Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Es gibt 42 Antworten in diesem Thema, welches 11.948 mal aufgerufen wurde. Der letzte Beitrag () ist von Naichbindas.
Hallo
Habe da mal eine Frage. Ich habe ein VLAN Netzwerk für meine PC´s und eines für meine Drucker.
Ich wollte das gerne so haben das ich den Drucker aus meinem Computernetzwerk (Vlan1) auf meinen Drucker (Vlan2) zugreifen und drucken.
Dazu habe ich die Firewall entsprechend eingerichtet.
umgekehrt soll wenn ich was scanne es auf dem PC gespeichert werden.
Leider geht da garnix mehr, es hatte mal funktioniert tut es aber nicht mehr.
Habe ich da vlt irgendwo einen Denkfehler ?
Danke.
Mfg
Welche Firewall-Regeln gibt es denn noch?
Evtl. könnte es ein Problem der Reihenfolge sein.
Du hast auch nichts bei Zustand eingetragen. Zum Drucker hin muss NEU und zurück muss Hergestellt und Zugehörig.
Hallo Naichbindas,
ich habe mal eine blöde Frage: Warum möchtest du deine(n) Drucker überhaupt in ein anderes VLAN wie die PC's verbannen? Ich sehe hier irgendwie mehr Arbeit wie Nutzen. Sind die Drucker so alt und von außen (Internet) erreichbar, dass diese hier eine Gefahrenquelle darstellen und separiert werden müssen???
Ich finde die Segmentierung der VLANs aus Sicherheitsgründen eine gute Sache. Aber man kann es damit auch übertreiben und sich damit künstlich Probleme schaffen, indem man hier mittlerweile ein VLAN nachdem anderen aufmacht und sich so eine Gefahrenquelle schafft, dass Probleme entstehen. Vielleicht noch einmal darüber nachdenken, dass mit dem VLAN beim Drucker/Scanner einfach zu lassen. 
Schließlich schreibst du die Firewall-Regeln so, dass die PC's die Drucker und die Drucker die PC's erreichen können. Was macht dann das VLAN für einen Sinn??? Hast du Angst, dass die Shellys, oder andere IoT Geräte plötzlich anfangen zu drucken 
???
Hallo Naichbindas,
ich habe mal eine blöde Frage: Warum möchtest du deine(n) Drucker überhaupt in ein anderes VLAN wie die PC's verbannen? Ich sehe hier irgendwie mehr Arbeit wie Nutzen.
Das wäre auch meine Frage gewesen.
Da hilft nur die Recherche beim Hersteller, welche Ports das Gerät zum Drucken und Scannen nutzt um diese in der Firewall zu öffnen.
Alternativ den vollständigen Zugriff auf die IP des Druckers/Scanner von/zu dem anderen VLAN öffnen.
LinuxRecceiver
Was bitte, ist ein LinuxRecceiver
Mein nächster Schritt ist dann auch das niccht jeder Drucker von jedem PC aus genutzt werden soll. Aber erstmal will ich es ja hinbekommen das ich überhaupt die Verbindung von VLAN zu VLAN hinbekomme.
Dann wird dir nichts übrigbleiben, als für jeden Drucker / PC Aliase anzulegen, ggf. beim Hersteller nachzufragen, welche Ports die benötigen und dann baust du dir damit Firewall-Regeln.
Ich hoffe nur, du hast deinen Druckern und PC's statische IP-Adressen gegeben.
Anfangen würde ich mal damit, erst mal für einen Drucker / PC die Kommunikation komplett frei zu schalten um zu testen ob das geht.
Evtl. mußt du mDNS in der UDM aktivieren, könnte notwendig sein, weil deine FW-Regeln oben sehen erst mal richtig aus.
Ich wiederhole mich sowie viele andere hier im Forum: Wenn man VLAN's aufbauen will, empfiehlt es sich in einem "Universum" zu bleiben. Unifi/Netgear, was auch immer. Eine Mischung für oft zu Fehlern, wie bei dir hier offensichtlich. Wenn eine Synology in einem anderen VLAN steckt und ein PC die einfach so erreichen kann, , der eigentlich nicht explizit dafür vorgesehen ist, stimmen die Firewallregeln nicht, oder der Netgear tut nicht das, was er soll.
Dann fängt du ja zum Schluss an, mehrere VLAN's für die Drucker aufzubauen, sodass nicht jeder PC, jeden Drucker sieht, na dann viel Spaß beim Schreiben der Firewallregeln.
@Tuxtom007 Die PC´s sind ihrem Netzwerrk mit statischen IPs versorgt, die Drucker auch.
Mit Alias meinst du einen eindeutigen Nammen vergeben, wie "Privat-PC" oder "Drucker-Buero" ?
Mit Alias meinte ich, das man in Unifi ein Gruppe anlegen kann von Geräten mit deren IP-Adressen und / oder Ports und man diese dann recht einfach in den Firewallregeln nutzt um nicht jedes Mal alle IPs oder Ports eintragen zu müssen.
Macht es auch einfacher, die später zu erweitern oder zu ändern.
Da ich keine UDMPro mehr nutze, kann ich nicht sagen, ob das dort Aliases hiess oder anders.
Daher kann ich dir gerade auch nicht sagen, wo man mDNS findet, irgentwo unter den Services.
@Tuxtom007 Ja das mit den Gruppen habe ich auch schon versucht. In diese Gruppe kommen alle IP Adressen einmal rein, die dann als ganzes als Gruppe dann freigegeben werden stimmts.
Ja, alle in der Gruppe werden dann freigegeben.
