlan3 - Klicke auf das Bild, um es zu vergrößern

Ein weiterer wichtiger Punkt betrifft die Firewall Funktionalität.
Es sei nochmals darauf hingewiesen das die pfSense eine Firewall ist und kein nackter Router.
Setzt man also die VLANs auf ein freies Interface (LAN) oder ein anderes Interface sind per default erstmal alle Verbindungen geblockt wie bei einer Firewall üblich !!!
Man muss also über die Accesslisten bzw. den Menüpunkt Firewall Rules erst sein IP Netz, Adressen, Ports oder eine Kombination aus diesen für die Kommunikation freigeben !!!
Darin besteht ja auch der tiefere Sinn einer Firewall !!!

Um aufkommenden Frust erst einmal kleinzuhalten kann man eine einfache "Scheunentor" Regel aufsetzten, die erstmal alles erlaubt.
Das erreicht man unter Firewall -> Rules für das entsprechende Interface !

Eine Regel die für das VLAN 30 als Beispiel die eine Kommunikation überallhin komplett öffnet sieht so aus:

0c7d3114be4225fa20efe8ca3f37ce89-vlan4 - Klicke auf das Bild, um es zu vergrößern

Ggf. muss diese Regel später korrigiert werden wenn nicht jeder mit jedem kommunizieren soll oder nur bestimmte Anwendungen (Mail, RDP) usw. erlaubt sein sollen für diese VLAN Segmente !

Die pfSsense VLAN Grundkonfiguration ist mit diesem Schritt erst einmal beendet und die Firewall ist funktionsbereit.
Im nächsten Schritt ist der VLAN Switch dran !



VLAN Routing mit Mikrotik Routern

VLAN Routing ist auch recht einfach mit einem kleinen und leistungsfähigen 5 Port Router der MikroTik 750er Reihe möglich. Der Router ist hier bei Administrator.de beschrieben und ist mit ca. 30 Euro (100Mbit Version) sehr preiswert und bietet eine Fülle von Features. Die Gigabit fähige 750G_Variante ist mit ca. 50 Euro nur geringfügig teurer.
Der Mikrotik Router ist sehr einfach über sein Web Interface oder das mitgelieferte WinBox Tool konfigurierbar.
Ein Standard Routing zwischen 2 IP Segmenten beschreibt ein separates Tutorial bei Administrator.de.
Die VLAN Routing Konfiguration baut darauf auf und ist ebenso mit ein paar Mausklicks über das intuitive Konfigurationstool "Winbox" zu erledigen.
Der Mikrotik hat ab Werk eine Standard DSL Router Konfiguration die NAT auf Port 1 macht und die Ports 2 bis 4 auf einem Switch zusammenfasst. Diese Konfiguration können wir für unser Vorhaben nicht brauchen und sie muss vorher mit dem Kommando system reset-configuration skip-backup=yes no-default=yes im CLI oder WebGUI gelöscht werden.
Nach einem Reboot geht die Konfig dann sehr schnell indem man mit dem WinBox Tool die VLANs erzeugt und ihnen IP Interface Adressen zuweist:

1f85a686376184493d61996c0debb58c - Klicke auf das Bild, um es zu vergrößern

Die Switchkonfiguration ist analog zu oben.
Zusätzlich kann wie bei Monowall und pfSense auch ein DHCP für alle oder einige VLANs eingerichtet werden:

5df475748f480cae36e392dac208285b - Klicke auf das Bild, um es zu vergrößern

Weitere Detailinfos zu diesem VLAN Setup liefert auch dieser_Thread.
Der MikroTik ermöglich ein schnelles und auch preiswertes Routing in einer kleinen Box und ist im Preis- Leistungs Verhältnis unschlagbar, da er noch eine Fülle von Zusatzfunktionen bietet (Dynamisches Routing, VPN Server und Client, Firewalling, Hotspot usw.)
Die Firewall Filter sind allerdings nicht so einfach und leicht zu implementieren wie bei Monowall und pfSense über das Websetup und erfordern etwas mehr Einarbeitung, ist aber mächtiger in den Funktionen. Mann muss hier also selbst entscheiden.



VLAN Routing mit DD-WRT Routern

Ein einfaches, schnelles und unkompliziertes VLAN Routing lässt sich mit einem Router auf Basis der sehr populären DD-WRT Firmware machen.
Die folgende Abbildung zeigt das Prinzip Diagramm eines solchen Designs: (VLAN Anzahl ist auf 2 wegen der besseren Übersichtlichkeit reduziert !)
8ce4b5d68fcd5bf6ae2b2d29b73d1d7c - Klicke auf das Bild, um es zu vergrößern

Als Trunk Port der alle VLANs vom Switch zum Router transportiert wurde am Router hier im Beispiel der Port-1 am integrierten 4 Port Switch ausgewählt !
Die VLAN Einrichtung und die Zuweisung der Router IP Adressen pro VLAN ist mit ein paar Mausklicks im Router schnell erledigt:

Man startet dafür im Menüpunkt "Setup --> VLANs" wie die folgende Abbildung zeigt:
a73a8488d9ffb407e69c544ae816f878 - Klicke auf das Bild, um es zu vergrößern

Hier erkennt man das der Port-1 tagged konfiguriert ist für die VLANs 3 und 10. Hier wird auch der Trunk Uplink vom Switch angeschlossen !
Gleichzeitig sieht man hier im Setup auch die Einschränkung die die DD-WRT Firmware hat: Es sind nur maximal 15 VLANs erlaubt. Meist reicht das aber bei kleinen und mittleren Netzen problemlos aus, da dort nie mehr VLANs in Summe zum Einsatz kommen.
Sind die VLANs entsprechend so eingerichtet, klickt man unten auf "Apply" um die Konfiguration zuladen und dann auf "Save" um sie zu sichern !

Weiter geht es dann mit der Einrichtung der Router IP Interfaces pro VLAN im Menüpunkt "Setup --> Networking" was du untenstehende Abbildung zeigt:
b20846ced37fcea9bf155471b731b0ca - Klicke auf das Bild, um es zu vergrößern

Die Konfiguration ist fast selbsterklärend. Man kann die zur VLAN ID korrespondierenden IP Interfaces sehen die hier einfach für die beiden IP Netze 172.16.3.0 /24 in VLAN-3 und 172.16.10.0 /24 in VLAN-10 konfiguriert sind wobei die Router IP immer die .1 im jeweiligen VLAN IP Netz ist.
Auch hier wieder auf "Apply" um die Konfiguration zuladen und dann auf "Save" um sie zu sichern nicht vergessen !

Bequemerweise bietet DD-WRT auch noch gleich separate DHCP Server für diese VLAN Netze an ! Wer also keine eigenen DHCP Server in diesen VLANs betreibt, kann dann bequemerweise DD-WRT mit der Verteilung von IP Adressen in diesen VLANs beauftragen !
Im gleichen Menü "Setup --> Networking" erfolgen die dafür erforderlichen Einstellungen:
4c13f12669ea3ea59c1ac14919d41f83 - Klicke auf das Bild, um es zu vergrößern

Ab der Start IP Adresse .100 werden so in jedem VLAN dann max. 50 IP Adressen bis zur .149 durch den Router vergeben ! Wer mehr braucht, passt das entsprechend an.
Fertig ist man mit dem VLAN Routing mit DD-WRT basierender Hardware !!
Der folgende Screenshot zeigt den Ping eines Apple Mac Rechners der sich am Switch im VLAN-3 befindet mit der per DHCP vom Router vergebenen IP Adresse 172.16.3.130. Dieser Mac (kann natürlich auch ein PC sein...) pingt erfolgreich das Router IP Interface im VLAN-10.
108b6cc7d9268e912e32ea229bb07071 - Klicke auf das Bild, um es zu vergrößern

Sollen auch alle weiteren VLANs über den DD-WRT direkt ins Internet ohne einen weiteren Router im externen Netz, dann muss für diese VLAN IPs auch noch das Masquerading aktiviert werden unter Service -> "Local DNS" und "DNSmasq".
Hier dann im Feld "Additional DNSMasq Option" zusätzlich zu den bestehende Einträgen alle VLANs für die es relevant sein soll eintragen:
interface=vlan3
interface=vlan10
Je VLAN in dem auch NAT gemacht werden soll, eine Zeile!

Eine einfache, schnelle und preiswerte Möglichkeit eine Kommunikation zwischen VLANs zu realisieren wenn man auf weiteren Schnickschnack verzichten kann ! Ein zusätzlicher Thread hier beleuchtet noch einige weitere Details in der Praxis
Auf Goodies wie ein Captive Portal im Gästenetz muss man bei DD-WRT aber verzichten, da DD-WRT diese Option nicht bietet.

Es sei darauf hingewiesen das auch das freie Firmware Pendant OpenWRT analog ein solches VLAN Routing supportet !
Wie das auf einem 17 Euro Router TP-Link WR841N implementiert und umgesetzt wird beschreibt das Routing_Tutorial hier im Forum.



VLAN Routing mit Cisco RV110W

Wem das Flashen einer alternativen Firmware zu gefährlich ist findet aber auch kleine und preiswerte VLAN fähige Router "von der Stange". Ein Vertreter dieser Gattung ist der Cisco RV110W der zudem ein .11n fähigen WLAN Accesspoint integriert hat mit dem sich separate und sichere Gastnetze realsisieren lassen (Siehe "Praxisbeispiel" unten)
Die Konfigurationsschritte gleichen sich sehr stark denen der obigen Beispiele. Auch hier wieder die klassische Prozedur:
1.) VLANs und dazugehörige Ports einrichten (Tagged).
2.) IP Adressen und ggf. DHCP diesen VLANs zu ordnen:
d3ab9eb2bdb1192f2aebfb65cac526c9 - Klicke auf das Bild, um es zu vergrößern
Hier die IP Adressierung und ggf. DHCP Server:
7fbb5d1b597fb2862d6b7a17c5d3a5d0 - Klicke auf das Bild, um es zu vergrößern
Als Beispiel ist hier der Port 4 der tagged Uplink Port auf den VLAN Switch !




Ein Anwendungsbeispiel aus der Praxis

Die Anwendungen von VLANs in Netzwerken sind zahllos ! Immer aber sind sie eine sinnvolle Segmentierung von Netzwerken zur Performancesteigerung und zur Erhöhung der Zugriffssicherheit !
Jeder verantwortungsbewusste Netzwerk Admin segmentiert deshalb heutzutage sein Netzwerk in der einen oder anderen Art mit VLANs um Performance- und Sicherheits Standards hoch zu halten und damit eine optimierte LAN bzw. WLAN Infrastruktur zu betreiben.

Als klassisches Anwendungsbeispiel sei hier einmal eine sehr typisches WLAN / LAN Design in einem Firmennetzwerk angeführt und zwar die sichere Installation einer Firmen WLAN Infrastruktur mit 3 verschiedenen WLANs über eine gemeinsame Hardware.
Das beinhaltet ein offenes Gäste- und Besucher WLAN mit einem professionellen Captive_Portal_Hotspot zum Login und Ticketverteilung, einem verschlüsselten Firmen WLAN und einem unsichtbaren, verschlüsselten WLAN für den Netzwerkadmin zum bequemen, drahtlosen Administrieren seiner Netzwerkkomponenten und Server auf dem Firmen Campus.
All dies realisiert man einfach über VLAN fähige Accesspoints mit mSSIDs (ESSIDs) sowie VLAN Switches.
Dies sind heutige, aktuelle WLAN Accesspoints die mit einem einzigen physischen Accesspoint mehrere SSIDs (WLANs) gleichzeitig aufspannen können und diese WLANs bzw. ihre SSIDs (WLAN Kennungen) dann entsprechend VLAN Nummern (IDs) zuordnen können.
Z.B. Traffic aus dem WLAN mit der SSID "Firma-intern" geht ins VLAN 10 und Traffic aus dem WLAN mit der SSID "Besuchernetz" geht ins VLAN 20 usw.
Ein klassischer Vertreter dieser Art ist z.B. der Linksys WAP-200 wie er HIER in einem Bericht bei Administrator.de getestet wurde.
Auch im preiswerten Consumer Segment supporten mehr und mehr WLAN Accesspoints multiple ESSIDs mit einem VLAN Mapping wie z.B. der Cisco RV110W ( http://www.cisco.com/en/US/products/ps11762/index.html ) erhältlich z.B. hier
Der Cisco RV-110W eigenet sich besonders für die Anwendung, da er einen integrierten VLAN Router beinhaltet der wie oben beschrieben auch zwischen den VLANs bei Bedarf (konfigurierbar) routen kann ! Mit den zusätzlichen ESSIDs schlägt man hier also gleich 2 Fliegen mit einer Klappe.
Oder der Edimax EW-7416: ( http://www.edimax-de.eu/de/produce_detail.php?pl1_id=1&pl2_id=5& ... )
den man z.B. hier oder im lokalen Handel preisgünstig erwerben kann.
Ein weiterer Vertreter dieser Zunft ist der Draytek_AP-800 der ebenfalls eine ESSID zu VLAN Zuordnung supportet und so für solche Designs geeignet ist.
Accesspoint Modelle aller bekannter Hersteller wie Lancom, Linksys (siehe oben), Draytek, Buffalo, Edimax, Trendnet, TP-Link u.a. supporten dieses VLAN zu SSID Feature bei diversen Modellen in ihrem Portfolio ebenso.
Ein genauer Blick ins Datenblatt VOR dem Kauf eines WLAN Accesspoints ist also immer ratsam, da dieses sinnvolle Feature (ESSID Support oder Multiple WLANs) kaum Mehrkosten verursacht, im Betrieb aber erhebliche Vorteile bietet wie dieses Praxisbeispiel zeigt !


Das Praxis Tutorial verwendet deshalb hier stellvertretend 2 Beispiele im high und lowcost Bereich:
a.) Mit einen Cisco Accesspoint für die gehobenen Ansprüche oder gebraucht bei eBay.
b.) Mit einem kleinen und preiswerten .11n fähigen Consumer AP Edimax_EW7416 (andere ESSID fähige APs funktionieren ebenso)

Die Schritte zur VLAN Einrichtung sind die gleichen wie oben bereits im VLAN Tutorial beschrieben:
  • pfSense als Captive Portal mit VLANs einrichten, korrekte VLAN IDs vergeben und ggf. DHCP auf den VLAN Interfaces aktivieren. VLAN Port entweder direkt auf den AP stecken oder wenn schone eine VLAN Infrastruktur vorhanden auf den VLAN Switch verbinden wie oben beschrieben und nur die APs in die zu ihnen gehörenden VLANs stecken.
  • Für das Gast WLAN die Captive Portal Funktion aktivieren und anpassen wie HIER beschrieben. Ggf. Filterreglen setzen um den Gästen nicht alles zu erlauben (P2P filtern etc.)
  • Ggf. eine sichere User Authentifizierung fürs Firmen WLAN aufsetzen wie HIER beschrieben. Die zentrale Radius Authentifizierung lässt sich auch für das Captive Portal und die Gäste nutzen wer es möchte. Ansonsten einfach WPA-2 und pre-shared Passwörter verwenden.
  • Damit wären schon alle Installationsarbeiten abgeschlossen !

Schematisch sähe so ein Netzwerk so aus:
39765d42dd5d2ceb430a0e685ca7898c - Klicke auf das Bild, um es zu vergrößern

bzw. analog bei vorhandener VLAN Switch Infrastruktur

af963792f3b2dbdcdd424dd53a850b17 - Klicke auf das Bild, um es zu vergrößern

Beispiel WLAN Accesspoint Konfiguration:
Für den oben beschriebenen Accesspoint/Router Cisco RV110W ist die Konfiguration einfach und mit ein paar Mausklicks erledigt indem man die ESSIDs definiert und sie den eingerichteten VLAN IDs zuordnet.
6270252a09d7581a301deffa8d16ef3e - Klicke auf das Bild, um es zu vergrößern
Der Cisco beitet zudem noch die Option den Zugriff auf das WLAN Gastnetz zeitlich zu limitieren. (Gilt für alle SSIDs)

Ebenso die identische Konfiguration mit dem preiswerten Edimax AP über sein WebGUI. Man definiert auch hier einfach die ESSIDs und die dazugehörigen VLAN Nummern (Tags):

144d093e80e1616f8bc33bf3dbff54ab - Klicke auf das Bild, um es zu vergrößern

Im Security Setup wird dann einfach für jede SSID noch die Verschlüsselung gesetzt. Das Gastnetz mit dem Captive Portal bleibt dabei unverschhlüsselt und offen, da die Authentifizierung ja über das Hotspot Portal auf der angeschlossenen Monowall oder pfSense gemacht wird.
fe26d4c69c3dc25cc1f63c1150698e75 - Klicke auf das Bild, um es zu vergrößern

Eine passende Plug and Play Konfig für den Cisco High End Accesspoint der Aironet Serie sähe so aus:
01.
service timestamps log datetime localtime 
02.
03.
hostname Cisco_AP 
04.
05.
clock timezone MET 1 
06.
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00 
07.
08.
dot11 syslog 
09.
10.
dot11 ssid Mitarbeiter 
11.
   vlan 20 
12.
   authentication open  
13.
   authentication key-management wpa 
14.
   mbssid guest-mode 
15.
   wpa-psk ascii Geheim123 
16.
17.
dot11 ssid Gast-WLAN 
18.
   vlan 10 
19.
   authentication open  
20.
   mbssid guest-mode 
21.
22.
dot11 ssid IT-Admin 
23.
   vlan 1 
24.
   authentication open  
25.
   authentication key-management wpa 
26.
   wpa-psk ascii Geheim321 
27.
28.
username Admin password Admin 
29.
30.
bridge irb 
31.
32.
33.
interface Dot11Radio0 
34.
 no ip address 
35.
 no ip route-cache 
36.
37.
 encryption vlan 1 mode ciphers aes-ccm tkip  
38.
39.
 encryption vlan 20 mode ciphers aes-ccm tkip  
40.
41.
 ssid IT-Admin 
42.
43.
 ssid Mitarbeiter 
44.
45.
 ssid Gast-WLAN 
46.
47.
 mbssid 
48.
speed basic-1.0 2.0 5.5 6.0 9.0 11.0 12.0 18.0 24.0 36.0 48.0 54.0 
49.
 station-role root 
50.
no dot11 extension aironet 
51.
world-mode dot11d country-code DE both 
52.
53.
interface Dot11Radio0.1 
54.
 description WLAN unter VLAN-1 (verschlüsselt nicht sichtbar Management) 
55.
 encapsulation dot1Q 1 native 
56.
 no ip route-cache 
57.
 bridge-group 1 
58.
59.
interface Dot11Radio0.10 
60.
 description WLAN unter VLAN-10 (offen unverschlüsselt, Gast WLAN für Hotspot) 
61.
 encapsulation dot1Q 10 
62.
 no ip route-cache 
63.
 bridge-group 10 
64.
65.
interface Dot11Radio0.20 
66.
 description WLAN unter VLAN-20 (verschlüsselt, sichtbar) 
67.
 encapsulation dot1Q 20 
68.
 no ip route-cache 
69.
 bridge-group 20 
70.
71.
interface FastEthernet0 
72.
 no ip address 
73.
 no ip route-cache 
74.
 duplex auto 
75.
 speed auto 
76.
 bridge-group 1 
77.
78.
interface FastEthernet0.10 
79.
 description VLAN-10 
80.
 encapsulation dot1Q 10 
81.
 no ip route-cache 
82.
 bridge-group 10 
83.
84.
interface FastEthernet0.20 
85.
 description VLAN-20 
86.
 encapsulation dot1Q 20 
87.
 no ip route-cache 
88.
 bridge-group 20 
89.
90.
interface BVI1 
91.
 ip address dhcp client-id FastEthernet0  (DHCP oder feste IP vergeben Management) 
92.
 no ip route-cache
DD-WRT WLAN Router als Multi SSID Accesspoint konfigurieren:
Natürlich kann man auch einen DD-WRT WLAN Router als Multi SSID Accesspoint konfigurieren. Das folgende Beispiel hier zeigt wie man es macht !
Nur zur Erinnerung in diesem Beispiel wir der Router nur rein als Accesspoint benutzt NICHT als WLAN Router für 2 SSIDs was aber auch möglich ist. Tips dazu im folgenden Text:
Im 1. Schritt ist unter Setup -> Networking -> Create Bridge eine neue Bridge mit dem Namen "br2" einzurichten:
6d844ead40324b61b38da8d6a79c4ff3 - Klicke auf das Bild, um es zu vergrößern
und dann mit "Apply Settings" und "Save" zu sichern.
Im Schritt 2 ist unter Setup -> VLANS ein VLAN für den Gastzugang einzurichten (Beispiel hier VLAN 2) und dem Port 4 tagged zuzuweisen:
3b3e7dbae9026bd3c84beb61686421d7 - Klicke auf das Bild, um es zu vergrößern
Das VLAN 2 bleibt bei der Verwendung als reiner AP im Setting Setup -> Networking -> Port Setup im "Default" Mode.
ef466db108752a8531ac0b00c9ce9fdb - Klicke auf das Bild, um es zu vergrößern
(Achtung: Wer den DD-WRT auch als Router benutzt muss hier auf unbridged klicken und dem VLAN eine IP Adresse aus dem Gastnetz zuweisen ! Bei der Verwendung als nur AP entfällt dies natürlich!)
Im 4. Schritt wird das 2te WLAN bzw. die 2te SSID eingerichtet unter Wireless -> Basic Setting -> Virt.Interface
6ba941b8c32674c9d9f80e2f5bbb6d01 - Klicke auf das Bild, um es zu vergrößern
Im letzten Schritt werden die beiden Interfaces "vlan2" und "wlan0.1" der Bridge 2 zugeordnet unter Setup -> Networking -> Assign to Bridge
e02518e97f367017c273de27d37beb10 - Klicke auf das Bild, um es zu vergrößern
Fertig !
Danach muss man den DD-WRT Accesspoint einmal kaltstarten. Im Testaufbau funktioniert ohne den Kaltstart der tagged Link nicht auf den Switch.


Das Native Interface oder Parent Interface:

Wichtig ist hier noch anzumerken das der Anschlussport am VLAN Switch für diesen WLAN Accesspoint oder generell bei tagged Uplinks immer auf tagged (bzw. Trunk beim Cisco) für alle VLANs gesetzt werden muss.
Klar...denn der AP ordnet ja, wie oben bereits bemerkt, die WLAN ESSIDs (WLAN Name) oder generell VLAN ID getaggte Pakete den entsprechenden VLAN Tags (VLAN ID) zu um sie dann im korrespondierenden VLAN zu forwarden.!
Einzige Ausnahme ist hier immer das default VLAN 1 das immer untagged am Port anliegen muss !!
Auf einem tagged Uplink wird das default VLAN oder auch native VLAN immer untagged übertragen.
Das ist insofern wichtig als das die Mangement IP Adresse des WLAN Accesspoints oder einens VLAN Switches dann immer in diesem default VLAN-1 liegt die man erreichen möchte.
Sinnvoll ist dann immer ein Gastnetz NICHT in dieses Default VLAN / WLAN 1 zu legen, sondern immer eine separate ESSID bzw. VLAN dafür zu verwenden, um Gästen schon hardwareseitig den Zugang zu solchen Management IPs zu versperren !
Das VLAN 1 sollte dann ausschliesslich dem management vorbehalten sein. Oder alternativ kann man untagged Pakete in ein anderes VLAN forwarden sofern die Switchkonfig das auch supportet.

Damit hat man mit wenig Aufwand eine einfache, preiswerte und zudem sichere WLAN Installation umgesetzt, die sehr preiswert mehrere getrennte WLANs auf einem gemeinsamen Accesspoint betreibt um Besuchern ein einfaches Login inklusive Ticketsystem mit Einmalpasswörtern zu ermöglichen und sich selbst rechtlich abzusichern (Logging) !
In Verbindung mit einer kostenfreien 802.1x_Benutzer_Authentifizierung im WLAN sind damit sogar hochsichere Firmen (...und auch Privat) WLANs in Verbindung mit einem einfachen Besucherzugang umsetzbar und das alles ohne große Mehrkosten.
Gleichzeitig trennt diese Lösung auf gemeinsam genutzter Switch- und AP Hardware absolut zugriffssicher das Gästenetz vom Firmennetz und Firmen WLAN ohne einen teuren Hardware- und Administrations Aufwand !

