Multi Vlan-Network

Es gibt 20 Antworten in diesem Thema, welches 3.255 mal aufgerufen wurde. Der letzte Beitrag () ist von KJL.

    Hallo zusammen,


    wir haben für unsere Firma einmal die Komplette Grundausstattung von Unifi besorgt und haben damit ein Projekt vor, welches mich gerade als Neuling vor eine Herausforderung stellt.

    Kurz zum Bestand: Wir haben eine UDM Pro(RTR01), diese ist über SFP+ mit einem USW-24-PoE verbunden (SW01). An den SW01 ist über Lan ein weiterer USW-24-PoE (SW02) angeschlossen. An diesen ist per SFP wiederum ein US-48-G1 (SW3) angeschlossen. Alle Geräte sind auf der aktuellsten Firmware. Wir haben ein Gastnetz und ein Produktivnetz. Hinzukommen Soll ein Netz "Test".


    Folgendes Vorhaben: An Switch 2 hängt ein Server, der mit Proxmox virtuelle Maschinen bereit stellt und auch in Zukunft einen DHCP & DNS bereitstellen soll und sich im neuen Netz "Test" befinden soll. Dieses Netz, soll aber nur auf Switch 2 und 3 beschränkt werden. Sprich auch nur dort soll das DHCP laufen.


    Beispiel: UDM, SW1 (Mit Ausnahme Port auf SW 2) 10.10.10.0/24 :tired_face: SW2/SW3: 10.10.20.0/24



    Leider stehe ich da komplett auf dem Schlauch und wäre mit einer Hilfe für die Umnsetzung ohne separaten DHCP schon happy. Für das Produktivnetz habe ich de DCHP im Nachgang schon einmal angepasst, wüsste also wie das im Zweifelsfall funktionieren würde.





    Vielen Dank für eure Hilfe.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von MAK mit diesem Beitrag zusammengefügt.

  • Zum Hilfreichsten Beitrag springen

    Zitat von LachCraft

    Du ganz verstehe ich das Problem noch nicht, die VLANs kannst du aber granular einstellen.

    Wenn ein fremder DHCP arbeiten soll, dann einfach den in UniFi weglassen.

    Hey,


    das Problem ist, dass ich das so noch nie gemacht habe und wenn ich diese Netzwerke anlege gerade gar kein DHCP kriege. Also ich habe gerade logisch das Problem, wie ich das Netzwerk, was ich auf der UDM anlege über Switch 1 hinweg nur auf 2 und 3 ausgegeben kriege. Sprich die beiden sollen halbwegs isoliert laufen. Als ich ein bisschen rum experimentiert habe, habe ich seltsamerweise DHCP aus dem Hauptnetz bekommen. Wenn ich da versucht habe über Profile was zu regeln, war auf einmal der gesamte Zugriff auf die Geräte an den Ports weg.


    Ich wär über eine Best Practise Lösung dankbar mit einem kleinen How-To.


    So, evtl bringt das etwas Licht ins Dunkel. Der Helle Rechner oben Rechts in der Ecke wäre die PRoxmox-Umgebung für die V-Server


    Ja, so grob ist mir das bekannt, allerdings wird bei Unifi ja alles etwas anders dargestellt, gehandhabt und benannt. Bis jetzt haben mich sämtliche Tutorials leider nicht weiter gebracht.

    UniFi ist da (leider) etwas grobschlächtig unterwegs, aber für Beginner durchaus brauchbar.


    UniFi legt alle VLANs auf allen Ports tagged an. Das macht zwar den Gedanken dahinter ein wenig kaputt, aber das kann man ja später selber aufräumen.


    Untagget wählt man an den Ports sein Wunschnetzwerk an und blockiert im besten Falle alle anderen VLANs (Access port). Belässt man das VLAN, ist es ein Hybrid.


    Wenn das DHCP nicht an deinen Zielports durchkommt, dann ist schon auf dem Layer2 ein Fehler aufgetreten und du müsstest die Ports zur Route genauer überprüfen.

    Okay, das lichtet das ganze schon mal ein bisschen. Aber wie muss ich dann die Ports, in diesem fall von UDM->SW1->SW2/3 konfigurieren, damit das sauber durch kommt, aber aus dem Netz von SW2/3 kein DHCP in Richtung UDM und 1 kommt.


    Ja leider fängt mein Einstieg in die Unifi-Welt direkt mit so einem Spezialfall an.

    Die DHCPs gelten jeweils für das eigene Subnetz, also du hast praktisch 3 DHCPs laufen.


    Mein Defaultnetz habe ich in UniFi unbenannt:


    EDIT: Zu schnell: Diese Config leitet alles weiter, der Empfängerswitch muss dann auch so aussehen.

    Differenzierter eingestellt:

    Hier gebe ich als Untagged "Server" durch und als Tagged weitere Netzwerke.

    So, oder so ähnlich, kann man die Datenströme gezielter einsetzen.

    Wenn das so auf den nächsten Switch fährt, bringen dann "unbekannte" VLAN Angaben auf dem Switch nichts mehr, da diese keinen Uplink mehr haben.


    EDIT: Wieder zu schnell: Das Defaultnetz bzw. das, wo UniFi drin verwaltet wird, muss man natürlich auch noch an den nächsten Switch weiterleiten, sonst macht der gar nichts mehr.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von LachCraft mit diesem Beitrag zusammengefügt.

    Falls es dir um die generelle Einrichtung geht, schau mal das Video an. Ist zwar eine UDR, aber die Konfiguration ist identisch. Er legt mehrere Vlans mit Firewall,... an


    [Externes Medium: https://youtu.be/kxHMjmqHeoQ]

    Zitat
    • Wenn das so auf den nächsten Switch fährt, bringen dann "unbekannte" VLAN Angaben auf dem Switch nichts mehr, da diese keinen Uplink mehr haben.

    Okay, das ganze hat mir schon mal ein Stück weiter geholfen. Was genau meinst du aber damit?

    • Hilfreich

    Sagen wir, du hast:
    VLAN1 10.0.1.0/24
    VLAN2 10.0.2.0/24
    VLAN3 10.0.3.0/24

    und leitest nur VLAN1 und VLAN2 an den nächsten Switch weiter, dann ist VLAN3 zwar Switch INTERN einsetzbar, aber dieser Datenstrom kommt nicht mehr zu dem Switch davor. Das beutetet auf der einen Seite ist DHCP unterbrochen, auf der anderen Seite das Internet usw.

    Okay, also heißt ich lasse vereinfacht gesagt die Ports, die die Switche verbinden untaaged (offen für alle Vlans) und wende die speziellen Profile nur auf die Ports an, auf denen die Clients hinterher hängen, die nicht übergreifend erreichbar sein sollen?

    Tagged! Damit die VLANs mitgegeben werden.

    Genau, du stellst die Ports dann so ein, wie du es benötigst und ggf. wie es die Sicherheit vorschreibt.


    Ich bin großer Befürworter dafür, dass man die Ports richtig taggt, und nicht die Geräte in der Software (overwrite) festnagelt.


    So habe ich jetzt gerade testweise alle Verbdinungen von UDM bis zu SW3 und dem Port, an dem der Server mit den VMs hängt eingestellt. Die Windows VM, die ich da jetzt probeweise laufen habe, sagt allerdings leider immer sie kriegt keinen DHCP-Server erreicht. Hängt da noch was?

    Zitat von anton

    Falls es dir um die generelle Einrichtung geht, schau mal das Video an. Ist zwar eine UDR, aber die Konfiguration ist identisch. Er legt mehrere Vlans mit Firewall,... an


    [Externes Medium: https://youtu.be/kxHMjmqHeoQ]

    Das hat mir zumindest bei der Grundkonfiguration sehr geholfen. Bis auf, dass ich in dem entsprechenden Netz immer noch kein DHCP kriege, läuft im Default und Guest nach der Anpassung alles reibungslos.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von MAK mit diesem Beitrag zusammengefügt.

    Entwirren wir das ganze mal:


    Welche Netzwerke hast du aktuell und wer macht da den DHCP/DNS?

    So sähe es aus wenn alles bei der UDM liegt.



    Und so müsste es aussehen wenn die Netzwerke vom Server kommen sollen:



    Natürlich geht auch die Variante Netzwerk A von der UDM per DHCP bereitstellen zu lassen und B+C vom Server.

    Okay, mit ganz viel List und Tücke habe ich es zumindest zum laufen bekommen. Aber da ich das ganze ja auch nachhaltig verstehen will, hier einmal der Plan:



    wir haben also 2 separate Netze. Sowohl die Clients aus Netz Rot, als auch der DHCP und DNS dürfen keinen Einfluss auf NEtz Grün haben. LEdiglich (perspektivisch) Soll der DNS in Rot seine Daten vom DNS Grün weitergeleitet bekommen, damit die Server aus der PRoxmox Umgebung ggf. der Domäne beigefügt werden können.


    Aus Bereich Grün muss man auf die VMs in der Proxmox Umgebung Rot kommen. Aus Rot ggf. an einen Fileserver im Bereich Grün

    Wichtig ist auch noch zu erwähnen, dass Du bei den VLANs, bei denen NICHT die UDM DHCP und DNS übernehmen soll, den Verwendungszweck auf VLAN-only oder Third Party-VLAN umstellen musst.

    Anderenfalls hast Du 2 DHCP-Server in einem Netz und das macht dann richtig Spaß. Kann aber sein, dass Du das schon wegen eines Videos so konfiguriert hast. Das habe ich hier bisher aber nicht gelesen.


    Und: der Proxmox-Server, der für DCHP und DNS zuständig ist, muss / raucht / sollte nicht auf ALL, sondern nur auf Netzwerk A oder Netzwerk B oder Netzwerk C stehen.

    Zitat von MAK

    Aus Bereich Grün muss man auf die VMs in der Proxmox Umgebung Rot kommen. Aus Rot ggf. an einen Fileserver im Bereich Grün

    Dafür ist dann Routing und Firewalling zuständig.

    Zitat von razor

    Wichtig ist auch noch zu erwähnen, dass Du bei den VLANs, bei denen NICHT die UDM DHCP und DNS übernehmen soll, den Verwendungszweck auf VLAN-only oder Third Party-VLAN umstellen musst.

    Anderenfalls hast Du 2 DHCP-Server in einem Netz und das macht dann richtig Spaß. Kann aber sein, dass Du das schon wegen eines Videos so konfiguriert hast. Das habe ich hier bisher aber nicht gelesen.


    Und: der Proxmox-Server, der für DCHP und DNS zuständig ist, muss / raucht / sollte nicht auf ALL, sondern nur auf Netzwerk A oder Netzwerk B oder Netzwerk C stehen.

    Dafür ist dann Routing und Firewalling zuständig.

    Wenn der Proxmox-Server DHCP und DNS für 2 Netze macht braucht er ein Profil wo die entsprechenden Netze enthalten sind.


    Gut ALL ist in dem Fall der suboptimale "einfache" Weg. Besser wäre dann natürlich ein Portprofil zu erstellen in dem die benötigten Netze drin sind.

    Zitat von KJL

    Wenn der Proxmox-Server DHCP und DNS für 2 Netze macht braucht er ein Profil wo die entsprechenden Netze enthalten sind.


    Gut ALL ist in dem Fall der suboptimale "einfache" Weg. Besser wäre dann natürlich ein Portprofil zu erstellen in dem die benötigten Netze drin sind.

    Wenn dem so ist, dann: ja. Es sollte dann mindestens ein VLAN tagged sein - könnten aber auch beide, wenn die Proxmox-NIC auch so konfiguriert ist.

    Wobei das aus diesem Bild nicht hervor geht:

    Zitat von MAK

    Entschuldigung, dass ich jetzt mal blöd frage: Warum ist überhaupt eine UDM in dem Konstrukt drin? Ist es nicht einfacher, wenn eh schon Proxmox Instanzen laufen, den Controller dort zu hosten? Oder ggf. eine OpnSense oder pfSense virtuell in einem Proxmox aufzusetzen? Die UDM macht fast gar nichts, oder??? :thinking_face: