Komlexes VLAN im Heimnetzwerk

[networknewbie42]

Moin. Ich bin angehender FIAE, möchte mit 2 Mitschülern (FISI‘s) ein Netzwerkprojekt auf die Beine stellen und bin etwas verzweifelt. Wir haben uns durch alles Mögliche durchgewühlt. VLAN ID's, VLAN Interfaces, PVID's, ACL's, usw. Leider haben wir es nicht zum laufen gebracht. Das Ergebnis war eigentlich immer das wir uns selbst aus dem Netzwerk ausgesperrt haben und ich LAN Router und Managed Switch Hardreseten musste...

Ich wohne in einer WG und möchte unser geplantes Netzwerk vom Hauptnetzwerk isolieren, zusätzlich soll innerhalb unseres Netzwerks mit VLAN‘s weiter isoliert werden.

Hardware
Hauptrouter (Liefert den Internetzugang)

LAN Router mit VPN und VLAN Feature

• Port 1: Verbindung zum Hauptrouter
• Port 2: Verbindung zum Managed Switch

Managed Switch

• Port 1: Laptop 1 (Privat)
• Port 2: Server (Testlab)
• Port 3: Laptop 2 (Testlab)
• Port 4: Laptop 3 (Netzwerkknoten mit Portfreigabe ins Internet)
• Port 5, 6: Smart Home Devices via Ethernet
• Port 7: Access Point (WLAN & drahtlose Smart Home Devices)
• Port 8: Verbindung zum LAN Router

Geplante VLAN's

• VLAN 1: Laptop 1
• VLAN 2: Server, Laptop 2
• VLAN 3: Laptop 3
• VLAN 4: Smart Home, Access Point

Anforderungen

• Da es sich um ein Testlab und ein Laptop mit Portfreigabe handelt, außerdem noch private Geräte dran hängen, ist uns die Isolation zum Hauptnetzwerk und untereinander aus Gründen der Sicherheit extrem wichtig. Daher soll die Kommunikation zwischen den Geräten bzw. den VLAN's auf das nötigste beschränkt werden.
• Laptop 1 soll Internet- und lokalen RDP Zugang zu Server, Laptop 2 und Laptop 3 haben
• Server und Laptop 2 sollen Internetzugang haben
• Laptop 3 soll mit Portfreigabe Internetzugang haben
• Smart Home Devices sollen Internetzugang haben und mit Laptop 1 kommunizieren können
• Im späteren Verlauf soll es außerdem noch möglich sein das meine Mitschüler über eine VPN Verbindung von außen via RDP auf das Testlab zugreifen können

Ich habe mir Mühe gegeben die Angaben so detailliert wie möglich zu halten, habe aber aus Sicherheitsgründen auf konkrete Gerätebezeichnungen verzichtet. Meine Frage ist, wie gehen wir bei der Konfiguration am besten vor?

Ich hoffe auf eure Hilfe und bedanke mich im Voraus!

 

[Krik]

Und was ist deine Frage?

 

[networknewbie42]

Sorry, da ist was beim Posten schief gegangen, jetzt ist der Beitrag komplett.

 

[Delfuras]

Es ist immer noch keine Frage erkennbar.

 

[sikarr]

Setz einen Router dazwischen wenns der Hauptrouter nicht kann und lass den die VLans routen, Alternativ kann man das auch den Switch machen lassen ist aber nicht soooo toll.

 

[networknewbie42]

Gut gut, ich habe den Wink verstanden. Der Post beinhaltet jetzt eine Frage.

 

[Delfuras]

Gibt es denn eine spezielle Frage, bei der man dir helfen kann?

"wie gehen wir bei der Konfiguration am besten vor" beantwortet sich schwierig - wenn Ihr alles korrekt konfiguriert, funktioniert alles wie gewünscht.

 

[oicfar]

Meine Frage ist, wie gehen wir bei der Konfiguration am besten vor?

Ich würde mir noch ein Bild zur besseren Veranschaulichung (so, dass man das was da aufgelistet ist, auch gut erkennen kann -> incl. alle Informationen, die man benötigt) zeichnen und dann Step-by-Step die Punkte abarbeiten.

 

[networknewbie42]

Setz einen Router dazwischen wenns der Hauptrouter nicht kann und lass den die VLans routen, Alternativ kann man das auch den Switch machen lassen ist aber nicht soooo toll.

Ein LAN-Router sitzt ja zwischen Hauptrouter und Switch. Nur leider scheitern wir schon an dem Punkt wo sich die Frage stellt welches Gerät die VLAN's stellt und welches sie routet, da beide Geräte beides können.

 

[Stock86]

Was für einen Hauptrouter verwendet ihr denn? Unterstützt der alle Funktionen ausreichend?

VLANS
Firewall (für Regulierung welches VLAN mit welchen Ports zu den anderen VLANs darf, etc)
VPN

Ich würde alles am Hauptrouter einstellen soweit es dort geht. Der Switch muss die VLANs entsprechend der Ports dann natürlich trotzdem alle kennen.

 

[MetalForLive]

Ich würde für dieses Setup eine extra Firewall installieren z.B. als VM auf dem Server.
Dort würde ich alle VLAN Interfaces konfigurieren und die Security Policys machen.
Den Switch dann nur als Layer 2 Switch zur VLAN Verteilung nutzen.

Theoretisch könntest du auch auf dem Switch die SVIs konfigurieren aber dann musst du mit ACLs arbeiten was ich heutzutage nicht mehr empfehlen würde.

 

[sikarr]

Nur leider scheitern wir schon an dem Punkt wo sich die Frage stellt welches Gerät die VLAN's stellt und welches sie routet, da beide Geräte beides können.

Auf dem Switch legst du die Vlans an und weist sie den Ports zu für die sie bestimmt sind, der Router/FW kriegt alle Vlans und über den lässt du dann deine Freigaben routen. Ansonsten lass den Switch das routen machen, das könnte aber Leistung kosten sollte aber in deiner kleinen Umgebung kaum Probleme machen.

 

[networknewbie42]

Ich würde mir noch ein Bild zur besseren Veranschaulichung (so, dass man das was da aufgelistet ist, auch gut erkennen kann -> incl. alle Informationen, die man benötigt) zeichnen und dann Step-by-Step die Punkte abarbeiten.

Uno momento, Topologie kommt sofort.

 

[Das MatZe]

Grundsätzlich muss das so konfiguriert werden, dass der LAN "Ausgang" vom LAN-Router nen VLAN-Trunk bekommt bzw. zumindest alle VLANS darauf liegen. Das gleiche gilt auch für den "Eingang" auf dem Switch. Diesem müssen alle genutzten VLANs zugewiesen werden.

Zumindest mal unter der Annahme, dass euer Managed Switch auch "nur" ein Layer2 Switch ist. Wenn der Layer3 kann, könnte der das auch übernehmen.

Nenn ruhig mal konkret die Hardware, das macht es einfacher, dir zu helfen.

 

[KillerCow]

Ich sehe schon einige mit den Augen rollen, aber ich muss es los werden, vor allem, weil ihr angehende Fachleute seid: VLANs (als Layer 2 Feature) kann man nicht routen. In dem Kontext ist ein VLAN einfach nur ein Netzwerkkabel. IP-Netze (Layer 3) werden gerouted.
Und das gerne sogenannte "inter-VLAN-routing" beschreibt einfach nur die Möglichkeit der Hardware, ein virtuelles IP-Interface zu betreiben, das einem VLAN zugeordnet ist. Und darüber erfolgt das Routing (Layer 3).

In der Praxis liegt in einem VLAN nur ein IP-Netz, weil man Kollisionsdomänen trennen (und ein Stückchen Sicherheit durch Trennnung erreichen) will, darum wird das gerne als untrennbar und einzige Wahrheit dargestellt. Technologisch spricht aber nichts dagegen, mehrere IP-Netze durch ein VLAN zu jagen. Das VLAN (Layer 2) hat nämlich keine Ahnung davon, was es für Daten transportiert und kennt keine IP-Netze, genauso wie dem Layer 1 egal ist, ob da jetzt Ethernet oder sonst was drüber geht.

Und jetzt wünsche ich euch noch viel Erfolg und Spaß bei eurer Aufgabe. Nichts ist geiler, als so ein Projekt am Ende erfolgreich abgeschlossen und etwas gelernt zu haben!

 

[MetalForLive]

weil ihr angehende Fachleute seid...

...Technologisch spricht aber nichts dagegen, mehrere IP-Netze durch ein VLAN zu jagen.

Gerade als angehende Fachleute sollte man es m.M.n. direkt richtig machen.
Erst recht wenn die benötige Hardware sowieso vorhanden ist um es fachlich korrekt zu konfigurieren.
Nur weil es technologisch machbar ist, heißt es noch lange nicht das man es auch so tun sollte.

 

[KillerCow]

Nur weil es technologisch machbar ist, heißt es noch lange nicht das man es auch so tun sollte.

Absolut korrekt und darum ist Verständnis so wichtig. Wenn etwas funktioniert, ich aber nicht weiß warum, dann habe ich ein Problem
Meine Formulierung ist an der Stelle vielleicht auch etwas mau. Ich will damit nur klarstellen, dass es technisch keine harte 1:1 Abhängigkeit zwischen VLAN und IP-Netz gibt, obwohl das gerne so dargestellt wird. Und genau das ist das kleine, aber feine Detail.

 

[Das MatZe]

@KillerCow danke für die Richtigstellung.
Als ITSE sollte ich sowas auch fachlich korrekter transportieren können.
Wie du schon sagst, die gelebte Praxis ist dennoch - ein VLAN, ein IP Netz. Fertig. Das führt dann gerne mal dazu, dass man diese Details vergisst, weil's ohnehin fast nie so gemacht wird.

Aber ja, wir haben ein Netz, was irgendwann mal zu klein wurde (und die benachbarten Bereiche schon besetzt waren) auch in einen völlig anderen IP-Bereich umgezogen. Das VLAN blieb das gleiche.