vLAN im Heimnetzwerk funktioniert nicht richtig

B

ByteJunkie

Neuling
Thread Starter
Mitglied seit
27.12.2016
Beiträge
83
Ort
Deutschland, Thüringen
Hallo,

ich hoffe, dass dieser Beitrag im richtigen Verzeichnis ist.

Ich habe bereits ein DMZ eingerichtet. Nun möchte ich das DMZ über meine beiden vLAN Switches (TL-SG1016DE und TL-SG108E) leiten, damit ich nur ein Kabel brauche. Soweit so gut. Um mögliche Verständnisprobleme zu vermeiden, gibt es erstmal ein kleines Bild zur Veranschaulichung:

Unbenannt.png

Erstelle ich nun eine neue VM, die über den Microserver Port 1 läuft, bekommt diese VM eine IP aus dem DMZ-Netz. Das sollte nicht passieren. So habe ich meine Switches Konfiguriert:

TL-SG108E:
tl-sg108e.PNG

TL-SG1016DE:
tl-sg1016de.PNG

Habe ich etwas übersehen?

Vielen Dank im Voraus! :)

PS: Die "Miniaturansichten angehängter Grafiken" ignorieren ^^
 

Anhänge

  • Unbenannt.png
    Unbenannt.png
    7,1 KB · Aufrufe: 72
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hi

Ich würde da 2x tagged von der FW zu den Switches fahren, wenn das die Verkabelung irgendwie zulässt. Was hängt denn sonst noch alles an den Switches? Brauchst Du an beiden Switches beide vLAN's?
 
ByteJunkie schrieb:
Habe ich etwas übersehen?
Zum Vergrößern anklicken....
Ja: dadurch, dass das default VLAN auf beiden Switches auf allen Ports untagged vorhanden ist, wird erstmal das genommen, auch für den Netzwerkverkehr, der eigentlich in der DMZ bleiben soll.

Untagged default VLAN auf Port 2 heißt ja, dass jeglicher Verkehr, der ohne VLAN-Tag auf Port 2 eingeht, sozusagen mit dem default VLAN-Tag versehen und dementsprechend behandelt wird. Du willst ja, dass der Verkehr, der auf TL-SG108E Port 2 reinkommt, mit VLAN 2 versehen wird, und das geht nur, wenn Port 2 nicht mit VLAN 1 untagged konfiguriert ist. Anderherum willst Du, dass der Verkehr, der mit VLAN 2 versehen ist und für das Endgerät (in diesem Fall die Firewall) an Port 2 gedacht ist, wieder vom VLAN-Tag befreit wird.

Des weiteren würde ich die Netzwerkschnittstelle, wo das iLO zusätzlich drauf läuft, nicht in die DMZ stellen, sondern die Schnittstellen so umkonfigurieren, dass die Schnittstelle mit LAN + iLO im internen Netz und die, wo nur LAN drauf läuft, in der DMZ ist.

Somit müssest Du folgendes konfigurieren:

- Auf dem TL-SG108E:
  • Port 1: VLAN 1 untagged
  • Port 2: VLAN 2 untagged
  • Port 3: VLAN 1 + 2 tagged
  • Port 4 bis 8: VLAN 1 untagged

- Auf dem TL-SG1016DE:
  • Port 1: VLAN 1 + 2 tagged
  • Der Port, an dem der Microserver mit der Schnittstelle hängt, die in die DMZ soll: VLAN 2 untagged
  • Alle anderen Ports: VLAN 1 untagged
 
AliManali schrieb:
Hi

Ich würde da 2x tagged von der FW zu den Switches fahren, wenn das die Verkabelung irgendwie zulässt. Was hängt denn sonst noch alles an den Switches? Brauchst Du an beiden Switches beide vLAN's?
Zum Vergrößern anklicken....

An den Switches hängen nur noch Rechner, Backupserver, ein TV und zwei experimentelle Router. Und ja, ich brauche an beiden Switches vLAN.

- - - Updated - - -

Eye-Q schrieb:
Ja: dadurch, dass das default VLAN auf beiden Switches auf allen Ports untagged vorhanden ist, wird erstmal das genommen, auch für den Netzwerkverkehr, der eigentlich in der DMZ bleiben soll.

Untagged default VLAN auf Port 2 heißt ja, dass jeglicher Verkehr, der ohne VLAN-Tag auf Port 2 eingeht, sozusagen mit dem default VLAN-Tag versehen und dementsprechend behandelt wird. Du willst ja, dass der Verkehr, der auf TL-SG108E Port 2 reinkommt, mit VLAN 2 versehen wird, und das geht nur, wenn Port 2 nicht mit VLAN 1 untagged konfiguriert ist. Anderherum willst Du, dass der Verkehr, der mit VLAN 2 versehen ist und für das Endgerät (in diesem Fall die Firewall) an Port 2 gedacht ist, wieder vom VLAN-Tag befreit wird.

Des weiteren würde ich die Netzwerkschnittstelle, wo das iLO zusätzlich drauf läuft, nicht in die DMZ stellen, sondern die Schnittstellen so umkonfigurieren, dass die Schnittstelle mit LAN + iLO im internen Netz und die, wo nur LAN drauf läuft, in der DMZ ist.

Somit müssest Du folgendes konfigurieren:

- Auf dem TL-SG108E:
  • Port 1: VLAN 1 untagged
  • Port 2: VLAN 2 untagged
  • Port 3: VLAN 1 + 2 tagged
  • Port 4 bis 8: VLAN 1 untagged

- Auf dem TL-SG1016DE:
  • Port 1: VLAN 1 + 2 tagged
  • Der Port, an dem der Microserver mit der Schnittstelle hängt, die in die DMZ soll: VLAN 2 untagged
  • Alle anderen Ports: VLAN 1 untagged
Zum Vergrößern anklicken....

Schon mal danke für die ausführliche Antwort!
Ich habe nur zwei Fragen/Probleme:
1) Ich kann auf beiden Switches nicht auf vLAN 1 zugreifen, da ich nur vLAN-ID von 2 bis 4094 angeben kann
2) Das iLO muss definitiv ins DMZ, da es vom WAN erreichbar sein soll. Das hat seine Gründe.
 
ByteJunkie schrieb:
1) Ich kann auf beiden Switches nicht auf vLAN 1 zugreifen, da ich nur vLAN-ID von 2 bis 4094 angeben kann
Zum Vergrößern anklicken....
Ah, da muss dann die PVID geändert werden, und zwar auf dem TL-SG108E auf Port 2 auf VLAN 2 und auf dem TL-GS1016DE auf dem Port, an dem der Microserver mit Port 2 hängt, ebenfalls. So werden automatisch alle Pakete, die ohne VLAN-Tag eingehen, mit VLAN-Tag 2 versehen. Steht auch auf Seite 30 des Handbuchs.

Port 3 auf dem TL-SG108E und Port 1 auf dem TL-SG1016DE müssen dann dementsprechend mit VLAN 2 tagged versehen werden; wenn untagged-Pakete ankommen, werden die automatisch mit VLAN 1 versehen und somit funktioniert das VLAN 1 ebenfalls über diesen Port.
 
Zuletzt bearbeitet:
Also nochmal zusammengefasst:

TL-SG108E:
Port1: PVID: 1 | vLAN 1 untagged
Port 2: PVID: 2 | vLAN 2 untagged
Port 3: PVID: 2 | vLAN 2 tagged
Port 4-8: PVID: 1 | vLAN 1 untagged

TL-SG1016DE:
Port 1: PVID: 2 | vLAN (1+)2 tagged
Port 14&16: PVID: 1 | vLAN 2 untagged (Microserver & iLO)
Rest: PVID: 1 | vLAN 1 untagged

Richtig? Denn wenn ich bei dem TL-SG108E Port 3 die PVID 2 gebe, komme ich nicht mehr auf die Geräte hinter dem TL-SG1016DE bzw. auf den TL-SG1016DE selbst...
 
Zuletzt bearbeitet:
Nein, sondern so:

TL-SG108E:
Port 1: PVID: 1 | vLAN 1 untagged (Anm.: Standard)
Port 2: PVID: 2 | vLAN 2 untagged (Anm.: VLAN 2 untagged sollte automatisch geschehen, wenn auf PVID 2 umgestellt wird)
Port 3: PVID: 1 | vLAN 2 tagged (Anm.: damit sowohl VLAN 1 als auch VLAN 2 darüber gehen)
Port 4-8: PVID: 1 | vLAN 1 untagged (Anm.: Standard)

TL-SG1016DE:
Port 1: PVID: 1 | vLAN 2 tagged (Anm.: damit sowohl VLAN 1 als auch VLAN 2 darüber gehen)
Port 14&16: PVID: 2 | vLAN 2 untagged (Microserver & iLO) (Anm.: VLAN 2 untagged sollte automatisch geschehen, wenn auf PVID 2 umgestellt wird)
Rest: PVID: 1 | vLAN 1 untagged (Anm.: Standard)

Stelle am besten erstmal die PVID eines unbenutzten Ports auf 2, dann solltest Du sehen, dass der Port damit aus der Liste des VLAN 1 untagged herausgenommen und in die Liste des VLAN 2 untagged eingefügt wird.
 
Eye-Q schrieb:
Nein, sondern so:

TL-SG108E:
Port 1: PVID: 1 | vLAN 1 untagged (Anm.: Standard)
Port 2: PVID: 2 | vLAN 2 untagged (Anm.: VLAN 2 untagged sollte automatisch geschehen, wenn auf PVID 2 umgestellt wird)
Port 3: PVID: 1 | vLAN 2 tagged (Anm.: damit sowohl VLAN 1 als auch VLAN 2 darüber gehen)
Port 4-8: PVID: 1 | vLAN 1 untagged (Anm.: Standard)

TL-SG1016DE:
Port 1: PVID: 1 | vLAN 2 tagged (Anm.: damit sowohl VLAN 1 als auch VLAN 2 darüber gehen)
Port 14&16: PVID: 2 | vLAN 2 untagged (Microserver & iLO) (Anm.: VLAN 2 untagged sollte automatisch geschehen, wenn auf PVID 2 umgestellt wird)
Rest: PVID: 1 | vLAN 1 untagged (Anm.: Standard)

Stelle am besten erstmal die PVID eines unbenutzten Ports auf 2, dann solltest Du sehen, dass der Port damit aus der Liste des VLAN 1 untagged herausgenommen und in die Liste des VLAN 2 untagged eingefügt wird.
Zum Vergrößern anklicken....

Unendlich Vielen Dank :d Es funktioniert jetzt so, wie es soll.
Das war das erste Mal, dass ich ein vLAN eingerichtet habe, von daher hätte ich es ohne deine Hilfe niemal geschafft. Danke :d
 
Hallo,

leider muss ich mich nochmal zurückmelden. Es funktioniert aus irgend einem Grund immernoch nicht ganz sauber.

Hier nochmal die momentanen Einstellungen:

TL-SG1016DE:
tlsg1016de1.PNG
tlsg1016de2.PNG

TL-SG108E:
tlsg108e1.PNG
tlsg108e2.PNG

Sobald ich ein neues Gerät/VM an einen Port im "normalen LAN" anschließe, bekommt dieses Gerät eine 192.168.180.X IP anstatt eine 192.168.179.X IP zugewiesen. Liegt an der Konfiguration der Switches oder ist es ein Problem der Firewall?

