ComputerBase Menü
Aktuelles

Heimnetztwerk in VLANs organisieren - VLAN-Anfänger

Alter5ack schrieb:
Aber das SONOS und Google-Lautsprecher nicht?
Zum Vergrößern anklicken....
Das Thema bei den Dingern ist oft auch, laufen die in nem VLAN zuverlässig. Cast und Co hatten bei mir mit VLANs immer massive Probleme, da das Zeug auf Multicast basiert und du das nicht einfach so routen kannst. Mit der alten UniFi USG und zwei *sense hab ich das nie wirklich zum laufen bekommen. Hat entweder gar nicht oder nur schlecht funktioniert.

Gibt bestimmt auch bei der DreamMachine wieder irgendwelche mDNS Helper, musst du dann testen wie zuverlässig das ganze funktioniert.
 
Alter5ack schrieb:
wo hört denn die gesunde Vorsicht auf und fängt die Paranoia an?
Zum Vergrößern anklicken....
Ich würde IoT devices nicht separieren anhand des Hauptsitzes des Herstellers…

Infrastruktur
Home
Guest
IoT

Ich bin am Ende bei der Separierung danach gegangen:
Wie viele unterschiedliche Firewall Regeln würde ich machen? Es war mir zu aufwändig verschiedene VLANs mit gleichen Regeln zu haben.
 
  • Gefällt mir
Reaktionen: sikarr und WhiteHelix
So, jetzt stehe ich vor der ersten technischen Herausforderung bezüglich VLAN-Wissen:

Der Netgear-Switch, der den Uplink zum Unifi Pro Max 16 hat und an dem u.a. zwei APs angeschlossen sind fragt mich beim Aktivieren der VLAN-Funktion nach dem "VLAN-Modus":
  • Einfaches Port-basiertes VLAN
    Gruppieren Sie Ports nach Portnummer.
  • Erweitertes Port-basiertes VLAN
    Jeder Port kann mehreren VLAN-Gruppen zugewiesen werden.
  • Einfaches 802.1Q-VLAN
    VLAN über Zugriffs- / Trunk-Modus einstellen
  • Erweitertes 802.1Q-VLAN
    Gruppieren Sie Portnummern zusammen, mit 802.1Q- und Voice-VLAN-Parametern.

Die dritte Option?

Oder doch die vierte? Weil nur da PVID eingestellt werden kann und ich es (wann/wo) mal benötige(n könnte)?
 
Das ist eigentlich nur die graphische Darstellung† bzw. das mentale Modell in Deinem Kopf. Wenn Du noch nicht vorbelastet bist, nimm das neuste, also 802.1Q und dort das erweiterte Modell. †Ja, es gibt ein paar funktionale Unterschiede bzw. Begrenzungen im alten Modell. Aber warum genau willst Du auf dem Switch auch noch VLANs konfigurieren? Machst Du in Deinem Fall alles im UniFi.
 
Es muss wohl doch "Erweitertes 802.1Q-VLAN" sein. Nur dort lassen sich VLAN IDs größer 5 eintragen.

Allerdings komme ich mit den Optionen nicht klar. Vielleicht kann mir da einer helfen.

Für jedes angegebene VLAN kan ich je Port eine von 3 Optionen einstellen:
  • Tag all (T)
  • Untag all (U)
  • Exclude all (E)
"Exclude all" nimmt offensichtlich das betreffende VLAN von diesem Port aus.
Ich finde im Web keine ausführliche Doku dazu.
Ergänzung ()

norKoeri schrieb:
Aber warum genau willst Du auf dem Switch auch noch VLANs konfigurieren? Machst Du in Deinem Fall alles im UniFi.
Zum Vergrößern anklicken....
Der Switch hängt seinerseits am Unifi Pro Max.

An ihm sind angeschlossen:
  • zwei Unifi Access-Points, die VLAN 3 (Wohnung 1), 4 (Wohnung 2), 5 (IOT) und 9 (Gast) verbreiten. Selbst sind die APs um VLAN 1
  • ein weiterer Switch in meinem Büro, an dem Geräte der VLANs 1, 2 und 4 hängen
Da komme ich doch um eine VLAN-Konfig nicht herum, oder?
 
Solche Feinheiten sind nur bedingt Branchen-übergreifend, also Spezialitäten Deines Switches. Oftmals ist das sogar je nach Software-Plattform innerhalb eines Herstellers anders. Daher mein Tipp, einen neuen Thread mit der genauen Modell-Bezeichnung (und der Hardware-Generation v1, v2, …). Und was Du eigentlich vor hast. Nur damit Du nicht denkst, ich habe mir das ausgedacht, ein Video dazu …
 
Alter5ack schrieb:
Für jedes angegebene VLAN kan ich je Port eine von 3 Optionen einstellen:
Zum Vergrößern anklicken....
Tag All wäre ein klassischer Trunk Port, das willst du z.B. bei Port die zu den APs gehen. Bei Untag ist jetzt die Frage für Geräte die kein VLAN können, ob du dann damit das VLAN per PVID setzt, oder ob Tags grundsätzlich entfernt werden. Das musst du fast ausprobieren wenns keine weitere Doku dazu gibt.

Alle Verbindungen zu anderen Switches und APs sollten dann Tag all sein.
 
Alter5ack schrieb:
Da komme ich doch um eine VLAN-Konfig nicht herum, oder?
Zum Vergrößern anklicken....
Eigentlich schon, denn der Switch muss die VLANs nur durchreichen aber nicht ändern. Nur wenn an dem Switch ein Gerät hinge, dass nichts mit VLAN umgehen kann, dann müsstest Du im Switch auf diesem Port die Port-VLAN-ID (PVID) ändern (und am besten alle anderen VLANs ausschließen).
 
norKoeri schrieb:
Eigentlich schon, denn der Switch muss die VLANs nur durchreichen aber nicht ändern.
Zum Vergrößern anklicken....
Ich würde die "Client" Ports von Wohnung 2 (nicht der eigenen) nur für das entsprechende VLAN freischalten ... wie das in der Unifi UI geht weiß ich, aber nicht bei den Netgear switchen.
 
Ich beginne es langsam zu begreifen.

Bei den Netgear Switchen muss ich am jeweiligen Port das native VLAN auf "Untag" und "PVID" setzen. Alle durchzureichenden VLANs auf "Tag".
Bei Ports mit Clients, die kein VLAN können muss das jeweilige VLAN auf "Untag" und "PVID" - damit kriegen dessen Pakete dann den Tag des VLANs.

Was ich mich frage:
Nehmen wir mal an, am Switch hängt nur ein Unifi AP. Der Tagt ja schon gemäß zuordnung SSID-VLAN. Da müsste also im Switch keine VLAN-Konfig vorgenommen werden.
Beim Hochfahren fragt der Switch aber den DHCP-Server nach einer IP-Adresse. Wie wäre dann sichergestellt, dass er eine IP des VLANs "Infrastruktur" erhält?
 
Das ist dann normal die PVID = 1, die 1 bleibt normal ungetaggt. Wobei man die auch taggen könnte, ist eher Geschmacksache. Aber noch ein Tipp: Wenn Du VLANs an irgendeinem Port konfigurierst, musst Du dann bei manchen Switchen auch die VLANs auf allen Ports konfigurieren, also sagen, welche VLAN (-Bereiche) für einen Port erlaubt sind.
 
Alter5ack schrieb:
Da müsste also im Switch keine VLAN-Konfig vorgenommen werden.
Zum Vergrößern anklicken....
Jaein. Korrekterweise gehört das schon getaggt. Kann auch je nach Switch dann sein, dass die das Tag entfernen wenn nicht explizit angegeben.

Wenn der Switch selbst in ein VLAN soll gibts da (hoffentlich) die Option dem zu sagen, in welchem VLAN das Management Interface sein soll. Die UniFi Switches können das, beim Netgear musst du schauen. Würde ich mir für daheim aber fast sparen, gibt so n gewissen Punkt da lohnt sich der Aufwand/Nutzen Faktor nicht mehr. Grade wenn dann mal dein Gateway nicht geht/kein DHCP geht hast du dann mehr Aufwand, das du irgendwie wieder per VLAN auf den Switch kommst. Würde ich auch fest vergeben das ganze ;)
 
  • Gefällt mir
Reaktionen: sikarr und Alter5ack
Ich brauche jetzt mal wieder eure Hilfe.

Ich habe die VLANs definiert und alle Endgeräte residieren in ihrem zugedachten VLAN.
  • 1 Infrastruktur
  • 2 Trusted Common
  • 3 Wohnung 1
  • 4 Wohnung 2
  • 5 IOT
  • 6 Kameras
  • 9 Gast
Ich habe zwar die Struktur von VLANs hinsichtlich Native / Tagged / Untagged / PVID einigermaßen verstanden. Das Wissen ums Routing und Firewallregeln geht mir aber noch vollständig ab.

Hier ein reduziertes Blockschaltbild, in dem nur die zu betrachtenden Komponenten gezeigt sind:
Zwischenablage01.jpg
Es geht beispielhaft um den Datenverkehr zwischen dem PC links (192.168..40.212) und dem KNX-Device rechts (192.168.20.20). An diesem Beispiel erhoffe ich mir erste Erkenntnisse bzgl. Routing und Firewallregeln.

Müsste nicht der Verkehr zwischen den beiden o.g. Devices (eines in VLAN 2, das andere in VLAN 4) geblockt sein? Ich kann vom PC aber das KNX Device anpingen und auch programmieren.

Zwischen PC und HomeAssistant (der im gleichen VLAN wie KNX ist), kann ich beide Richtungen testen. Dort kann ich vom PC aus HomeAssistant anpingen umgekehrt aber nicht.
 
Alter5ack schrieb:
Müsste nicht der Verkehr zwischen den beiden o.g. Devices (eines in VLAN 2, das andere in VLAN 4) geblockt sein?
Zum Vergrößern anklicken....
Das kommt jetzt drauf an, was deine Firewall dazu sagt.
Das du den HomeAssistant erreichen kannst, könnte n Thema mit stateful connections in der Firewall sein. Wenn nur VLAN 4 > VLAN 2 freigeben ist, kannst du nur in der Richtung ne Verbindung aufbauen. Nachdem aber z.B der Ping als Antwort auf ne erlaube Verbindung kommt, geht die auch durch.
Baut HA die Verbindung auf und VLAN 2 > VLAN 4 ist geblockt, dann geht nix.
 
Abschließend:
Das Problem mit dem Ping zum PC liegt daran, dass die interne Windows Firewall ICMP (Ping) aus anderen Subnetzen blockiert. Darauf muss man erst mal kommen...

Ansonsten bin ich mit den Firewallregeln fein. Ich habe eine Unifi-Umgebung. Dort gibt es seit Version 9 der Network-Applikation eine sog. Zonenbasierte Firewall, in der schon standardmäßig, und nach Anlegen der VLANS auch für diese, mehr oder weniger sinnvolle Regeln default gesetzt sind. Es erfordert dann zwar noch etwas Einarbeitung, aber wenn es dann mal "klick" gemacht hat, ist es gar nicht mehr so schwer.
 
  • Gefällt mir
Reaktionen: WhiteHelix
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz