VLAN interne Route erstellen

[Riseofdead]

Hallo

irgendwie check ich nach einigen Youtube Videos, Zeichnungen usw noch immer nicht wie man eine statische Route erstellt. Ich möchte nämlich ein VLAN für einen Access Point und weitere Geräte erstellen.

Derzeit sieht mein Netzwerk so aus:

192.168.1.2 ist die IP Adresse meines Layer 3 Switches (er kann also Routen und man kann auch statische Routen eintragen)
192.168.1.1 ist die IP Adresse meines Routers
10.0.0.5 ist die IP Adresse der WAN Seite meines Routers
10.0.0.1 ist die IP Adresse von einem LTE Würfel (das Ding hat bis auf Internet und Exposed Host nicht wirklich eine Funktion deshalb der Router)

Internet funktioniert also über 192.168.1.0/24 > 10.0.0.0/24 > Internet (Hoffe ich bis dahin in Sachen Routing nichts falsch verstanden)

Jetzt habe ich ein weiteres Interface am Switch erstellt (192.168.3.0/24) sowie ein eigenes VLAN

Ich müsste wenn ich richtig liege jetzt folgendes Ziel vor mir haben: 192.168.3.0 > 192.168.1.0 > 10.0.0.0

Habs mit statische Router versucht aber irgendwie funktioniert das nicht.

Hab folgende Einträge erstellt

Destination: 192.168.1.2 (dort will ich ja als nächstes hin)
Subnet Mask: 255.255.255.254 (Ich möchte ja nur vom neuen VLAN zum alten VLAN Interface eine Route machen)
Next Hop: 192.168.3.1 (Das Interface vom neuen VLAN und vermutlich auch der Gateway
Distance: (ist optional, hab mal nix reingeschrieben)

Nächster Eintrag

Destination: 192.168.1.1 (dort will ich ja als nächstes hin)
Subnet Mask: 255.255.255.254 (dieses mal wird Destination trotzdem auf 192.168.1.0 ausgebessert. Hier möchte ich auch blos eine Route vom Switch zum Router bauen)
Next Hop: 192.168.1.2 (Das Interface vom aktuellen Untagged VLAN und vermutlich auch der Gateway)
Distance: (ist optional, hab mal nix reingeschrieben)

Nächster Eintrag

Destination: 10.0.0.0 (dieses mal möchte ich alle Clients mitnehmen. Jedoch befürchte ich dass das nicht funktionieren wird weil die Clients nicht checken das sie von 192.168.3.0 nach 192.168.1.0 und von 10.0.0.0 eine Route nehmen sollen.)
Subnet Mask: 255.255.255.0 (dieses mal will ich ja alle Clients mitnehmen)
Next Hop: 192.168.1.1 (Das Interface vom Router also dem Gateway des aktuellen Untagged VLANs
Distance: (ist optional, hab mal nix reingeschrieben)


Ich habe auch einen anderen Weg versucht indem ich nur die ganzen Netze reingeschrieben habe. Ich hab aber keine Ahnung auf was "Destination" bezogen ist. Dies sieht dann so aus:

Destination: 192.168.3.0
Subnet Mask: 255.255.255.0
Next Hop: 192.168.1.0
Distance: (ist optional, hab mal nix reingeschrieben)

Destination: 192.168.1.0
Subnet Mask: 255.255.255.0
Next Hop: 10.0.0.0
Distance: (ist optional, hab mal nix reingeschrieben)

Auch hier ging nichts.

Kann man eigentlich mit einem Layer 3 Switch VLANs verbinden oder braucht man für jedes VLAN einen eigenen physischen Router? Hab keine Ahnung wie das in Firmen abläuft. Hätte aber noch paar Router rumliegen, denke aber nicht das eine große Firma 500 Router im Serverschrank haben.

 

[NeMeSiS_tm]

Hmm, erkläre doch "besser" mal wohin die Reise gehen soll.

Also was ist in dem neuen Vlan und wohin soll die Kommunikation denn hin gehen.

Beispiel:
Wan1: 10.0.0.x/255.255.0.0
Wan2:10.1.0.x/255.255.0.0
Lan1: 192.168.0.x/255.255.255.0
Lan2: 192.168.1.x/255.255.255.0

TV ist im Lan1 und soll über Wan2 ins Internet
PC ist im Lan2 und soll über Wan1 ins Internet
TV und PC sollen kommunizieren können

Wenn man das weiß kann man eine Lösung "planen" wohin welche Route gehen soll usw.

 

[leipziger1979]

So sieht deine Umgebung aus ?

Dann braucht dein Layer3 Switch erstmal 2 WAN Interface's 192.168.1.0 Netz und 192.168.3.0 Netz.
Dann musst noch eine Route einrichten das das Default Gateway 0.0.0.0 über IP Router (rechts) zu erreichen ist.
Der Router braucht dann auch noch eine Route das das Netz 192.168.3.0 über IP LAyer3 Switch 192.168.1.0er Netzwerk zu erreichen ist.

Wie das im Detail zu konfigurieren ist liegt am Layer3 Switch/Router und ggf. LTE Würfel.

Mir stellt sich nur die Frage warum das so ein wildes durcheinander ist und was der Zweck sein soll.
Gehts nicht auch einfacher wenn man schon nicht viel mit Netzwerk am Hut hat ?

 

[Riseofdead]

naja ich will einfach nur ein weiteres (später vielleicht mehrere) VLANS. Primärer zweck ist das z.b Freunde die in meinem WLAN sind nicht (absichtlich oder unabsichtlich) auf Daten zugreifen können. ich möchte daher ein Netz wo nur meine vertrauenswürdige Geräte drinnen sind (PC, Dateiserver) und ein Netz wo der Rest (PS4, Fernseher usw sind. Eventuell noch ein weiteres Netz für ein Gäste WLAN.

Derzeit habe ich nur das 10.0.0.0 Netz welches aber sowieso nur aus dem LTE Modem (10.0.0.1) und dem WAN Interface meines Routers (10.0.0.5) besteht und das 192.168.1.0 Netz welches aus der LAN Seite des Routers (192.168.1.1), dem Layer 3 Switch 192.168.1.2 einem Access Point* (192.168.1.3) sowie meinen anderen Clients wie PC, PS4, Laptops, Handies, Tablets, Fernseher, Drucker.



*Multi SSID und VLAN Fähig. Ich sollte in der Theorie mehrere SSIDs erstellen können welche alle ein bestimmtes VLAN haben. Heißt die SSID "Gast WLAN" soll mit dem VLAN "Gast" verknüpft während die (versteckte) SSID "Only me" mit dem VLAN "Vertrauenswürdig" verknüpft wird.

Ich will also 1 oder mehrere VLANs haben die aber alle mit dem Internet kommunizieren können, jedoch nicht mit meinem "Vertrauenswürdigen VLAN"

 

[leipziger1979]

255.255.255.254

Tut mir leid aber damit ist nicht ein Gerät erreichbar weil in so einem Netz, mit der 254, es nur 2 IP Adressen gibt. Eine ist die ID die andere der Broadcast.
Für 2 Geräte brauchst mind. die 252.

Und wenn man dann der Meinung ist mit bisschen Youtube und Zeichnungen kann man mal eben eine Ausbildung hinlegen die der eines Netzwerkers entspricht... bitte.
Ist nicht böse gemeint aber man sollte es nicht komplizierter machen als nötig, schon gar nicht wenn das Know How fehlt.

Ergänzung (8. Juni 2018)

naja ich will einfach nur ein weiteres (später vielleicht mehrere) VLANS. Primärer zweck ist das z.b Freunde die in meinem WLAN sind nicht (absichtlich oder unabsichtlich) auf Daten zugreifen können. ich möchte daher ein Netz wo nur meine vertrauenswürdige Geräte drinnen sind (PC, Dateiserver) und ein Netz wo der Rest (PS4, Fernseher usw sind. Eventuell noch ein weiteres Netz für ein Gäste WLAN.

Das Problem daran ist nur, wenn du nur das Routing einrichtest, das dann alle Netze in alle Netze kommen.
Das trennst du durch VLANs nicht.
Du müsstest dann Standard und/oder Extended ACLs einrichten.

 

[Riseofdead]

So sieht deine Umgebung aus ?

Anhang anzeigen 686334

Dann braucht dein Layer3 Switch erstmal 2 WAN Interface's 192.168.1.0 Netz und 192.168.3.0 Netz.
Dann musst noch eine Route einrichten das das Default Gateway 0.0.0.0 über IP Router (rechts) zu erreichen ist.
Der Router braucht dann auch noch eine Route das das Netz 192.168.3.0 über IP LAyer3 Switch 192.168.1.0er Netzwerk zu erreichen ist.

Wie das im Detail zu konfigurieren ist liegt am Layer3 Switch/Router und ggf. LTE Würfel.

Mir stellt sich nur die Frage warum das so ein wildes durcheinander ist und was der Zweck sein soll.
Gehts nicht auch einfacher wenn man schon nicht viel mit Netzwerk am Hut hat ?

Meine Umgebung sieht derzeit wieder so aus.

(Internet) -> 178.115.244.85 (LTE Würfel) 10.0.0.1 -> 10.0.0.5 (Router) 192.168.1.1 -> Switch 192.168.1.2 -> Endgeräte 192.168.1.x

Als Switch habe ich einen T2600G-28TS von TP Link. Router habe ich auch einen von TP Link, nämlich den TL-ER6120 (beides Revision 2)

Ich sage erstmal was ich beim Switch eingestellt habe.

Unter Reiter VLAN > Port Config habe ich erstmal testweise Port 1 (von Switch zum Router) und Port 5 (mein PC) von Access auf General umgestellt (wenn ich auf Trunk umstelle, kann ich nur Untagged VLAN nutzen was meine PS4, Fernseher usw. später nicht kann.

Ich habe dann im Reiter 802.1Q VLAN ein neues VLAN erstellt mit der Nummer 5 und dem Namen "Gast Test"

Im Reiter Routing -> Interface habe ich dann ein neues Interface erstellt. Die Einstellungen sehen so aus.

Interface ID = VLAN (hab noch die Auswahlmöglichkeit Loopback, Routed Port und Port Channel)
Daneben habe ich dann die VLAN ID 5 eingegeben.

Address Mode habe ich Static gewählt (kann zwischen None, DHCP und BOOTP auswählen)
IP Address ist 192.168.3.1 (unter dieser IP ist der Switch dann auch erreichbar)
Subnetzmaske ist 255.255.255.0
Admin Status ist Enabled (sonst geht gar nix)
Interface Name ist auch wieder Gast Test

Habe dann die Ports 1 und 5 bei tagged ausgewählt.

Als nächstes habe ich dann einen DHCP Server erstellt mit den Einstellungen

Pool Name = Gast Test
Network Address = 192.168.3.0
Subnet Mask = 255.255.255.0
Lease Time = 120m (default)
Default Gateway= 192.168.3.1
DNS = 8.8.8.8

Dann habe ich noch 192.168.3.1 bis 192.168.3.9 aus dem DHCP excludiert. Heißt der DHCP fängt bei 192.168.3.10 an. Hat den Grund das der DHCP Server nicht bei 192.168.3.2 anfängt wo dann später der Access Point ist (will einen IP Adressenkonflikt vermeiden)

Am Router (Das Ding hat 1 WAN Port und 4 LAN Ports) habe ich dann Testweise Port 4 (LAN) von Untagged auf Tagged umgestellt und die VLAN ID 5 zugewiesen. Dann habe ich Testweise das LAN Kabel von Port 5 auf Port 4 gesteckt.

Das ich mit Netzwerke nicht viel am Hut habe, möchte daher auch das ganze Testweise machen damit ich es richtig machen kann wenn ich es erstmal kann.

 

[Toms]

naja ich will einfach nur ein weiteres (später vielleicht mehrere) VLANS. Primärer zweck ist das z.b Freunde die in meinem WLAN sind nicht (absichtlich oder unabsichtlich) auf Daten zugreifen können. ich möchte daher ein Netz wo nur meine vertrauenswürdige Geräte drinnen sind (PC, Dateiserver) und ein Netz wo der Rest (PS4, Fernseher usw sind. Eventuell noch ein weiteres Netz für ein Gäste WLAN.

Kauf dir nen kleinen Router mit Gastzugang beim WLAN. Problem gelöst.

 

[Riseofdead]

Habs so gut wie möglich versucht mit Paint zu zeichnen. Die Schwarzen Sachen exestieren jetzt gerade. Die roten Sachen würde ich gerne machen.

 

[NeMeSiS_tm]

Ich habe mir mal grad deinen Switch und deinen Router angeguckt.
Du hast einen L2+ Switch und einen Router der 802.1Q VLAN beherrscht.

Der "normale" Weg sieht nun so aus. (Achtung: Zuerst bis zum Ende lesen und "verstehen", und dann erst durchführen.

Du richtest auf deinem Router Vlans sein:
VLAN10 -> IP:192.168.10.1/255.255.255.0 & DHCP Server von 192.168.10.101-255
VLAN20 -> IP:192.168.11.1/255.255.255.0 & DHCP Server von 192.168.11.101-255
VLAN30 -> IP:192.168.12.1/255.255.255.0 & DHCP Server von 192.168.12.101-255

Die selben Vlans (VLAN10, VLAN20, VLAN30) richtest du auch auf deinem Switch ein.
Bsp:
Port 3-16 UnTagget VLAN10
Port 17-20 UnTagget VLAN20
Port 21-24 UnTagget VLAN30
Port 2 Hingegen wird Tagget VLAN10, VLAN20 & VLAN30
Port 1 bleibt "Standard" (wichtig warum erkläre ich später)

Beim Router musst du deinen "LAN-Port" einen den du derzeit nicht verwendest die VLAN's 10/20/30 als Tagget festlegen.

Wenn du nun diesen LAN-Port vom Router mit dem Port 2 vom Switch verbindest solltest du an den oben genannten Ports die oben genannten IP Adressen bekommen.

Nun musst du "nur" noch im Router festlegen (ich denke in den Firewall Einstellungen) Welches netz ins Internet kann und welche Netze untereinander Kommuniziere

!!! Wichtig ist dabei dass du dein "altes" Netz (192.168.0.1) vorerst mal nicht entfernst oder änderst (daher auch alle Vlans mit neuen IP Adressen/Netzen). Damit du auf deinen aktuellen Port deinen Laptop/Computer anschließen kannst um Änderungen vornehmen kannst und falls was schief geht du weiterhin Zugang zum Router hast.

Aus dem selben Grund lässt du auch Port 1 vom Switch unberührt. Damit, falls was nicht funktioniert wie gewünscht (und glaube mir das wird passieren) du noch Zugang zum Switch hast und nicht alles zurücksetzen musst.

Soweit das Konzept verstanden?

 

[Riseofdead]

Kauf dir nen kleinen Router mit Gastzugang beim WLAN. Problem gelöst.

ist einfach und schnell gemacht aber ich möchte auch verstehen wie das ganze funktioniert. Ich arbeite beruflich als "IT Maintainer" in einer größeren Firma. Heißt ich repariere PCs, Drucker, Handhelds, Funkgeräte und konfiguriere PCs entsprechend der Rolle die in der Firma benötigt wird (Kassen PC, Büro PC, Relabeling PC und paar andere) In meiner Ausbildung habe ich vielleicht ein drittel wirklich was gemacht was dem Berufsbild "IT Techniker" entspricht. Die restlichen zwei drittel stand ich im Verkauf. Die Lehrabschlussprüfung habe ich knapp aber doch geschafft. An PCs schraube ich seit meiner Kindheit. Das kann ich wirklich gut. Als IT Techniker habe ich auch schon viele kreative Lösungen erarbeitet. Nur Netzwerke hatte ich nie wirklich (habe ich und werde ich Beruflich derzeit auch nicht brauchen. Ich habe meine Lehre in einer PC Werkstätte gemacht und arbeite in einer anderen Firma wo ich eben PCs und Drucker für die Firma intern repariere)

Nur möchte ich auch das Thema Netzwerk angehen. Das Zeugs (Switch und Router) hab ich mir günstig vom ehemaligen Kollegen meiner Lehrfirma gekauft. Der ist komplett auf Cisco umgestiegen und brauchte das Zeugs nimmer. Ich dachte mir nur dass dies perfekt ist. Netzwerk Hardware kann nicht wirklich alt werden also ist es auch egal wenn ich 1,2,5 Jahre brauche bis ich das ganze checke.

Ich sehe das als persönliches Projekt wo ich beim Thema Routing, VLAN usw Schwierigkeiten habe. Einfach nen Router mit Gast WLAN kaufen würde zwar zur Lösung führen aber nützt mir persönlich nix. Ich möchte verstehen wieso mein "Lösungsweg" nicht funktioniert. Wie gesagt, ich hab mir schon Videos zu statisches Routing angeschaut, Zeichnungen angeschaut die anscheinend mit dem gleichen Programm gezeichnet wurde, wie es leipziger auch gemacht hat. Auf die Idee statisches Routing bin ich durch den Beitrag im TP Link Forum gestoßen. (https://forum.tp-link.com/showthread.php?99115-Route-between-VLANs&p=211076&viewfull=1#post211076)

Aber dort wird von 2 Switches gesprochen (Switch A und Switch B). Außerdem werden 2 Interfaces erstellt und es führt eine Route von einem Interface das er nicht erstellt hat in das zweite Interface. Wieso wird da 192.168.3.0 erwähnt wenn er nur die Interfaces 192.168.1.0 und 192.168.2.0 erstellt hat, und wieso wird 192.168.2.2 da erwähnt? Ist das ein anderes Gerät oder ein weiteres Interface auf dem Switch?

 

[Masamune2]

Ich hab jetzt nicht alles durchgelesen aber ich glaube es wurde nicht hervorgehoben:
Dein L3 Switch muss gar keine Routen angelernt bekommen. Lokal angeschlossene Netze sind dem Switch immer bekannt und benötigen keine weitere Konfiguration. Du musst nur ein Default Gateway auf die IP deiner Internetrouters setzen.
Dein Internetrouter wiederum muss routen beigebracht bekommen, denn der weiß sonst nicht wie er das Netz 192.168.3.0/24 erreichen soll.

Der Exposed Host Eintrag auf einem LTE Würfel bringt übrigens wahrscheinlich gar nichts da du üblicherweise bei einem LTE Zugang keine öffentliche IP auf der WAN Seite hast. (Ausnahmen mit Business Tarifen bestätigen die Regel)

 

[NeMeSiS_tm]

Zur Klarstellung, das ist kein Layer 3 Switch sondern ein Layer 2+ Switch, so steht es auf der Webseite von TP-Link.

 

[Masamune2]

Wo wurde denn das Modell erwähnt? Was für einer ist das denn?

 

[Riseofdead]

Als Switch habe ich einen T2600G-28TS von TP Link. Router habe ich auch einen von TP Link, nämlich den TL-ER6120 (beides Revision 2)

Wo wurde denn das Modell erwähnt? Was für einer ist das denn?

Ich habe erstmal mein bestehendes VLAN und ein neues VLAN erstellt (wieso fangen alle eigentlich immer mit VLAN10 an?)

Ich habe jetzt das ganze mal so gemacht. Ich habe ein Test VLAN (ID5) erstellt welches für Port 10 gedacht ist. Port 23 habe ich auf Trunk gestellt. Port 24 war immer schon der "Config only Port" Das Default VLAN ist also nur auf Port 24 und hat ein eigenes Interface ohne irgendwas da ich damals schon genervt war immer das Kabel umzustecken.

Jetzt sieht das ganze so aus. VLAN1 (default) ist auf Port 24 (untagged)
VLAN2 fasst die Ports 1-9 (untagged) VLAN3 und 4 sind reserviert (Ports 11-22) VLAN5 ist der Port 10 (ebenfalls untagged. Einzig und allein Port 23 ist im Trunk Mode (also tagged)
Unter den Eigenschaften sieht man das dem Port 23 die VLANS 2 und 5 zugewiesen sind.

Beim Router habe ich die VLANS so eingestellt das VLAN2 und VLAN5 auf den LAN4 Port zeigen. (ausgewählt habe ich da Tagged) IP Adressen pro VLAN kann ich am Router nicht. Ich kann lediglich einstellen welcher Port welches VLAN nutzt. Da habe ich eingestellt das LAN4 VLAN2 und VLAN5 nutzt. Anschließend habe ich ein LAN Kabel LAN4 vom Router mit Port 23 des Switches verbunden.

Beim Router habe ich dann unter Firewall -> Access Control noch eingestellt
Name: test
Policy: Allow
Service: ALL (hätte z.b nur SSH, FTP, HTTP einstellen können)
Interface: ALL
Source: IPGROUP_ANY (es gab noch IPGROUP_LAN, !IPGROUP_LAN, Me und !Me)
Destination: IPGROUP_ANY (gab die gleichen Auswahlmöglichkeiten wie unter Source)
Effective Time: ANY
ID: nichts (wollte anfangs die VLAN ID reinschreiben, es kam aber der Fehler "The number you entered lies outside of the valid range. ". Das ganze ist optional daher muss man nichts reinschreiben.

Interface von VLAN2 ist 192.168.1.2 255.255.255.0
Interface von VLAN5 ist 192.168.2.1 255.255.255.0

IP Adresse bekomme ich, Internet habe ich jedoch keins. Ich kann nichts aus dem 192.168.1.x Netz anpingen (sollte später eh nicht funktionieren. Auch 8.8.8.8 kann ich nicht anpingen. Ich vermute jetzt mal das man entweder trotzdem irgendwie Routen legen muss (Mein Switch hat eine IP Adresse, es sollte daher ein Layer 3 Switch sein. Layer 2 sind ja nur MAC Adressen oder verwechsle ich da jetzt was?) oder das bei der Access Control am Router was falsch eingestellt wurde. Ich habe einige Screenshots angefertigt wo man die Einstellungen sieht.

 

[NeMeSiS_tm]

Sorry habe dich fast vergessen!

Also nochmal kurz zu deinem Switch: Nur weil er selbst ne IP bekommt bedeutet das nicht dass es ein Layer 3 Switch ist. In der Beschreibung deines Switches schreibt der Hersteller Layer2+. Aber du benötigst auch keinen Layer3 Switch für das was du tun möchtest.

Soviel mal dazu. Nun zu deinem Netzwerk:

Du schreibst "IP Adresse bekomme ich" hast du im Router irgendwo eingestellt welche IP-Adressen zu welchem VLan gehören? Dein Router (davon gehe ich mal aus) muss auf verschiedenen VLans verschiedene DHCP Server aktivieren können. Ansonsten kannst du in den verschiedenen VLans überhaupt keine Adressen bekommen.

Wenn du dich am Port 2 deines Switches ansteckst was für eine IP bekommst automatisch zugewiesen?
Wenn du dich am Port 10 deines Switches ansteckst was für eine IP bekommst automatisch zugewiesen?

Noch was. Lasse den Port 1 am Switch bitte ungenutzt. Vlan1 Untagget sollte dort hin. (Vlan1 ist oft das Konfigurations-Netzwerk) Wenn dein Netzwerk irgendwann mal nicht mehr funktioniert, dann kannst du dich dort am Switch einstöpseln und den Fehler suchen/beheben.

Nun zum Internet Zugriff:

Abhängig vom Router muss man Routen von Hand eintragen oder nicht. Bei den meisten Geräten werden Routen automatisch abhängig von den angeschlossenen Netzwerken definiert. Man legt nur noch spezielle Routen fest (bei mehreren WAN's zum Beispiel. oder bei VPN Verbindungen)

Das bedeutet, der Router weiß bereits wohin es ins Internet geht (dafür gibts ja den Standart-Gateway) du musst im Firewall nur definieren welche Pakete von A nach B dürfen.

Dabei solltes du nicht alles von allem nach allem aktivieren. (So sieht die von dir erstellte Regel zumindest aus).
Du kommst ja mit deinem Normal Lan ins Internet. wie sieht dort die Firewall regel aus? kopiere diese und passe sie auf Vlan 1 usw. an.

 

[orioon]

Das wird in der Routingtabelle über die Default Regel gehandhabt (0.0.0.0).
Du suchst also einen Eintrag in der Form:
Network Destination Netmask Gateway Interface
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.143

Gutes gelingen!