Dieses klassische Captive Portal Design ist mit der preiswerten M0nowall/pfSense_Firewall und auch preiswerten Consumer WLAN Accesspoints wie dem o.a. Edimax u.a. problemlos auch mit sehr kleinem Budget umzusetzen und bietet damit einen erheblichen Mehrwert an Sicherheit mit gleichzeitigem Benutzerkomfort !


Weiterführende Links und Konfig Beispiele zum Thema VLAN:


Forumstutorial zu Routing Grundlagen:
http://www.administrator.de/contentid/56073

ct' Wissens Artikel zum Thema:
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html

VLAN Tutorial vom Forumsmitglied Edi:
http://www.schulnetz.info/2011/04/

Wikipedia:
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network

VLANs mit Mikrotik auf HP ProCurve Switch im Detail:
http://www.administrator.de/contentid/245872#comment-942279

VLANs mit Mikrotik auf TP-Link Switch im Detail:
http://www.administrator.de/wissen/vlan-mit-mikrotik-rb750gl-und-tp-lin ...

VLANs mit FritzBox, Mikrotik auf NetGear Switches (GS105E, GS108E, GS724) im Detail:
https://www.administrator.de/wissen/-315005.html
https://www.administrator.de/frage/mikrotik-system-reset-configuration-e ...

Bandbreite zwischen Switch und Router Uplink mit LACP vervielfachen:
https://www.administrator.de/content/detail.php?id=314020&token=315# ...
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...

VLANs mit DD-WRT auf HP 1810 Switch im Detail:
http://www.administrator.de/content/detail.php?id=264417

Tips: Default VLAN Verhalten auf einem tagged Uplink eines Switches:
http://www.administrator.de/content/detail.php?id=249356&token=583

Wichtig: Erklärung des Firewall Filter- und Regelwerks am Beispiel eines gesicherten Schul Netzes:
http://www.administrator.de/frage/pfsense-drucker-vlan-getrennten-wlan- ...

VLANs auf einem Server realisieren:
http://www.administrator.de/contentid/58974 (Windows)
http://www.administrator.de/contentid/191718 (Linux)

Dynamische VLAN Zuweisung mit 802.1x:
http://www.administrator.de/contentid/154402

Multi SSID und VLAN auf DD-WRT:
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=64098
und auch
http://www.flashsystems.de/articles/1730

pfSense Firewall mit Gast-WLAN / VLAN:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Tagging Anfänger Hürden überwinden:
https://www.administrator.de/content/detail.php?id=315534&token=243# ...

Details zum "Praxisbeispiel" WLAN Setup mit Mikrotik RB 751U:
http://www.administrator.de/contentid/233966

Praxisbeispiel Setup Cisco RV110 mit D-Link Switch:
http://www.administrator.de/contentid/255428

Raspberry Pi als VLAN Router:
http://www.administrator.de/contentid/191718#toc-13

Praxisbeispiel 2 Netze u. 2 Internet Router ohne stat.Routing
http://www.administrator.de/contentid/228775

Mikrotik Router in Verbindung mit IP-TV Multicast (Entertain)
http://www.administrator.de/content/detail.php?id=262139&nid=72026
Mit gerouteten (IP PIM) Multicast VLAN Segmenten:
http://www.administrator.de/contentid/268367

pfSense Firewall Konfiguration mit IP-TV Multicast (Entertain)
http://www.administrator.de/frage/telekom-entertain-iptv-tp-link-switch ...

Beispiel direktes L3 Routing ohne externen Router
http://vmfocus.com/2012/09/26/how-to-configure-layer-3-static-routes-vl ...
66 Kommentare
Mitglied: Dani
01.03.2009 um 14:36 Uhr
Hi aqui,
wie von dir gewohnt....sauber, verständlich und ausführlich beschrieben. Davon könnten sich einige Leute eine Schreibe abschneiden.
Willst du nicht für die Konfigurationsbefehle die CODE-Boxen benutzen?


Grüße,
Dani
Bitte warten ..
Mitglied: aqui
01.03.2009 um 14:39 Uhr
Wenn du das als Admin so sagst, mach ich das natürlich gerne
Bitte warten ..
Mitglied: JoeJoe
04.05.2009 um 05:37 Uhr
Hi Aqui,

dem Kommentar von Dani schließe mich voll an...............alles super beschrieben. Habe ein ähnliches Netz bei mir mit dieser Anleitung zum laufen gebracht.

Eine Frage noch>>>>

Hast du noch eine Idee wir man die M0n0wall dazu bringt z.Bsp. um 06:00 Uhr sich automatisch eine neue IP holt??

Many Thx

Joe
Bitte warten ..
Mitglied: aqui
04.05.2009 um 10:54 Uhr
Das ist eine gute Frage !!!
Über das Setup geht das so nicht, da es eine solche Option nicht gibt !

Machs ganz einfach mit einem "Quick and Dirty Workaround" : Besorg dir eine Schaltuhr und schalte die FW einfach um 6 Uhr einmal aus und ein....
Ist zwar nicht das gelbe vom Ei aber du errreichst was du willst
Bitte warten ..
Mitglied: Schwabe85
25.11.2013, aktualisiert um 18:38 Uhr
Genau das was ich gesucht habe! Super.

Weiß vielleicht zufällig jemand ob die Konstellation
af963792f3b2dbdcdd424dd53a850b17 - Klicke auf das Bild, um es zu vergrößern

mit dem TP-Link WDR4300 möglich wäre?
Dank Multi SSID Unterstützung sollte dies doch möglich sein.

Das ganze würde dann bei mit einem Switch und 4-5 WDR4300er laufen.


Dann hätte ich noch die Frage zwecks IP-Vergabe der APs und Switch.
In der Monowal bzw. Pfsense kann ich ja wie oben angegeben für jedes VLAN einen DHCP einrichten.
Welche feste IP Adresse bekommen dann die APs oder der Switch?

Grüße
Schwabe
Bitte warten ..
Mitglied: christianW
09.04.2014 um 01:11 Uhr
Auch ein Hallo von mir,
ein wirklich hervorragender Beitrag, Respekt.
Viellicht könnte man noch erwähnen, das im Gegensatz zu einer "richtigen" Firewall wie der pfSense der Traffic unter den VLANs wie beschrieben von Haus aus erst einmal geblockt ist, dies ist bei einem Router mit DD-WRT Firmware nicht der Fall

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: aqui
09.04.2014, aktualisiert um 09:05 Uhr
Da verhält sich die pfSense natürlich als Firewall standardkonform wie Firewalls das immer tun !
Es gilt immer die unter Netzwerkern allseits bekannte goldene Firewall Regel: "Es ist alles verboten was nicht ausdrücklich erlaubt ist !"
Router sehen das in der Regel etwas lockerer, sind ja auch keine Firewalls
Bitte warten ..
Mitglied: chemikus
14.04.2014 um 12:33 Uhr
Zitat von aqui:
Eine passende Plug and Play Konfig für den Cisco High End Accesspoint der Aironet Serie sähe so aus:

kann ich das so verstehen, das ich diesen Accesspoint quasi direkt an ein ALIX-Board mit pfSense anschließen kann?

oder wird der kurz vorher angesprochene Cisco-VPN-... dafür benötigt.

Soweit ich munkeln gehört habe, benötigen etliche APs von Cisco direkt mal einen WLAN-Controller, damit die überhaupt laufen.
Bitte warten ..
Mitglied: aqui
14.04.2014, aktualisiert um 20:28 Uhr
kann ich das so verstehen, das ich diesen Accesspoint quasi direkt an ein ALIX-Board mit pfSense anschließen kann?
Ja, absolut das geht problemlos, da das ALIX ja tagged Frames supportet an ihren Ports !
Ein VPN ist dafür NICHT erforderlich !
benötigen etliche APs von Cisco direkt mal einen WLAN-Controller, damit die überhaupt laufen.
Nein, das ist schlicht FALSCH und auf "munkeln" sollte man sich bekanntlich in der IT nicht verlassen ! Sowas kommt meistens von solchen leuten mit "gefährlichem Halbwissen" und wenig fundierter Fachkenntniss...wie immer.
Richtig ist aber das sich die Cisco APs (und hier sind bewusst NICHT die Modelle der Consumer AP Serie gemeint !) sowohl in einem Controller Mode (Lightweight Mode) als auch im Stand Alone Mode (Autonomous Mode) betreiben lassen.
Zusätzlich kann man natürlich einen Stand Alone AP (Autonomous Mode) zu einem Controller basierten AP machen und auch andersrum.
Es muss lediglich mit TFTP oder FTP oder SCP ein anderes Firmware Image in den AP geflasht werden....fertig !
Am besten wie immer selber lesen und verstehen:
http://www.cisco.com/c/en/us/td/docs/wireless/access_point/conversion/l ...
oder
http://mrncciew.com/2012/10/20/lightweight-to-autonomous-conversion/
Sucht man bei Dr. Google nach diesen Schlagworten gibt es tausende HowTos dazu.
Bitte warten ..
Mitglied: christianW
18.04.2014 um 13:49 Uhr
Hallo aqui,
habe gerade mal die pfSense zusammengebaut und die Grundkonfiguration begonnen.

Benötige gesamt vier Netze.
die pfSense habe ich in der Grundkonfiguration auf
192.168.70.254 gesetzt.

Meine benötigen Netze:
Netz1 192.168.70.0
Netz2 192.168.72.0
Netz3 192.168.69.0
Netz4 10.10.10.0

Ich habe nun folgende Konfiguration
Netz1 vr0 192.168.70.254/24
Netz2 vr0 192.168.72.254/24 (angelegtes VLAN, mit dem entsprechendem DHCP)
Netz3 vr2 192.168.69.254/24 (angelegtes VLAN, mit dem entsprechendem DHCP)
Netz4 vr2 10.10.10.254/24 (angelegtes VLAN, mit dem entsprechendem DHCP)

was mir in der Struktur noch nicht ganz klar ist:
Muß ich für "vr0" ein anderes physikalisches Konfig-Netz angeben z.B. 192.168.0.1 und 192.168.70.0 als Vlan anlegen um untereinander Rules zu konfigurieren ?

Dem Adapter vr2 habe ich keine physikalisches Netz IPv4 eingetragen nur, die VLANs 3+4 darauf erstellt, benötige ich hier ebenfalls ggf. ein physikalische IP auf dem Adapter ?

Ich hoffe ich konnte mich verständlich ausdrücken ?


