Mehrere VLAN´s ein Internetzugang / Frage an die TP-Link Switch-Profis:

[MikE_GRH]

Hallo,

gleich vorweg, ich bin alles, aber kein Netzwerkprofi. Entschuldigt deshalb meine vielleicht sehr blöden Fragen.

Folgendes möchte ich realisieren:

3 VLAN´s
Jedes VLAN soll Zugang zum Internet über eine Fritzbox bekommen.

Das komplette Routing soll der Switch übernehmen.
Hierfür steht ein TP Link T2600G-28MPS mit erweiterter Layer2 Funktionalität (DHCP Server, statisches Routing, usw) zur Verfügung.

Fragen:

1) Rein thoeritisch sollte das Szenario doch mit dem Switch zu realisieren sein, oder wird hier zwingend ein "richtiger Router" benötigt?
2) Kann mir bitte jemand erklären, welche Einstellungen ich treffen muss um das zum laufen zu bekommen? Ich lese mich auch gerne dazu ein, weiß aber nicht welche Funktionen ich dafür benötige.

 

[wern001]

die Fritzbox ist der Router.
ich glaube aber nicht das eine Fritzbox mit mehreren VLANs zurecht kommt.
Für sowas würde ich dann eher doch einen Lancom-router oder ähnliches nehmen.

zu empfehlen
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

 

[madmax2010]

Routing ist Layer 3
VLANs (deutsch ohne ' ) sind Teil von Layer 2.
Ich kenne den switch nicht, er schaut aber wie der typische China OEM Switch diese Kategorie aus. Die kommen damit super klar

Ich schaue mal was mit erweiterter Layer 2 Funktionalitaet gemeint ist.

Wie du VLANs anlegst ist da dokumentiert: https://www.tp-link.com/de/support/faq/2149/

Du musst nur ggf. den Router tauschen, bzw die Fritzbox als Modem verwenden und einen kleinen guenstigen Router zwischen Switch und Fritzbox installieren

 

[MikE_GRH]

VLANs habe ich bereits erfolgreich angelegt, soweit reichte mein "Können" noch.

@madmax2010: Ich würde aber gerne die Fritzbox als "dummes" Modem verwenden und den rest komplett den Switch managen lassen. Also DHCP, Routing usw.
Das sollte doch grundsätzlich möglich sein, oder habe ich hier etwas falsch verstanden?

 

[madmax2010]

Fritzbox nur als modem: Gut. Wenn du die ganz los werden willst: Es gibt auch VDSL2 Modems in SFP Form - Bin mir aber nicht sicher ob die in dem Switch tun.

Beschreib mal bitte, wie genau deine VLANs aufgebaut sein sollen - Ich bin mir jedoch schon so relativ sicher das du etwas brauchst was auch Layer 3 kann. Ein EdgerouterX sollte sich da anbieten.
Der Artikel sollte dir einen guten UEberblick geben was man wann braucht:
https://community.fs.com/blog/layer-2-switch-vs-layer-3-switch-which-one-do-you-need.html

 

[Raijin]

Ich würde aber gerne die Fritzbox als "dummes" Modem verwenden und den rest komplett den Switch managen lassen. Also DHCP, Routing usw.

Schön, dass du das möchtest, aber dafür ist ein Switch nicht geeignet. Ein Modem muss bedient werden, d.h. es gibt ein Gerät, dass sich zB via PPPoE beim Provider einwählt. Das ist die Aufgabe eines Internetrouters. Neben der Einwahl muss sich eben dieser Router nämlich .auch um die Firewall und das NAT kümmern.

Ein Switch mit Routing-Funktion ist aber kein Internetrouter! Seine Routing-Funktion beschränkt sich auf das sogenannte Inter-VLAN-Routing. Er kann weder NAT noch hat er eine Firewall. Das einzige was letzterer nahe käme, wären die ACLs. Inter-VLAN-Routing dient aber lediglich dem Zweck, innerhalb ein- und desselben Switches direkt zwischen den VLANs von Port zu Port zu routen,, also quasi VLAN-übergreifend zu switchen ohne das ganze erst über einen Uplink zu einem separaten Router durchzureichen. So erreicht man gewissermaßen volle 1:1 Switching-Kapazität auch über VLAN-Grenzen hinweg, während man mit Uplink+Router stets durch den Uplink limitiert ist (zB nur 1 Gbits/s).

Du wirst also so oder so einen Intenetrouter benötigen. Das kann auch die Fritzbox sein. Versuch's mal so:

Ausgangsbasis:
Fritzbox-IP = 192.168.178.1
Switch-IP @ Fritzbox-Port = 192.168.178.2
Switch-IP @ VLAN10 = 192.168.10.1/24 - DHCP: Gateway 192.168.10.1
Switch-IP @ VLAN20 = 192.168.20.1/24 - DHCP: Gateway 192.168.20.1
Switch-IP @ VLAN30 = 192.168.30.1/24 - DHCP: Gateway 192.168.30.1

Nun legst du in der Fritzbox für die 3 VLANs jeweils eine statische Route an => 192.168.xx.0/24 via 192.168.178.2

Im TP-Link gehst du nun in die Routing-Einstellungen und gibst dort folgendes ein:
Destination 0.0.0.0
Subnet Mask 0.0.0.0
Next Hop 192.168.178.1
DIstance 1

In diesem Moment sollte ein Gerät in einem der VLANs schon Verbindung zum Internet haben. Vom Switch-DHCP bekommt es eine IP nebst Gateway (= zB 192.168.10.1), schickt also alles Richtung Internet zum Switch. Dieser wiederum guckt in seine Routing-Tabelle und 0.0.0.0/0 ist eine Standard-Route, die auf die Fritzbox zeigt, also das Standard-Gateway. Die Fritzbox schickt alles ins www weiter und wenn die Antwort zurückkommt, guckt die Fritzbox in ihre eigene Routing-Tabelle und sieht, dass 192.168.10.123 hinter dem Switch liegt.

 

[Joe Dalton]

MoinMoin,

gleich vorweg, ich bin alles, aber kein Netzwerkprofi. Entschuldigt deshalb meine vielleicht sehr blöden Fragen.
Folgendes möchte ich realisieren:

Etwas nicht zu wissen, ist ja kein unlösbares Problem. Aber was willst Du mit deiner angedachten Konfiguration erreichen?

3 VLAN´s
Jedes VLAN soll Zugang zum Internet über eine Fritzbox bekommen.
Das komplette Routing soll der Switch übernehmen.

Dann nimmst Du am besten vier VLANs:

• deine 3 genannten VLANs
• ein Transfer-VLAN

1) Rein thoeritisch sollte das Szenario doch mit dem Switch zu realisieren sein, oder wird hier zwingend ein "richtiger Router" benötigt?

Das Routing kann der Switch übernehmen, aber ich frage mich immer noch, welche Vorteile Du daraus ziehen willst.

2) Kann mir bitte jemand erklären, welche Einstellungen ich treffen muss um das zum laufen zu bekommen? Ich lese mich auch gerne dazu ein, weiß aber nicht welche Funktionen ich dafür benötige.

Pro VLAN ein VLAN Interface einrichten:
https://static.tp-link.com/2020/202001/20200115/1910012657_T2600G series_UG.pdf (Kapitel 18 Layer 3 Interface Configurations)

In das Transfer-VLAN kommen nur Deine Fritz!Box und der Switch. Ein Subnetz der Kragenweite /29 ist mehr als ausreichend. Auf Deiner Fritz!Box musst Du dann statische Routen für die IP-Subnetze des Switches eintragen und der Switch bekommt die Fritz!Box als Default Gateway.

Danach kannst Du die drei DHCP Scopes einrichten (Kapitel 20).

Ich gehe mal davon aus, dass Du das WLAN der Fritz!Box nicht für Deine Clients nutzen willst.


Grüße,
Christian

 

[MikE_GRH]

Ich habe es kurz aufgezeichner.

Fritzbox soll aber nicht wie das Symbol vermuten lässt routen, sonder nur das Tor ins Internet darstellen.
Der Switch soll alles andere erledigen.

 

[Joe Dalton]

Mit @Raijin s und meinem Weg kannst Du das entsprechend umsetzen.

 

[Raijin]

Ich sag mal: Zwei Dumme, ein Gedanke Wir haben so ziemlich genau dasselbe geschrieben

 

[MikE_GRH]

Hab ich leider erst nach meiner Anwort gesehen. Die aufwendige Zeichnung hat leider zu viel Zeit in Anspruch genommen.

Danke euch beiden. Ich werde es so probieren.

@Joe Dalton : der einzige Vorteil ist nur, dass ich nicht noch extra einen Router dafür anschaffen muss. Weitere Vorteile hat das ganz Konstrukt eigentlich nicht.

 

[MikE_GRH]

Ich habe mich damit gestern wirklich noch einige Stunden beschäftigt, aber ich bekomme es einfach nicht zum laufen.
Es fehlt mir einfach an allen Ecken an Know-How bei derartig tiefgehenden Netzwerkarbeiten

Leider hilft mir auch das Manual nur sehr begrenzt weiter, weil mir hier einfach Beispiele fehlen.


Vielleicht kann ja nochmal jemand über die aktuellen Switch-Einstellungen sehen:

VLAN

Routing Table

Interfaces

DHCP

Wenn noch mehr Infos benötigt werden, reiche ich diese gerne nach.

 

[Raijin]

Also zum einen sind auf deinen Screenshots die VLAN-Namen kreuz und quer. Das mag dem Umstand geschuldet sein, dass die Screenshots zu unterschiedlichen Zeiten aufgenommen wurden und man zwischenzeitlich wieder etwas geändert hat, aber es trägt nicht gerade zur Lesbarkeit bei. Die VLANs, die IP-Adressen der dazugehörigen Interfaces sowie die DHCP-Einstellungen müssen natürlich durchgängig schlüssig sein.

Wenn ich mir das nämlich so angucke, scheint da vorn und hinten was nicht zu stimmen.

Im ersten Screenshot scheint VLAN4 mit seinem einzelnen Port Richtung Fritzbox zu zeigen (nur da würde ein einzelner Port ja Sinn ergeben). Bei den Interfaces wiederum ist offenbar VLAN1 für die Verbindung zur Fritzbox vorgesehen. Der Screenshot zum DHCP zeigt gänzlich andere VLANs mit anderen Subnetzen.

Da ich wie gesagt davon ausgehe, dass die Screenshots zu unterschiedlichen Zeitpunkten gemacht wurden, möchte ich dich darum bitten, sie einmal bei kompletter Konfiguration zu machen. Sonst sucht man sich einen Wolf nach Fehlern, weil deine Screens einfach nur falsch sind....


Beispiele sind im Handbuch im übrigen nicht notwendig, weil sich so ein Gerät an fachkundige Anwender richtet. Entsprechendes KnowHow wird schlicht und ergreifend vorausgesetzt.

 

[MikE_GRH]

Ich habe nochmal versucht etwas Ordnung zu machen. (nach besten Wissen)

Ziel soll immer noch das sein:

EDIT: Hier stand nur verwirrendes Zeug, was nicht zur Lösungsfindung beitragen wird...

 

[MikE_GRH]

So viele Stunden später bin tatsächlich etwas weiter gekommen und ich bekomme zumindes in den einzelnen VLANs schon einmal per DHCP die korrekten IPs.

Aktueller Stand:

Verkabelung
Port 1: Fritzbox 192.168.178.1
Port 21: Client 1 192.168.10.xxx
Port 22: Client 2 192.168.20.xxx
Port 23: Vorgesehen für Client 3 mit 192.168.30.xxx

DHCP

Fritzbox Routing Table

Problem:

Ich kann dem Interface VLAN40 (Fritzbox Port 1) nicht die IP 192.168.178.2 zuweisen und ich verstehe nicht warum. In meinem Testaufbau gibt es aktuell nur die erwähnten Geräte und den Admin PC an Port 2 mit der IP 192.168.178.15


Fragen:

1) Warum kann ich von den einzelnen VLAN-Clienten die Interface-IPs der anderen VLANs anpingen? Ist das normal? Die Geräte in den VLANs kann ich wie gewünscht nicht anpingen

2) Wie kann ich den DHCP Server auf dem Switch einen bestimmten IP-Adressen-Bereich zuweisen?

 

[Raijin]

Das VLAN1 Interface hat bereits eine IP aus dem Subnetz der Fritzbox, nämlich 192.168.178.10. VLAN4 brauchst du dann nicht und selbst wenn, dann nicht mit einer IP aus demselben Subnetz wie VLAN1.

Denk immer daran, dass Netzwerktechnik Eindeutigkeit braucht. Zwei Beine im selben Hosenbein machen schon bei einem Menschen keinen Spaß, bei einem Switch ist das nicht minder störend. Genau deswegen wird die GUI das auch abfangen und sich weigern, einem zweiten Interface eine IP aus demselben Subnetz zu geben wie einem anderen

1) Grundsätzlich hast du zu diesem Zeitpunkt noch keinerlei Zugriffsbeschränkungen. D.h. der Switch routet stur alles von einem VLAN ins andere. Wenn das unerwünscht ist, musst du ACLs einrichten, die eben genau das blockieren, sozusagen die Firewall des Switches.

