Netzwerk mit 3 Vlans, bitte helft

U

Ultraschmart

Enthusiast
Thread Starter
Mitglied seit
17.09.2005
Beiträge
178
Ort
Hessen
Hallo an alle, die das lesen!

Ich habe mich mal zum Thema Vlan, Managed Switch informiert, bin mir aber unsicher. Deshalb will ich mal sichergehen, dass es funktioniert, was ich vorhabe, bevor ich viel Geld aus dem Fenster werfe.

Ich habe 4 bis 5 PCs. Die will ich erstmal alle an einen managed Switch anschließen. Dort werden diese auf 3 VLANs verteilt. Zwei PCs auf VLAN 1, und die übrigen 2-3 PCs sollen alle ein eigenes VLAN bekommen. Die zwei PCs auf VLAN1 MÜSSEN aus sicherheitsgründen von den anderen getrennt sein. Es sollen statische Port-VLANs sein. Nun meine Frage:

Kann ich diesen Managed Switch mit seinen 5 PCs und 4 VLANs an einen gewöhnlichen DSL-Router anschließen, sodass ALLE PCs ins Internet können (gleichzeitig)?

Muss ich da was beachten oder irgendwelche Sondereinstellungen treffen oder wird alles automatisch bedient?

Gibts ne günstigere Lösung zur Erstellung eines VLANs, oder brauche ich unbedingt einen Managed Switch?

Danke für eure Aufmerksamkeit! :-)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Mit einem einfachen DSL-Router geht das nicht.

Um zwischen den VLANs zu routen, brauchst Du einen Router der ebenfalls VLANs unterstützt oder einen Router der in jedem VLAN ein Interface hat.

Was genau hast Du denn vor?

Mirko
 
networker schrieb:
Mit einem einfachen DSL-Router geht das nicht.

Um zwischen den VLANs zu routen, brauchst Du einen Router der ebenfalls VLANs unterstützt oder einen Router der in jedem VLAN ein Interface hat.

Was genau hast Du denn vor?

Mirko
Zum Vergrößern anklicken....

Danke für die schnelle Antwort! :)

Hmm, dachte ichs mir doch. :(
Das Problem ist halt, dass nur ein DSL-Anschluss verfügbar ist, aber bis zu 5 PCs ins Netz wollen. Wie mache ich das möglichst sicher?

Ich habe 5 PCs, die ins Internet müssen. Davon beinhalten 2 PCs schützenswerte Daten, die auch noch miteinander ne Verbindung haben sollten. Die anderen 3 PCs sollen die wichtigen 2 PC nicht sehen können und auch nicht zugreifen können, damit ins Netzwerk eingeschleuste Viren nicht zu den 2 geschützten Rechnern können. Nadem ich gelesen habe, dass Software-Firewalls nicht wirklich Schutz bieten, muss ich die PCs auf eine andere Weise voreinander schützen.
 
networker schrieb:
Eine Möglichkeit wäre eine Monowall: http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html

Da hättest Du schon mal zwei LAN-Ports. Mit einem PC als Router lassen sich auch mehr LAN-Ports realisieren.

Router mit VLAN-Support und Layer-3-Switche sind doch recht teuer.

Mirko
Zum Vergrößern anklicken....

Ja, danke für den Vorschlag. Aber ich habe leider keine Zeit um mich mit der Materie so fit zu machen und sowas zu bauen und einzustellen.

Wie viel würde denn ein Router mit 4 Ports oder mehr kosten, wenn er schon von natur aus managed ist und Vlans einrichten kann, sodass ich keinen Switch mehr brauche?
 
networker schrieb:
Als Bastellösung wäre da noch ein WRT54 mit freier Firmware.

Als Fertiggerät vielleicht ein kleiner Lancom. Der 1721 sollte VPN unterstützen. Das Datenblatt ist allerdings wenig aussagekräftig. Kostet unter 500 Euro.

http://www.lancom-systems.de/LANCOM-1721-VPN.101.0.html

Mirko
Zum Vergrößern anklicken....

Ok, 500 € ist bissl viel *gg*

Ich habe gerade eine ganz verückte Idee.
Ich nehme einen normalen Firewall-Router X und schalte da die zwei geschützten PCs zusammen. Diesen Router X verbinde ich mit einem weiteren Router Y. In diesen Router Y stecke ich die übrigen PCs mit rein. Dann sind doch die zwei geschützten PCs durch die Firewall des Routers X vor den anderen PCs geschützt oder? Und über Router Y kann ich mit allen PCs ins Internet. Würde das gehen? Wäre das sicher??
Ist VPN eigentlich sicher? Lang nicht so sicher wie Vlan, oder?


Noch ne Idee:
Ich nehme einen normalen switch X und schalte da die zwei geschützten PCs zusammen. Dessen Uplink verbinde ich mit einer Hardwarefirewall und diese mit nem DSL-Router, wo die restlichen PCs auch drankommen. Klappt das?
 
Zuletzt bearbeitet:
vielleicht bin ich ja bissl dumm (was ich net hoffe *g*) aber warum so kompliziert?

kauf die ne 8port unmanaged switch, geb jedem rechner von hand ne ip und richte dir subnetze ein.
rechner aus einem subnetz sollten dann nicht aufs andere zugreifen, oder irre ich mich?
 
-=TmC=- schrieb:
vielleicht bin ich ja bissl dumm (was ich net hoffe *g*) aber warum so kompliziert?

kauf die ne 8port unmanaged switch, geb jedem rechner von hand ne ip und richte dir subnetze ein.
rechner aus einem subnetz sollten dann nicht aufs andere zugreifen, oder irre ich mich?
Zum Vergrößern anklicken....

Nein, dumm bist du nicht! Das habe ich mir auch schon überlegt.
Aber wichtiger ist die Frage, ob meine komplizierte Lösung funktioniert ;-)
Es ist halt einfach so, dass es ein Problem gibt. Das problem ist, dass 2 PCs absolut so sicher, wie nur geht, vor Virenbefall durch die restlichen PCs geschützt werden müssen. Und dass geht nicht so einfach durch Subnetze, weil ein gut programmierter Schädling sich über ein Subnetz hinwegsetzen kann. Schlau nä? Habe ich heute gelesen :-)

Aber danke für den Vorschlag! ;)
 
Ultraschmart schrieb:
Nein, dumm bist du nicht!
Zum Vergrößern anklicken....


eigentlich wollte ich nur das hören :d

aber mal zurück zu deinen vlans.
ich vermute dass das doch möglich ist.
du willst ja statische vlans mittels ports an der manged swtich betreiben.

dh als beispiel:
port 1 & 2 = vlan 1
port 3 & 4 = vlan 2

den router klemmpst du an port 5.
meine theorie: du weist port 5 beiden vlans zu. das heisst aus beiden vlans aus heraus ist der router erreichbar, und er kann auch zu allen rechnern was schicken.
um aber aus vlan 1 vlan 2 zu erreichen, müssten die daten erst raus ins inet und dann wieder rein, da der router ja nur routet und in diesem fall keine weitere switch ist ;)
ich weiss nur net, ob man einen port mehrere vlans zuweisen kann ;)

und egal wie du es anders machen willst, wenn alle rechner im internet hängen, sind theoretisch auch alle rechner in der lage, die anderen rechner zu erreichen. (ich weiss, verwirrender satz, aber sollte verständlich sein ;) )


vielleicht konnt ich dir mit meiner idee helfen^^

mfg
 
so klappt das aber leider nicht...

zunächst mal benötigt jedes VLAn seinen eigenen Adressbereich, der natürlich eindeutig sein muß.

Sicherlich kannst Du dann einen Ports beiden Vlans zuseisen (trunken) aber: Wie willst Du dem gemeinen DSL-Router verklickern dass sich hinter diesem Port sowohl der Adressbereich des Vlans A als auch der des Vlans B befindet. Das gänge in der "Oberklasse" problemlos, das Stichwort ist hier "Secondary".

Nur: wenn Dein Router Secondarys abkann brauchst Du eigentlich gar kein Vlan. Ich versuchs mal an einem Beispiel:

Du hängst beide PCs an einen Switch ohne VLAN

PC1: 147.11.1.2 mit GW 147.11.1.1
PC2: 147.12.1.2 mit GW 147.12.1.1

Dem Router weist Du seine GW-Adresse und die der 2ndary zu.

Diese beiden PCs werden sich, obwohl physikalisch in einem Netz hängend direkt nicht erreichen können. Das klappt nur über den Router und auch nur dann wenn Du das zulässt.

So weit so gut; wenn der User bei dieser Sparlösung seine Adresse händisch verstellt ists natürlich vorbei mit der Sicherheit. Ausserdem bin ich mir nicht sicher wie das Thema DHCP dann abläuft, evtl müßtest Du da drauf dann verzichten.

Alles in allem aber ein interessantes Problem; vielleicht kann Networker da mit seiner DB aushelfen, evtl ist ja das Feature "2ndary" gar nicht mehr sooo exklusiv bei den kleinen Routern? Ich bin mehr bei den ganz großen Netzen zu Hause und da kann das vernünftig (bis max. 8 2ndarys) nur Cisco...

Gruß+schönen Tag, Jürgen
 
wenn er nen lancom router nimmt müsste er auf einen managed switch verzichten können. wenn er bei dem lancom einstellt (wir haben ihn hier auch), dass sich die ports nicht gegenseitig sehen können kann er an jeden port einen effen switch hängen und und hier seine PCs betreiben...ich meine der Router hat 4 Pots...
 
könntest du nicht den router in ein eigenes vlan hängen und den anderen vlans den zugriff auf das router-vlan erlauben
 
evtl ist ja das Feature "2ndary" gar nicht mehr sooo exklusiv bei den kleinen Routern?
Zum Vergrößern anklicken....
Ich hab einen Allnet-Router, den ich im Marktplatz für 15€ gekauft hab, dem man 2 interne IPs zuweisen kann.
Dies soll aber keine Empfehlung sein, ansonsten ist der Router nämlich schlecht.
 
aber warum willst du die zwei rechner unbedingt abschirmen, wenn sie dann sowieso ins internet kommen (virengefahr)...
 
fishbone schrieb:
aber warum willst du die zwei rechner unbedingt abschirmen, wenn sie dann sowieso ins internet kommen (virengefahr)...
Zum Vergrößern anklicken....

Weil mit den zwei Rechnern wichtige Firmen-Aufgaben erledigt werden. Die anderen PCs sind für Kinder und unerfahrene User zugänglich => Virengefahr von innen. Aber von innen schützt der Router ja nicht. Seine Firewall greift ja nur, wenn die angriffe aus dem Internet kommen.

Pascha schrieb:
wenn er nen lancom router nimmt müsste er auf einen managed switch verzichten können. wenn er bei dem lancom einstellt (wir haben ihn hier auch), dass sich die ports nicht gegenseitig sehen können kann er an jeden port einen effen switch hängen und und hier seine PCs betreiben...ich meine der Router hat 4 Pots...
Zum Vergrößern anklicken....

