VLan klappt irgendwie nicht

Es gibt 39 Antworten in diesem Thema, welches 9.064 mal aufgerufen wurde. Der letzte Beitrag () ist von Workstation.

    Hallo zusammen,


    da dank eurer Hilfe nun alle Komponenten in meinem Netzwerk jetzt eingebunden sind, möchte ich mich dem VLan widmen.


    Ziel ist es, dass mein Gastnetzwerk (erreichbar über 3 NanoHDs und eine Lan-Dose) nicht auf mein Heimnetzwerk (3 NanoHSs und 3 Lan-Dosen) zugreifen können.


    Ich habe folgende Komponenten:

    FritzBox 7530

    USG

    NetgearGS108PE

    iMac

    Synology Diskstation (per Docker Controller)

    3 NanoHDs


    Ich habe alles mögliche probiert, von Firewall der Usw bis hin zum VLan des Netgears.

    Beim Netgear weiß ich leider nicht weiter.

    Port 1-3 NanoHDs mit VLan 100 (Heimnetzwerk) und VLan 200 (Gastnetzwerk).

    Ich kann untagged, tagged und PVID vergeben, aber trotz vielen Lesens raff ich das noch nicht so ganz.


    Entweder ich habe kein Internet mehr, oder ich kann trotzdem die Synology und die FritzBox erreichen.


    Der iMac und die Synology sollen vom Gastnetzwerk getrennt sein, so dass Gäste nur ins Internet können, aber mehr nicht.


    Ist das überhaupt mit dem Netgear und der usw realisierbar?

    Hallo!


    Leider kann ich zu deinem Problem nicht viel erleuchtendes sagen, nur soviel, dass ich eine ähnliche Problematik VLAN erzeugen mit UDM und Cisco-Switch SG200 mit ähnlichen Einstellmöglichkeiten wie dein Netgear probiert habe und leider gescheitert bin. Ich habe den Switch durch ein Ubuquiti ersetzt und eingerichtet. Solltest du eine trotzdem eine Möglichkeit finden, wäre ich daran interessiert. Viel Erfolg!:thumbs_up:

    Weiß jetzt nicht wo es an der Stelle bei Dir hapert?

    Ich hatte mal ähnliche Setup

    https://web.andrejansen.de/das…-setup-und-konfiguration/


    Unten auf der Seite ist ein Link wie ich meine Netgear switches eingerichtet hab. Jeder Port muss einzeln eingerichtet werden (und ja, es ist sehr lästig bei Netgear)


    Wichtig beim Setup ist die schrittweise Durchführung

    - Erstellung VLAN

    - Geräte in die VLAN bringen

    - Wifi (SSID) in die VLAN bringen

    - Nun sollten alle Geräte in den neu erstellten VLAN eine neue IP im korrekten Bereich haben/bekommen

    Bis hier gilt: Jedes Gerät kann immer noch mit allen Geräten kommunizieren (und das muss auch so), also Schmeiss die Firewall wie du sie bereits aufgesetzt hast vorher raus.

    - Dann erstell die korrekte Firewall Regel um das zu erreichen was du möchtest, am besten schaue hier im Wiki nach, das ist sehr gut beschrieben

    2 Grundvoraussetzungen habe ich noch nicht verstanden.


    Zum einen, warum eine Firewall, wenn doch VLan die Netztrennung macht.


    Und zum anderen, die generelle Einstellung von den Ports, wenn da 2 VLans drüber laufen müssen. Was muss dann bei VLan 100 und was bei 200 eingestellt werden und wozu dient die PVID?

    Zitat von Workstation

    Zum einen, warum eine Firewall, wenn doch VLan die Netztrennung macht.

    Firewall brauchst Du schon, denn Sie steuert die Beziehung zwischen den VLAN's, das geht von "alles" erlaubt bis "nix" erlaubt, dazwischen natürlich entsprechende Feinjustierungen (z.B ein PC darf von VLAN A nach VLAN B, der Rest nicht u.s.w)

    USG 3P, 2x UAP AC Lite, US 8 60W, UCK Gen2+

    Ok, ich merke: weiterführende Links mit Erklärungen zu VLAN und Netgear Setup sind zu viel

    Zitat von Workstation

    Zum einen, warum eine Firewall, wenn doch VLan die Netztrennung macht.

    VLAN trennt die Netze in unterschiedliche IP Bereiche, warum sollte hier der Zugriff von einem auf den anderen geblockt werden? Das macht die Firewall. Sie sperrt Zugriffe aus oder an IP Adressen oder Bereiche. Dies kann man sehr fein einstellen mit Angabe des Protokolls, Port etc.


    Zitat von Workstation

    wozu dient die PVID?

    Ich zitiere auch hier mal aus dem weiterführenden Link zu "Stübis Blog":


    Die PVID ist (Bei Netgear) die VLAN-ID, die ein Port eingehenden Datenpaketen ohne VLAN-Tag (unttaged) zuweist.

    Gelesen habe ich es.

    Ich habe es auch verstanden, was das im einzelnen bedeutet, aber nicht die Kombination.

    Mit der Firewall habe ich das glaube ich verstanden. VLan trennt also nur netzt, aber sperrt sie nicht, oder?

    Dafür dann die Firewall.


    Wenn ich auf einen Switch-Port den NanoHD angeschlossen habe, der beide Vlans hat, muss ich dann auf beiden Seiten (im Switch) tagged setzen, oder nur auf eine Seite?

    Und wer muss dann die PVID haben, denn die kann ich pro Port nur einmal setzen. Die gleiche Frage stellt sich beim Lan Port, der von der usg kommt und für alle das Internet stellt.


    uboot21 danke für den Link, das war schon sehr gut erklärt, nur das Zusammenspiel habe ich nicht verstanden und ich finde auch nirgends was, wo es erklärt wird. 🤔


    Also Switch Port 1-3 zu den NanoHDs und Switch port 6 kommend von der USG VLan 100 tagged und VLan 200 auch tagged, richtig?

    Wer bekommt nun die PVID?

    Die ist ja standardmäßig auf 1.


    Alle anderen wie iMac, Server u.s.w. untagged bei VLan 100 und auch bei VLan 200, oder?


    Danke für eure Geduld. 🙈

    Hallo,

    falls es hilfreich ist (bei mir hats nur so funktioniert).

    Um ein VLan von einem anderen abzublocken (erlauben-Regeln kommen ja dann vorher dran) wollte ich allen Traffic verbieten.

    Bei den Quelle/Ziel Einstellungen sieht es nun so aus.



    Zuerst dachte ich das "Ziel" wäre mit "Netzwerk" (LAN) und "IPv4 Subnetz" anzugeben, aber es waren immer noch Verbindungen zugelassen.

    Dann hatte ich einen Beitrag gefunden in dem diese Weise beschrieben wurde:

    Ziel "LAN" , "Adressen/Port-Gruppe" -> Neue IPv4Adress-Gruppe und dort einen Gruppe mit Adresse 192.162.0.0/16 (oder je nach Bereich ändern) erstellen.

    Nun können keine Geräte aus vLAN Guests auf vLAN LAN zugreifen.

    Hoffe man versteht es...

    Gruß Helmi

    Zitat von Workstation

    Also Switch Port 1-3 zu den NanoHDs

    Die AP werden immer auf der Unifi Seite mit "All" verbunden, auf der Netgear Seite ist das Standard LAN von Unifi (das was bei Unifi ohne VLAN ist), das ist bei Netgear das VLAN 1.

    Den Port am Netgear muss du so einstellen -> Erst alle VLAN mit ID einrichten (Die Webseite von Stübi ist hier echt Spitze!) und dann das VLAN1 (PFID1) auf untagged und alle anderen PFID auf tagged setzen


    PortVLAN1VLAN100VLAN200
    		PVID / VLANBeschreibung
    1UTT
    		1AP Nano HD

    Das wäre bei Netgear deine Einstellung auf Port 1, wenn dort der AP hängt, der AP selber muss auf ALL stehen

    Die USG würde genauso angeschlossen werden,


    PortVLAN1VLAN100VLAN200

    		PVID / VLANBeschreibung
    2
    		U


    		100Synology

    Deine Synology würde so angeschlossen werden auf Port 2

    Einmal editiert, zuletzt von uboot21 ()

    Ich selber hatte mir zwei 24-Port Netgear so eingestellt, es empfiehlt sich eine Excel Tabelle vorher anzulegen


    Netgear-Switch-1 192.168.10.4
    VLAN ID11020304025225350
    PortLAN ServerLAN MainLAN SIPLAN GastLAN KamerasLAN NoTLAN IoTLAN Proxmox Virtuell Experiment
    1 U
    2 U
    3 U
    4 U
    5 U
    6 U
    7 U
    8 U
    9 U
    10 U
    11 U
    12 U
    13 U
    14 U
    15 U
    16 U
    17 U
    18 U
    19 U
    20 U
    21U
    22U
    23UTTTTTTT
    24UTTTTTTT
    -------------------------------------
    Netgear-Switch-2 192.168.10.3
    VLAN ID11020304025225350
    PortLAN ServerLAN MainLAN SIPLAN GastLAN KamerasLAN NoTLAN IoTLAN Proxmox Virtuell Experiment
    1 U
    2 U
    3 U
    4 U
    5 U
    6 U
    7 U
    8 U
    9 U
    10 U
    11 U
    12 U
    13 U
    14 U
    15 U
    16 U
    17 U
    18 U
    19U
    20U
    21U
    22U
    23UTTTTTTT
    24UTTTTTTT

    Falls das nicht zum Erfolg führt kann ich auch nochmal meine netgear auspacken und dein Setup dort einspielen, schick dir dann ein paar printscreens.

    Dann müsste ich aber noch kurz wissen an welchen Ports des Netgear du welches Gerät genau dran hattest

    Ich habe es jetzt lange ausprobiert, aber beim Port wo der Server angeschlossen ist, bekomme ich keine Verbindung mehr vom Heimnetzwerk aus. Du sagtest ja der Server (in deinem Beispiel Port 2) VLan 100 auf U und bei VLan 1 und 200 nichts eintragen. Dann die PVID auf 100. Das funktioniert bei mir leider nicht, warum auch immer. Das geht nur wenn ich bei der selben Konstellation die PVID auf 1 setze, aber das kann ja nicht richtig sein. Ich glaube ich habe da irgendwo totalen Bockmist drin. Vielleicht auch auf den Controller. Oder hat das was mit Doppelten NAT zu tun?

    Wäre ein Unifi Switch einfacher?

    Wer macht denn bei dir den dhcp Server für die einzelnen Netze

    Hauptnetzwerk

    Vlan100

    Vlan200

    Kann es sein, das die Synology nicht die korrekte ip bekommt?

    Häng doch mal deinen pc dran und schau ob du Verbindung über den Port bekommst

    Und hast du die usg auch so angeschlossen wie im Beispiel mit Port 1

    Mangels Informationen von dir über die Konfiguration der Netze ist das auch immer ein bisschen aus der Glaskugel raten


    Ps: ja, ein unifi Switch ist einfacher einzurichten, aber wenn du den Netgear korrekt aufsetzt geht es genauso gut.

    Doppeltes nat hat damit ja nichts zu tun, das heißt nur das du zwei getrennte private Netzwerke vor dem wan hast, die sind ja getrennt

    OK,

    1) Du hast doch die USG hinter der Fritzbox, oder nicht? Weil das ist das doppelte NAT und dann hat die Fritzbox nichts mehr mit deinem Netzwerk zu tun.

    2) Wer macht denn den DHCP für dein Netzwerk, den VLAN100 und VLAN200? Das muss doch der controller sein, nicht die Fritzbox?

    3) was hast du denn an Port 7&8 deines Netgear?




    Der Pingtest schlägt fehl.

    Ich kann alle Geräte erreichen, aber nur die Synology nicht. der iMac bekommt auch die richtige IP.

    Ich habe mal alle Einstellungen Bildlich dargestellt.


    FritzBox: 192.168.178.1

    USG WAN: 192.168.178.37

    USG LAN: 192.168.1.1

    Unifi Controller (Docker): 192.168.1.3


    Netgear Switch:

    Port 1: Unifi NanoHD

    Port 2: Unifi NanoHD

    Port 3: Unifi NanoHD

    Port 4: iMac LAN (192.168.100.10) Hier musste ich auch erst den Lease erneuern, damit er die richtige IP-Adresse bekommt, was ja auch logisch ist.

    Port 5: Synology (192.168.1.3)

    Port 6: LAN Anschluss der USG

    Port 7: nicht belegt

    Port 8: nicht belegt

    3 Mal editiert, zuletzt von Workstation ()

    Sorry, war mit meinem Post noch nicht fertig gewesen, weil ich nicht so viele Bilder auf einmal hochladen kann.

    Ich habe die restlichen im Post hierüber noch stehen. :winking_face:

    (Das kenn ich, kein Problem)

    Du hast ja alles dabei.

    - Eine Anmerkung zum Gastnetzwerk: Falls du eh eine Firewall aufsetzt würde ich das Gastnetzwerk als normales Netzwerk (corporate) mit rein nehmen und dann per Firewall sperren, so kann man auch mal ausnahmen mache wie Freund A darf doch auf Server oder Gäste dürfen auch Drucken

    - Port6 Meinst du sicher Lan Port der USG, der WAN steckt ja in der Fritzbox

    - Warum hast du im WLAN Layer2 Isolation aktiviert? Nicht das ich das kenne, aber hört sich nicht vernünftig an (ohne es nachzulesen)

    - Dein iMac bekommt auch korrekt die richtige Adresse zugewiesen. Also scheint das Netz korrekt geroutet zu sein


    Dann gehen wir mal zu den Security Einstellungen:

    Firewall alle Regeln LaN deaktiviert? (Also die weissen, die grauen sind standard)

    Threat management und evil DPI deaktiviert?




    Edit: Hab die Einstellung im Netgear mit meinen verglichen, alles korrekt, auch unter 802.1Q eingetragen :thumbs_up:

    Einmal editiert, zuletzt von uboot21 ()

    Kannst du denn die USG anpingen 192.168.100.1?

    (bin ehrlich, kenne es nicht mit Controller und Gateway in verschiedenen Geräten)


    Moment mal, wenn der Controller auf der Synology läuft (192.168.1.3), dann kannst du die Synology nicht in ein isoliertes VLAN stecken (192.168.100.0/24)