VLAN auf Switch

    Hallo zusammen,


    kennt sich hier jemand mit dem VLAN Thema auf einem Switch aus und kann mir weiterhelfen? FÜr was VLANs verwendet werden und wie es funktioniert habe ich soweit verstanden. Allerdings komme ich mit der Konfiguration noch nicht so ganz klar eventuell habe ich auch noch einen Denkfehler.


    Was ich eigentlich vor habe. Ich möchte bei mir drei VLANs einrichten. Switch, Firewall sowie Access Points sind vorhanden und VLAN fähig.


    VLAN 10 -> LAN WLAN
    VLAN 20 -> VOIP
    VLAN 30 -> Gäste VLAN


    Im ersten Schritt geht es mir erstmal um das VLAN 10 und VLAN 30 sprich mein eigenes LAN und WLAN und das VLAN 30 das WLAN für Gäste.


    Ich bin bereits beim ersten Schritt gescheitert als ich das VLAN 10 aktiviert habe und keinen Zugriff mehr auf meinen Switch hatte :). Ok im nachhinein war das Problem recht einfach das Management vom Switch war auf VLAN1.


    Das bringt mich zu meiner ersten Frage muss ich den ein eigenes VLAN für mich erstellen oder kann ich einfach das bereits integrierte VLAN1 dafür verwenden? Wie wird so etwas normalerweise gemacht?

    Im Allgemeinen belaesst man die Geraete im Management VLAN und schiebt die anderen Geraete in neue. Zugriff drauf hat man dann entweder uebers Routing oder Dein Frontend hat entsprechende VLAN-Interfaces (muss man meist am Switch freischalten).


    Was ich bei Dir noch nicht so rausgelesen habe, ist der Router, der zwischen den VLANs routen soll. Sonst kannst Du Dir gleich zwei tumbe Switches hinstellen, das ist billiger und besser zu verwalten.
    VLANs setzt man normalerweise ein, um Switch-Switch-Verbindungen fuer mehrere Netzwerke nutzen zu koennen, ohne dass es zu einem "Uebersprechen" kommen kann.


    uwe

    server: yavdr trusty testing, 2 * L5420, 32GB, 64TB RAID6 an OctopusNet (DVBS2- 8 ) + minisatip@dsi400 (DVBS2- 4 )
    frontends: kodi und xine

    Moin,


    was für ein Switch? Layer 2 oder 3? Was für ein Router ist im Einsatz?
    Mit z.B. einer Fritzbox kannst Du hier nur sehr wenig anfangen weil sie mit V-Lans nichts anfangen kann.
    Es wäre maximal eine Separation zwischen WLAN und Gastnetz möglich. Dazu müßtest Du Port 4 der Fritte als Gastnetz definieren.


    Fritte --> LAN 4 --> Switch untagged VID 30
    Fritte --> LAN 1 --> Switch untagged VID 10
    die Ports 2 & 3 sind intern mit Port 1 als Switch verbunden.


    Aus eigener Erfahrung: pfSense eignet sich hervorragend als Router. Hier findest Du mehr:
    VLAN Installation und Routing


    -teddy


    -- Ubuntu Server 22.04.3 LTS & VDR 2.6.0 --



    Hardware: Digital Devices Cine S2 V6.5 im Dell T20 headless und AppleTV 4k mit Mr.MC als Client am TV

    Ich kann mich umaier nur anschließen. Lass alles was Dein Netz ist im default VLAN.


    Ich nehme jetzt mal an, dass Deine Firewall das Routing übernehmen soll. Dort hast Du dann zwei Möglichkeiten.
    1. Firewall kann VLANs taggen
    Dann ist es ausreichend, alle VLANs auf einem Port des Switches zu konfigurieren, an den dann die Firewall angeschlossen wird. Natürlich muss dann auch auf der Firewall der Port und die VLANs entsprechend eingerichtet werden. Das wäre die von umaier angesprochene "Switch zu Switch Verbindung".
    2. Firewall kann keine VLANs taggen
    Hierbei müsstest Du alle VLANs auf separaten Ports des Switches untagged konfigurieren. Alle Ports werden dann mit der Firewall verbunden. Hierfür muss Deine Firewall jedoch genügend Ports haben, die frei den virtuellen Netzwerken zugeordnet werden können (untagged).


    Scheibe am Besten mal, was Du für Hardware verwenden möchtest.
    Weiterhin ist mir noch unklar, ob Du überhaupt VLAN benötigst. Mal doch mal auf, wie es später aussehen soll und welche Endgeräte welche Netze benötigen.

    Hardware: Gigabyte GA-970A-D3, AMD Athlon II X2 235e, 4GB RAM, Zotac GeForce 210 Synergy Edition 1GB, Corsair Force3 60GB SSD, Mystique SaTiX-S2 Dual, 6.4" TFT, Atric IR Einschalter Rev.5, Logitech Harmony 900, Samsung LE46A789 full HD LCD, Denon AVR-1910, USB Atmo-Light von Slime
    Software: yaVDR 0.5
    Streaming Client 1: Hauppauge MediaMVP
    Streaming Client 2: Telegant TG100 (wenn ich mal irgendwann die Zeit finde das UPnP-Plugin zu testen)

    Ich schließe mich da umaier und saxman2k an, VLAN macht im privaten Umfeld eher viel Arbeit aber wenig Gewinn. Es gibt m.E. nur einen Fall wirklich sinnvoll und notwendig ist, um Multicast Traffic vom normalen Netzwerk abzutrennen. Z.B. wenn man T-Home Entertain im ganzen Haus bzw. Wohnung wahlfrei empfangen möchten und nicht nur direkt am Speedport bzw. Fritz!Box.


    Hier eine beispielhafte Erläuterung: [iptv] Vertrags & Konfigurationsdetails T-Home Entertain


    Für die logische Trennung von Netzwerken wurden Sub-Netze erfunden, was Router mit Guest-WLAN z.B. ja ohne weiteren Konfigurationsaufwand schon machen. Das Default Netz einer Fritzbox ist z.B. 192.168.178.0/24, das des Guest-WLANs ist hingegen 192.168.179.0/24 und in der Firewall sind nur die Ports offen die man für http(s) und eMail benötigt. IIRC funktioniert das ähnlich bei Geräten anderer Hersteller.


    Regards
    fnu

    HowTo: APT pinning

    4 Mal editiert, zuletzt von fnu ()

    Moin,


    Zitat von fnu

    Ich schließe mich da umaier und saxman2k an, VLAN macht im privaten Umfeld eher viel Arbeit aber wenig Gewinn.


    soll jeder sehen wie er möchte, ich möchte nicht mehr darauf verzichten. Klar es ist ein wenig Aufwand sich einzuarbeiten, aber das ist doch bei fast jeder "neuen" Technik der Fall.
    Kinder hängen im eigenen VLan, Spielekonsolen können die Dateifreigaben nicht durchforsten und keine Informationen über die restliche Topologie nach Hause telefonieren, Gäste VLan mit beschränkten Internetzugang, VLan für Fernwartung,... Ein infiziertes Gerät sähe somit immer nur ein Teilnetz ohne Zugang zum Management VLan.


    Dieser Sicherheitsgewinn ist es mir wert, wenn noch etwas dabei lerne umso besser.
    Ich bin gespannt wieviel private Netze in nächster Zeit, durch verpfuschte Implementationen irgendwelcher Netzwerktechniken für Smart Home, mit heruntergelassenen Hosen im internet stehen werden... :wand von verpfuschten Routern ganz zu schweigen, Hauptsache billig.


    -teddy


    -- Ubuntu Server 22.04.3 LTS & VDR 2.6.0 --



    Hardware: Digital Devices Cine S2 V6.5 im Dell T20 headless und AppleTV 4k mit Mr.MC als Client am TV

    Die Vlans einzurichten ist darüber aber das leichtere, aber die Firewall (die dadurch nötig wird) richtig einzurichten wird deutlich aufwendiger :)

    VDR1 yaVDR 0.6: Gehäuse: OrigenAE X15e Board: Giada MG-C1037-SL Grafik: GT620 CPU: Celeron 1037U Ram: 2GB DVB: CineS2 Festplatte: 2x1TB
    VDR2 yaVDR 0.6: Gehäuse: Streacom F7C Board: Zotac Z68ITX-B-E Grafik: GT430 CPU: Pentium G630 Ram: 8GB DVB: CineS2 Festplatte: 30GB mSata + 500GB 2,5
    VDR3 yaVDR 0.6: Gehäuse: HP N36L Ram: 8GB DVB: 2 x CineS2 Festplatten: 2x 1,5TB und 2x2TB
    OctopusNet V1 + Rack 4xS2 + 8xS2

    Moin,


    yep, da hast Du recht, aber so schlimm finde ich das nicht, pfSense ist da imho sehr gut bedienbar, einen Mikrotek Router fand ich deutlich verwirrender :rolleyes:


    -teddy


    -- Ubuntu Server 22.04.3 LTS & VDR 2.6.0 --



    Hardware: Digital Devices Cine S2 V6.5 im Dell T20 headless und AppleTV 4k mit Mr.MC als Client am TV

    Aber sehr viel umfangreicher (und vor allem fehleranfälliger) als Vlans anzulegen.

    VDR1 yaVDR 0.6: Gehäuse: OrigenAE X15e Board: Giada MG-C1037-SL Grafik: GT620 CPU: Celeron 1037U Ram: 2GB DVB: CineS2 Festplatte: 2x1TB
    VDR2 yaVDR 0.6: Gehäuse: Streacom F7C Board: Zotac Z68ITX-B-E Grafik: GT430 CPU: Pentium G630 Ram: 8GB DVB: CineS2 Festplatte: 30GB mSata + 500GB 2,5
    VDR3 yaVDR 0.6: Gehäuse: HP N36L Ram: 8GB DVB: 2 x CineS2 Festplatten: 2x 1,5TB und 2x2TB
    OctopusNet V1 + Rack 4xS2 + 8xS2

    Moin,


    natürlich, wenn ich so gut wie keine sinnvollen Regeln anlagen kann wie bei der Fritte kann ich natürlich auch kaum Fehler machen, außer eine Fritte genommen zu haben :D .


    -teddy


    -- Ubuntu Server 22.04.3 LTS & VDR 2.6.0 --



    Hardware: Digital Devices Cine S2 V6.5 im Dell T20 headless und AppleTV 4k mit Mr.MC als Client am TV

    Mit der Fritte kann man auch kaum 3 Netze regeln, wobei mir noch nicht ganz klar ist, warum man für ein Gastnetz ein Vlan braucht (dann eher Unify APs oder besser), gute APs händeln verschiedene Netze gleichzeitig.

    VDR1 yaVDR 0.6: Gehäuse: OrigenAE X15e Board: Giada MG-C1037-SL Grafik: GT620 CPU: Celeron 1037U Ram: 2GB DVB: CineS2 Festplatte: 2x1TB
    VDR2 yaVDR 0.6: Gehäuse: Streacom F7C Board: Zotac Z68ITX-B-E Grafik: GT430 CPU: Pentium G630 Ram: 8GB DVB: CineS2 Festplatte: 30GB mSata + 500GB 2,5
    VDR3 yaVDR 0.6: Gehäuse: HP N36L Ram: 8GB DVB: 2 x CineS2 Festplatten: 2x 1,5TB und 2x2TB
    OctopusNet V1 + Rack 4xS2 + 8xS2

    Moin,


    und wie bekommst Du bei Unifi die verschiedenen Netze zum AP? Meiner hat nur einen LAN Port. Am leichtesten per VLan Es nützt mir absolut nix nur verschiedene SSIDs auszustrahlen und das intern wieder ins gleiche Netz zu knödeln. Seit etwa einer Woche hängt hier ein UbiQuiti UniFi AP, AC LITE, Vorher hat ein Archer C7 mit OpenWRT die Aufgabe gehabt.


    Für ein Gastnetz brauchst Du natürlich kein VLan, auch 20 Netze gehen ohne VLan, alles eine Frage der Verkabelung :wow , ich fand es leichter, die beiden Switche mit nur 2 Leitungen zu verbinden und die beiden per LACP zu verknoten. 2Gbit Gesamtdurchsatz zwischen den Switchen reichen mir.
    Der AP bei mir soll nur die SSIDs abstrahlen und zu den zugehörigen VLan brücken, Rest macht pfSense als Router.


    -teddy


    -- Ubuntu Server 22.04.3 LTS & VDR 2.6.0 --



    Hardware: Digital Devices Cine S2 V6.5 im Dell T20 headless und AppleTV 4k mit Mr.MC als Client am TV

    Zitat von magicteddy

    soll jeder sehen wie er möchte, ich möchte nicht mehr darauf verzichten.

    Natürlich, ich halte es wie erwähnt für überflüssig, Du eben nicht.


    Nur eines sollte klar sein, nur der Einsatz von VLANs erhöht nicht die Sicherheit. Diese fängt zu allererst bei Menschen an, man muss etliches beachten, kompromisslos konfigurieren und das Wichtigste, diszipliniert nutzen. Ansonsten ist es den Aufwand nicht wert und die Sicherheit trügerisch.


    Bei mir kommen z.B. keine Gäste in mein LAN, nur in ein abgetrenntes WLAN ...


    Regards
    fnu

    HowTo: APT pinning

    Zitat von fnu

    Bei mir kommen z.B. keine Gäste in mein LAN, nur in ein abgetrenntes WLAN ...

    Und da reicht bereits die Fritzbox ;)
    Bei den Unify kann man auch ein Gastnetz einrichten (eigener IP-Bereich) und per Voucher nicht nur die Zeit regeln, sondern auch Datenmenge und Bandbreite begrenzen :)

    VDR1 yaVDR 0.6: Gehäuse: OrigenAE X15e Board: Giada MG-C1037-SL Grafik: GT620 CPU: Celeron 1037U Ram: 2GB DVB: CineS2 Festplatte: 2x1TB
    VDR2 yaVDR 0.6: Gehäuse: Streacom F7C Board: Zotac Z68ITX-B-E Grafik: GT430 CPU: Pentium G630 Ram: 8GB DVB: CineS2 Festplatte: 30GB mSata + 500GB 2,5
    VDR3 yaVDR 0.6: Gehäuse: HP N36L Ram: 8GB DVB: 2 x CineS2 Festplatten: 2x 1,5TB und 2x2TB
    OctopusNet V1 + Rack 4xS2 + 8xS2

    Zitat von umaier

    Was ich bei Dir noch nicht so rausgelesen habe, ist der Router, der zwischen den VLANs routen soll.


    uwe


    Hi,


    als Router kommt eine Checkpoint Firewall zum Einsatz.


    Hi,


    der Switch ist ein Netgear GS728TP. Als Router kommt eine Checkpoint Firewall zum Einsatz.

    Hallo zusammen,


    vorweg erstmal danke für eure Antworten. Meine Firewall kann VLAN Tagging.


    Das würde für mich zum weiteren Vorgehen heißen ich belasse meinen Switch auf dem VLAN1 für das Management sowie das interne LAN. Auf meiner Firewall würde ich dann mein internes Netz erstellen und dieses als VLAN mit der ID 1 erstellen? Spricht man dann von einem native VLAN? Über das VLAN1 würde ich dann LAN/WLAN laufen lassen.


    Auf der Firewall würde ich des weiteren ein VLAN 20 für VOIP sowie VLAN 30 für das Gäste VLAN erstellen.


    Die beiden Access Points können ebenfalls mit VLANs umgehen und ich kann sogar SSIDs auf VLANs aufsetzen. Ich würde dann meine interne SSID auf das VLAN1 konfigurieren und eine Gäste SSID auf das VLAN 30?

    Zitat von sewn4

    Das würde für mich zum weiteren Vorgehen heißen ich belasse meinen Switch auf dem VLAN1 für das Management sowie das interne LAN.

    Willst Du Sicherheit per VLAN erreichen, ist die erste Regel, kein VLAN1 mehr. VLAN1 entspricht dem Standard-Segment in Netzwerken ...


    Regards
    fnu

    HowTo: APT pinning

    Einmal editiert, zuletzt von fnu ()

    Hi,


    ok dann würde ich mal versuchen das VLAN1 abzuschalten bzw. umzustellen. Das hatte ich zu Anfang mal gemacht und kam dann nicht mehr auf den Switch :). Daher mal vorweg die Frage wie fange an?


    Als erstes auf meiner Firewall mein internes Netz erstellen und dieses als VLAN30 festlegen? Aber wie komme ich dann auf den Switch der derzeit noch auf VLAN1 hängt? Oder wenn ich auf dem Switch ein VLAN30 erstelle komme ich ja auch nicht mehr drauf? Ich habe mal BIlder angehängt wie das auf dem Switch derzeit aussieht.

    Moin,


    VLan 1 ist mein Management VLan dort sind nur Geräte der Infrastruktur des Netzes zu finden.


    Dann kommen die VLan 10,20,...
    Ob Du statt VLan 1 VLan 15 für das Management benutzt ist Deine Entscheidung ein Sicherheitsgewinn ist damit nicht verbunden.
    VLan 1 ist halt das default VLan. Da bei vielen Switchen ab Werk sowohl tagged als auch untagged Pakete akzeptiert werden hast Du sofort Zugriff auf das Management eines neuen Gerätes solange auch die Adresse zum Netz passt.


    -teddy


    -- Ubuntu Server 22.04.3 LTS & VDR 2.6.0 --



    Hardware: Digital Devices Cine S2 V6.5 im Dell T20 headless und AppleTV 4k mit Mr.MC als Client am TV

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden