Hilfe bei Strukturierung von VLANs

Es gibt 57 Antworten in diesem Thema, welches 13.032 mal aufgerufen wurde. Der letzte Beitrag () ist von mekak.

    Alte Ansicht:

    Ich hab' das Netz jetzt noch einmal gelöscht und neu angelegt.
    Jetzt wurde auch das Switchportprofil neu generiert...

    :confused_face:

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von He-Man mit diesem Beitrag zusammengefügt.

    Da du noch am Anfang stehst ein Gedankenanstoß von mir zum Gast Netzwerk, du wirst dich sowieso in Firewall Regeln einarbeiten müssen und wenn es einmal klick gemacht hat was wo rein gehört ist das auch immer nachvollziehbar:


    Ich habe für meine Gäste ein normales VLAN (Corporate/Unternehmen) angelegt und den Zugriff manuell über Firewall geblockt


    Warum?

    Das Gäste Netzwerk ist völlig isoliert und es ist nicht immer zu erkennen was es jetzt zulässt oder blockt.

    Wenn ich z.b den Gästen das Drucken erlauben möchte kann ich es einfach als Firewall Regel erlauben, auch das Streamen auf z.b dem Apple TV kann ich Gästen erlauben oder die Regel raus nehmen wie ich möchte. Die Regeln sind immer unter LAN ersichtlich, man sollte sich wohl ein gewissen "benennen" der Regeln angewöhnen um sie schnell aufzufinden

    Das ist übersichtlicher, da du es wie ein normales VLAN behandelst und alles ist schnell aufgesetzt. Ganz unten kommt immer eine Regel rein wo du alles blockt, da drüber machst du Regeln was du doch erlaubst, so hast du das Gäste Netzwerk individuell auf deine Bedürfnisse angepasst.

    Das ist ein guter Hinweis!
    Aber das kann ich ja auch noch in einem späteren Schritt machen. In Zeiten von Corona ist bei uns zu Hause sowieso nicht so viel los bezüglich Gäste...


    Ich habe das ganze jetzt mal so umgesetzt. Also nur die unterschiedlichen Netze, unterschiedliche WLAN-Netze zugeordnet und verschiedene Switchportprofile zugewiesen.

    Und ja... Ich komme von überall überall hin. Das heist, das es jetzt mit den Firewallregel weitergeht (Da hab' ich ziemlich Respekt vor)!

    Zu früh gefreut...

    Ich hab' im Management LAN zwei Geräte, auf die ich mich nicht mehr verbinden kann.

    Managemant LAN ist 10.0.0.0/24

    Dort habe ich 2 Geräten eine statische IP über den Controller gegeben und den beiden Switchports das Switchportporfil Management zugewiesen. Nun komme ich nicht mehr auf die Weboberfläche. Der Rechner mit dem ich das versuche ist im Produktiv LAN (10.0.10.0/24)

    Auf ein Geräte (NAS statische IP im ManagementLAN komme) ich drauf.

    Welche Geräte sind das und was für IPs hast du denen gegeben ?

    Mein Projekt

    DrayTek Vigor 167

    P1 geht an WAN1 der UDM-Pro

    P2 geht an Port 7 der UDM-Pro, damit ich auch auf die Weboberfläche aus dem UniFi-Netz komme. Das hat auch immer funktioniert. Seit gestern nicht mehr. P2 vom Vigor 167 sollte die IP 10.0.0.2 vom Controller bekommen. Controller zeigt das auch so an. Allerdings komm' ich mit dem Browser nicht drauf.


    N510-IP Pro

    soll vom Controller die 10.0.0.20 bekommen. Wird auch im Controller angezeigt. Keine Verbindung mit Browser


    NAS

    soll vom Controller die 10.0.0.15 bekommen. Wird auch im Controller angezeigt. Verbindung funktioniert.


    DHCP Bereich vom Management LAN ist 10.0.0.201-10.0.0.254

    Bei dem Telefon.

    Meine Gigaset Go Box hat irgendwo in den Einstellungen eine Funktion die zugriffe aus anderen netzen verhindert (per default an) schau mal, ob die N510 das auch hat - das könnte hier das problem sein.


    Kannst du das Vigor unter der IP anpingen ?


    Sind die IPs per DHCP Reservierung oder statisch im gerät gesetzt ?

    DHCP Reservierung außerhalb des DHCP Bereichs war bei UI ein Probleme meine ich irgendwo mitgelesen zu haben ?

    Mein Projekt

    Zitat von amaskus

    Bei dem Telefon.

    Meine Gigaset Go Box hat irgendwo in den Einstellungen eine Funktion die zugriffe aus anderen netzen verhindert (per default an) schau mal, ob die N510 das auch hat - das könnte hier das problem sein.

    schau' ich gleich mal...

    Zitat

    Kannst du das Vigor unter der IP anpingen ?


    Sind die IPs per DHCP Reservierung oder statisch im gerät gesetzt ?

    DHCP Reservierung außerhalb des DHCP Bereichs war bei UI ein Probleme meine ich irgendwo mitgelesen zu haben ?

    Nein. 4x Zeitüberschreitung und das, obwohl ich den DHCP-Bereich von 10.0.0.2-10.0.0.254 geändert hab.

    Ich habe keine feste IP in die Endgeräte eingetragen, weil ich die IP vom Controller aus zuordnen will. Wie kann ich es sonst machen, außer über das UI?


    Wenn ich mit einem Rechner im 10.0.0.0/24 Netz bin, kann ich auch das UI vom Vigor aufrufen.


    Ich hab' aber noch was anderes gesehen. Laut meinem Controller hat mein SAT-Receiver die IP 10.0.10.3. Diese wird auch vom Controller per DHCP-Reservierung zugewiesen. Wenn ich die IP im Receiver anschaue, hat er über DHCP die 10.0.0.242 bekommen. Über die ist auch das UI des Receivers erreichbar.


    Ich check' langsam gar nichts mehr...

    Zitat von He-Man

    Wenn ich mit einem Rechner im 10.0.0.0/24 Netz bin, kann ich auch das UI vom Vigor aufrufen.

    Dann ist da evtl auch noch ne Schutz Funktion wie beim Telefon aktiviert ?


    Zitat von He-Man

    Ich hab' aber noch was anderes gesehen. Laut meinem Controller hat mein SAT-Receiver die IP 10.0.10.3. Diese wird auch vom Controller per DHCP-Reservierung zugewiesen. Wenn ich die IP im Receiver anschaue, hat er über DHCP die 10.0.0.242 bekommen. Über die ist auch das UI des Receivers erreichbar.

    Klingt so, als würde der SAT Receiver an nem falschen Port hängen

    Zitat von He-Man

    Ich habe keine feste IP in die Endgeräte eingetragen, weil ich die IP vom Controller aus zuordnen will. Wie kann ich es sonst machen, außer über das UI?

    Ich setze meine statischen IPs fest im Gerät und nicht per Reservierung

    Mein Projekt

    Problem beim Receiver war wieder der DAU! War das falsche Switchportprofil eingestellt.


    Beim Vigor und der N510 IP Pro habe ich keine solche "Schutzfunktion" gefunden. Ich habe jetzt auch mal versucht, dass ganze mit statischen IPs im Gerät zu machen. Funktioniert auch, aber aus dem anderen Netz komme ich dann immer noch nicht auf die Geräte...

    Der N510 Hat das - gerade noch mal nachgesehen


    Einstellungen ->Netzwerk->IP-Konfiguration

    Weiter Einstellungen und dort den punkt

    Die Verbindung von PCs außerhalb Ihres LAN zum Web-Konfigurator zulassen. (LAN definiert er als ein 24er Subnet)


    Versuch das mal bitte dann können wir beim Vigor evtl schon eingrenzen

    Mein Projekt

    Und wieder der DAU :face_with_rolling_eyes:

    Sorry!


    Hab's jetzt eingestellt und es geht.


    BTW...

    DHCP Bereich ist wieder auf 10.0.0.201-10.0.0.254. Die 10.0.0.20 bekommt die N510-IP Pro per DHCP Reservierung zugewiesen. Also DHCP Reservierung funktioniert auch außerhalb des DHCP-Bereiches.


    Beim Vigor kann ich die Subnetz Mask einstellen...

    Das sollte dann auch funktionieren.

    Ich teste mal...

    Also der Vigor 167 kann keine Adresse über DHCP beziehen.


    Da muss eine statische IP eingetragen werden. Hab' die feste IP aus dem Controller raus genommen und das Switchportprofil eingestellt.

    Was muss ich jetzt eintragen? Es gibt auch noch eine Routing-Möglichkeit. Kann die mir weiterhelfen?


    2 Mal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von He-Man mit diesem Beitrag zusammengefügt.

    Gefällt mir 1

    Moin, quäle mal die Sufu, ich meine es wurde mal irgendwo genau beschrieben wie die Vigoren eingerichtet werden müssen um sie im Management Lan zu erreichen.

    Kann dir da leider nicht helfen, da ich ein anderes Modem verwende.

    Gruß

    defcon

    Beim Vigor 167 bin ich auch raus - habe ein 130 mit einem Port


    Unterstütze defcon Vorschlag

    Mein Projekt

    Zitat von He-Man

    und der N510 IP Pro habe ich keine solche "Schutzfunktion" gefunden

    Doch, gibt es:

    Mehr als Holsteiner kann der Mensch nicht werden :winking_face:

    Zitat von He-Man

    Hab's gefunden:

    Hier


    Problem ist, dass man am Port 2 des Vigor 167 aktuell kein Gateway konfigurieren kann. Daher kann man aktuell nur mit Geräte des gleichen Subnets drauf zugreifen.

    Falls Du auch eine Console am 167er Vigor hast, dann könntest Du eine statische Route setzten. Muss mir meine config diesbzgl. nochmal anschauen.

    Zitat von He-Man

    Wenn ich mit einem Rechner im 10.0.0.0/24 Netz bin, kann ich auch das UI vom Vigor aufrufen.

    Rotuing-Problem auf dem Vigor.


    Du musst dem Vigor sagen, zu welchem Gateway er die Daten zurückschicken soll. Du wirst mit Sicherheit drauf kommen, aber da der Rückweg nicht stimmt, kommen Timeout.


    Ob das beim Vigor mit einer Route geht, weiss ich nicht, ich kenne die Teile nicht.


    Netz: 10.0.0.0/16

    Subnet: 255.255.0.0

    Gateway: 10.0.0.1