Dass es aktuell nur bei den IPs des Switches selbst klappt, liegt ebenfalls an der "Firewall". Der Switch ist aktuell offen und antwortet einfach auf jeder IP. Pings zu anderen Geräten in den VLANs leitet er jedoch trotzdem weiter, gibt ja noch keine ACLs, die das verhindern.

Nu kommt aber die Firewall des Ziels ins Spiel. Windows ist Beispiels ab Werk so eingestellt, dass es Pings und dergleichen ausschließlich aus dem eigenen Subnetz erlaubt. Kommt ein Ping von einem fremden Subnetz, schlägt also die Windows-Firewall zu.

Theoretisch müsstest du daher problemlos Dinge wie Fernseher, Internetradios oder auch den smarten Kühlschrank pingen können, weil diese eben keine eigene Firewall haben.


2) Handbuch Seite 437, excluded IP addresses
Scheinbar möchte TP-Link, dass man nicht die DHCP-Range definiert, sondern "den Rest". Hier müsstest du also den Bereich vor bzw. nach dem gewünschten Adressbereich eingeben. Ob auch beides geht, weil man den DHCP-Bereich gerne in die Mitte des Subnetzes legen möchte, weiß ich nicht. Zur Not eben in den sauren Apfel beißen und hier zB .1 - .99 excluden, um dann .100 - .254 für den DHCP zu lassen.

 

[MikE_GRH]

Danke für die Erklärung!
Die Route in der Fritzbox habe ich jetzt auf Gateway 192.168.178.10 geändert.
Ich bin jetzt soweit, dass ich in jedem VLAN Internet habe und auch auf die Fritzbox zugreifen kann.
Ich freu mich gerade wirklich!!!

Zu Punkt 1)
Ich dachte eigentlich, dass die VLANs grundsätzlich komplett voneinander getrennt sind... Was muss ich jetzt noch machen, dass ich diese Trennung realisieren kann?
Eine richtige Hardware-Firewall habe ich ja leider nicht.

Im Menüpunkt "Security" gibt es den Punkt ACL. Kann ich das damit machen?

und natürlich habe ich auch noch nie eine solche Regel erstellt...
Kann mir hier bitte auch wer beim ausfüllen helfen?

Zu Punkt 2)
Ja natürlich, damit geht es. 👍
Man kann auch mehrere Ranges verbieten und somit den mittleren IP-Bereich für DHCP reservieren

 

[Raijin]

Das klingt doch schon mal gut!

Ich dachte eigentlich, dass die VLANs grundsätzlich komplett voneinander getrennt sind

Nein, ein Router - und in diesem Fall ist der Switch ja ein Router - tut genau das was er soll, wenn man ihm nicht explizit etwas anderes sagt. Also routet ein Router sobald er mehrere Netzwerke bedient.

Mit drn ACLs kann man dies nun einschränken. Prinzipiell ist das recht simpel. Im Handbuch wird erklärt wie das geht. Solche Regeln bestehen aus zwei Komponenten, dem Matching und der Operation. Das Matching beschreibt die Eigenschaften, die zutreffen müssen, um die Regel zu triggern. Das kann zum Beispiel so aussehen:

source-ip = 192.168.10.0/24
destination-ip = 192.168.20.0/24
operation = deny

Bevor du damit anfängst rate ich dazu, die Konfiguration als Backup runterzuladen. Man kann sich nämlich mit ACLs schlimmstenfalls auch selbst aus dem Gerät aussperren und dann bleibt nur ein Systemreset. So kann man wenigstens die VLAN-Konfiguration wiederherstellen.

 

[MikE_GRH]

So ich habe das jetzt wie folgt umgesetzt:

und dann jeweils angepasst auf die einzelnen VLANs diese Regeln:

Leider kann ich mit diesen Regeln weiterhin mit einem PC an VLAN20 einen anderen PC in VLAN30 anpingen.

 

[Raijin]

Steht alles im Handbuch (warum lese scheinbar nur ich dort nach?)

Ab Seite 708 ist ein vollständiges Beispiel für ACLs, inkl. des Bindings an die jeweilige Schnittstelle, was du vermutlich nicht getan hast und deswegen sind die ACLs schlichtweg noch nicht aktiv.