2 Vlans, Vlan 1 liefert Internet an Vlan 2

[KAL]

Ich habe ein Audio Vlan, in dem Dante Hardware mit festen IP Adressen kommuniziert.
Switch ist ein D-Link DGS 1210.
In diesem Vlan ist aber auch ein PC, der Internet benötigt.
Um für andere Locations flexibel zu sein habe ich ein zweites Vlan (nur ein Port) mit DHCP erstellt,
damit ich dort das Gastgebernetz mit Internet einstecken kann.

Soweit mein rudimentäres Wissen. Wie kann ich nun das Internet auch zu dem PC im Audio Vlan bringen ?

 

[hans_meiser]

Ich frage mal so ganz plump und dumm, warum brauchst Du VLANs?

Und ich frage dumm weil ich selber von VLANs nicht viel verstehe, allerdings selbst bei einem relativ großen Heimnetzwerk dafür absolut keine Verwendung habe. Heißt nicht, Du brauchst es nicht, aber ich frage einfach mal so.

 

[martinallnet]

Dann stelle für den PC halt 2 VLANs ein, eins für Internet und eins für Audio.

 

[dvor]

VLAN stellt getrennte Netze bereit. Wenn man zwei VLANs miteinander verbindet, dann ist Sinn und Zweck von VLAN ad absurdum geführt. Also VLAN weglassen.

Ich habe ein Audio Vlan, in dem Dante Hardware mit festen IP Adressen kommuniziert.

In der Aussage sehe ich keinen hinreichenden Grund für die Verwendung von VLAN.

Zu welchem Zweck wird VLAN verwendet?


Edit:
Wenn ein PC in beiden (virtuellen) Netzen sein soll, dann ist die einfachste Lösung eine zweite Netzwerkkarte für jenen. Das ist allerdings ein Angriffsvektor um von einem Netz in das andere zu kommen. Dieser Angriffsvektor kann akzeptabel sein.

 

[conf_t]

eine zweite Netzwerkkarte für jenen

Nicht mal nötig. Wenn der LAN Port des Switch mindestens eines der VLANs am Port getataggt (.1q) ausgibt. Kann man bei vielen Netzwerkkarten ein virtuelles Interface anlegen, eines pro VLAN. Jedes mit dem entsprechenden .1q-Tag. Linuxoide OS können das ab Werk. Windows braucht entsprechende Treiber

 

[Raijin]

Wenn ich dich richtig verstehe, soll der fragliche PC also im Audio-VLAN sein und in dem neu erstellten VLAN, wo effektiv das Netzwerk des Gastgebers drinsteckt? Das ist nicht ganz so einfach wie du dir das vorstellst.

Der DGS1210 bietet wie die meisten L2+ bzw. Smart Managed Switches nur rudimentäre Managementfunktionen und die VLAN-Unterstützung beschränkt sich weitestgehend darauf, dass man den Switch virtuell in mehrere Teile zersägen kann. Aus einem 8er Switch werden beispielsweise zwei 4er Switches. Dadurch entsteht aber noch keinerlei Verbindung zwischen diesen Teilswitches, sie verhalten sich tatsächlich wie zwei separate Geräte.. Steckst du deinen PC da in einen Port, ist er nur in dem einen oder dem anderen Netzwerk, aber nicht in beiden. Somit hat der PC entweder Kundennetzwerk samt Internet oder Audionetzwerk - zumindest ohne weitere Konfiguration.

Ohne tiefergehende VLAN-Kenntnisse würde ich dem PC einen zweiten Netzwerkadapter verpassen und ihn mit 2 Kabeln an den Switch anschließen, ein Kabel in einen der Audio-VLAN-Ports und das andere Kabel in einen der Gastgeber-VLAN-Ports. Somit steht der PC in beiden Netzwerken. Allerdings wäre es ratsam, zwischen dem Switch und dem Gastgeber noch einen kleinen Router mit Firewall (zB GL-MT300N) zu setzen, der deine Geräte vor dem Gastgebernetzwerk schützt.

So könnte das aussehen:

+------------------------+
|        DGS1210         |
|------------------------|
|   VLAN x       VLAN y  |
| 1 2 3 4 5 6     7 8    |
+------------------------+
  \ | | | / \    /  |
    AUDIO     PC    +-- (LAN) MT300N (WAN) ------ Gastgeber

Je nach örtlicher Nähe kann man sich das VLAN am Switch natürlich auch sparen und den PC direkt an den LAN-Port des besagten kleinen Routers anschließen. Der Switch könnte dann auch komplett unmanaged laufen, ohne jedwede VLAN-Konfiguration.

 

[dvor]

Nicht mal nötig.

Dann muss allerdings die eine Netzwerkschnittstelle des PC getaggte Pakete versenden. Sonst landen alle abgehenden Pakete in einem Netz. Die Konfiguration ist für unbedarfte Laien nicht trivial erstellbar.

 

[Raijin]

Eine Konfiguration mit einem Trunk-Port Richtung PC wäre natürlich auch denkbar, aber das braucht schon ein wenig KnowHow. Sicherlich kann man bei Youtube irgendein Tutorial nachklicken, aber ich würde es bei wenig Erfahrung so einfach wie möglich halten und das ist ein simpler USB-LAN-Adapter. Die Absicherung mit dem kleinen Router wie ich es eben vorgeschlagen habe, bleibt davon unberührt. Das würde ich in jedem Fall machen. Der Installationsaufwand hält sich dabei in Grenzen, weil der kleine Router einfach als 08/15 WAN-Router eingestellt wird - meistens ist das in der GUI nur ein Auswahlschalter - und dann kommt das Gastgeberkabel einfach in WAN und das PC-Kabel in LAN, fertig. Zu 99% Plug'n'Play.

 

[conf_t]

Wie schon von anderen vermutet, wird hier nicht mal zwingend ein VLAN gebraucht.

Man könnte auch einfach, wenn bestimmte Geräte nicht ins Internet sollen, mit 2 IP-Netzen im gleichen "VLAN" (also gar kein VLAN) arbeiten. Die, die nicht ins Internet sollen sind einfach in einem komplett anderen Netz, der nicht vom Router als Default-Gateway bedient wird / werden kann.

Audio: 192.168.1.0/255.255.255.0
Internet 192.168.0.0/255.255.255.0

Jener PC braucht natürlich dann mindestens 2 IP-Konfigurationenen. Je nach Betriebssystem einfacher oder schwieriger Umzusetzen, bei Windows wohl nur mit 2. Netzwerkkarte umsetzbar.
@dvor
Steht da ja, hat sich vermutlich gerade zeitlich überschnitten:

edes mit dem entsprechenden .1q-Tag.

 

[razzy]

Allerdings wäre es ratsam, zwischen dem Switch und dem Gastgeber noch einen kleinen Router mit Firewall (zB GL-MT300N) zu setzen, der deine Geräte vor dem Gastgebernetzwerk schützt.

Mit einer extra Firewall könnte man es natürlich super sauber bauen. (Ich klau mir mal dein Bild )

+------------------------+
|        DGS1210         |
|------------------------|
|   VLAN x               |
| 1 2 3 4 5 6     7 8    |
+------------------------+
  \ | | | / \       |
    AUDIO     PC    +-- Firewall im gleichem Netz als Gateway ------ (WAN) Gastgeber

Sprich alles ein VLAN, Firewall als Gateway -> Firewall erlaubt nur den PC eine Internetverbindung / Kommunikation ins Gastgeber Netzwerk (vice versa).

Hätte man dann nicht das Problem, das Routing am lokalen Rechner per Batch pflegen zu müssen, da er dann 2 Schnittstellen hätte

 

[conf_t]

@razzy Deine Idee ist eleganter, es ließe sich auch preiswert lösen: Eine simple Fritzbox (oder andere HeimRouter) könnte die Aufgabe übernehmen. Das Gastgeber-Netz an den WAN-Port und in der FB nur dem PC Internetzugriff gestatten. Dazu dem PC ein dauerhaftes DHCP-Lease oder eine statische IP und fertig.

 

[razzy]

Wobei das dann wirklich "nur" die preisgünstigste Bastellösung wäre
Ich würde mir halt schon eine günstige kleine Firewall kaufen wollen

 

[conf_t]

Klar hat man mit einer Firewall mehr Möglichkeiten, aber ich glaube nicht, dass er die hier braucht. Zu dem muss man eine richtige Firewall auch Bedienen können. Ich möchte hier jetzt nichts unterstellen, aber wenn die Basics für VLAN fehlen, weiß ich nicht, wie es um das Grundverständnis IP-Netzwerk bestellt ist, welches man braucht, um eine Firewall betreiben zu können. Ich vermute mal, dass denen alleine der Ausdruck ip route 0.0.0.0 0.0.0.0 192.168.0.1 nichts sagt. Daher halte ich viel vom KIS(S) Prinzip.

 

[Bahkauv]

Je nach örtlicher Nähe kann man sich das VLAN am Switch natürlich auch sparen und den PC direkt an den LAN-Port des besagten kleinen Routers anschließen. Der Switch könnte dann auch komplett unmanaged laufen, ohne jedwede VLAN-Konfiguration.

Würde ich auch so machen. Per USB-LAN Adapter in den LAN Port des GLi Routers und das WAN von dem Teil ins Gastgeber Netzwerk. Den Umweg über den Switch kann man sich sparen - es sei denn es müssen noch weitere Geräte über das Gastgeber Netz ins Internet.

 

[Raijin]

@razzy : Deine Variante unterscheidet sich von meiner letztendlich ja nur dadurch, dass der PC ohne zweite Schnittstelle auskommt und dafür das gesamte Audio-Netzwerk Onlineverbindung hätte - ob das so sein soll oder nicht. Ich hatte es so interpretiert, dass es nicht so sein soll, aber da wird @KAL uns sicherlich aufklären

Da es sich augenscheinlich um ein mobiles Setup handeln soll - ich erinnere mich an einen ähnlichen Thread mit DJ-Equipment in einem Rollcontainer, o.ä. - würde ich es in der Tat bei einem kleinen Reiserouter belassen. Der ist kompakt und für diesen Zweck absolut ausreichend. Im Zweifel lässt sich so ein Gerät sogar per 08/15 USB-Ladegerät betreiben. Ob man da jetzt unbedingt eine Fritzbox oder einen anderen Fullsize-Router mitschleppen möchte sei mal dahingestellt. Wenn man noch eine rumliegen hat und der Platz + Strom vorhanden ist, klar, warum nicht. Extra eine Fritzbox, o.ä. dafür kaufen würde ich aber eher nicht, dann doch eher den Vorteil der Kompaktheit und Mobilität eines Reiserouters nutzen.

Eine richtige Hardware-Firewall wäre meines Erachtens wiederum auch funktionstechnisch über das Ziel hinausgeschossen, weil sowas natürlich auch entsprechend konfiguriert werden will. Für den TE ist eine Plug'n'Play Lösung vermutlich besser geeignet und da sind Fritzboxxen oder simple Reiserouter wohl eher angesagt. Letztendlich geht es ja auch primär darum, wenigstens ein Mindestmaß an Schutz zu bieten. Einen Black Hat würde weder das eine noch das andere aufhalten

 

[KAL]

Wow, so viele Antworten. Danke dafür.
Mein Wissen ist tatsächlich beschränkt, deshalb frag ich ja.
Ich hätte auch noch einen Netgear GS510TLP, der ist aber auch kein L3 sondern nur L2+.
Ich habe auch ein USB Netzwerkinterface, allerdings habe ich da immer Bauchschmerzen, dass das
in einem 24/7 Betrieb nach ner Woche aussteigt.
Das die Hardware mal länger laufen muss kann vorkommen.
Da der D-Link von Dante explizit freigegeben ist, werde ich diesen wohl im Setup drinlassen.
Die Sache mit dem kleinen Router scheint mir am sinnvollsten, und was jetzt an Config Wissen fehlt muss eben
gelernt werden.
Aber auch hier wieder die Frage, wird so ein 30 € Router 24/7 ohne Ausfälle überstehen ?
Der Traffic dürfte sich in Grenzen halten.
Ich würde aber zum TP-LINK ER605 tendieren, würde das passen ?

 

[dvor]

Ich habe auch ein USB Netzwerkinterface, allerdings habe ich da immer Bauchschmerzen, dass das
in einem 24/7 Betrieb nach ner Woche aussteigt.

Das ist bei einigen USB-LAN-Adaptern in der Tat ein Problem. Bei anderen nicht. Nur weiß man das vorher nicht.

Je nachdem um was für einen PC es sich handelt kann eine zusätzliche Netzwerkschnittstelle auch als PCIe Steckkarte nachgerüstet werden.

Aber auch hier wieder die Frage, wird so ein 30 € Router 24/7 ohne Ausfälle überstehen ?

Ja. Router sind auf Dauerbetrieb ausgelegt.

 

[KAL]

Der PC ist ein thinkcentre m75q gen 2.
So wie es aussieht hat der kein PCIe Slot und auch sonst keine Möglichkeit eine zweite Netzwerkkarte
zu verbauen.

 

[Raijin]

Wenn du es so machst wie @razzy gezeigt hat, brauchst du auch keinen zweiten Netzwerkadapter. Den hatte ich in meinem Vorschlag nur drin, weil es den Anschein machte als wenn du explizit nur den PC versorgen wolltest.

Wenn es kein Problem darstellt, dass auch die Audiogeräte Internet haben könnten - und selbst das ließe sich ja regeln - kannst du das ganze mit einem 08/15 Switch ohne jedwede VLAN-Konfiguration und lediglich durch den Einbau des besagten Routers lösen.
Bestellen, warten, auspacken, anschließen und maximal eine Basis-Startkonfiguration einrichten.

Die Konfiguration des Routers könnte dabei kaum simpler sein, weil diese Geräte meist eine banale Modusumschaltung für zB Router- oder AP-Modus haben. Haken bei Router-Modus, die lokale IP an das Audio-Subnetz anpassen, los geht's. Firewall und dergleichen sind ab Werk schon ausreichend vorkonfiguriert.

 

[KAL]

Router soll am 24.1. eintreffen.
Dann werd ich das so testen.