Völlig getrenntes VLAN im Netzwerk

Es gibt 14 Antworten in diesem Thema, welches 778 mal aufgerufen wurde. Der letzte Beitrag () ist von Papa-Schlumpf.

  • Hallo, ich habe da eine Projekterweiterung und bräuchte Hilfe :smiling_face_with_halo:

    Zustand:

    1 UG steht der Serverschrank,
    mit der Hardware von oben nach unten,
    DSL-Modem Vigor130
    USG 4 Pro
    24Port POE-Switch => vernunden über LWL auf Speicher 8Port POE Switch 150W
    Controler auf Raspi
    NAS
    NVR
    Server
    USV


    2x Wohnetage dazwischen mit mehreren Kameras und APs Kabel von diesen gehen in die 1.UG oder den Speicher je nach dem was kürzer ist.


    Speicher ein Netzwerkverteiler
    8Port POE Switch 150W => verbunden über LWL auf 1.UG 24Port POE-Switch


    Grund für die Erweiterung:

    Aus bis jetzt ungeklärten Gründen nimmt seid 2 Jahren der Durchsatz von meinem DSL stetig ab.

    Anfangs analoges Telefon und DSL16000 und dann Umstellung auf IP und DSL6000RAM war noch nicht wenig genug.
    Das FTTH sollte im Sommer 2021 kommen nun offiziel im Sommer 2023 aber die Baufirma sagt wird mindestens2024. :unamused_face:


    Meine Lösung:

    LTE aufs Dach


    Nun zu der Erweiterung:

    Ist es möglich ein Völlig isoliertes VLAN das ich nur am Port 6 von dem Switch auf dem Speicher zum Port 6 an dem Switch im 1 UG Einstelle

    um darüber das LTE-Modem mit dem WAN2 zu verbinden denn ich möchte ungerne ein Kabel durch 4 Etagen ziehen.


    Zum Hinweis normales Unternehmens LAN mit Vlan scheidet aus da sich die IP vom Modem nicht umstellen lässt und ich damit den USG nicht DHCP spielen lassen kann.
    da weiß ich wie man die Zugriffe in den Firewall-Regeln verbietet und da habe ich auch einige Anleitungen gefunden.

    Nur finde ich keine Beschreibung, Anleitung oder Möglichkeit wie man eine Regel für ein reines VLAN erstellt.


    :smiling_face_with_halo: Vielleicht habe ich auch nur einen Denkfehler, überall nur Bäume und ich seh keinen Wald.

  • Mit der Suche findest du ne Lösung zu deinem Vorhaben. Der einzige Unterschied, dass es mit DSL Leitungen gemacht wird. Also den Internet Zugang vom DSL Modem über ein Vlan zur UDM gesendet, und erst ab da zugängig gemacht.

    Also im Endeffekt das selbe was du vorhast.

  • Du erstellst ein Netzwerk „ThirdParty“ bei Router in der neuen UI oder „Vlan Only“ in der alten.


    Port oben und unten auf dieses und nur dieses VLAN setzen , sollte es ein vorgefertigtes Profil für

    geben das automatisch mit angelegt wird. Oben LTE rein, unten Kabel zum WAN Port.


    Fertig ist deine Verlängerung.


    Da "VLAN only gibt es auch keine IP für das Interface. Damit benötigst du auch keine Firewall, Regeln oder anderen

    Hickhack.



    Mit der Suche findest du ne Lösung zu deinem Vorhaben


    Sorry Anton, verweise auf "Hatten wir schon, Suchfunktion benutzen“ finde ich kontraproduktiv.

    Es sorgt einzig und alleine dafür das ab einen bestimmten Zeitpunkt der Suchende

    nur noch Ergebnisse findest wo drauf hingewiesen wird das doch bitte die Suchfunktion bemühen soll.

  • Sorry Anton, verweise auf "Hatten wir schon, Suchfunktion benutzen“ finde ich kontraproduktiv.

    Es sorgt einzig und alleine dafür das ab einen bestimmten Zeitpunkt der Suchende

    nur noch Ergebnisse findest wo drauf hingewiesen wird das doch bitte die Suchfunktion bemühen soll.

    war so nicht gedacht, dass dies ständig kommt. Deswegen hab ich auch darauf hingewiesen worauf es bei dem alten Thread genau ging (eben DSL Weiterleitung) um die Suche entsprechend zu vereinfachen.
    Ein reines "hatten wir schon" , ohne passende Suchparameter (man muss ja auch wissen wonach man suchen muss) würde ich nie posten, auch nicht um Mitternacht vom Handy aus :winking_face_with_tongue: .

  • Hallo,


    ich danke euch beiden für den Tip

    anton

    Die Suche habe ich benutzt aber alles nur was mit VLAN zu tun hat :smiling_face_with_halo:

    gierig
    Genau so habe ich das gemacht und auch so vorgestellt.


    Nur was mich in den Wahnsinn treibt ist das ich mit meinem Rechner per IP-Scan und per Ping zum Modem durch komme.
    :thinking_face:aber was mir gerade einfällt, das ist ja mein Adminrechner mit dem ich ja auch auf das default LAN komme,
    ich probiere das gleiche mal mit dem Rechner von meiner Tochter.

  • Nur was mich in den Wahnsinn treibt ist das ich mit meinem Rechner per IP-Scan und per Ping zum Modem durch komme.
    :thinking_face: aber was mir gerade einfällt, das ist ja mein Adminrechner mit dem ich ja auch auf das default LAN komme,
    ich probiere das gleiche mal mit dem Rechner von meiner Tochter.

    Nun müsste man die genauen Umstände kennen, aber das sollte unmöglich sein. Auch aus deinem

    DEFAULT Netzwerk solltest du das Modem Nicht anfingen könne, es befindet sich ja

    in einem VLAN Only Netzwerk. Dein „admin“ Rechner hat keinen zugriff, den er befindet sich nicht im gleichen

    vlan. Über Interne Routing Hannes auch nicht sein denn das VLAN ist ja VAN only und hat keine IP.


    Klingt ein wenig als wenn hier das VLAN only nicht benutzt wird und deine beiden Ports einfach

    in ALL drinnen sind.


    Aber das fängt schon fast glaskugelig an...



  • Hi, habe gerade mal Bilder von den Einstellungen gemacht und 1 Punkt ist mir da aufgefallen,
    und zwar bei Switchports muss ich da die Port-Isolation aktivieren


    Das Netzwerk


    Netzwerkeinstellungen


    Switch 1.UG



    Switch Speicher


    die Einstellungen Switchports

  • Port-Isolation

    Das genau willst du eigentlich nicht. Es verhindert die Kommunikation zwischen den Ports genau das willst du aber


    Config sieht sonst richtig aus, kein Link Oben und unten da steckt also nichts drauf oder mag dich nicht,

    ist das grad ist Absicht ?


    Router, LTE Router, Geraffelt haben ja gerne mal alle die Gleichen typischen IP Bereiche.

    Pingst du vielleicht von deinem ADMIN Pc einfach was an was die gleiche IP hat ?


    Den es ist unmöglich das du das LTE Moden Singen kannst von deinem PC wenn es in

    seinem eignen VLAN Only liegt (dein Admin pc natürlich in einen anderen Vlan ist).

    Inter Vlan Verkehr setzt immer einen Router (also deine USG) voraus und es muss

    auf diesen router auch eine IP in dem VLAN Liegen (welche dann das Gateway für das VLAN ist)

  • kein Link Oben und unten da steckt also nichts drauf oder mag dich nicht,

    ist das grad ist Absicht ?

    Ja das ist Absicht und Richtig da steckt im Moment nichts drauf,

    denn ich mag es nicht das eventuell halbfertige Sachen im Netzwerk sind und am LTE-Modem ist ja auch noch keine Firewall.

    Deshalb ziehe ich dann immer die Kabel ab ist dann eine Hardwareisolation

  • Hallo zusammen,

    ich wolte noch mal eine Rückmeldung geben.
    Nach jetzt ca. 48h ohne das ich was daran verändert habe ist der VLAN nun dicht!

    Ich komme weder mit IP-Scanner oder Ping rein oder raus , so wie ich es mir vorgestellt habe.
    Nur frage ich mich jetzt warum, die Switche haben sofort nach der Porteingabe und speichern provisioniert,

    es kann doch nicht sein das die so lange brauchen bis die das dann umsetzen.


    Edit:
    die Verbindung vom Port6 Switch Keller zu USG WAN2 war noch nicht gemacht,
    da war ein PC dran zum Testen


    Guten Abend,
    noch eine Frage zum Verständniss.
    Wenn ich jetzt die Verbindung vom Port6 Switch Keller zum USG WAN2 mache ist mein LTE Router wieder über seine IP erreichbar.
    Das hat nach einem Verständnis auch seine Richtigkeit,

    da ja jetzt der USG als Router zwichen meinem Internen Netz

    und dem externen Netz des LTE-Router hängt.

    2 Mal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von Papa-Schlumpf mit diesem Beitrag zusammengefügt.

  • Guten Abend,
    noch eine Frage zum Verständniss.
    Wenn ich jetzt die Verbindung vom Port6 Switch Keller zum USG WAN2 mache ist mein LTE Router wieder über seine IP erreichbar.
    Das hat nach einem Verständnis auch seine Richtigkeit,

    da ja jetzt der USG als Router zwichen meinem Internen Netz

    und dem externen Netz des LTE-Router hängt.

    Du könntest uns ja mal das Ergebnis eines traceroutes (je OS etwas anders) zur Verfügung stellen oder Du schaust Dir das Ergebnis an. Dann sollte klar werden, wie / warum Du den LTE-Router erreichst.

  • :smiling_face_with_halo: stimmt, ich danke dir ist mir gar nicht eingefallen, dass es ja noch Bordmittel gibt.

    Interpretieren musst Du das Ergebnis. :winking_face_with_tongue:

    Ich nehme mal an, dass Dein Client eine IP aus dem bereich 10.10.10.0/24 bekommen hat und das dieser den LTE-Router via Gateway (USG @ 10.10.10.1) direkt erreicht und dass das USG an WAN2 auf DHCP steht, oder? Falls alle meine Annahmen alle zutreffen sollten (bis auf die Subnetzmaske vielleicht), dann kannst Du nur Firewall-Regeln erstellen, die einen Zugriff auf das Ziel unterbinden / limitieren.

  • Hallo razor ,

    danke für die Antwort und ja deine Annahmen sind alle richtig, sogar die Subnetzmaske vom 10.10.10.0/24 :thumbs_up:

    Da ich einige Test gemacht habe ob mein Vlan ohne Verbindung zum Wan2 zu erreichen ist und dies nicht möglich ist,

    denke ich mir mal das mein Internes Nezt jetzt über den USG ausreichend geschützt ist.

    (meine Bedenken waren das mein internes Netz nach außen über den LTE offen sein könnte).


    Aber wie es so oft kommt ergaben sich durch den Zugewinn an Hoher Internetgeschwindigkeit ein neues Problem.


    Aber ich habe durch suchen eine Lösungen gefunden und vielleicht kann es jemand brauchen.
    (über Einwände und Verbesserungen bin ich dankbar)


    Aktueller Aufbau:

    WAN1 DSL Telekom RAM6000 // Vigor130 PPPOE Einwahl vom USG // pppoe0

    WAN2 LTE O2 50/10 als Modem die IP fest vergeben im USG ebenfals // 192.168.199.2

    USG ist auf Load-Balance eingestellt WAN1 10/90 WAN2


    Natürlich ging das Telefon nicht mehr aber erst 2 Tage später nach dem neuen Zugang, denn das Telefon muss zum WAN1, da die Rufnummer zur Telekom gehört.

    Also habe ich das Telefon in ein eigenes VLAN gepackt (10.10.90.0/24), um eine statische Route zum WAN1 einzurichten. Das funktioniert bei dem USG 4 Pro über die GUI nicht, aber über die config.gateway.json geht's!


    Achtung: das Config-File trifft auf meinen Aufbau zu und muss für andere Konfigurationen abgeändert werden :exclamation_mark:


    Die Formatierung sollte unbedingt VOR dem Upload ins USG (Provisioning) geprüft werden,

    zum Beispiel hier: JSON Formatter & Validator.

    Wenn alles OK ist, dann kann das Config-File an der entsprechenden Stelle im Controller abgespeichert und das USG darauf folgend provisioniert werden.

  • razor

    Hat das Label no CloudKey entfernt.