Mal davon abgesehen, das eine Firewall nicht dafür geeignet ist, Zugriffe auf Drucker usw. zu limitieren, halte ich das was du vor hast für Arbeits-Beschaffungsmassnahmen.
bic Ein Linux Receiver ist eine Dreambox oder eine VU+ falls dir das was sagt.
Ahhhh - warum nicht gleich so!
An sonst muss ich den Kollegen hier Recht geben, was Du vor hast, ist z.T. -ich sag mal vorsichtig- unsinnig. Außerdem versuchst Du Dich an Dingen, zu deren einwandfreien Umsetzung schon gehobene Kenntnisse bzgl. der Netzwerktechnik haben sollte. Dies scheint bei Dir jedoch augenscheinlich nicht so ganz der Fall zu sein 
Sieh es doch einmal so:
Ein Vlan ist auch nichts anderes als ein local area network, daher ein LAN, dessen Mitglieder den selben Adressbereich (Broadcastdomain) nutzen. Der Unterschied zwischen einem Vlan und einem "normalen" LAN besteht lediglich darin, dass ein LAN auch ein physikalisches Netz benötigt (Kabel, Switche, Router, etc.), mit Vlans man jedoch auf genau diesem einem physikalisches Netz mehrere virtuelle Netze nutzen kann, daher halt "Vlan" für virtuelles LAN.
Grundsätzlich bleibt es jedoch dabei, dass sich Mitglieder einer Broadcastdomain per se nicht mit denen einer anderen Broadcastdomain verbinden können, egal, ob es sich dabei um LANs oder Vlans handelt. Ist dies jedoch gewünscht, muss zwischen den Domains geroutet werden, was dann zuerst einmal völlig transparent erfolgt, daher jedes Mitglied der einen Domain kann eine Verbindung zu jeden Mitglied der anderen Domain herstellen (ein schönes Beispiel ist die Verbindung zweier unterschiedlicher Netze mittel site2site VPN).
Da man damit jedoch den Sinn von Vlans ad absurdum führt (schließlich könnte dann gleich alle Clients/Hosts in einem gemeinsamen Netz beheimatet sein), muss man das Routing einschränken/filtern, was man dann i.d.R. einem dazu fähigem Router oder gleich einer feiner garnulierbaren Firewall überlässt.
Ganz genau überlegen muss man sich, bzw. wissen sollte man dabei jedoch, welcher Datenverkehr in welcher Richtung nun genau erforderlich ist und gestattet werden soll (das Internet einbegriffen), damit man die enstprechenden Filter/Regeln konfigurieren kann, was im Zweifel mit einer steilen Lernkurve verbunden ist, bzw. solide Netzwerkkentnisse erfordert.
Da ich letztere bei Dir nicht vermute, kann ich nur empfehlen, die ersten Vlan-Gehversuche nicht mit 10 Vlans (so viele meine ich zählen zu können) sondern mit zwei, maximal drei zu unternehmen - Du verrennst Dich an sonst (wie oben schon zu sehen).
Übrigens ist zwecks Nutzung von Vlans keinesfalls Unifi-Technik erforderlich (die macht es nur endanwenderfreundlich, dafür aber intransparent), sonder jedes Teil, was als IEEE802.1Q- unterstütz, ist hier geeignet, u.a. auch div. Fritzboxen 
Ach - und nicht vergessen, es gibt portbasiertes:
und attributebasiertes Vlan:
@Tuxtom007 Und hast du diese Regeln ausschliesslich nur in LAN IN eingerichtet oder in LAN LOKAl ?
Denn es heisst ja "Lokal ist der direkte Datenverkehr von einem Netzwerk zu einem anderen Netzwerk." dann muss ich da es dann einrichten oder ?
mfg
Nein LAN Lokal betrifft nur den Traffic zwischen dem Netzwerk und der UDM/USG
Egal dann werde ich ebend alles anders machen,
Ich denke das ich das LAN für Unifi lasse, ein VLan für mein Netzwerk für PC und Drucker und das alles, weiterhin ein VLAN für IOT Geräte und eines für Gäste Wlan also das Unifi Lan plus 3 Vlan´s. das sollte dann reichen.
Sorry, ich wollte Dir nicht zu nahe treten, aber Erfahrungen sollte man von unten sammeln und nicht von der oben Ich mache seit Zeiten von 10BASE2 über RG58 mit der Netzwerkerei als interessierter Laie rum und stelle immer wieder fest, wie dämmlich ich diesbzgl. da noch immer bin.
bic Ok ich habe dann attributebasiertes Vlan. da ich ja zwei switche benutze.
Dann musst du nur zuschauen, dass Du Deinen Netgear-Switch ordentlich und passend konfiguriert bekommst. Die haben zwar i.d.R. eine übersichtliche, klar strukturierte WEB-GUI, aber denke bitte daran, dass die verwendeten Begriffe nicht immer identisch mit der Unifi-Welt sind. Aber Du wirst das schon hinkriegen Und nimm den Netgear als hinteren, daher ab Internnet gesehen als zweiten Switch. Dann kannst Du von vorn alles mit Unifi konfigurieren (Regeln/Filter, etc.) und brauchst am Netgaer nur einen Port als eingehend für den Trunk mit allen Vlans und dann die Ports für die einzelnen Clients mit dem jeweiligen Vlans Deiner Wahl einrichten. Eigentlich müsste dann Unifi auch durch den Netgaer durch auf die dahinter hängenden Clients zugreifen können.
zur Zeit sind 62 Mitglieder und 354 Gäste online - Rekord: 129 Benutzer ()