Das klingt interessant. Sind dann die Ports Hardwareseitig durch den Router von einander getrennt? Oder lässt sich das durch Software knacken?
Welchen Router meinst du denn genau? (genaue Bezeichnung bitte)
Die Lösung wäre vielleicht gar nicht so schlecht. :-)
 
Zuletzt bearbeitet:
Wie wäre es damit:

- 2 PCs an einen billigen Switch
- 2 PCs an einen anderen billigen Switch
- 1x 50 Euro PC von Ebay (300-500 Mhz, 256 RAM, kleine HD) mit 3 NICs

Auf dem PC installierst du IPCop oder Smoothwall. Jeweils einen Switch an eine NIC anschliesen, natürlich 2 verschiedene Netze wählen. Die letzte freie NIC an ein DSL Modem anschliesen. Freigaben konfigurieren und fertig. Das Beste ist wohl, dass du die totale Freiheit hast, wie z.B. Netz eins darf nur mit Port 80 raus, Netz 2 darf noch Instant Messaging usw. usw. usw. Zudem können die PCs an einem Switch ohne Probs miteinander kommunizieren.

Billig, schnell und sicher (vorausgesetzt ich habe gerade keinen Denkfehler).

Greetz

NetworkerZ
 
Zuletzt bearbeitet:
Ultraschmart schrieb:
Das klingt interessant. Sind dann die Ports Hardwareseitig durch den Router von einander getrennt? Oder lässt sich das durch Software knacken?
Welchen Router meinst du denn genau? (genaue Bezeichnung bitte)
Die Lösung wäre vielleicht gar nicht so schlecht. :-)
Zum Vergrößern anklicken....
ich rede von einem 1621 bzw. 1721...

die trennung lässt sich über die software einstellen...durch software am client lässt sie sich nur durch neukonfiguration des Routers umgehen, wobei natürlich am client auch die software installiert sein muss!
 
Also wirklich sindvoll sind nur die Lösungen: Trennung über Router (wie LANCOM) oder Eigenbau mit PC und SW-Firewall.

Einen Router aus dem unteren Preissegement mit den gewünschten Eigenschaften kenne ich nicht.

Mirko
 
@ transdat: grad nur überflogen, aber vlans brauchen keine unterschiedliche adressbereiche. die brauchst du nur, um zwischen vlans aufgrund der adresse routen zu können, dass soll hier aber eh nicht der fall sein, die vlans sollen nicht aufeinander zugreifen :P

davon mal abgesehen: wenn er die vlans subnetted und dem router aber nen übergeordnetes netz als breich angibt, bekommen beide adressbereiche daten vom router..
 
@TMC: Du hast natürlich recht, was die Adressbereiche angeht: ich hab schlampig gelesen: Die beiden Netze sollen sich ja eben nicht sehen; das habe ich erst verstanden als ich Ultraschmarts Erläuterung gesehen habe.

Trotzdem habe ich mit dem Thema jetzt mehr Probleme als vorher.

Wir haben das Thema hier im Kollegenkreis intensivst durchdiskutiert und sind der Meinung dass es mit Geräten des Consumermarkts wie bisher diskutiert nicht gehen wird.

kurze Begründung:

Ein DSL-Router ist zum Endgerät hin nur ein Switch! Reiner Layer-2, das Thema Sub- und Supernetting kann man zwar evtl machen, bringt aber nix da für ein Layer-2 Gerät IP-Adressen Schall und Rauch sind. Hier zählen einzig Macs und die alten Switchingregel: "Kenne ich einen Empfänger nicht so schicke ich das Paket an allen Ports raus, kenn ich ihn dann nur an dem Port hinter dem er hängt".

VLAN bringen auch nichts: Sicher kann ich einen Vlan-fähigen Switch kaufen und dort mehrere einrichten aber:

Entweder ich trunke beide Vlans auf einen Switchport am DSL-Router, dann muß der taggen können -> können die unseres Wissens nach nicht!