Vielen Dank für die Antworten :)
 
Wo sitzt denn der DHCP-Server, und wie ist der konfiguriert? Ausserdem solltest du Port 2 auf dem TL-SG108E und Ports 10-16 auf dem TL-SG1016DE aus dem Default-VLAN rausnehmen.
 
oelsi schrieb:
Wo sitzt denn der DHCP-Server, und wie ist der konfiguriert? Ausserdem solltest du Port 2 auf dem TL-SG108E und Ports 10-16 auf dem TL-SG1016DE aus dem Default-VLAN rausnehmen.
Zum Vergrößern anklicken....

Der DHCP-Server sitzt hinter Port 1 bzw. 3 auf dem TL-SG108E. Das Problem ist, dass ich das Default-vLAN nicht "anwählen" kann. Ich kann nur die vLAN ID 2 bis 4094 angeben.
 
Also hängt der DHCP-Server im "normalen LAN" und antwortet auf Anfragen im "normalen LAN" - wo ist also das Problem? Das Default-VLAN für jeden Port läßt sich auf den TP-Link Switches unter "802.1Q PVID Setting" für jeden Port einzeln einstellen. Port 2 auf dem TL-SG108E und Ports 10-16 auf dem TL-SG1016DE müssen dort auf PVID 2 gesetzt werden.
 
oelsi schrieb:
Also hängt der DHCP-Server im "normalen LAN" und antwortet auf Anfragen im "normalen LAN" - wo ist also das Problem? Das Default-VLAN für jeden Port läßt sich auf den TP-Link Switches unter "802.1Q PVID Setting" für jeden Port einzeln einstellen. Port 2 auf dem TL-SG108E und Ports 10-16 auf dem TL-SG1016DE müssen dort auf PVID 2 gesetzt werden.
Zum Vergrößern anklicken....

Naja das normale LAN hat den Adressbereich 192.168.179.0/24. Das DMZ hat den IP Bereich 192.168.180.0/24. Wenn ich jetzt Geräte an einen Port hänge, der im normalen LAN hängt, sollte er eine 179er IP bekommen. Allerdings bekommt er eine 180er IP. Das wundert mich.
 
o. K., nachdem Du meine obige Frage nach der Konfiguration des DHCP-Servers scheinbar nicht beantworten magst, spekuliere ich mal wild darauf los: Der DHCP-Server läuft auf der Firewall und ist so konfiguriert, dass er auf DHCP-Requests, die über den "DMZ"-Port reinkommen, eine IP aus dem Subnetz 192.168.180.0/24 zuweisen soll, und auf DCHP-Requests, die über den "LAN"-Port reinkommen, eine aus dem Subnetz 192.168.179.0/24. Da aber alle Switchports untagged im VLAN 1 hängen und somit in der selben Broadcast-Domain, kommen alle DHCP-Requests, egal ob von nominell "LAN"-Clients oder "DMZ"-Clients sowohl am "LAN"-Port als auch am "DMZ"-Port der Firewall an. Und somit ist es mehr oder minder Zufall, aus welchem Adressbereich der DHCP-Server die zuzuweisende IP wählt. Deshalb nochmal: Port 2 auf dem TL-SG108E und Ports 10-16 auf dem TL-SG1016DE müssen aus dem Default-VLAN 1 raus.
 
Das Default_VLAN (1) kann man nicht ändern und greift nur dann wenn nichts anderes konfiguriert ist. Sobald ein vLAN eingerichtet wird zählt dieses. An was könnte es noch liegen?
 
Hallo,

um das Thema abzuschließen, seht ihr hier nochmal die Konfiguration, welche Funktioniert:

TL-SG10106DE:
TL-SG1016DE_vLAN.png
TL-SG1016DE_PVID.png

TL-SG108E:
TL-SG108E_vLAN.png
TL-SG108E_PVID.png

Trotzdem Danke für eure Hilfe :)

PS: Falls es Probleme geben sollte in Bezug auf ESXi 6, dann sollte man auch die vLAN-IDs entsprechend anpassen (nur als Tipp).
 
Anmelden, um zu antworten.

Ähnliche Themen

M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
1K
BobbyD
BobbyD
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh