newsletter schrieb:
VLANs sind kein Sicherheitsfeature, sondern dienen der effizienteren Ausnutzung der Infrastruktur, weil man nicht mehrere physische Kabelnetze verlegen und doppelt und dreifach Switches verteilen muss, sondern dieselben Kabel und dieselben Switches parallel für alle (virtuellen) Netzwerke nutzen kann.
Die Sicherheit kommt durch die Firewall, die diese Netze voneinander trennt bzw den gegenseitigen Zugriff reglementiert. Amschauliches Beispiel: 100 VLANs, j e d e s einzelne Gerät bekommt sein eigenes VLAN. Die Firewall dazwischen steht aber in alle Richtungen auf "allow all". Sicherheit? Gleich Null. Und das trotz VLANs? Weil VLANs allein eben kein Sicherheitsfeature sind.
newsletter schrieb:
Das mit dem Wlan als separates VLAN ist nur so eine Idee um Gästen separat Zugang zum Internet zu gewähren. Braucht es also nicht zwingend.
[..]
1. VLAN: alle Geräte ohne den Server
2. VLAN: nur Server resp. öffentlich zugängliche Geräte
Deine Herangehensweise ist falsch. VLANs sind Mittel zum Zweck, so wie auch die Lösung mittels RADIUS von
@norKoeri
So wie ich das jetzt herauslese möchtest du 3 Netzwerke einrichten.
1. Hauptnetzwerk mit deinen Clients (PCs, etc)
2. Servernetzwerk also known as DMZ
3. Gastnetzwerk
(4. WAN)
Das kann man am MikroTik erstmal komplett ohne VLANs lösen, weil der hEX genug physische Schnittstellen bietet.
VLANs brauchst du bis hierhin
nicht. Erst bei der Weiterverteilung werden VLANs interessant, wenn man zB einen VLAN-fähigen Access Point einsetzt, der zu jedem dieser Netzwerke eine SSID senden soll, oder wenn man an ein und demselben Switch zB einen PC (Haupt) und einen Server (DMZ) anschließen möchte.
newsletter schrieb:
Dachte wenn ich das Netz 192.168.30.0/24 dem ether3 / VLAN-30 zuordne kann ich beliebige (egal welche) Switches an den Ether3 ranhängen (oder hald eben den Client/Laptop2 direkt) und alle Geräte/Clients kriegen per DHCP eine IP zugeordnet
Jein. Erstmal ist es nicht aussagekräftig, wenn du schreibst "ether3 VLAN 30", weil eine entscheidende Information fehlt: tagged oder untagged. An Ports mit untagged VLAN kann man beliebige Geräte anschließen, seien es Endgeräte wie PCs, den MediaReceiver oder auch einen Switch zum Weiterverteilen dieses einen Netzwerks. Geräte an untagged Ports haben keinen blassen Schimmer davon, dass überhaupt irgendwo im Netzwerk VLANs existieren, geschweige denn dass sie wüssten in
welchem sie sich befinden. Untagged Ports sind nach außen hin stinknormale Ports.
Tagged VLANs sind da anders. Da kommen dann Pakete aus allen konfigurierten VLANs raus (und rein), die jeweils ein VLAN-Tag an Bord haben. An solchen Ports - auch Trunk genannt - schließt man in der Regel VLAN-Switches oder VLAN-APs an, die die konfigurierten VLANs weiterverteilen, über ein einzelnes Kabel im Uplink.
Beispielsetup:
MikroTik hEX
Port 1 = 192.168.10.1 (Haupt)
Port 2 = 192.168.20.1 (DMZ)
Port 3 = 192.168.30.1 (Gast)
Port 4 (optional) Verbindung zum InternetRouter (wenn nicht in Haupt)
VLAN-Switch (U=untagged, T=tagged)
Port 1 (VLAN 10 U) -----> hEX Port 1 (Haupt)
Port 2 (VLAN 20 U) -----> hEX Port 2 (DMZ)
Port 3 (VLAN 30 U) -----> hEX Port 3 (Gast)
Port x (VLAN ?? U) ------> Gerät im gewünschten Netz
Port y (VLAN 10+20+30 T) --> VLAN-AP mit 3 SSIDs
Port z (VLAN 10+20+30 T) --> VLAN-Switch zum Weiterverteilen
Und ja, man könnte die 3 Uplinks vom Switch zum hEX auch als Trunk ausführen und kann so alle 3 Netzwerke über ein einzelnes Kabel leiten. Da der hEX aber genug physische Ports hat und Trunks bei intensivem Traffic schnell überlastet sein können, ist das nicht nötig.