Oder ich lege pro Vlan einen Port zum DSL-Router: dann werden dort beide Vlans kurzgeschlossen und ich hätte mir den VLAN-fähigen Switch auch sparen können

Einzige Ausnahme ist ein "Softwarerouter"; der kann das Thema natürlich abhandeln; eine Konfiguration ist aber auch nicht so trivial... Das Thema "LANCOM" wurde mangels Kenntnis nicht betrachtet, klingt aber interessant. Zusätzlich erzählt ein Kollege mit Office@Home dass wohl auch der Draytek2500 ein Feature bietet dass weiterhilft und genau das abdeckt was Ultraschmart haben will. Unterschiedlich Benutzergruppe können zwar den I-Net-Zugang nutzen, sehen sich aber gegenseitig nicht.

hth, wir suchen noch nach Infos bei Draytek, dann müssen wir hier endlich wieder arbeiten ;-)))

Gruß, Jürgen

js, das mit dem Draytek 2500 hat sich bestätigt, scheint genau so zu laufen wie es hier gebraucht wird. Zieh Dir mal ein Manual (nur in Englisch verfügbar) Unter dem Topic VLAN/Rate control kannst Du nachlesen das insgesamt 4 Vlans möglich sind, samt und sonders voneinander getrennt aber mit gemeinsamem I-Net-Zugriff.

Draytek ist zwar etwas teurer als der Mainstream, wir setzen den aber gerne in den Homeoffices der Vips ein da die Dinger wirklich schön laufen. Einziger Nachteil ist die nicht ganz so hohe Wireless-Reichweite.

Gruß nochmals, Jürgen
 
Zuletzt bearbeitet:
transdat Ein DSL-Router ist zum Endgerät hin nur ein Switch! Reiner Layer-2 schrieb:
vorne weg msus ich gestehen dass ich keinerlei praktische erfahrungen habe oder in irgendeiner art und weise sicher wäre, was ich jetzt schreibe, aber ichs tue es einfach mal :d

wenn der router nur nen router ist ohne integrierte switch, so hat er nen wan port und nen lan port, und das routen geschiecht dann auf layer 3, also ip.
glaube dementsprechend das nem router mac adressen, also layer 2, relativ uninteressant findet..

aber echt ka ^^ ;)

mfg tmc
Zum Vergrößern anklicken....
 
Hallo an alle!

Vielen Dank für eure zahlreihen Ideen und Hilfen!

Also ich habe nochmal recherchiert und habe rausgefunden, dass auch der "Lancom 821+" separierbare Ports bietet. Der kann kein VPN und Wlan, aber das ist im Grunde nicht wichtig. Der kostet halt nur rund 300€ und die 1700er fast 500€.

Vielen Dank auch für den Vorschlag mit dem "Draytek 2500". Ich habe nur keine näheren Informationen zu diesem Gerät sammeln können, da mir der dumme I-explorer dabei abstürzt und ich gerade nicht an meinen heim-PC dran kann. Werde vielleich mal mit Firefox versuchen.
Noch eine Frage zu dem Draytek: Wie ist es mit Wlan? Kann der Router auch Wlan-PCs so managen, dass sie die PCs an den Ports nicht sehen und nicht auf diese zugreifen können?

Dankeschön nochmal!
 
Ultraschmart schrieb:
Noch eine Frage zu dem Draytek: Wie ist es mit Wlan? Kann der Router auch Wlan-PCs so managen, dass sie die PCs an den Ports nicht sehen und nicht auf diese zugreifen können?
Zum Vergrößern anklicken....

Vermutlich geht das nicht. Trennung im WLAN gibt es auch erst im oberen Preissegment. Eine einfache Variante wären 2 WLAN-APs.

Oder mal den Multi-SSID-Support von DD-WRT ansehen. Ist aber nicht Plug and Play.

Mirko
 
Ich hab das Manual des Draytek hier vor mir liegen und denke dass Networker Recht hat; es geht nirgends hervor, dass Wireless in das Vlan-Konzept miteingebunden ist; insofern wird es wohl nicht klappen. Hier noch mal einen Link auf das Datenblatt des Nachfolgers, der auch Vlans kann: http://www.draytek.com/product/wlan_adsl/vigor2600g/vigor2600g.php

Natürlich sind die Teile schon teuer, ich weiß nicht wie sie im Vergleich zu Lancom liegen...

Grüße, schönen Tag, schönes Wochenende, Jürgen

auf besonderen Wunsch noch ne kleine Auffrischung zum Thema Router und Macadressen ;)

Generell wird im LAN eine Station _ausschliesslich_ (!!!) über die Mac angesprochen. Das gilt natürlich auch für Router und funktioniert wie folgt:

1. Der Router bekommt auf der WAN-Seite ein Paket.
2. Er prüft ob zu der Empfänger-IP eine MAC in seiner Table steht
3. Findet er eine benutzt er die um das Paket zuzustellen

4. Findet er keine -> ARP Broadcast (wer kennt die Mac von 147.11.1.1)
5. Kommt darauf ne Antwort trägt er die MAc in die Table ein und stellt das Paket mit der neu gelernten Adresse zu
6. Antwortet auf den Arp niemand wird das Paket aus dem WAN verworfen und der Absender erhält via ICMP einen negativen Bescheid.

So habe ich das gelernt als wir den Zugang zum LAN noch mit einem Bohrer herstellten und daran hat sich bis heute nichts geändert ;)
 
Zuletzt bearbeitet:
networker schrieb:
Vermutlich geht das nicht. Trennung im WLAN gibt es auch erst im oberen Preissegment. Eine einfache Variante wären 2 WLAN-APs.

Oder mal den Multi-SSID-Support von DD-WRT ansehen. Ist aber nicht Plug and Play.

Mirko
Zum Vergrößern anklicken....

Ich habe jetzt den Draytek Vigor 2800G bestellt. Der kann "Lan-Segmenting" (Vlan) und "W-lan-Isolation". Es reicht mir ja schon, wenn der Router die Wlans von den PCs an den Ports trennen kann. Der kostet 247€ und ist somit billiger als der 821+ von lancom (314€), der kein Wlan kann und noch andere Nachteile besitzt.
Jetzt nur noch abwarten, bis der kommt und dann testen, was der kann. ;-)

Nochmals danke an alle, die mir mit Ideen geholfen haben, besonders an Networker,NetworkerZ und Transdat! :-)
 
Ich habe ein solches Netz bereits zwei mal mit Draytek Geräten aufgebaut.

Fakt ist: Die Draytek 2900er Serie kann das WLAN nicht in verschiedene VLANs separieren, kann insgesamt nur VLANs in Höhe der Anzahl der Ports verwalten (also kein mac-basiertes VLAN).

Ich habe das mit der WLAN Problematik so gelöst wie bereits scho angesprochen.......2900er Draytek ohne WLAN bestellt + 2 APs, die wiederum in 2 unterschiedliche WLANs gesetzt wurden.

VPN Einwahl funktioniert perfekt per IPSec oder L2TP. PPTP auch, ist aber denke ich nicht empfehlenswert ;)
Hast damit ziemlich mächtige Möglichkeiten für diese Preisregion....ich kann mit Hilfe der Managmentools und der VPN Verbindung beispielsweise von zuhause aus sehen, welcher Rechner gerade welche URL aufruft, welche Daten wohin verschickt werden etc.

Du wirs definitiv deine Freude mit dem Draytek haben, das sind erstklassige Geräte :)
 
Anmelden, um zu antworten.

Ähnliche Themen

M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
618
BobbyD
BobbyD
l0n
Komponenten für ein neues Heimnetzwerk
2
Antworten
34
Aufrufe
2K
Hexcode
H
C
VLAN + Subnetting im Heimnetz / Homelab
Antworten
12
Aufrufe
3K
wddn
wddn
janbe87
[Kaufberatung] Unifi Heimnetzwerk + Netzwerkschrank
Antworten
19
Aufrufe
2K
janbe87
janbe87
akrapovic
Vigor 167 + N100 PC mit Pfsense + Wlan Repeater = eine gute Idee?
Antworten
2
Aufrufe
374
akrapovic
akrapovic
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh