VLAN einrichten - Netzte untereinander nicht komplett erreichbar

[BeTZe]

Guten Tag Zusammen,
ich habe aktuell das Thema VLAN und komme da aktuell nicht weiter. Vielleicht kann mir hier ja etwas geholfen werden.
Also, folgende Situation habe ich.
LAN 1 - Switch 1 mit OPNsense Server
LAN 2 - Switch 2 mit Clients
LAN 3 - Switch 3 mit Clients

Ich möchte jetzt aus allen LAN Netzen in die jeweiligen anderen zugreifen. Dafür möchte ich einen Managed TP Link Switch nutzen. Der OPNsense Server ist soweit installiert und kommt auch ins WAN. Er ist mit einem Kabel an den Switch 1 Port 1 verbunden. LAN 2 ist mittels Kabel vom Switch 2 an Switch 1 Port 2 verbunden, LAN 3 mittels Kabel von Switch 3 an Switch 1 Port 3 verbunden.

An Switch 1 habe ich das VLAN1, was automatisch erstellt wurde. Dann habe ich ein VLAN 2 für LAN 2 erstellt. Dafür habe ich den IP Bereich von LAN 2 genommen. Das gleich für LAN 3. Port 1 hat die PVID 1, Port 2 die PVID 2, und Port 3 die PVID 3.

Dann habe ich bei VLAN 1 die Ports 1, 2 und 3 auf untagged gesetzt.
Bei VLAN 2 das gleiche und bei VLAN 3 auch.

Wenn ich jetzt einen Client nehme und dem eine IP aus LAN 1 zuweise, kann ich z.b. den OPNsense Server anpingen und auch die drei IPs, von den jeweiligen VLANs. Aber ich kann z.b. keinen Client aus LAN 2 anpingen oder anders erreichen. Das gleiche wenn ich eine IP aus einem der anderen Netze einstelle.

Ich erreiche alle IPs die ich im Switch angelegt habe, aber kann keinen Client LAN übergreifend erreiche. Ich hatte es auch schon damit probiert, dass ich z.b. bei VLAN 1 den Port wo das Kabel angeschlossen ist auf untagged lasse und dann den Port für VLAN 2 und VLAN 3 auf tagged setze. Das hat aber nicht geändert.

Vielleicht kann mir da ja jemand weiterhelfen und ein zwei Tipps geben, wo mein Fehler sein könnte.

Danke im voraus.

 

[Matthias80]

Ich versteh nicht was du erreichen willst... Also deine Konfiguration. Aber du weißt? Das man vlan macht um eben nicht miteinander verbunden zu sein?! Unterschiedliche IP Netze könnte man ja einfach umgehen und sich ne IP in dem Netz geben. Bei vlan ist das nicht möglich. Da müsstest du gw setzen und zwischen den netzen routen. Wenn du aber eh alles wieder miteinander verbindest. Wozu das ganze?

 

[Phil_81]

Das Thema Routing hast auf dem Schirm?

 

[-=Azrael=-]

Ggf. mal ein bischen einlesen und auf das eigene setup übertragen.
https://administrator.de/tutorial/v...otik-dd-wrt-oder-cisco-rv-routern-110259.html

 

[BeTZe]

Vielleicht bin ich mit dem ganzen ja auch auf dem komplett falschen Weg. Ich habe hier zwei Netzt. Bei jedem habe ich einen Switch an dem Clients und Drucker angeschlossen sind. Die ganze Konfiguration ist schon ein paar Jahre her. Als das eingerichtet wurde, befand sich jedes Netzt an einem anderen Standort. Um nun von dem einen aufs andere zu zu greifen wurde eine VPN Verbindung aufgebaut.

Das schöne ist, dass diese VPN auch weiterhin zwischen den Netzten aufgebaut wird, obwohl sich inzwischen alles in einem Gebäude befindet.

Ich möchte nun erreichen, dass man von einem ins andere Netz kommt, ohne das man da eine VPN Verbindung dazwischen hat.

Edit:
Am Ende würde ich dann gerne erreichen, dass man nur noch ein Netz hat. Daher meine Idee mit VLANs. Das dann z.b. Die Clients in einem VLAN sind, in dem anderen die Drucker usw.

 

[d2boxSteve]

Dir ist bewusst dass OPNSense grundsätzlich eine Firewall ist? Du musst per Regel den Zugriff zwischen den Netzen erst erlauben ...

 

[BeTZe]

Das ist mir bewusst. Ich habe dort auch schon einmal das VLAN für LAN 2 eingerichtet. Und auch eine Firewall Regel definiert.

 

[Phil_81]

Da es sich vermutlich um eine gewerbliche Umgebung handelt kann ich nur raten, die 2 Stunden Dienstleistung eines Systemhauses in die Hand zu nehmen und das gerade ziehen lassen. Viele lassen sich dabei über die Schultern schauen, somit lernst du aus erster Hand speziell was deine Umgebung betrifft.

 

[JumpingCat]

Am Ende würde ich dann gerne erreichen, dass man nur noch ein Netz hat. Daher meine Idee mit VLANs

Was denn nun?

VLAN ist doch gut. Wie hast du das Routing sowie Firewall eingerichtet?

 

[sh.]

Wozu Netze per VLAN's trennen wenn man sie danach mit einander verbinden möchte? Irgendwie sehe ich den Sinn dahinter nicht.