Mit freundlichen Grüßen
Bitte warten ..
Mitglied: aqui
18.04.2014, aktualisiert um 14:14 Uhr
Ja ! Es muss immer ein sog. physisches Netz geben auf dem Port und auf dem ist dann der VLAN Parent aufgesetzt, also das Netz was zusätzlich über den Port mit einem VLAN Tag transportiert wird !
In deinem konkreten Beispiel oben ist das:
Netz1 vr0 192.168.70.254/24 (Physischer Port, Parent) Switch --> VLAN 1
Netz2 vr0 192.168.72.254/24 (angelegtes VLAN z.B. mit VLAN Tag 72, mit dem entsprechendem DHCP)
Netz3 vr2 192.168.69.254/24 (Physischer Port, Parent) Switch --> VLAN 69
Netz4 vr2 10.10.10.254/24 (angelegtes VLAN z.B. mit VLAN Tag 10, mit dem entsprechendem DHCP)


Wenn du diese Ports auf einem VLAN Switch zusammenführst musst du etwas aufpassen um die VLANs wieder sauber getrennt auf dem Switch zusammen zu bekommen:
Dieser Switch muss 4 eingerichtete VLANs haben also das Default VLAN plus 3 weitere VLANs. Folgend dem Beispiel VLAN 1, VLAN 69, VLAN 10 und VLAN 72

Port vr0 steckst du in einen untagged Port im VLAN 1 auf demselben Port liegt VLAN 72 tagged
Port vr2 steckst du in einen untagged Port 69 auf demselben Port liegt VLAN 10 tagged
Auf dem Port 2 muss das native VLAN auf 69 d.h. alle untagged Pakete auf diesem Port soll der Switch in sein VLAN 69 forwarden.
Fertisch...!
Es kann sein das dein Switch nicht die Möglichkeit bietet ein native VLAN zu definieren. Dann musst du etwas umkofigurieren:
Netz1 vr0 192.168.70.254/24 (Physischer Port, Parent) Switch --> VLAN 1
Netz2 vr0 192.168.72.254/24 (angelegtes VLAN z.B. mit VLAN Tag 72, mit dem entsprechendem DHCP)
NetzX vr2 **keine IP vergeben oder nicht genutzte "Dummy IP" (Physischer Port, Parent)
Netz3 vr2 192.168.69.254/24 (angelegtes VLAN z.B. mit VLAN Tag 69) Switch --> VLAN 69
Netz4 vr2 10.10.10.254/24 (angelegtes VLAN z.B. mit VLAN Tag 10, mit dem entsprechendem DHCP) Switch --> VLAN 10

So sollte es klappen...
Bitte warten ..
Mitglied: christianW
18.04.2014 um 16:14 Uhr
Zitat von aqui:

Es kann sein das dein Switch nicht die Möglichkeit bietet ein native VLAN zu definieren. Dann musst du etwas umkofigurieren:

Netz1 vr0 192.168.70.254/24 (Physischer Port, Parent) Switch --> VLAN 1
Netz2 vr0 192.168.72.254/24 (angelegtes VLAN z.B. mit VLAN Tag 72, mit dem entsprechendem DHCP)
NetzX vr2 keine IP vergeben oder nicht genutzte "Dummy IP" (Physischer Port, Parent)
Netz3 vr2 192.168.69.254/24 (angelegtes VLAN z.B. mit VLAN Tag 69) Switch --> VLAN 69
Netz4 vr2 10.10.10.254/24 (angelegtes VLAN z.B. mit VLAN Tag 10, mit dem entsprechendem DHCP) Switch --> VLAN 10

So sollte es klappen...

müsste dann aber nicht auf den physischen "vr0" nicht auch
keine IP vergeben oder nicht genutzte "Dummy IP" (Physischer Port, Parent) ?
Bitte warten ..
Mitglied: aqui
19.04.2014 um 12:20 Uhr
Nein, bei einem der vr Interfaces kannst du auch das physische Interface konfigurieren. Das ist der untagged Traffic der dann in das default VLAN 1 geht.
Bei getaggten Interfaces liegt das Default VLAN 1 immer untagged mit an !

Wenn du das an einem 2ten physischen Interface auch machen würdest hast du dort natürlich eine andere IP würdest du das wieder auf einem Tagged Port am Switch stecken dann landet der untagged Traffic wieder automatisch in VLAN 1. Dadurch das du hier nun aber an einem anderen vr Interface bist sendest die dann mit einem Male den Taffic dieser beiden Interfaces die eigentlich zwingend getrennt sein müssen auf einen gemeinsamen Draht nämlich in das VLAN 1

Bie vielen Switches kann man das sog. "Native VLAN" bestimmen also an dem Switchport sagen WO in welches VLAN der Switch untagged Traffic forwarden soll. Mit diesem Native VLAN Kommando kannst du das dann wieder sauber steuern und auch den physischen Interfaces IPs geben, da du es ma Switch ja wieder trennen kannst.

Viele Switches haben aber diese Option nicht, die forwarden dann immer jeglichen untagged Traffic auf ihren Ports ins VLAN 1.
Da hast du dann Probleme den Traffic der vr Interfaces wieder sauber zu trennen der nicht getaggted ist.
Getaggter Traffic ist logischerweise davon ausgenommen, denn der hat ja einen eindeutigen VLAN Tag und den kann der Switch immer wieder richtig zuordnen.
Bitte warten ..
Mitglied: christianW
21.04.2014, aktualisiert 22.04.2014
Hallo,
habe folgendes auf der pfSense konfiguriert:
vr1: nativ70, 192.168.70.0
vr1: VLAN72, 192.168.72.0
vr2: nativ69, 192.168.69.0
vr2: VLAN10, 10.10.10.0
3cc5c340ed113226b3f89bcc8f9fa420 - Klicke auf das Bild, um es zu vergrößern

Auf dem Procurve, die Ports in entsprechende VLANS aufgeteilt 10, 69, 70, 72 , im Anschluss die PVID zum dementsprechenden Netz vergeben:
cfe4a39ecddb705ab37796cafe4015a0 - Klicke auf das Bild, um es zu vergrößern

Port23 Uplink für 70, 72
Port23 Uplink für 69, 10
die beiden Ports gehören auch in der Portkonfiguration den jeweils beiden VLANs an

Soweit funktioniert auch alles, man bekommt am dementsprechenden Switchport die richtige IP aus dem richtigem Netz, sollte eigentlich alles stimmen.
Firewall Ruleset den Interfaces zugewiesen. Soweit funktionieren diese auch
Bitte warten ..
Mitglied: palmetshofer
30.08.2014 um 13:55 Uhr
Hallo Leute!

Ich hätte da mal eine grundlegende Frage dazu. Wenn ich das richtig verstanden habe, dann läuft sämtlicher Traffic der zwischen den VLANs geroutet werden soll, über den Tagged Link. Also aus einem Port raus aus dem Switch, in das physische Interface bspw. der pfSense-Firewall rein, die routet dann, schickt es wieder raus auf den einen Switch-Port und der haut das Paket dann auf den jeweiligen Ports raus die eben diesem VLAN angehören, oder?

D.h. ich hab bei viel Inter-VLAN Traffic mehr oder weniger Last auf dem Router, sehe ich das richtig? Wie platziere ich dann bei der Verwendung von VLANs strategisch günstig einen File-Server, auf dem zum Beispiel aus dem Server-VLAN und dem Firmen-Client-VLAN gleichermaßen zugegriffen wird und dabei auch mit größeren Files gearbeitet werden soll so, dass ich mir den Tagged Link nicht mit Traffic vom File-Server "zumülle"?

Wäre es dann strategisch viel klüger gleich einen MikroTik-Router oder bei mehr VLANs einen Layer3-Switch der mir das Routing zwischen den VLANs übernimmt ein zu setzen?

Viele Grüße,

Matthias
Bitte warten ..
Mitglied: aqui
30.08.2014, aktualisiert um 17:05 Uhr
dann läuft sämtlicher Traffic der zwischen den VLANs geroutet werden soll, über den Tagged Link.
Ja, das siehst du genau richtig !
D.h. ich hab bei viel Inter-VLAN Traffic mehr oder weniger Last auf dem Router, sehe ich das richtig?
Auch das siehst du richtig !
Wie platziere ich dann bei der Verwendung von VLANs strategisch günstig einen File-Server....?
Eine sinnvolle Frage !
Es gibt 2 Optionen:
1.) Du gibst dem Fileserver selber auch einen tagged Link das der im VLAN direkt erreichbar ist und es keinen "Umweg" über den Router gibt.
Wie man das macht erklärt dir dieses Tutorial:
http://www.administrator.de/wissen/vlan-routing-über-802-1q-trunk- ...
Das Routing bleibt hier natürlich deaktiviert auf dem Server !
2.) Das Tutorial beschreibt ja wie man in einem reinen Layer 2 VLAN Switchdesign ein Routing hinbekommt. Generell muss man bei solch einem Design mit einem "Router on the stick" aufpassen das der Uplink Traffic über den Tagged Link idealerweise eine höhere Bandbreite hat als z.B. die Clientports. Mit einem Switch der 100 Mbit Clientports hat und z.B. einige GiG Uplinkports ist das recht einfach.
Mit einem heute üblichen Gigabit Switch und viel VLAN übergreifendem Traffic macht es dann Sinn LAGs zu verwenden. Mit so einer Link Aggregation bündelt man 2 oder mehr Links auf den Router und verteilt so die Bandbreite auf mehr Kapazität. Wer etwas Budget hat macht den Sprung auf 10 Gig.

Allerdings macht dann in der Tat so ein Aufwand keinen Sinn mehr mit einem externen Router, da die Schere Bandbreite und Kosten/Nutzen in so einem Design weit auseinandergeht. Hier ist deine Kritik berechtigt.
In solchen Netzwerkdesigns sollte man immer zwingend einen Layer 3 Switch, also einen Routing fähigen Switch, einsetzen der in Wirespeed auf seiner Switchbackplane routet und eben nicht von externen Links abhängig ist.
Das o.a. Konzept ist ein Kompromiss für kleinere Netze die man sinnvoll in VLANs segmentieren möchte sofern preiswerte Layer 2 Switchtechnik im Einsatz ist. Ziel ist immer durch sinnvolle Segmentierung performante und skalierbare VLAN Einzelnetze zu bekommen und damit ein performantes Gesamtnetz zu etablieren.
Es stellt aber immer einen Kompromiss dar in einen historisch gewachsenen, flachen L2 Netz im Vergleich zu L3 Switches.
Dein absolut berechtigter Einwand gleich strategisch von Anfang an einen Layer 3 Routing Switch zu verwenden ist absolut korrekt und natürlich der Königsweg. Ein klassisches Netzwerk Design mit einem HA L3 Switchcore sähe z.B. so aus:

9544246a0ee6b18387bac0fb3a420ad0 - Klicke auf das Bild, um es zu vergrößern
Wobei der Core mit 2 L3 Switches im VRRP HA Design heute zunehmend mit 2 mal L3 fähigen und stackbaren Switches abgelöst wird die logisch wie ein Switch konfigurierbar sind.
Damit könnte man die redundanten Links von Server und Access Switches immer als LACP LAGs konfigurieren und so komplett auf das lästige Spanning Tree verzichten.
Pluspunkt ist in so einem Stack Design die doppelte Bandbreite und gleichzeitige Redundanz dieser Uplinks
Bitte warten ..
Mitglied: palmetshofer
30.08.2014, aktualisiert um 17:46 Uhr
Hallo aqui!

Danke erstmal für die tolle ausführliche Antwort. Habe mir schon gedacht, dass es eine kostengünstige Lösung wäre dem Server per Tags in den notwendigen VLANs zugänglich zu machen, wusste allerdings nicht ob das so einfach geht mit einem MS Server. Danke für den Link!

Die Lösung per L3 Switches wäre natürlich auch im Hinblick auf ein Wachstum des Netzwerks die zukunftssicherere Lösung und ich glaube es wäre am falschen am Platz gespart mit einer Investition, zumal ein nachträgliches Auseinandernehmen und Neu-Arrangieren des Netzes immer Probleme mit sich bringt, und mit den L3 Cores das Netz gut erweiterbar bleibt ohne viel "Murks" zu verursachen.

Einen dedizierten Router ein zu setzen würde auch nur bis zu einer gewissen Last sinnvoll sein, da die meisten ja Software mäßig routen und ich mir ja hier dann wieder einen Performance-Verlust einfangen kann.

LACP LAGs zu verwenden macht absolut Sinn. Verwende ich auch bei den ESXi Servern für Storage-Anbindung und Redundanz bzw. teils auch wegen der Bandbreite.

Werde mir mal ein gutes Diagramm anfertigen und sehen wie weit ich planen kann; ohne Zeichnung, nur im Kopf, das klappt nicht. ;)

EDIT:

Eine Möglichkeit die mir in den Sinn kam, wäre erstmal einen etwas günstigeren L3 Switch, ich glaube es gibt einen "MirkoTik Cloud Irgendwas" der L3 kann und GBit hat, ein zu setzten als Core, da hier später sollte das Netz wachsen der neue Switch nur mehr konfiguriert werden müsste und einfach umgepatcht.

Vielen Dank nochmal!

LG Matthias
Bitte warten ..
Mitglied: trollmar
27.01.2015, aktualisiert 28.01.2015
Erstmal vielen Dank an "aqui"!
Ich als "newbie" was Pfsense und Vlan's ect. angeht habe bei Administrator.de schon viel gelernt!!

Kann mir jemand sagen wie ich zwei Switche (Netgear GS108E) mit Trunk "weiterleitung" an PFsense anbinden kann?
Hab da mal eine Zeichnung gemacht. Geht das so:
69607466bd1bea4f571e3bda14bfa9fe - Klicke auf das Bild, um es zu vergrößern

Also geht das mit zwei GS108Ev3?



Vielen Dank!!!!




NEWBIE TIPP:
Ich hatte übrigens am Anfang so meine Schwierigkeiten das alles mit dem Netgear und Pfsense zu laufen zu kriegen.

Versucht nicht ein Teil eures alten LAN's in ein Vlan1 (default) zu "verwandeln".
Der TrunkPort am Router der mit dem Parent Interface verbunden ist ist Vlan1.
Alle anderen Ports (Endgeräte) am Switch müssen beim Netgear ein andes Vlan (z.B 10 oder xx) haben um erreichbar zu sein.
So gehts wenigsten bei mir.
Bitte warten ..
Mitglied: aqui
28.01.2015, aktualisiert um 12:12 Uhr
Kann mir jemand sagen wie ich zwei Switche (Netgear GS108E) mit Trunk "weiterleitung" an PFsense anbinden kann?
Natürlich können wir dir auch das sagen !! Es steht alles in dem obigen Tutorial wenn du mal genau hinsiehst und liest !
http://www.administrator.de/wissen/vlan-installation-routing-m0n0wall-p ...
Das ist ganz einfach... VLANs tagged auf den Uplink bringen, Subinterfaces auf der pfSense einrichten, fertisch !
Ist alles im obigen Tutorial explizit erklärt !
http://www.administrator.de/wissen/vlan-installation-routing-m0n0wall-p ...
Also geht das mit zwei GS108Ev3?
Ja, natürlich ! Vollkommen problemlos !

Ich hatte übrigens am Anfang so meine Schwierigkeiten das alles mit dem Netgear und Pfsense zu laufen zu kriegen.
Nicht nur du, auch gestandene Profis !
Das liegt aber weniger an dir und der Tatsache das du ein Newbie bist, sondern daran das NetGear die schwachsinnigste VLAN Konfig des gesamten Netzwerkmarktes besitzt.
Du kannst dir also nur vorwerfen lassen das du einen Kardinlasfehler begangen hast, weil du dir das FALSCHE Produkt, nämlich einen üblen NetGear Switch, beschafft hast um die ersten Gehversuche zu machen in Bezug auf VLANs.
Aber was solls...es übt ja und das ist bekanntlich unbezahlbar !

P.S.:
Und bitte lasse den Unsinn mit externen Bilderlinks hier im Forum. Es gibt hier eine wunderbare Bilder Hochladen Funktion mit der du die Bilder direkt in die Antworten pasten kannst ohne die Community auf externe Bilderlinks mit Zwangswerbung zu redirecten.
Alles in den FAQs
Bitte warten ..
Mitglied: trollmar
08.02.2015 um 00:25 Uhr
Zitat von aqui:

> Kann mir jemand sagen wie ich zwei Switche (Netgear GS108E) mit Trunk "weiterleitung" an PFsense anbinden kann?
Natürlich können wir dir auch das sagen !! Es steht alles in dem obigen Tutorial wenn du mal genau hinsiehst und liest !


Hi, jetzt brauch ich wohl doch hilfe
Habe mir nachdem Netgear Debakel einen Dlink 1210-16 geholt.

Ich bekomme einfach die Verbindung von Switch1 (Netgear an PFsense) zu Switch2 (Dlink 1210-16) nicht hin.

Was läuft:
An der PFsense habe ich den Netgear VLAN konfig hinbekommen.
Hier laufen 4 VLAN's (Vlan1 , Vlan10, Vlan20, Vlan30)
Bei mir ist port 8 der Trunk Port Zur PFsense (Vlan1).
Ich kann von VLAN10 (Laptop) auf VLAN30 zugreifen.

Was nicht läuft:
Jetzt habe ich einen zweiten Switch (Dlink) gekauft.
Diese habe ich an den Netgear Switch (an Port7) angeschlossen und diesen auf "taged" gestellt und Mitglied auf VLAN1.
Am Dlink ist der Port1 auf Taged Gestellt und ist im Vlan1. Also

Dlink port 1 >> Netgear port7>>Netgear port8>>> Pfsense
Hier meine Topology

4a51cfd4f4960af6f4114125f48ff66d - Klicke auf das Bild, um es zu vergrößern

Hier meine Einstellung im netgear (der an PFsense)
Der Vlan gut aber den Dlink nicht einbindet.
1eca135e8f8591cd8201ac8b7e4a20b6 - Klicke auf das Bild, um es zu vergrößern
787d1d94cb2dfaa342412b7670eeb2c3 - Klicke auf das Bild, um es zu vergrößern
d066b0302588b3241bb6d83ce15affce - Klicke auf das Bild, um es zu vergrößern
d94bdb78a78d6544293b970e07991dc5 - Klicke auf das Bild, um es zu vergrößern
5bba964a3d825818879d9bc696077ed6 - Klicke auf das Bild, um es zu vergrößern
ddefd8359fe1b480e3bd90ebf992d33d - Klicke auf das Bild, um es zu vergrößern

Und hier die EInstellungen im Dlink
Hier ist der Port 7 mal testweise im Vlan10
a6378ff19249518afaaf0fb535ad411e - Klicke auf das Bild, um es zu vergrößern


..habe ich einen Denkfehler?
Bitte warten ..
Mitglied: aqui
09.02.2015 um 13:00 Uhr
Diese habe ich an den Netgear Switch (an Port7) angeschlossen und diesen auf "taged" gestellt und Mitglied auf VLAN1.
Das ist falsch, denn das VLAN 1 ist das Default VLAN. Das kannst du gar nicht tagged setzen bei diesen Switches, denn das Default VLAN wird IMMER untagged auf einem Uplink ünertragen.
Was du machen musst ist diesen Port 7 zum DLINK identisch so einstellen wie den Port zur pfSense ! Klar....denn wir gehen mal davon aus das du alle VLANs ja auch transparent auf dem D-Link im Zugriff haben willst.
Also VLAN 1 untagged (Default) und alle deinen anderen VLANs hier tagged.
Du musst übrigens das VLAN 1 niemals angeben in der VLAN Liste, denn alle Ports sind immer per Default in VLAN 1 auch tagged Uplink Ports ! VLAN 1 liegt dort immer per Default an.
Du hast dich vermutlich mal wieder in der megakranken NetGear Konfig verhaspelt. Das ist wirklich die krankeste VLAN Setup Logik am Markt. Daraus kann man nur schliessen: niemals NetGear Switches !!!
Sollte der NetGear wider Erwarten doch das VLAN 1 taggen (Wireshark Trace !) musst du das zwingend entfernen, denn der D-Link kann damit nicht umgehen. Der hat standardkonform das VLAN 1 immer untagged an tagged Uplink Ports ! Beachte das !

Analog machst du das am D-Link Port 1 der zum NetGear Port 7 geht:
VLAN 1 untagged und alle anderen VLANs wieder tagged.
Damit hast du dann an diesem beiden Uplinks die die Switches verbinden alle VLANs auch mit übertragen.

Nun musst du auf beiden Switches nur noch deinen Endgeräten die entsprechenden Ports bzw. VLANs zuweisen in denen diese arbeiten sollen...fertisch.
Eigentlich ein Kinderspiel ?! Dein Design ist ein simpler Klassiker.
Bitte warten ..
Mitglied: trollmar
09.02.2015 um 16:10 Uhr
Zitat von aqui:
Eigentlich ein Kinderspiel ?! Dein Design ist ein simpler Klassiker.

Hi aqui. vielen vielen Dank für die schnelle Antwort!!

Ich habe das ganze jetzt mal versucht umzusetzen.
Scheint zu laufen

Würde mich aber über eine "Abnahme" vom profi freuen.
Hier die Einstellungen an dem Netgear der an der PFsense hängt.
Port 8 an der Pfsense
Port 7 zu dem zweiten Switch Dlink 1210

f645c321f8a6efa12602d81b690b65fc - Klicke auf das Bild, um es zu vergrößern
e4d356aa61a9d678fe2591496163a822 - Klicke auf das Bild, um es zu vergrößern
04924e28316ba3615a9b76699acf9c95 - Klicke auf das Bild, um es zu vergrößern
724ce32052f60092fe7508fcf851e796 - Klicke auf das Bild, um es zu vergrößern
c0f09cac9bca327b557500b7fe7419b0 - Klicke auf das Bild, um es zu vergrößern

Und hier der Dlink.
Hier ist:
Port 16 der Uplink zum Port 7 Netgear
Port 1-8 ist Vlanid10
Port 9-15 ist Vlanid20

5c0f6bf9387eeedb8fba6ce7f065a4f1 - Klicke auf das Bild, um es zu vergrößern



Dein Tutorial ist super gut aber ich bin in meiner ersten Konfig wohl darüber gestolpert das ich dachte das Vlan1 (default) immer auf Tagged stellen muss.
Habe ich es diesmal richtig gemacht?
Bitte warten ..
Mitglied: aqui
09.02.2015 um 16:17 Uhr
Jau, sieht sehr gut und richtig aus so !
Tröste dich, über die &%§$"$ NetGear VLAN Konfig stolpern auch Profis !
Bitte warten ..
Mitglied: d3rChri5
25.02.2015 um 21:05 Uhr
Hallo aqui ,

wenn man dein Konzept " VLAN Routing mit DD-WRT Routern " umsetzt, müssen dann die VLAN Namensgebungen auf dem Router identisch mit der VLAN Bezeichnung im Switch sein ? Ich grübel gerade wie du ansonsten mit dem Router ( da du ja nur einen Uplink Port zum Switch hast) auf der Switch zwei IP Adressbereiche verteilen kannst und somit der Router weiß welches VLAN auf dem Switch welche IP bekommt.
Ich würde ansonsten am Wochenende mal deine " VLAN Routing mit DD-WRT Routern " Config mit einen HP 1810-24G Switch probieren.
Bitte warten ..
Mitglied: aqui
26.02.2015 um 22:28 Uhr
Nein ! Namen sind Schall und Rauch. Was einzig zählt ist die VLAN ID !!
Wenn du das VLAN 10 am einen Ende "Test" und am anderen Ende "Server" nennst ist das völlig egal. Die Namen haben nur kosmetischen Charakter.
Einzig die IDs mussen zwingend identisch sein VLAN ID 10 muss am anderen Ende auch die 10 haben ! Logisch, denn wie sollte der Siwtch oder Router das Paket denn auch sonst sauber einem VLAN zuordnen können ?!
mal deine " VLAN Routing mit DD-WRT Routern " Config mit einen HP 1810-24G Switch probieren.
Igitt HP Aber das funktioniert fehlerlos...auch mit einem HP
Bitte warten ..
Mitglied: Herbrich19
20.03.2015 um 03:41 Uhr
Hallo,

Ich habe eine kleine Frage, kann ich auch mit einen HP ProCurve Switch VLAN-Tagging machen, und giebt es Capitive Portal Software für Windows, z.B. für den ISA / TMG??
Bitte warten ..
Mitglied: aqui
20.03.2015 um 12:21 Uhr
Ja, klar ! Sogar Billigheimer HP kann natürlich Tagging sofern du einen managebaren Switch einsetzt natürlich. Dabei ist es egal ob Websmart oder CLI.
Übrigens: Wenn du das o.a. Tutorial wirklich gelesen hättest wär dir nicht entgangen das dort eine HP Switchkonfig aufgeführt ist
Für das Captive Portal solltest du besser eine kleine Firewall Appliance verwenden:
http://www.administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive ...
Alternativ einen 30 Euro Router Mikrotik 750 der diese Funktion auch gleich mit an Bord hat:
http://wiki.mikrotik.com/wiki/Hotspot_server_setup
https://www.youtube.com/results?search_query=mikrotik+hotspot
Bitte warten ..
Mitglied: Herbrich19
22.03.2015 um 16:29 Uhr
Hallo,

So, V-Lan ist eingerichtet und funktioniert auch super, Ports 1 und 14 sind Tagged, 15-29 Untagged und 8-7 ebenfalls Untagged. So ich habe mich jetzt aber eins A von der Webconfiguration ausgespeert, da hilft jetzt nur umstecken auf einen nicht konfigurierten Port (vlan-1??). Meine frage vist jetzt wie bekomme ich dass Managmand Interface von Switch ins v-lan14 rein.

LG, Herbrich
Bitte warten ..
Mitglied: aqui
22.03.2015 um 16:49 Uhr
Das Management kannst du immer nur über das VLAN 1 erreichen ! Jedenfalls im Default.
Du musst also sicherstellen das dein PC der das Management macht immer einen VLAN 1 Verbindung auf den Switch machen kann.
Oder...du musst alternativ im Setup den Management Port in ein anderes VLAN legen. Hier musst du dann daran denken das du dann gf. die IP Adresse anpassen musst.
Beides geht. Du hast aber richtig erkannt das die Verbindung ins VLAN 1 der Schlüssel ist
Bitte warten ..
Mitglied: Herbrich19
22.03.2015 um 18:21 Uhr
Hallo,

Dancke für den Tipp, V-Lan 1 soll eig ausgetroknet werden, IP,s müssten eigentlich nicht geändert werden da dass ganze SubNetz in V-Lan 14 verlegt wurde, und in V-Lan 1 soll nach möglichkeit eigentlich garnichts mehr rein, da kommen höchstens alle Netzwerk Dosen rein die gerade nicht in Verwendung sind, damit sich nicht jemand umbefigt zugriff zum Netzwerk verschaffen kann.

LG, Herbrich
Bitte warten ..
Mitglied: aqui
22.03.2015 um 18:30 Uhr
V-Lan 1 soll eig ausgetroknet werden, IP,s müssten eigentlich nicht geändert werden da dass ganze SubNetz in V-Lan 14 verlegt wurde
Dann lege ganz einfach das Switch Management ins VLAN 14, das kann man im Setup GUI machen.
Achte dann aber darauf das du auch einen Port im VLAN 14 hast sonst sägst du dir wieder den Ast ab
Bitte warten ..
Mitglied: Herbrich19
22.03.2015 um 18:54 Uhr
Hallo,

Ja, in V-Lan 14 hängt der Port 14 als Trunk, der Port 1 ebenfals als Trunk (Trunk == Tagged) und 15-21 hängen ebenfalls in V-Lan 14. Also von darher, ich habe das V-Lan ja schon vorher definiert und eingerichtet.

Nur gerade macht mir ein DDWRT mehr Probleme als der sogar sehr gut funkionierende HP Switch.

LG, Herbrich
Bitte warten ..
Mitglied: sirgm1
18.02.2016 um 12:51 Uhr
Hi ich versuche einen Linksys mit DD-Wrt für Vlan zu konfigurieren. Es gibt eine Fritzbox mit 192.168.0.252. Fritz-Box in den WAN Port DD-WRT.
Dann brauche ich 4 VLAN Netze mit 0, 10, 11, 12. Eins davon ist ja null. Ich bekomme es nicht konfiguriert das bei den Clients 0.250 als Gateway konfiguriert wird, und die anderen Vlan Netze die über die Fritz Box Internet beziehen und als Gateway 0.250 (DD-WRT Vlan IP) bekommen.
Bitte warten ..
Mitglied: aqui
23.02.2016, aktualisiert um 10:47 Uhr
Dann brauche ich 4 VLAN Netze mit 0, 10, 11, 12.
Mmmhhh...das ist etwas kryptisch ! Was genau meinst du damit ? Die IP Netze also strukturiert ala:
Netz 1: 172.16.0.0 /24 oder 10.0.0.0 /24 oder 10.0.0.0 /24
Netz 2: 172.16.10.0 /24 oder 10.0.10.0 /24 oder 10.10.0.0 /24
Netz 3: 172.16.11.0 /24 oder 10.0.11.0 /24 oder 10.11.0.0 /24
Netz 4: 172.16.12.0 /24 oder 10.0.12.0 /24 oder 10.12.0.0 /24

Gäbe ja mehrere Optionen.... Oder sollen das die VLAN IDs 0, 10, 11, 12 sein ??
Ich bekomme es nicht konfiguriert das bei den Clients 0.250 als Gateway konfiguriert wird,
Mmmhhh...auch komisch. Ins Netzwerk Setup des Adapters gehen und 10.0.0.250 eintippen mit einer 24 Bit Maske 255.255.255.0...was ist so schwer daran ? Ist mit 2 Mausklicks erledigt.

Nochmal deine ToDos im Groben:
  • VLANs und IP Ranges nach obigem Muster so einrichten auf dem DD-WRT
  • DD-WRT in jedem VLAN ein IP Interfaces konfigurieren. Die Router IP sollte immer ganz oben oder ganz unten liegen also .1 oder .254 ist aber nur eine kosmetische Empfehlung
  • Der DD-WRT bekommt eine Default Route auf die IP der FritzBox, Ebenso DNS Server Eintrag auf die FB IP
  • Die Clients bekommen die DD-WRT IP im jeweiligen VLAN als Gateway IP. IPs kann man ggf. per VLAN vom DD-WRT per DHCP vergeben lassen, was die Client Einrichtung vereinfacht.

Hier steht haarklein alles wie es gemacht wird:
http://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Man muss nur abtippen
Bitte warten ..
Mitglied: sirgm1
23.02.2016 um 11:40 Uhr
Ok ich versuchs mal anders zu erklären:
Netz 1: 192.168.0.250/24
Netz2: 192.168.10.250/24
Netz 3: 192.168.11.250/24
Netz 4 : 192.168.12.250/24
Es gibt eine FritzBox mit der 192.168.0.252
Jetzt sollen die Clients Netz 1: feste IP aus dem 0/24 Netz bekommen mit Gateway 0.250
Clients Netz 2: feste IP 10/24 als Gateway 10.250
Netz 3 und 4 glieches Schema.
Netz 2, 3, 4 sollen auf das 0/24 (Netz1) zugreifen koennen.
Also Netz 2,3,4 habe ich in DDwrt angelegt, tagged auf den Switch, funktioniert.
Aber ich weiß nicht was ich mit der Fritzbox mache und Netz1!
Wan aus schalten, WAN als LAN IP 192.168.0.249/24 mit Fritz Box als Gateway?
Dann noch ein 0/24 Vlan aufmachen und wie Netz 2,3,4 behandeln?
Woher bekommt dann Netz 1-4 Internet?
Fragen über Fragen
Bitte warten ..
Mitglied: aqui
23.02.2016, aktualisiert um 11:55 Uhr
Deinen Netzwerkangabe ist technisch falsch. Netzwerke im IP werden generell so angegeben das alle Hostbits auf 0 gesetzt sind. Deine .250 oben ist also keine netzwerkangabe sondern lediglich die IP Hostadresse des Routers...
Aber wir ahnen hier immer schon was gemeint ist.
Aber ich weiß nicht was ich mit der Fritzbox mache und Netz1!
Na, das ist doch kinderleicht...
  • FritzBox mit ihrem LAN Port 192.168.0.252 ins Netz 1 hängen
  • Statische Routen auf der Fritzbox einrichten in die Netze 2-4 ala:
Zielnetz: 192.168.10.0 Maske: 255.255.255.0 Gateway: 192.168.0.250 (Gateway: DD-WRT im Netz 1)
Du kannst auch eine CIDR Route setzen wenn du nicht alle 3 Netze einzeln eintragen willst:
Zielnetz: 192.168.0.0 Maske: 255.255.240.0 Gateway: 192.168.0.250
Das routet dir dann alle IP Netze von 192.168.0.1 bis 192.168.15.254 (20 Bit Maske) an den DD-WRT.
  • DD-WRT bekommt eine Default Route auf die 192.168.0.252 (FritzBox)
  • Fertisch....
Woher bekommt dann Netz 1-4 Internet?
Über den DD-WRT !! Der hat doch obige Default Route auf die FritzBox ! Sprich alles was er lokal nicht kennt schickt er an die FB und die ins Internet...fertich.
Die FB wiederum hat die o.a. statischen Routen das sie alles an lokalen Netzen an den DD-WRT schickt zum routen.
Eigentlich doch ganz easy, oder ?
Bitte warten ..
Mitglied: sirgm1
23.02.2016 um 12:19 Uhr
Eigentlich ganz easy oder?
Das sehen wir noch Ich probiere und melde mich. Danke erstmal
Bitte warten ..
Mitglied: horstvogel
03.10.2016 um 20:51 Uhr
Hallo aqui,
beim TP-WR841 N sieht das Menü nicht wie auf Deinem DD-WRT Bild aus.
Es fehlt hier der Reiter Vlans.
Ich möchte bei meiner PFSense einen TP-WR841 N an den Lan Port hängen und dieser soll dann für jeweils ein Gäste Wlan und ein normales Wlan ein eigenes Vlan zur Verfügung stellen. Bedeutet dieses, dass es nur mit der OPEN-WRT Firmware gehen würde?
Da der Menüpunkt fehlt und man keinen Trunk zuweisen kann?
Danke der Horst

2016-10-03 20_02_47-dd-wrt (build 30709) - networking - internet explorer - Klicke auf das Bild, um es zu vergrößern2016-10-03 20_04_47-vlan installation und routing mit pfsense, mikrotik, dd-wrt oder cisco rv router - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
04.10.2016, aktualisiert um 14:22 Uhr
Hallo Horst,
Ja, ich meine irgendwo gelesen zu haben im DD-WRT Forum das der Flash Speicher des 841N sehr sehr klein ist und viele der Features deshalb nicht mehr ins Flash passen.
Vermutlich ist deshalb das VLAN Feature über die Klinge gesprungen. Wie auch VPN.
Du musst mal checken ob ggf. OpenWRT die VLAN Funktion integriert hat.
Sonst nimm einen Mikrotik hAP light der kostet nicht viel und kann das alles problemlos.
Bitte warten ..
Mitglied: horstvogel
04.10.2016 um 23:02 Uhr
Hallo aqui,
danke für die Rückmeldung:

An meiner PFsense (läuft auf einem PC) soll ein TP-WR841 als AP angeschlossen werden, dieser soll ein Gäste Wlan und ein „normales“ Wlan zur Verfügung stellen. Vlan 2 eingerichtet und über den Lananschluss der PPFSense getestet funktioniert.

nun habe ich Openwrt drauf, da sieht das schon besser aus, aber da fehlen mir die Grundlagen. Die ich leider beim Lesen der verschiedenen Beiträge von Dir leider mir leider auch nicht erarbeiten konnte. Das liegt dann aber an mir....

So Gäste Wlan eingerichtet

1 - Klicke auf das Bild, um es zu vergrößern


Gäste Wlan einrichten, schon das erste Fragezeichen, welchen Network setzte ich hier?

2 - Klicke auf das Bild, um es zu vergrößern

Dann erstelle ich ein Interface? Hier verbinde ich dann Vlan 2 mit dem Gast Wlan.

