TL-ER6120 bestimmte VLANs von anderen VLANs abschotten

Riseofdead

Lt. Commander
Registriert
Jan. 2013
Beiträge
1.030
Hallo

Wahrscheinlich denkt ihr euch was meine ich mit dem Threadtitel.

Folgendes Problem.

Ich habe einen TL-ER6120 Router und einen T2600G-28TS Switch.

Ich möchte mehrere Netze aufziehen. 1x Vertrauliches Netz, 1x Gästenetzwerk, 1x Netzwerk für Eltern und 1x Netzwerk für weniger Vertrauenswürdige Geräte und 1x Managed VLAN für Access Point und "Steuerungsrechner" der jedoch nur zum verändern von Sachen online ist. Am Switch funktionieren die VLANs bereits. Ich komme auch mit jedem VLAN ins Internet. Nur komme ich mit jedem VLAN auch in jedes andere VLAN.

Derzeit habe ich das ganze so.

10.0.0.1 (4G Tube von Drei. Also das Teil das mir Internet liefert) -> 192.168.0.1 (Der Router) -> 192.168.0.2 (Switch)

Die VLANs sehen so aus

VLAN1 oder PVID1 (Kann ich nicht löschen, nervt nur, Ist nur da weil es da ist. VLAN 1 darf kein Trunk Port sein. Deshalb sind nur die Glasfaser Ports die ich eh nie brauche und Port 1 falls ich Mist baue damit verknüpft)

VLAN2 oder PVID2 (Ist das "Standard" VLAN. In Zukunft soll dass das "vertrauenswürdige" Netz sein. Das Interface dazu ist 192.168.0.2 Netz 192.168.0.0/24)

VLAN3 oder PVID3 (Gäste VLAN. Hat das Interface 192.168.1.2 Netz 192.168.1.0/24 und soll nur irgendwie ins Internet können. Also kein anderes VLAN)

VLAN10 oder PVID10(Management VLAN. Hat das Interface 192.168.10.2 Netz 192.168.10.0/24 und soll zum Konfigurieren des Access Points sein. VLAN10 ist an den Ports wo mehrere VLANs benötigt werden wie Access Point, Steuerungsrechner und Router ein Untagged VLAN)

Gibt es irgendwie eine Möglichkeit das VLAN2 z.b nur mit VLAN2 kommunizieren könnte. VLAN 3 nur mit VLAN3 VLAN10 nur mit VLAN10 usw. ? Und gibt es dann noch eine Möglichkeit das man ins Internet mit diesen VLANs kommt?

Folgendes habe ich am Switch noch eingestellt:

Static Routing:
Destination 0.0.0.0 Subnet Mask 0.0.0.0 Next Hop 192.168.0.1 Distance 1 Metric 0

Folgendes habe ich am Router noch eingestellt:

Bei Multi-Nets NAT

Name: NAT_LAN_WAN1 Interface: WAN1 Source IP Range: 192.168.0.0/24 (Ist Standardmäig drinnen und da kann ich nichts verändern
Name: Gast Interface WAN1 Source IP Range: 192.168.1.0/24
Name: Management Interface: WAN1 Source IP Range: 192.168.10.0/24

Bei Static Route:

Name. Gast Destination IP: 192.168.1.0 Subnet Mask: 255.255.255.0 Next Hop: 192.168.0.2 Interface: LAN Metric: 0
Name. Management Destination IP: 192.168.10.0 Subnet Mask: 255.255.255.0 Next Hop: 192.168.0.2 Interface: LAN Metric: 0

Bei VLAN:

VLAN ID 2,3 und 10 habe ich bei Port 5 (die ersten 4 Ports sind WAN Ports) auf TAGGED gesetzt.


Da ich erst versuche zu checken was ich eigentlich gemacht habe (Bin nach der Anleitung: https://www.tp-link.com/us/faq-887.html gegangen) kann es durchaus sein das Planungs oder Allgemeine Fehler drinnen sind. Meine nächste Frage wäre was denn eine Beispielkonfiguration in Firmen ist. Also ob es sowas gibt.

PS: Hab das ganze versucht mit Cisco Packet Tracer nachzubauen aber da mein Switch ja mit IP Adressen umgehen kann was die im Cisco Programm nicht können, habe ich ziemlich schnell aufgegeben da ich nicht weiß wie man sonst sowas nachbauen kann.
 
Du hast Routen gesetzt und der Router macht eben das, was ein Router machen soll: Er routet. :p

Du musst dementsprechend nach einem Punkt wie Firewall und/oder ACL suchen und deine von dir gewünschten Berechtigungen setzen.
Bei Soho-Lösungen wie einer Sophos UTM oder einer pfSense, MikroTik, etc sind Router und Firewall Funktionalitäten in einem Gerät vereint.
Bei größeren Umgebungen gibt es entweder kein inter-VLAN-routing auf den Switchen und Packete gehen von den Switchen in eine Firewall, werden dort geblockt oder eben nicht und gehen dann weiter in einen Router und weiter ins Ziel-VLAN. Alternativ müsste für alle an den Switchen anliegenden VLANs die ACLs gepflegt werden. Aber das wiederum erfordert eine hochgradig verskriptbare Netzwerkumgebung und sehr leistungsfähige Switche wenn ein Switch auf einmal Firewall spielen soll denn oft genug heißt es ja nicht nur Netz A darf nicht mit Netz B reden sondern Netz A darf udp/53 (DNS) an Netz B stellen, Netz A darf auch per tcp/443 (https) mit Netz C reden aber B und C dürfen nicht miteinander reden.
In der Regel ist dies den Aufpreis für so leistungsstarke Switche nicht wert und man nimmt lieber minimal höhere Laufzeiten für Pakete in Kauf.
 
hmm hab bei Combined ACL was gefunden. Jedoch kann man da nur ein VLAN auswählen und kein Quell/Ziel VLAN. Ist das so gewollt? Bei IP Adressen kann ich nur einzelne IP Adressen angeben. Reicht das aus wenn ich da die IP Adresse des jeweiligen Gateways hernehme? Also das VLAN3 nicht auf das Gateway von VLAN10 192.168.10.2 zugreifen darf.
 

Anhänge

  • Unbenannt.PNG
    Unbenannt.PNG
    29,6 KB · Aufrufe: 434
Zurück
Oben