Drucker in portbasierten VLANs

[Thokra]

Hallo zusammen,

in unserem Heimnetzwerk habe ich im DSG-1100-24 drei portbasierte VLANs erstellt: Standard (VLAN 1), Haustechnik (VLAN 2) und Kinder (VLAN 3).

Den Port, an dem die Fritzbox hängt, habe ich in allen 3 VLANs eingetragen, den Druckerport habe ich in VLAN 1 und VLAN 3 eingetragen.

Problem: Während die mehrfache Eintragung des Routers problemlos funktioniert (alle Geräte und Rechner können ins Internet), ist der Drucker nur im VLAN 1 verfügbar. Auch ein Ping aus VLAN 3 an den Drucker ist nicht möglich.

Kann mir jemand einen Tipp geben, woran es haken könnte? Das wäre super.

Bis bald
Thokra

 

[MetalForLive]

Hä du hast nur eine Fritzbox als Router ?
Alle 3 VLANs hängen im selben IP Subnetz ?
Dein Konstrukt wie du es beschreibst macht so gar keinen Sinn.
Was versucht du damit genau zu bezwecken ? Du hast doch gar kein Gerät welches VLANs routen kann.
Evtl. hilft eine kleine Zeichnung um es besser zu verstehen.

 

[Thokra]

Ja, eine Fritzbox als Router. Die 3 VLANs sind im gleichen IP Subnetz, aber dennoch kann ich Geräte im jeweils anderen VLAN nicht anpingen. Der VLAN-Gedanke scheint also zu funktionieren.
Es geht darum, z. B. die Kinder aus meinem Arbeitsumfeld (Mac, Synology) herauszuhalten. Wie gesagt, die Trennung habe ich getestet und sie funktioniert. Nur den Drucker kann ich nicht in beide VLANs bringen.
Aber vielleicht habe ich die Materie noch nicht ganz durchfrungen ...

 

[martinallnet]

Falscher Router dafür, das braucht einen VLAN-fähigen Router und separate Subnetze.
Diese kann man dann ja mit Firewallregeln wieder kontrolliert untereinander routen lassen.
Bei mir mit einem MikroTik so am laufen, so das z. B. das IoT-Netz keinen Heimnetz- und Internetzugriff hat, ich aber trotzdem aus dem Heimnetz darauf zugreifen kann.
Wenn man da portbasiert arbeitet, kann übrigens ohnehin nur ein VLAN darauf liegen, ansonsten müsste der Traffic zum zuordnen tagged sein.

 

[Sykehouse]

Du müsstest den Drucker vermutlich direkt an die Fritzbox hängen, dann ist er aber auch wieder von allen VLANs erreichbar.

 

[PHuV]

Du müßtest das eigentlich mit Übergängen im Switch einstellen können. Oder Du hängst den Drucker mit einer jeweils anderen IP in jedes VLAN.

 

[snaxilian]

Variante 1 die zu testen wäre: Drucker direkt an die Fritzbox.
Variante 2 die wunderbar ganz ohne VLANs funktioniert: Du vergibst an deinem Computer und dem NAS einfach vernünftige Kennwörter für den Zugriff. Dann sind Dritte ja auch aus den Geräten "ausgesperrt". Völlig ohne Frickelei, Drucker und andere Geräte sind untereinander erreichbar und der Aufwand zur Umsetzung ist überschaubar und du hast Zeit für was anderes.

Ansonsten: Port-based VLANs sind nicht direkt ein Relikt aus der Vergangenheit aber auch nicht mehr "state-of-the-art". Mehrere VLANs an einem Port bedeutet idR, dass dies ein Uplink-Port ist und für die Anbindung eines zweiten Switches dienen soll. Alternativ müsste das daran angeschlossene Endgerät ebenfalls mit VLANs umgehen können. Merke: VLANs, nicht IP-Adressen denn dafür interessiert sich auf Layer 2 keine Sau.
Zum nachlesen: https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
Beim port-based VLAN bekommen ja Pakete, die vom angeschlossenen Gerät Richtung Switch gehen, bei der Ankunft das VLAN-Tag verpasst und Pakete die den Switch in Richtung Endgerät verlassen wird das VLAN-Tag entfernt.

 

[hpxw]

fritzbox mit mehreren vlans kannst du vergessen. Du brauchst ein Layer 3 Gerät. Firewall/Router/Switch, der zwischen einzelnen vlans routet.

Was möchtest du mit vlans erreichen?

 

[Raijin]

Die 3 VLANs sind im gleichen IP Subnetz, aber dennoch kann ich Geräte im jeweils anderen VLAN nicht anpingen. Der VLAN-Gedanke scheint also zu funktionieren.

Nicht so wie du dir das vorstellst. Wenn du einen Switch in 3 VLANs unterteilst, ist das nichts anderes als wenn du ihn in 3 Teile zersägst - oder 3 eigenständige Switches verwendest. Du hast jetzt sinngemäß also einfach 3 einzelne Switches, die du an die Fritzbox angeschlossen hast - aber: sie sind dennoch durch die VLAN-Trennung voneinander isoliert.

Da die Fritzbox aber keine Ahnung von VLANs hat und diese in deinem Fall darüber hinaus ja auch noch identische Subnetze haben, ist es logisch, dass du Probleme hast, weil dein Setup schlicht und ergreifend nicht dafür geeignet ist was du da vorhast.

Wenn man mehrere (V)LANs hat, benötigt man auch einen Router, der mit mehreren Netzwerken umgehen kann, sei es durch native VLAN-Unterstützung oder eben durch ausreichend viele physische LAN-Schnittstellen (nein, kein Switch, einzelne Ports). Kandidaten wären MikroTiks, EdgeRouter oder ggfs auch Router mit OpenWRT, wobei es da auf die Hardware des verwendeten Routers ankommt.

 

[Thokra]

Euch allen erst einmal vielen Dank! Ihr habt echt schnell und ausführlich geantwortet.
Jetzt muss ich erst einmal das eine oder andere ausprobieren, nicht ganz einfach angesichts der unterschiedlichen und tw. widersprüchlichen Tipps.
Ich werde euch morgen berichten, wie es gelaufen ist bzw. ob es überhaupt ging. Ich fange mal an, den Drucker direkt in die Fritzbox zu stecken.

 

[snaxilian]

zwischen einzelnen vlans routet

VLANs im Sinne der hier verwendeten Situation und in Anlehnung an 802.3ad arbeiten auf Layer 2 und zwar ausschließlich auf Layer 2. Routing ist Layer 3 und ein Router routet nicht zwischen VLANs sondern zwischen Subnetzen. Ja, in der Praxis wird das oft als Synonym verwendet da man oft bei unterschiedlichen VLAN-IDs unterschiedliche Subnetze verwendet. Gleiche Subnetze bei unterschiedlichen VLANs kann man machen, bringt aber fiese Probleme und weitere Komplexität mit sich.

 

[Thokra]

So, hier nun meine Ergebnisse, nachdem ich all eure Tipps durchgelesen, (großenteils) verstanden und ein bißchen herumprobiert habe:
Zunächst habe ich, wie mehrfach genannt, den Drucker an einen zweiten Port der Fritzbox angeschlossen. Leider ohne Erfolg: Der Drucker war nur aus einem VLAN erreichbar.
Nach vielem Lesen und Grübeln bin ich mittlerweile sicher, dass die Skeptiker unter euch Recht haben und es trotz VLAN-fähigem DLINK-Switch nicht geht, den Drucker beiden VLANs zugängig zu machen, da die Fritzbox nicht mitspielt.

Aktuell habe ich mich - auch wenn die Lösung nicht ganz sauber sein sollte- für diese Konfiguration entschieden:
eth4-eth24: VLAN 1 (also Ports 4-23 für Geräte, zusätzlich Port 24, an dem die Fritzbox hängt)
eth1-eth3, eth24: VLAN 2 (an 1-3 hängen Lüftung, Heizung und PV-Anlage, die ich aus meinem eigentlichen Netz raushalten will, die aber trotzdem Zugang zum Internet über eth24 brauchen.

Pings in alle möglichen Richtungen haben ergeben, dass dies so funktioniert. Die VLANs sind voneinander getrennt. Was ich nicht mehr realisieren kann, ist ein weiteres VLAN mit den Geräten und PCs der Kinder, da sie dann keinen Zugriff auf den gemeinsamen Drucker mehr hätten. Aber damit kann und muss ich nun leben.

Nochmals danke
Thokra