3 - Klicke auf das Bild, um es zu vergrößern

Welche IP Adresse muss ich hier nehmen? In der Anleitung oben von der DD-WRT sieht das leider nicht so aus

4 - Klicke auf das Bild, um es zu vergrößern


Unter Switch richte ich dann den „Trunk“ ein? Das könnte vielleicht dannmal richtig sein. Lan 1 soll dann mit der PFSense verbunden werden


5 - Klicke auf das Bild, um es zu vergrößern

Das ganze funktioniert dann leider aber nicht.... Meine Lernkurve ist halt sehr flach

Danke!!
Der Horst
Bitte warten ..
Mitglied: horstvogel
04.10.2016 um 23:05 Uhr
Reihenfolge vertauscht, hier taucht natürlich auch Gast auf
6 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
05.10.2016, aktualisiert um 13:09 Uhr
Gäste Wlan einrichten, schon das erste Fragezeichen, welchen Network setzte ich hier?
Ich interpretiere das mal so das das Setup damit fragt auf welches lokale LAN man das WLAN bzw. diese SSID per Bridging aufschalten will. Ansonsten würde der Eintrag keinen Sinn machen.
Dann erstelle ich ein Interface? Hier verbinde ich dann Vlan 2 mit dem Gast Wlan.
Das sieht gut aus. Mit dem GUI bestätigt sich die Annahme von oben !
Besser ist es immer das VLAN Interface eth 0.2 vorher anzulegen aber es scheint ja auch so zu gehen.
Bei Linux ist es immer so das tagged Subinterfaces so dargestellt werden. Siehe auch hier.
Welche IP Adresse muss ich hier nehmen? In der Anleitung oben von der DD-WRT sieht das leider nicht so aus
Hier gibst du die IP Adresse des VLAN 2 ein !
Das macht man immer auf dem Bridge Interface was diese beiden Segmente koppelt. Die beiden physischen Interfaces also das eth 0.2 und das wlan Subinterface bekommen dann keine IP. Die wird immer nur auf dem Bridge Interface definiert was die beiden physischen Interfaces per Bridging koppelt.
Unter Switch richte ich dann den „Trunk“ ein? Das könnte vielleicht dannmal richtig sein. Lan 1 soll dann mit der PFSense verbunden werden
Jepp...das ist genau richtig !
"Trunk" ist allerdings die falsche Bezeichnung, denn damit meint man immer eine Link Aggregation also das koppeln mehrerer physischer Links zu einem virtuellen. Die ganze Netzwerk Welt, außer Cisco (Bei denen heisst es "EtherChannel") nennt das einen Trunk.
Was du hier hast ist einfach ein tagged Uplink. Wenn du Cisco affin bist darfst du es aber auch Trunk nennen
Aber genau richtig, der ist UNTAGGED in VLAN 1 und TAGGED in den VLANs 2 und 3.
Mit dem gehst du dann auf den VLAN Switch wo auch wieder ein tagged Uplink ist mit den identischen Settings (tagged in 2 und 3) wie auf dem Routerport.
Das ganze funktioniert dann leider aber nicht....
Mmmhhh...das ist sehr schade Syntaktisch sieht es richtig aus.
Hast du mal einen Wireshark angeklemmt und gecheckt ob an diesem Port das VLAN 2 tagged rauskommt ?
Welches Image hast du auf den 841N genau geflasht ?
Ich mach das hier mit meinem 841N dann parallel auch mal und checke ob ich das zum Fliegen bekomme !!
Bitte warten ..
Mitglied: horstvogel
05.10.2016 um 19:49 Uhr
Hallo aqui,
TL-841 V 10

mit
7 - Klicke auf das Bild, um es zu vergrößern

Port 1 ist Lan 4...... alleine das ist schon verwirrend

Danke!
Bitte warten ..
Mitglied: horstvogel
05.10.2016 um 21:15 Uhr
Zitat von aqui:

Welche IP Adresse muss ich hier nehmen? In der Anleitung oben von der DD-WRT sieht das leider nicht so aus
Hier gibst du die IP Adresse des VLAN 2 ein !
Das macht man immer auf dem Bridge Interface was diese beiden Segmente koppelt. Die beiden physischen Interfaces also das eth 0.2 und das wlan Subinterface bekommen dann keine IP. Die wird immer nur auf dem Bridge Interface definiert was die beiden physischen Interfaces per Bridging koppelt.
Welche IP muss ich hier nehmen? Die PFSense Vlan? bei mir wäre das 192.168.100.1 oder die 192.168.100.0 oder eine IP die nicht genutzt wird? Gateway eingeben?

Hast du mal einen Wireshark angeklemmt und gecheckt ob an diesem Port das VLAN 2 tagged rauskommt ?
Nun wird vermutlich ganz peinlich, wie soll ich an den TP OpenWrt an de Port 1 etwas anschließen, dass ist doch der Uplink von der PFSense? Da steckt doch was drin? Ich glaube ich habe etwas ganz wichtiges falsch gemacht....

Danke!!
Bitte warten ..
Mitglied: aqui
06.10.2016 um 22:02 Uhr
Port 1 ist Lan 4...... alleine das ist schon verwirrend
In der Tat !! Die OpenWRT GUI Bezeichnung hat nichts mit den physischen Ports zu tun und ist genau umgedreht.
Ich habe einen V8.4 hier und den mit der 15.05.1 Version geflasht.
Ich muss selten mal aufgeben aber hier habe ich es nach 1 Tag rumprobieren gemacht
Mein Fazit: VLANs laufen mit dem embeddeten Switch in dem System nicht oder nicht richtig.

Hier die Forschungsergebnisse:
  • Konfiguriert man es logisch nach GUI wie du oben klappt es de facto nicht. Der OpenWRT Router sendet keine getaggten Frames, das kann man klar mit dem Wireshark nachmessen !
  • Was sicher zu sein scheint ist das Switchports entweder rein nur tagged Traffic oder rein nur untagged Traffic können. Ein Mischbetreib mit native VLAN untagged ist (vermutlich) nicht möglich. Damit habe ich es teilweise zum Laufen bekommen. Allerdings sendet der Switch dann auch Frames mit VLAN Tag 1 der gar nicht definiert ist und Uplink Switches damit nichts anfangen können
  • Sehr Hilfreich ist ein SSH Zugang mit PuTTY oder TeraTerm auf den OpenWRT. Dafür musst du ein Passwort setzen und kannst dich dann mit Username: root und Passwort: <Passwort> per CLI einloggen.
  • Hier macht es Sinn über die Package Verwaltung das tcpdump Paket nachzuinstallieren. Dann hast du einen Sniffer quasi wie den Wireshark gleich direkt im Gerät was sehr hilfreich ist.
Ich habe erstmal testweise nur ein VLAN 2 angelegt. Der embedded Switchchip kann nur 16 VLAN IDs. Mit IDs über 20 sollte man also vorsichtig sein !
Die Interfaces sehen so aus:
root@OpenWrt:~# cat /etc/config/network 
 
config interface 'loopback' 
        option ifname 'lo' 
        option proto 'static' 
        option ipaddr '127.0.0.1' 
        option netmask '255.0.0.0' 
 
config interface 'lan' 
        option ifname 'eth1' 
        option proto 'static' 
        option ipaddr '192.168.1.1' 
        option netmask '255.255.255.0' 
        option broadcast '192.168.1.255' 
 
config interface 'wan' 
        option ifname 'eth0' 
        option proto 'dhcp' 
 
config switch 
        option name 'switch0' 
        option reset '1' 
        option enable_vlan '1' 
 
config switch_vlan 
        option device 'switch0' 
        option vlan '1' 
        option vid '1' 
        option ports '0 3 4' 
 
config switch_vlan 
        option device 'switch0' 
        option vlan '2' 
        option vid '2' 
        option ports '1t 2' 
 
config interface 'vlan2' 
        option proto 'static' 
        option ifname 'eth1.2' 
        option netmask '255.255.255.0' 
        option ipaddr '10.2.2.1' 
        option broadcast '10.2.2.255' 
VLAN 2 wird rein Tagged auf Port 1 ausgegeben und untagged auf Port 2
Schliesst man einen Client an Port 2 bekommt der eine IP vom DHCP Server an eth1.2 (vlan 2 Interface mit aktiviertem DHCP) und kann auch den Router pingen.
Port 1 hängt dabei auf einem Cisco Catalyst 2960 Switch der VLAN 2 tagged hat. Klemmt man den Client jetzt um auf VLAN 2 am Switch geht es nicht mehr.
Das liegt daran das der OpenWRT keine Frames mit ID 2 Tag an Port 1 sendet. Ein tcpdump -i eth1.2 zeigt das auch. Zusätzlich habe ich den Cisco Port auf einem Mirrorport gelegt und sniffere da parallel mit dem Wireshark...kein VLAN 2 getaggter Frame
Die Switchkonfig im OpenWRT sieht so aus
root@OpenWrt:~# swconfig dev switch0 show 
Global attributes: 
        enable_vlan: 1 
Port 0: 
        pvid: 1 
        link: port:0 link:up speed:1000baseT full-duplex txflow rxflow 
Port 1: 
        pvid: 0 
        link: port:1 link:up speed:100baseT full-duplex auto 
Port 2: 
        pvid: 2 
        link: port:2 link:up speed:100baseT full-duplex auto 
Port 3: 
        pvid: 1 
        link: port:3 link:down 
Port 4: 
        pvid: 1 
        link: port:4 link:up speed:100baseT full-duplex auto 
VLAN 0: 
        vid: 0 
        ports: 1t 
VLAN 1: 
        vid: 1 
        ports: 0 3 4 
VLAN 2: 
        vid: 2 
        ports: 1t 2 
Wie du siehst ist das syntaktisch alles korrekt. Mit dem Kommando swconfig dev switch0 show kannst du übrgnes gut sehen das die GUI Portnummerierung völlig anders ist als die Wirkliche auf den Switchports.
Hier die IP Interface Konfig des Routers:
root@OpenWrt:~# ifconfig 
eth0      Link encap:Ethernet  HWaddr C0:4A:00:A5:A0:DD 
          UP BROADCAST MULTICAST  MTU:1500  Metric:1 
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B) 
          Interrupt:4 
 
eth1      Link encap:Ethernet  HWaddr C0:4A:00:A5:A0:DE 
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1 
          RX packets:2195 errors:0 dropped:1 overruns:0 frame:0 
          TX packets:2003 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:1000 
          RX bytes:275774 (269.3 KiB)  TX bytes:627118 (612.4 KiB) 
          Interrupt:5 
 
eth1.2    Link encap:Ethernet  HWaddr C0:4A:00:A5:A0:DE 
          inet addr:10.2.2.1  Bcast:10.2.2.255  Mask:255.255.255.0 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1 
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:92 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:4584 (4.4 KiB) 
 
lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0 
          UP LOOPBACK RUNNING  MTU:16436  Metric:1 
          RX packets:5802 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:5802 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:0 
          RX bytes:401184 (391.7 KiB)  TX bytes:401184 (391.7 KiB) 
Das Teil spielt aber irgendwie total verrückt und ist nicht wirklich VLAN konform...

Diese Webseiten haben übrigens noch ein paar gute Infos:
https://wiki.freifunk.net/Berlin:Switch_VLAN_Konfiguration
(Hier ist die Interface Zuordnung falsch ! WAN=eth0 LAN=eth1)
https://forum.freifunk-muensterland.de/t/tagged-vlan-am-tl-wr-841n-v10/1 ...
http://coderazzi.net/howto/openwrt/tl841n/vlans.htm
https://forum.openwrt.org/viewtopic.php?id=42399
Geholfen haben sie nicht wirklich.
Da du ein Ver.10 System hast mag das anders sein. Musst du ggf. nochmal testen.
Statt grauer Haare solltest du besser einen Mikrotik Router nehmen. Bei dem ist das mit 3 Mausklicjs in 5 Minuten erledigt und...funktioniert sofort !
Bitte warten ..
Mitglied: horstvogel
06.10.2016 um 22:31 Uhr
Hallo aqui,
vielen Dank. Ich hatte heute auch gerade getestet und wollte gerade schreiben.
Aber mit Deiner Ausarbeitung kann ich nicht mithalten. Fazit über ich sage mal es in meinem Turnschuh Admin Deutsch:
von Lan zu Lan geht das auch, bzw. zuverlässig nur, wenn der "Ausgang" untagged gesetzt ist, bei Tagged und dann über die Netzwerkkarte die VlanID gesetzt, spielt das Ding manchmal verrückt, bekommt die IP und ich hatte mich schon gefreut und dann ziehe ich den Stecker und es geht wieder nicht, IP fest vergeben und geht...... Also wirklich ein Mistkiste.

Herzlichen Dank für Deine perfekte Antwort.
Und mir ist das unangenehm, dass Du so viel Zeit investiert hast.

Danke!!
Bitte warten ..
Mitglied: aqui
06.10.2016, aktualisiert um 22:35 Uhr
Und mir ist das unangenehm, dass Du so viel Zeit investiert hast.
Neee...lass mal, muss nicht. War mal ganz lehrreich ob man solchen 10 Euro Teilen VLAN beibringen kann.
Fazit ist wohl: Besser nicht (oder fairerweise..besser nicht mit DEM Modell) und lieber gleich zum Mikrotik oder was auch immer greifen
Bitte warten ..
Mitglied: horstvogel
06.10.2016 um 22:38 Uhr
Ich hatte 3 von den Dinger auch für Freifunk gekauft, daher hatte ich die Dinger noch rumliegen. Gehen gleich in die Mulltonne oder Router Kaskade, einer für die untagged Übergabe an die beiden anderen für Gäste Lan und normales Lan. Der Stromverbrauch übersteigt dann aber einen neuen anständigen Router...
Bitte warten ..
Mitglied: aqui
07.10.2016, aktualisiert um 12:22 Uhr
Na ja als einfache WLAN Acesspoints könnte man sie ja noch gnädigerweise recyceln...
Vielleicht passt auch noch ein OpenVPN drauf ?? Bei den Packages gabs ja ne Menge toller Goodies was man so auf OpenWRT packen kann...
Allerdings war bei den paar Bytes von tcpdump der interne Flash dann nur noch zu 47% frei.
Da geht dann nicht mehr sooo viel bei dem Sparteil. Realistisch darf man von 15 Euro auch keine allzu großen Wunder erwarten...
Bitte warten ..
Mitglied: horstvogel
18.10.2016, aktualisiert um 20:26 Uhr
Hallo aqui,
ich habe mir jetzt einen Mikro Tik hAP ac besorgt

folgende Einstellungen:

2016-10-18 19_50_52-admin@6c_3b_6b_10_cb_0b (mikrotik) - winbox v6.37.1 on hap ac (mipsbe) - Klicke auf das Bild, um es zu vergrößern
2016-10-18 19_51_11-admin@6c_3b_6b_10_cb_0b (mikrotik) - winbox v6.37.1 on hap ac (mipsbe) - Klicke auf das Bild, um es zu vergrößern
2016-10-18 19_51_34-program manager - Klicke auf das Bild, um es zu vergrößern
2016-10-18 19_52_01-admin@6c_3b_6b_10_cb_0b (mikrotik) - winbox v6.37.1 on hap ac (mipsbe) - Klicke auf das Bild, um es zu vergrößern
2016-10-18 19_52_30-admin@6c_3b_6b_10_cb_0b (mikrotik) - winbox v6.37.1 on hap ac (mipsbe) - Klicke auf das Bild, um es zu vergrößern
2016-10-18 19_50_24-program manager - Klicke auf das Bild, um es zu vergrößern

weder über Kabel oder über Wlan funktioniert das leider nicht.
Lan 1 soll der Uplink sein, Lan 2 für das Gäste Lan und Lan 3 für das Private Lan

https://www.administrator.de/contentid/233966
Ich habe Deine Anleitung verwendet.
Hier muss ich den Ports keine IP Adressenräume geben, ist das richtig?
Für Wireless muss ich in Deiner Anleitung keine Vlan ID vorgeben?
Wireless in der Bridge auch deaktiviert, damit das nicht quer kommt. Leider auch nichts gebracht.
DHCP macht bei mir die PFSense, über den Lan Port funktionieren die Vlan und mit meinem TP-Link Schrott ging das ja auch halbwegs. Also habe ich bestimmt wieder einen Fehler gemacht. Reset wurde beim Router auch vorab gemacht, ohne Default...
Danke! der Horst
Bitte warten ..
Mitglied: aqui
19.10.2016, aktualisiert um 13:26 Uhr
Hallo Horst !
Doch natürlich müssen die VLAN Interfaces IP Adressen haben andernfalls kann der MT ja niemals zw. den VLANs routen !
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Die musst du also noch nachtragen und den VLANs entsprechende DHCP Server zuordnen, dann kommt das sofort zum Fliegen.
Richtig, das WLAN kann man per Bridge an eins der VLANs ankoppeln. Das aber nur wenn du auf dem WLAN die gleiche IP Range und Funktion haben willst wie in dem VLAN.
Du kannst das WLAN auch als dediziertes Interface laufen lassen, dem eine IP vergeben und das WLAN routen.
Bei Gäste WLANs musst du das so oder so wenn du das Captive Portal des MT nutzen willst !
Der MT ist auch MSSID fähig, sprich du kannst mehrere WLANs aufspannen die dann zu entsprechenden VLANs korrespondieren. Das geht dann aber nur via Bridging.
Eigentlich ist der MT in deinem Umfeld falsch, denn das ganze Routing und Security machst du ja mit der pfSense. Einen weiteren Firewall Router hättes es also gar nicht gebraucht....
Mit einem simplen einafch nur Accesspoint wärst du ja besser bedinet gewesen. Keep it simple stupid.
Im Grunde musst du nun einen potenten Mikrotik Router zu einem simplen VLAN Switch kastrieren was ein einfacher VLAN Switch wie NetGear GS105E o.a. besser gekonnt hätten.
Warum diesen Aufwand mit dem MT ? Eigentlich falsche HW in deinem Umfeld ?
Wenn du den MT nur als dummen VLAN Switch missbrauchst musst du natürlich keine IP Adressen konfigurieren ! Dann kannst du das obige ignorieren.
Bitte warten ..
Mitglied: horstvogel
19.10.2016 um 18:55 Uhr
Hallo aqui,
wirklich vielen Dank!!!

Ok, Porsche gekauft, aber nur einen unebenen Feldweg zum Haus.

Schritt 1 MT als dummen VLAN Switch missbrauchen.
DHCP .... macht alles die PFSense!
Versuche ich gleich mal
Bitte warten ..
Mitglied: horstvogel
19.10.2016 um 19:22 Uhr
Sorry, selbst das bekomme ich nicht hin.

Lan 1 ist der uplink

Lan 2 soll einfach nur das VLAN 2 rausgeben

Lan 3 einfach nur VLAN 3

Wo stelle ich tagge oder untagged bei der Kiste ein??


2016-10-19 19_17_12-admin@6c_3b_6b_10_cb_0b (mikrotik) - winbox v6.37.1 on hap ac (mipsbe) - Klicke auf das Bild, um es zu vergrößern

danke und ich gebe gleich auf
Bitte warten ..
Mitglied: horstvogel
19.10.2016 um 19:27 Uhr
2016-10-19 19_24_23-admin@6c_3b_6b_10_cb_0b (mikrotik) - winbox v6.37.1 on hap ac (mipsbe) - Klicke auf das Bild, um es zu vergrößern

muss ich hier nichts einstellen?
Bitte warten ..
Mitglied: horstvogel
19.10.2016 um 20:34 Uhr
Zwergnase an sacknase,

geht doch!!! Danke!!!

2016-10-19 20_33_19-vlan installation und routing mit pfsense, mikrotik, dd-wrt oder cisco rv router - Klicke auf das Bild, um es zu vergrößern

der Horst
Bitte warten ..
Mitglied: horstvogel
19.10.2016 um 20:37 Uhr
Wenn ich das jetzt um Wlan erweitern möchte, DHCP... macht die PFSense, darf das dann so bleiben??
Danke der Horst
Bitte warten ..
Mitglied: horstvogel
19.10.2016, aktualisiert um 23:50 Uhr
Hallo Sacknase, hallo aqui,

ich habe das mal so gemacht.

Die beiden Wlan´s direkt über die Einstellung im Wlan dem jeweiligen Vlan zugeteilt. Dann eine Bridge über alle Lan und Wlan Interface erstellt, Wlan geht, PFSense macht den DHCP.... nur bei den Lan Anschlüssen bekomme ich noch das Vlan 0 mit geschickt, also liegen hier dann das Vlan 0 und das jeweilige gewünschte Lan an. So wollte ich das ja eigentlich nicht. Wenn ich hier für ehter 1 secure nehme, dann geht das überhaupt nicht mehr. Ich schätze mal insgesamt sind meine Einstellungen eher ein Zufallsprodukt

2016-10-19 23_36_48-program manager - Klicke auf das Bild, um es zu vergrößern

Danke Euch!!
Bitte warten ..
Mitglied: aqui
20.10.2016 um 14:49 Uhr
bekomme ich noch das Vlan 0
Ein VLAN 0 gibt es nicht. Das ist technisch nicht definiert !! Du meinst aber sicher das native VLAN (untagged) in VLAN 1, richtig ?
Wenn du nur getaggte VLANs haben willst, dann darfst du das Parent Interface der pfSense nicht benutzen !
Entweder dort keine IP definieren oder mit der FW Regel alles inbound blockieren.
So hast du dann rein nur Zugriff über die getaggten VLAN. Also genau das was du willst.

Übrigens: Dein Radius Server auf der pfSense rennt auch fehlerlos
https://www.administrator.de/frage/pfsense-2-3-2-freeradius-317943.html# ...
Bitte warten ..
Mitglied: horstvogel
20.10.2016, aktualisiert um 17:27 Uhr
Mit dem Radius habe ich schon gesehen, danke!!
Hatte ich vorher auch schon so gemacht. Ging aber nicht.
Egal, heute ist die Alix Kiste gekommen, dann ist das System blank und ich kann das hoffentlich zwischenzeitlich gelernte anwenden.

http://varia-store.com/Hardware/Green-IT-Boards/PC-Engines-APU1D4-Bundl ...

https://www.administrator.de/wissen/pfsense-apu1d4-board-msata-5-ghz-wla ...

Bin mal gespannt was ich dann für Fragen habe, da habe ich es dann mit einer mSata zutun. USB Installation, Konsole....
Da muss ich bestimmt wieder fragen
Danke!!
Bitte warten ..
Mitglied: 131223
20.10.2016, aktualisiert um 18:43 Uhr
Da muss ich bestimmt wieder fragen
Dann aber in einem neuen Thread, der hier braucht ja immer ewig zum laden. Und so eine tolle Anleitung sollte man nicht damit "verschandeln".
Bitte warten ..
Mitglied: aqui
20.10.2016 um 19:09 Uhr
Hatte ich vorher auch schon so gemacht. Ging aber nicht.
Da hast du dann zu 99,9% etwas falsch gemacht, denn es kann ja nicht sein das es einmal geht und einmal nicht !

Danke für den Hinweis mit dem hiesigen Thread, da hast du absolut Recht !
Bitte warten ..
Mitglied: Herbrich19
24.10.2016 um 16:05 Uhr
Ich habe mein VLAN so gelöst dass ich einfach einen Windows Server mit Intel Proset am laufen habe und zwei Switches die einfach die Clients untagget entgegen nehmen und von den Unifi AP,s kommt der Traffic Tagget rein und der Server hat den Trunk. So habe ich halt eben das Gäste Netz bereit gestellt und mein interner Traffic ist sicher getrennt.

Gruß an die IT-Welt
- Herbrich
Bitte warten ..
Mitglied: aqui
24.10.2016 um 16:19 Uhr
Ja, ist ein alter Hut und klar das es so auch geht.
Wenn du mal die Suchfunktion bemüht hättest, hättest du auch das hiesige Tutorial entdeckt was diesen Fall ausführlich beschreibt:
https://www.administrator.de/wissen/vlan-routing-802-1q-trunk-ms-linux-s ...
Kann man nur hoffen das dein Gästenetz dann NICHT mit auf dem Server Trunk liegt, was aus Sicherheitsgründen fatal wäre.
Übrigens ein Grund warum man das VLAN Forwarding, sofern es gefordert ist, besser auf Router oder Firewall legt.
Bitte warten ..
Mitglied: Herbrich19
24.10.2016 um 20:34 Uhr
Der Server ist ein Routing und RAS mit ISA/TMG. Zugriff auf die Internen Netze ist nict möglich.

Gruß
-Herbrich
Bitte warten ..
Mitglied: aqui
25.10.2016 um 11:26 Uhr
Also genau so wie man es eigentlich NICHT machen sollte. Packet Forwarding Dienste und besonders Security haben generell auf einem Server nichts zu suchen.
Mal abgeshen davon das MS ja nun auch nicht gerade bekannt ist für innovative Security Lösungen...eher im Gegenteil.
Bei MS ist irgendein Zugriff über irgendwas immer möglich wie die Vergangenheit ja gezeigt hat.
Aber das ist kein Thema für dieses Tutorial was das auch bleiben sollte.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Linux Netzwerk
VLAN WRT54GL (DD-WRT) und pfSense

Frage von dietzi zum Thema Linux Netzwerk ...

Netzwerkprotokolle
DD-WRT Router: Frage zum Routing (13)

Frage von D46505Pl zum Thema Netzwerkprotokolle ...

Router & Routing
gelöst Cisco SG300-10: VLAN und Routing (4)

Frage von niko123 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...