Internetleitung über unterschiedliche VLANs mit unterschiedlichen Benutzergruppen nutzen

Es gibt 5 Antworten in diesem Thema, welches 5.378 mal aufgerufen wurde. Der letzte Beitrag () ist von IT-Spielwiese.

    Hi,


    ich möchte in einem Gemeinschaftsbüro verschiedene Unternehmen in VLANs separieren und mit diesen eine gemeinsame Internetleitung nutzen.


    Bis jetzt habe ich einen USG, Switche und APs von UniFi im privatem Einsatz.


    Bei meinem oben erwähnten Vorhaben würde ich gerne wissen, ob es bestimmte Fallstricke gibt was VLANs angeht? Also was müsste ich tun um die Firmen wirklich voneinander zu trennen?


    Wenn ich im Controller unter Netzwerke ein neues Netzwerk erzeugen möchte bekomme ich unter anderem die Option als "Unternehmen" oder "Nur VLAN" anlegen angeboten. Bei "Unternehmen" kommuniziert der Netzabschnitt mit der USG und kann die DHCP von dort nutzen, richtig? Bei ausschliesslich "Nur VLAN" ist das in sich komplett abgeschottetes Netz, korrekt?


    Könnt ihr mir dazu Empfehlungen geben? Als Hardware würde ich eine UDM Pro nehmen. Und als Switche welche aus der UniFi Serie.

    Zitat von iTweek

    Moin. Das ist richtig. Mit nur vlan.


    habe auch mehrere vlans im einsatz.


    ich habe per firewall regel so ein gestellt das vlans nicht mit einander reden können.


    zum udm pro können wir nich nichts sagen da ich es erst bekomme


    Hi, meine Frage bezog sich halt auf den konkreten Fall, wenn ich VLANs einrichte, ob nun als Unternemen oder Nur VLAN, sind diese wirklich abgeschottet?


    Wenn du schreibst, du hast per Firewall Regeln erstellt dann klingt es für mich so als wenn die VLANs miteinander sprechen könnten, also ohne Firewall Regeln.


    Ich kann und darf nicht riskieren, dass ein VLAN mit einem anderen kommuniziert ohne das es gewollt ist.


    Den UDM Pro möchte ich für das einfache Verwalten usw. nutzen.


    Wenn du das Gerät hast würde ich gerne wissen wie dein Eindruck ist. Ich habe noch nicht bestellt aber würde das dann auch demnächst tun.

    • Offizieller Beitrag

    Nur vlan ist isoliert

    Unternehmen ist mit Dhcp


    wenn du die vlan einrichtest können sie von haus aus miteinander reden.


    das musst du per firewall regel dann verbieten in beide Richtungen.


    wenn du wirklich sicher gehen willst musst du für jede firma ein Eigenen usg einsetzten.



    sobald ich erste eindrücke habe kann ich bescheid geben wegen UDM pro.

    • Offizieller Beitrag

    Unternehmen ist neben der automatischen Firewall-Konfiguration und dhcp-Server auch noch DNS! Bei „nur VLAN“ fehlt Dir alles, gewollt oder nicht. Wenn es nur darum geht, dass ein VLAN mit keinem anderen sprechen soll, dann lässt sich das über firewall-Regeln lösen. Dominik (iDomiX) hat dazu ein sehr detailliertes Video auf seinem Kanal veröffentlicht.

    Zitat von razor

    Unternehmen ist neben der automatischen Firewall-Konfiguration und dhcp-Server auch noch DNS! Bei „nur VLAN“ fehlt Dir alles, gewollt oder nicht. Wenn es nur darum geht, dass ein VLAN mit keinem anderen sprechen soll, dann lässt sich das über firewall-Regeln lösen. Dominik (iDomiX) hat dazu ein sehr detailliertes Video auf seinem Kanal veröffentlicht.

    Also muss ich mir hier merken:


    1.1 Bei Nur VLAN fehlt mir DHCP und DNS. Nur VLAN ist aber komplett abgeschottet, also muss da nicht konfiguriert werden, Korrekt.


    1.2 Bei Unternehmen bekomme ich DHCP und DNS. Aber da diese Netze miteinander sprechen können muss ich hier in der Firewall entsprechend dies verbieten, richtig?


    2.1 Mit den Firewall Einstellungen würde nichts dagegen sprechen verschiedenen Netzen die Internetleitung anzubieten, oder?


    2.2 Verhält es sich bei einem L2/L3 Switch anders? Also könnte ich da ohne Firewall mehr einschränken?


    2.3 Kann man bei einer USG oder UDM einstellen welches Netz IDS/IPS haben soll und welches nicht?


    2.4 Könnte ich von meinem IPv6 Pool Adressen an bestimmte Netze weiterleiten?


    Sind ein paar Fragen zusammengekommen ;-). Vielleicht habt ihr Ideen oder Anregungen dazu :-).