Netzwerke anlegen im Controller

[frosch006]

Hallo,
Ich hab im Programmier Bereich einen Teil gepostet und soweit abgearbeitet deshalb denke ich dass das folgende in programmierung falsch ist und es in Netzwerke gehört. Mein USG und Controller laufen jetzt zwischenzeitlich und meine Geräte sind eingebunden.
Ich möchte VLAN einrichten und hab mich die letzten Tag durch unzählige Beiträge hier und im Unifi Forum gelesen. Sagt einfach ob das so funktioniert wie ich es eingestellt habe oder was falsch ist und ich ändern muss.
Ich hab 3 Benutzergruppen angelegt, wobei ich nicht weiß für was die Benutzergruppen nötigt sind außer die Bandbreite zu begrenzen.
In der Netzwerkübersicht ist noch das LAN vorhanden welches automatisch erstellt ist und wahrscheinlich auch nicht gelöscht werden kann. Bereitet es mir mit dem Netz OG Schwierigkeiten? Wenn ich im OG Netz den Bereich statt 192.168.10.1 in 192.168.10.10 ändere, schließe ich mich dann aus, da der Cloudkey die 192.168.1.7 und das USG die 192.168.1.1 hat?

ma

 

[leipziger1979]

Du solltest vielleicht ein wenig ausholen und deine ganze Umgebung mal kurz darstellen.

Und die wichtigste Frage die sich mir stellt, warum überhaupt VLAN und so viele Netzwerke?
Was soll der Sinn und Zweck sein?

 

[rocketworm]

Also mehr Infos zu deinem Aufbau bzw. was du erreichen möchtest wäre Sinnvoll.

In deinen Screenshots ist mir aber auf jeden fall schonmal aufgefallen, dass all deine Subnetze ungültig sind.
Deine ganzen /24 Subnetze sind auf .1 deklariert. Die müssten alle auf .0 enden.

 

[frosch006]

Hallo,
Hier ein kurzer Abriss aus dem letzen Beitrag, nachdem mein USG über den SSH zugriff wieder erreichbar war und das Thema unter programmierung somit abgeschlossen war.

Am LAN1 der USG können ja durchaus mehrere Netzwerke erstellt sein, die unterschiedliche DHCP Bereiche (oder auch kein DHCP) verwenden. Diese sind dann durch VLAN separiert.

Das ist ja prima, ich wollte das später mal machen mit den VLAN. Mein Bruder und ich bewohnen gemeinsam das Elternhaus unserer Mutter und teilen uns den Anschluss. Ich weiß viele sagen man soll es nicht machen, irgendwann gibt es mal Streit usw., egal.
Deshalb wollte ich VLAN anlegen. Wahrscheinlich 4 Stück, 1x meine Wohnung, 1x Wohnung Bruder, 1x Hausautomatition, 1x Gastnetz oder brauche ich für das Gastnetz kein VLAN, da es im Controller die möglichkeit eines Gastnetzes gibt? Hausautomatition muss von beiden bedient werden können, Telefon, Sprechanlage, Licht und Torsteuerung, usw. Soll ich für meine IP Cameras auch ein VLAN anlegen oder einfach in mein Netz mit einbinden?

Daraus hab ich das erstmal so zusammengebastelt. Wie bereits geschrieben, ob das Gastnetz auch VLAN sein soll und die Kameras, oder ob ich nur eines für mich und eines für meinen Bruder brauche, das würde ich hier auch gerne erfahren. Möglichst geringer Aufwand. Beide Netze OG und EG sollen uneingeschränkt ins Internet kommen, Surfen, Email, Netflix usw. jedoch sollen beide Netze voneinander getrennt sein. Ich hab bei mir in der Wohnung noch Kameras, die möchte aber auch nur ich einsehen können.

ma

In deinen Screenshots ist mir aber auf jeden fall schonmal aufgefallen, dass all deine Subnetze ungültig sind.
Deine ganzen /24 Subnetze sind auf .1 deklariert. Die müssten alle auf .0 enden.

Ich hab das mal abgeändert, meinst du so? Dann werde ich das in den anderen Netzen entsprechend abändern.

Ergänzung (27. August 2019)

Und die wichtigste Frage die sich mir stellt, warum überhaupt VLAN und so viele Netzwerke?

Wie gesagt, ich hab leider sehr viel gelesen und dadurch hab ich das so gemacht, weil es sah übersichtlich aus. War aus dem Unifi Forum

 

[rocketworm]

Ich hab das mal abgeändert, meinst du so? Dann werde ich das in den anderen Netzen entsprechend abändern.

Ja Genau so.

 

[frosch006]

Ok,
wo legee ich die Regeln fest in den einzelnen Switchen, oder im Controller. Es gibt doch die möglichkeit im Switch zu sagen Port 5 darf nur an Port 2 z.B. , oder geht das über den Controller leichter`Denn ich hab im Keller einen Switch von dem aus geht es im EG, im OG und im Garten jeweils zu einem Switch, alle sind managed . Der im Keller ist Layer 3, die anderen sind günstige Netgear GS 105E.

ma

Ergänzung (27. August 2019)

Ja Genau so.

Das hat leider nicht funktioniert. Der screenshot war noch vor dem speichern
Wenn ich das speichern möchte, sagt er "ungültige API Anfrage"

 

[Schlupf_Guhl]

Das war schon korrekt so, wie du es zuerst hattest. (Erklärung: dort ist nicht die CIDR-Notation für einen Adressbereich gefordert, sondern die Angabe "Gateway-Slash-Subnet" - wie es dort ja auch steht "Gateway/Subnet")

 

[Raijin]

Deshalb wollte ich VLAN anlegen. Wahrscheinlich 4 Stück, 1x meine Wohnung, 1x Wohnung Bruder, 1x Hausautomatition, 1x Gastnetz oder brauche ich für das Gastnetz kein VLAN, da es im Controller die möglichkeit eines Gastnetzes gibt? Hausautomatition muss von beiden bedient werden können, Telefon, Sprechanlage, Licht und Torsteuerung, usw. Soll ich für meine IP Cameras auch ein VLAN anlegen oder einfach in mein Netz mit einbinden?

Hausautomation in einem separaten VLAN muss bestimmte Bedingungen erfüllen. Nicht selten arbeitet Hausautomation oder auch einzelne IoT-Komponenten mit Broadcasts. Das heißt, dass zB eine App in das Subnetz reinruft und nach einem Server sucht. Broadcasts sind aber auf eben dieses Subnetz beschränkt und so kann eine App, die mit Broadcasts arbeitet, keine Hausautomation im separaten VLAN finden, wenn sich die App selbst in einem anderen befindet.

Solche Konstellationen kannst du dir mit VLANs leider abschminken. Es ist zwar nicht unlösbar, aber da man hier die Grenzen des ursprünglichen Sinn und Zwecks eines Broadcasts überschreitet, muss man recht tief in die Materie einsteigen, um via Broadcast von einem Subnetz ins andere zu kommen. Das sprengt dann aber den Rahmen jedes Threads. Gerade bei Unifi, da man sich dann noch der Update-Mechanik des Controllers gegenüber sieht, der manuelle Eingriffe ins System wie zB die Installation ubd Einrichtung eines Broadcast-Relays beim nächsten Update überbügeln wird.

Zunächst solltest du daher prüfen wie genau die Hausautomation funktioniert bzw. welche Komponenten beteiligt sind.

Beispiel Hue-Bridge von Philips: Die App sucht nur im lokalen Subnetz nach der Bridge, eine IP aus einem anderen Subnetz/VLAN kann man meines Wissens nach nicht eingeben --> nix is mit Lichtsteuerung über VLANs hinweg.

*Korrektur mitten im Text: Geht in der Hue-App scheinbar doch, habe gerade nachgeschaut. Ist aber eher nicht die Regel, sondern vielmehr die positive Ausnahme.



Ansonsten wären 2 VLANs für dich bzw. deinen Bruder sowie ein Gast-VLAN ok. Mehr sollten es jedoch nicht werden, wenn du nicht genau weißt was du da tust. Geroutete Netzwerke werden nicht einfach erstellt und dann läuft alles. Man muss sich ggfs um das Routing kümmern, die Firewall und zu guter Letzt müssen die Endgeräte, die von anderen Subnetzen/VLANs aus bedient werden sollen, dies auch zulassen.

Keep it simple, stupid. Das KISS-Prinzip aus der Informatik. Je komplexer du das System gestaltest umso mehr Probleme wirst du bei der Einrichtung bekommen. Ich rate dir daher zunächst erstmal dazu, nur ein Heimnetzwerk und ein Gastnetzwerk zu erstellen. Letzteres kannst du auch auf den 3. LAN-Port des USG legen und brauchst im USG dann keine VLANs. Je nachdem wie du die Netzwerke aber im Haus verteilen willst, müssen die Switches natürlich in VLANs auftrennen.

Wenn das simple Setup mit Heim- und Gastnetzwerk läuft, kanst du auf dem 3. Port neben das Gastnetz ein VLAN zum Testen einrichten und da zB mal mit der Hausautomation anfangen. So erweiterst du sukzessive dein Netzwerk um alle gewünschten VLANs. Greifst du gleich zu Beginn in die Vollen (auf dem einen Screenshot hast du 7!! Netzwerke angelegt!!), garantiere ich dir ein katastrophales Scheitern bis zur Halbglatze durch Haareraufen. Und unsere Nerven werden auch strapaziert, weil du nach jedem Schritt Hilfe suchst...

 

[rocketworm]

Adressbereich gefordert, sondern die Angabe "Gateway-Slash-Subnet" - wie es dort ja auch steht "Gateway/Subnet")

Oops, du hast recht... Wer lesen kann...

 

[frosch006]

Hausautomation in einem separaten VLAN muss bestimmte Bedingungen erfüllen. Nicht selten arbeitet Hausautomation oder auch einzelne IoT-Komponenten mit Broadcasts. Das heißt, dass zB eine App in das Subnetz reinruft und nach einem Server sucht. Broadcasts sind aber auf eben dieses Subnetz beschränkt und so kann eine App, die mit Broadcasts arbeitet, keine Hausautomation im separaten VLAN finden, wenn sich die App selbst in einem anderen befindet

Das Hab ich auf der Herstellerseite gefunden, wenn ich das richtig lese geht das über WLAN, dann sollte es doch möglich sein, oder? Systemvorraussetzung:
Android-Geräte• Software-Version 2.3• mind. 256 MB RAMiOSGeräte• ab Software-Version iOS 6• ab iPod touch 5. Generation• ab iPhone 4S• ab iPad 2• ab iPad miniHeimnetzwerk• Breitband-Internetzugang• WLAN-RouterWLAN-Standard IEEE 802.11b/g/n, Verschlüsse-lung WPA-PSK oder WPA2-PSK, Netzwerkname ohne Leerzeichen, Zugang für weitere Endgeräte• Internet BrowserInternet Explorer ab Version 10, Firefox ab Version 14, Chrome ab Version 22, Safari ab Version 4, weitere aktuelle Webbrowser mit Unter stützung von Javascript und CSS3• Freie LAN-Buchse am Router• Spannungsversorgung (100 – 240 V AC, 50 / 60 Hz)• Smartphone oder Tablet mit Zugang zum App StoreSM oder zu Google™ play• Standort mit Funkverbindung zum bedienenden Gerät

Weitere Geräte: Türsprechanlage, da hat aber jede Wohnung ihr eigenes Gateway das den eingehen Ruf an das Handy weiterleitet, also ein Gateway in meinem Netz und ein Gateway im Netz vom Bruder, müsste dann auch funktionieren, oder?
Die Telefonanlage ist eine Auerswald Compact 4000 und ist über LAN am Switch angeschlossen. Die Nummern werden nur in der Auerswald Anlage verwaltet. Es sind auch nur ISDN und analoge Telefone angeschlossen, wobei VoIP funktionieren soll. In welches Netz ich die dann schalten soll weiß ich nicht. Aktuell nutze nur ich die Philips Hue Bridge, somit entfällt wohl das Netzwerk Hausautomatition, oder?
Somit bin ich jetzt bei 3 Netzen, 1x OG, 1x EG, 1x Gast. Diese 3 Netzwerke lege ich identisch als WLAN Netze an.

wenn du nicht genau weißt was du da tust

Da hast du Recht, ich probiere und teste.

Geroutete Netzwerke werden nicht einfach erstellt und dann läuft alles. Man muss sich ggfs um das Routing kümmern, die Firewall und zu guter Letzt müssen die Endgeräte, die von anderen Subnetzen/VLANs aus bedient werden sollen, dies auch zulassen.

Mal eine blöde Frage, wenn ich in der Firewall keine Regeln eintrage ist alles von A nach B und B nach A offen, das was ich natürlich nicht möchte. Was ist wenn ich nur 3 Gastnetze einrichte, was pasiert dann, bzw. was macht es dann nicht was ich erwarte? Der Gedanke ist, wenn ich 3 Gastnetze einrichte die sind schon getrent und ich muss keine Regeln erstellen und nach offenen Ports suchen. Wenn ich dann jeweils mit dem Gastnetz surfen, mailen und streamen kann, dann reicht das doch aus und wäre vermutlich das einfachste, oder sehe ich das falsch?

Greifst du gleich zu Beginn in die Vollen (auf dem einen Screenshot hast du 7!! Netzwerke angelegt!!)

Ja das war Traum denken, was es da alles für spielereien gibt, ich hab da eindeutig zuviel gelesen, aber ehrlich es sah schon sehr imposant aus.

Letzteres kannst du auch auf den 3. LAN-Port des USG legen

Das USG hat doch nur Port Console, WAN 1, LAN 1 und LAN 2/WAN 2
Den WAN 2/ LAN 2 Port hab ich gelesen, dass der evtl. nützlich für VoIP ist.


Das mit den DHCP Bereichen passt das so? Dann würe ich die
192.168.10.1/24
192.168.20.1/24
192.168.30.1/24 anlegen.

ma

 

[Raijin]

Mal eine blöde Frage, wenn ich in der Firewall keine Regeln eintrage ist alles von A nach B und B nach A offen, das was ich natürlich nicht möchte. Was ist wenn ich nur 3 Gastnetze einrichte, was pasiert dann, bzw. was macht es dann nicht was ich erwarte?

Grundsätzlich ist die Firewall offen, wenn keine Regeln definiert sind, ja.

Was genau der Unifi-Controller bei der Einstellung als Gastnetzwerk einrichtet, kann ich dir offen gestanden nicht sagen, weil ich das Non-Unifi-Modell des USG einsetze, den EdgeRouter-Lite vom selben Hersteller. Da richtet man DHCP, Routing und auch die Firewall komplett zu Fuß ein.

WAN 1, LAN 1 und LAN 2/WAN 2

Was meinst du was damit gemeint ist? Wenn du willst, kannst du LAN1 leer lassen und dein Heimnetzwerk auf LAN2 legen. Genau gekommen sind alle 3 LAN-Ports identisch, nur dass der WAN-Port eben soweit vorkonfiguriert ist, dass dort das www dranhängt inkl. NAT und der voreingestellten Firewall.


Was Heimautomation angeht: Das kannst du nicht in den Infos auf der Herstellerseite finden, weil ich davon rede wie die App bzw das Gerät funktioniert. Wenn du in der App das Zielgerät mittels IP verbinden kannst, ist alles gut. Gibt es dagegen ausschließlich einen "Suchen"-Button, arbeitet die App mit besagten Broadcasts und versucht das Gerät automatisch zu finden - das wird dann in verschiedenen VLANs nicht funktionieren.

 

[frosch006]

Was genau der Unifi-Controller bei der Einstellung als Gastnetzwerk einrichtet, kann ich dir offen gestanden nicht sagen, weil ich das Non-Unifi-Modell des USG einsetze, den EdgeRouter-Lite vom selben Hersteller. Da richtet man DHCP, Routing und auch die Firewall komplett zu Fuß ein.

Hallo,
Dankeschön erstmal für die Hilfe. Ich hab mal von den Firewall Regeln vom Gastnetz einige Abzüge gemacht. Das sind für mich natürlich alles Böhmische Dörfer. Ihr wisst ja jetzt bereits was ich alles machen möchte, funktioniert das mit den im Gastnetz hinterlegten Einschränkungen, oder muss ich evtl. das eine oder andere rausnehmen?
In der Gaststeuerung gibt es auch noch einen Haken zu setzen (Gastportal aktivieren) darauf werden weitere Felder mit Eingabemöglichkeiten geöffnet. Mir stellt sich gerade die Frage funktioniert das Gastnetz auch, wenn ich den Haken (Gastportal aktivieren) nicht setze?
Muss ich eine Regel noch erstellen, dass ich aus meinem Gastnetz auch auf den Controller zugreifen darf, nicht dass ich mich selbst aussperre.
Bild 3 ist ohne dem Haken und wenn der gesetzt wird öffnen sich die Eingabefelder von Bild 1 und 2
Mir ist auch aufgefallen, dass der Adressbereich 192.168.10 nicht aufgeführt ist. Die Gastregeln sind doch erstmal für alle Gastnetze gleich. Meine vermutung ist, weil das 192.168.10er Netz aktuell noch nicht als Gast markiert ist. Das ist ja das Netz in dem ich mich befinde, deshalb noch nicht markiert, nicht dass ich mich aussperre.

 

[frosch006]

Wenn wir schon beim einrichten sind. Wie kann ich es vermeiden, dass sich die WLAN Geräte von meinem Bruder bei mir auf den AC Point einwählen? Sein Amazon Fire Teil wählt sich immer auf dem AC Point im OG an, das wird vermutlich dann meine Bandbreite einschränken oder macht das nichts? Nur wenn es zu einschränkungen kommt, dann sollen sich seine Geräte in den AC EG und Garten einwählen und meine in den AC OG und Garten. Kann man das regeln?

 

[Raijin]

Wie gesagt, mit der Firewall innerhalb des Controllers kenne ich mich nur am Rande aus, weil ich das stets zu Fuß mache (hab ja kein USG).

Das Gast-Portal ist das was man zB von einem öffentlichen Hotspot oder Hotels kennt - eine vorgeschaltete Login-Seite für Gäste. Das kannst du zwar für dein "richtiges" Gast-Netzwerk gerne aktivieren, aber es ist nicht sinnvoll, dies auch für die Hauptnetzwerke zu tun.

Bei der Zugriffskontrolle in der Gaststeuerung wird der Controller im Hintergrund vermutlich die passenden Firewall-Regeln für die freigegebenen Subnetze erstellen. Ich kann allerdings nur mutmaßen, dass dies in Bild 4 dann in den Regeln 3003, 3004 bzw. 3007 passiert. Ich kann dich nur dazu ermuntern, dir diese Regeln mal durch Klick auf Bearbeiten anzusehen. Fügst du ein Subnetz oder auch nur eine IP-Adresse hinzu, müsste sie sich ja in den Regeln irgendwo wiederfinden. Die Hauptnetze als Gastnetze zu definieren, halte ich für eine mäßig gute Idee.

Grundsätzlich kann es nicht schaden, sich mit der Funktionsweise einer Firewall auseinanderzusetzen. Bei Fritzbox und Co sieht man diese Firewall nämlich gar nicht und kann sie schon gar nicht direkt bearbeiten - Fehler sind so nahezu ausgeschlossen, weil alles über Wizards läuft. Bei einem USG oder schlimmer noch den Nicht-UniFi-Pendants aus der EdgeRouter-Serie kann man die Firewall aber nach Belieben anpassen und demnach auch handfeste Fehler begehen.

Eine Firewall ist aber eigentlich relativ einfach zu verstehen, wenn man sich etwas damit beschäftigt. Prinzipiell besteht eine Firewall-Regel aus zwei Komponenten, dem Matching und der Action. Das Matching beschreibt bestimmte Eigenschaften, die ein Paket erfüllen muss, beispielsweise ganz klassisch die Ziel-IP. Sind alle Bedingungen erfüllt, wird die Regel getriggert und die Action ausgeführt.
Die einzelnen Reiter bei der Firewall (zB WAN eingehend) beziehen sich darauf welchen Weg das Paket nimmt, also wo es reinkommt bzw. rausgeht. Wenn ein Paket vom PC im Hauptnetz ins Internet geht, wird es also zunächst bei LAN eingehen und bei WAN ausgehen.
Die Regel-Tabellen an sich werden von oben nach unten abgearbeitet bis eine passende Regel gefunden und die Aktion (verwerfen/zulassen) ausgeführt wird. Damit endet die Abarbeitung der Tabelle und die folgenden Regeln werden ignoriert. Trifft gar keine Regel auf das Paket zu, wird die Standardaktion der Firewall-Tabelle ausgeführt - das ist meistens "Zulassen".


Du siehst, dass eine Firewall kein Hexenwerk ist. Dennoch muss man sich damit beschäftigen und das Konzept dahinter verstehen. Hat man dazu weder den Willen noch die notwendigen Kenntnisse, sollte man wie schon erwähnt dem KISS-Prinzip treu bleiben und so wenig Netzwerke/VLANs anlegen wie möglich. Ansonsten wäre die Folge, dass man ständig Verbindungsprobleme bekommt, weil ggfs einige Verbindungen geblockt werden, oder dass man am Ende aus lauter Frust einfach alles aufmacht.


Bezüglich WLAN:
Zu jedem VLAN kann man eine SSID auf den APs erstellen, muss es aber nicht. Das heißt, dass man durchaus auf allen APs alle SSIDs bzw. VLANs einrichten kann, damit du bei deinem Bruder auch in deinem Netzwerk landest (über seinen AP). Andererseits kann man natürlich auch jeweils nur die eigene SSID auf den APs aktivieren und so würdest du bei deinem Bruder dich nach wie vor mit deiner SSID verbinden, aber da diese dann nur auf deinem AP aktiv ist, würdest du dich auch nur mit diesem AP verbinden. Wenn alle SSIDs auf allen APs konfiguriert sind, kann es natürlich durchaus passieren, dass sich ein Bruder-Gerät auf dessen SSID, aber auf deinem AP einloggt. Klar belastet das dann den AP sowie den Uplink zum Netzwerk. Wie stark, hängt davon ab was über diese Verbindung drüber geht, klar.

 

[snaxilian]

Dafür musst du das WLAN-Netz/SSID bzw. VLAN das für deinen Bruder gedacht ist nur vom AP EG & Garten aussenden lassen, dein Netz & VLAN entsprechend AP OG & Garten.

 

[frosch006]

Hi,
ich steh grad auf dem Schlauch. Die Gastnetze sind jetzt angelegt, aber woher weiß Der PC im OG Arbeitszimmer, dass er im Netz OG seine Verbindung aufbaut und nicht im EG Netz? Da muss ich doch dem Switch sagen z.B. der Port 8 gehört zum OG. Das heißt die einstellung muss ich doch im Switch vornehmen und kann das nicht im Controller machen, dann ist das doch auch schon VLAN, oder? Ich hab da echt keine Ahnung. Weil es läuft erstmal alles über den Switch im Keller. Ich hab mal eine grobe Übersicht gezeichnet. Das mit dem gemeinsamen Netz lasst mal außen vor, das werd ich später mal nach und nach testen.

 

[Raijin]

Natürlich müssen alle Switches und APs, die die VLANs weiterverteilen sollen, auch entsprechend konfiguriert werden bzw. überhaupt erstmal mit VLANs umgehen können. Lies dich bitte in die Thematik ein, zum Beispiel hier: VLAN-Grundlagen

Bei VLANs wird - zumindest bei Tagged VLANs - jedem Datenpaket ein farbiges Fähnchen mitgegeben (zB rot und blau) damit das nachfolgende Gerät weiß zu welchem VLAN es gehört. Dieses Gerät - zB ein Switch - wird dann so konfiguriert, dass rote Pakete nur an den rot eingestellten Ports raus- bzw. reinkommen und blaue Pakete an den blauen Ports. Braucht ein nachfolgendes Gerät (zB ein AP) beides, weil dort wiederum weiterverteilt werden soll (im Falle des APs in verschiedene SSIDs), dann muss der Port wo dieses Gerät angeschlossen ist natürlich auch rot und blau sein.

Das ist übrigens der Grund warum ich auf das KISS-Prinzip hingewiesen habe. Du willst ein komplexes Netzwerk bauen, hast aber nicht die erforderlichen Kenntnisse. Wir können gerne mit Rat und Tat zur Seite stehen, aber es sprengt einfach den Rahmen, wenn wir dir von A bis Z alles beibringen müssen. Netzwerke werden sehr schnell sehr kompliziert, wenn man sich auch nur einen Meter von einem 08/15-Fritzbox-Szenario entfernt..

 

[Raijin]

Ein kleines Beispiel:

Im USG an LAN1 definierst du 2 VLANs:

VLAN10 - 192.168.10.0/24 (rot)
VLAN20 - 192.168.20.0/24 (blau)

Nun verbindest du LAN1 mit Port1 eines VLAN-fähigen Switches (zB mit 5 Ports). Selbigen konfigurierst du wie folgt:

Port 1 - VLAN10 + VLAN20 tagged ("mit Fähnchen")
Port 2-3 - VLAN10 untagged ("ohne Fähnchen, aber mit rot-Filter")
Port 4-5 - VLAN20 untagged (wie Ports 2-4, aber mit blau-Filter)

Port1 --> USG
Port2 --> PC1
Port3 --> PC2
Port4 --> PC3
Port5 --> PC4

PC1 und PC2 : roter Port = rote IP vom roten DHCP innerhalb des USG
PC3 und PC4 : blauer Port = blaue IP vom blauen DHCP innerhalb des USG

PC1 und PC2 können sich gegenseitig direkt anpingen, weil sie am Switch im selben roten Segment sind.
PC3 und PC4 können sich gegenseitig direkt anpingen, weil sie am Switch im selben blauen Segment sind.

Pingt man nun vom blauen PC3 den roten PC2 an, geht das nicht direkt, weil blau != rot. PC3 wird den Ping also Richtung USG schicken (Standardgateway), blau eingefärbt. Das USG empfängt den blauen Ping, merkt, dass das Ziel im anderen Subnetz liegt, dem roten Bereich, lackiert den Ping kurzerhand rot und schickt ihn mit der frischen Farbe wieder auf den Weg zurück zum Switch. Dieser nimmt den nun mehr roten Ping an und leitet ihn an den roten Port3 weiter wo das eigentliche Ziel zu finden ist, PC2.

VLANs muss man sich einfach so vorstellen, dass man einen Switch bzw. auch die Kabel in Gedanken in mehrere Teile zersägt. Man kann exakt dasselbe erreichen, wenn man das beschriebene Setup wie folgt umsetzt.

USG:

LAN1 - 192.168.10.0/24
LAN2 - 192.168.20.0/24

LAN1 geht in Switch1
LAN2 geht in Switch2

PC1 an Switch1
PC2 an Switch1
PC3 an Switch2
PC4 an Switch2

Fertig, dasselbe Setup wie oben, ohne VLANs. Der Unterschied besteht darin, dass man nun physisch getrennt hat, weil man am USG zwei Ports mit jeweils einem Kabel an jeweils einen Switch angeschlossen hat, also zwei komplett separate Infrastrukturen. Bei VLANs trennt man nur virtuell und dadurch muss man die Pakete und auch die Ports eben zuvor markieren, um sie auseinanderhalten zu können, weil sie über dieselbe Infrastruktur gehen.

 

[frosch006]

USG:

LAN1 - 192.168.10.0/24
LAN2 - 192.168.20.0/24

LAN1 geht in Switch1
LAN2 geht in Switch2

PC1 an Switch1
PC2 an Switch1
PC3 an Switch2
PC4 an Switch2

Hi,
ich wollte gerade nachfragen, wie das dann ist wenn ich LAN 1- Netz A und LAN2- Netz B zuteilen soll, da muss ich doch auch managen. Aber du hast ja schon die Erklärung geliefert, genau das war mein Problem, deshalb dachte ich es ist das selbe. Wenn ich dort 2 Switch verwende leuchtet mir das für das LAN ein. Den bestehenden Switch, kann ich den Unterteilen, oder muss ich einen 2. Switch dazubauen? Ich hab noch einen alten dummen Switch, der kann halt nix. Geht das damit genauso?
Der große verbaute Switch im Keller ist ein HP Office Connect 1920 Series Switch JG923A, der dumme Switch ist ein D-Link DGS-1008D. Wenn es auch ohne den D-Link geht würde ich den lieber weg lassen, wenn das natürlich einen großen Aufwand bedarf, heigott dann mach ich den D-Link rein, bin ja nicht so 😉 .
Ok, das auf der LAN Seite funktioniert ja dann so. Das WLAN, muss ich aber alle AC Point auf den hp Switch legen, sonst kann ich die aus meiem Netz nicht mit dem Controller erreichen. Dort wird dann nur die SSDI der beiden Netze plus dem Gastnetz auf den AC Point gelegt und gut ist, oder?

ma

 

[Raijin]

Man kann die beiden beschriebenen Szenarien auch kombinieren:

USG:

LAN1 - 192.168.10.0/24 (hier nix VLAN, nix rot)
LAN2 - 192.168.20.0/24 (hier nix VLAN, nix blau)

VLAN-Switch:

Port1: VLAN10 (untagged, rot) -- LAN1@USG
Port2: VLAN10 (untagged, rot) -- PC1
Port3: VLAN10 (untagged, rot) -- PC2
Port4: VLAN20 (untagged, blau) -- LAN2@USG
Port5: VLAN20 (untagged, blau) -- PC3
Port6: VLAN20 (untagged, blau) -- PC4

Wie man sieht kommen in diesem Fall ausschließlich untagged VLANs zum Einsatz und das USG weiß gar nichts davon, dass überhaupt VLANs im Spiel sind. Hier wurde der Switch einfach nur ganz banal in zwei Teil-Switches aufgeteilt. Allerdings benötigt dieses Setup ebenfalls wie die komplett physisch getrennte Variante zwei Uplinks vom USG zum Switch, ein Kabel für jeden Teil-Switch sozusagen. Deswegen wird im Vergleich zur kompletten VLAN-Lösung auch ein Port mehr am Switch benötigt, mit einem 5er Switch wie dargestellt geht es also nicht mehr.

Einen VLAN-fähigen AP kann man übrigens ebenfalls mit bedienen, wenn man Port 7 wie folgt konfiguriert:

Port7: VLAN10+20 (tagged) -- UAP AC Lite/LR/Pro

Das gilt ebenso für das obige komplette VLAN-Szenario, da geht das natürlich auch.
Das Nicht-VLAN-Szenario wiederum würde nicht mit einem einzelnen AP auskommen, da die Infrastruktur ja physisch getrennt ist und somit auch die APs. Gänzlich ohne VLANs müsste also jeder Switch noch einen AP bekommen.