 

[CharlieScene]

Das sinnvollste: Nur sinnvolle VLANS aufbauen (eben da, wo du nur gezielt bestimmten traffic zulassen willst). Sofern alle Koponenten VLAN sprechen klingt das am ehesten nach fehlenden allow regeln in der Firewall? Also zum testen meinetwegen ne regel von 10.0.10.0/24 (VLAN1?) nach 10.0.20.0/24(VLAN2?).. Ansonsten fehlen noch ein paar mehr Details zu eurem Setup

 

[Der_Dicke82]

Soll den irgendwas getrennt werden, bzw. bleiben?

Wenn alles ein Netz sein soll, dann Route das doch ganz einfach so!

 

[El-Midas]

Wenn in deinen Netzen (LAN1-3) unterschiedliche IP Bereiche verwendet werden muss das geroutet werden.
Das Routing muss an dem Switch geschehen, wo alle Netze angeschlossen sind (der TP-Link, wenn der Layer-3 fähig ist) oder du leitest die VLANs per Trunk zur Firewall und routest da. Zusätzlich müssen alle Geräte in den jeweiligen Netzen die IP des Routers als Gateway eingetragen haben.

VLAN-Tagging muss immer auf beiden Seiten eingestellt werden (Switch-Switch / Switch-Client) ist aber eigentlich nur nötig, wenn du mehr als ein VLAN über den selben Port transportieren willst (Trunking).

VLANs sind bei verschiedenen Netzen schon sinnvoll, da Broadcasts nicht in alle Netze verteilt werden sondern im VLAN bleiben und somit den Traffic reduzieren.

Edit: VLANs sind nicht notwendig wenn die Netze getrennt bleiben und separat an dem Router angeschlossen werden können

 

[BeTZe]

Danke schonmal für die ganzen Infos. Aktuell stehe ich leider etwas auf dem Schlauch.

Also die Netze haben alle unterschiedliche IP Bereiche. (10 / 172 / 145). Aktuell muss ich es leider auch erstmal dabei belassen. Später würde ich gerne alles im in einem Bereich haben wollen (10). Aber vorerst muss ich es erstmal so belassen.
Ich würde schon gerne die OPNsense Firewall nutzen. Wäre es dann in der Situation gut mit VLANs zu arbeiten? Wenn ich @El-Midas richtig verstanden habe, müsste ich die VLANs zur Firewall leiten und da dann routen?
Die OPNsense liegt im IP Bereich 10. Vom Switch kann ich sie anpingen. Aber von keine Client aus.

Folgendes habe ich am Switch aktuell eingestellt
VLAN 1 (10) an Port 1
VLAN 2 (145) an Port 2
VLAN 3 (172) an Port 3

VLAN 1 (10) -> Kabel direkt zur OPNsense -> Port 1 untagged, Port 2 und Port 3 tagged
VLAN 2 (145) -> Kabel an einen weiteren Switch mit den Clients -> Port 1 tagged, Port 2 untagged
VLAN 3 (172) -> Kabel an einen weiteren Switch mit den Clients -> Port 1 tagged, Port 3 untagged

VLAN 2 unter PVID die ID eingetrage, genauso für VLAN 3

In der OPNsense habe ich VLAN 2 und VLAN 3 angelegt. In der Firewall erstmal eine Regel, wo alles erlaubt ist für VLAN 2 und VLAN 3.

Nur da ich von den Clients die OPNsense nicht anpingen kann, werden die Regeln dann überhaupt beachtet?

 

[TorenAltair]

Wenn die Netze sowieso physikalisch getrennt sind, brauchst Du doch keine VLANs. Einfach beim sowieso nötigen Routing Regeln definieren, wer wohin darf.

Was meinst Du mit Bereich 145?

 

[BeTZe]

Und das Routing mache ich über den dritten Switch?
Kann ich das dann auch so Routen, dass Rechner aus LAN 2 in LAN 3 kommen und umgekehrt?

Der IP Bereich ist 145.243.92.0 - ich weiß, nicht glücklich gewählt.

 

[redjack1000]

Also die Netze haben alle unterschiedliche IP Bereiche. (10 / 172 / 145).

Was sollen das für Bereiche sein?

Wie ist das Routing zwischen den Netzen eingerichtet?

Und das Routing mache ich über den dritten Switch?

Wenn der Routing kann, kann man das da machen, alternativ benutze OPNsense zum Routing.

CU
redjack

 

[TorenAltair]

Sofern ich Deinen Aufbau richtig verstehe, sollte es so ein (und nimme keine öffentlichen IPs für lokale Netze)

Switch2 —-> Clients. Switch3 ——> Clients

Switch2 und 3 kriegen ein Kabel zu Switch1
Switch1 hat Zugang zum Internet

Switch1 muss dann routen, weil 3 verschiedene Adressbereiche. Kann Switch1 kein Routing muss an Switch1 ein Router dran. Auch wenn die Konstruktion seltsam ist.

 

[BeTZe]

@redjack1000
Aktuell sind die beiden Netze über eine VPN Verbindung verbunden. Obwohl beide im gleichen Haus sind. Das läuft über zwei alte IPCop Server wobei in jedem Netz einer steht. Und das will ich unbedingt ändern. Ich brauche später allerdings auch noch VPN Verbindungen zu zwei anderen Standorten. Aber zu erst möchte ich das hier mit den Netzen ändern.

@TorenAltair
Genau so ist der Aufbau. Ich würde aber gerne die OPNsense noch mit integrieren. Die ist aktuell mit einem Kabel an Switch1 angeschlossen.

 

[redjack1000]

Aktuell sind die beiden Netze über eine VPN Verbindung verbunden.

Und welche Netze sind das? Nenne die genauen Subnetze.

Cu
redjack