VLAN für Laptop-Dock - Netgear Switch

[RockNLol]

hi,
ich habe privat einen Lenovo C940-14 Laptop und von der Firma einen Lenovo T490. Diese stecken bei mir im Arbeitszimmer an einem unterm Tisch montierten Netgear GS108Ev3, ein günstiger "Smart Managed" Switch (mMn. leider eher nicht sehr smart, aber OK). Beide haben Thunderbolt 3, weshalb ich mir das Lenovo TB3 Dock Gen2 geleistet habe, um nur mehr ein einzelnes Kabel am Tisch liegen zu haben. Aus Sicherheitsgründen möchte ich meinen Arbeitslaptop im Gäste-VLAN 3 haben, wo er nicht zu meinen IoT- und Serverspielereien kann und, noch wichtiger, nicht umgekehrt. Meinen privaten Laptop hätte ich gerne in meinem ganz normalen Netz VLAN 1.
MAC-abhängiges VLAN fällt flach, weil ich ja dasselbe Netzwerkinterface mit derselben MAC-Adresse im Dock mit beiden Laptops verwende. An den Netzwerk-Einstellungen des Arbeitslaptops kann ich nichts verändern, da ich keine Administratorrechte habe. Daher hätte ich jetzt folgendes am Switch eingestellt:

1. Port 2, wo das Dock angeschlossen ist als Portmitglied von VLAN 1 und 3
2. Die Mitgliedschaft in VLAN 1 auf Tagged
3. Die Mitgliedschaft in VLAN 3 auf Untagged
4. PVID von Port 2 auf VLAN 3

Mein Gedanke war, dass der Arbeitslaptop ohne Settings wegen PVID ins VLAN 3 kommt und ich bei meinem Privatlaptop in den Adaptereinstellungen VLAN 1 erzwinge. Leider lande ich nun egal was ich als VLAN einstelle im VLAN3.

Habe ich da einen Denkfehler?

 

[Ray519]

Mal was anderes hast du mit dem T490 nicht MAC-Address Passthrough? Dann hättest du auch unterschiedliche MAC-Addressen. Wenn das C940 das nicht könnte, würde der dann die native MAC-Addresse der Dockingstation nutzen...


Nun zum eigentlichen Thema:
Also mit anderen Switches als Netgear habe ich so eine Konfiguration (Trunk-Port mit Fallback-VLAN) schon mal am Laufen gehabt, mit Netgear Geräten war das schwierig, da bin ich nicht mehr sicher ob es irgendwann mal lief.

Aber bei den M4100 Switches die ich konfiguriert hatte, gab es bei PVID noch eine extra Option, ob vorhandene VLAN-Tags überschrieben werden oder zB verworfen werden, wenn sie nicht zur PVID passen. Das müsstest du auch noch passend einstellen. Weiterhin meine ich das VLAN 1 zumindest bei manchen Geräten synonym zu "kein VLAN" ist und deshalb obendrauf noch Probleme machen könnte...

 

[leipziger1979]

Mir gehen erst einmal andere Fragen durch den Kopf:

Hast du Erfahrung mit VLANs?
Welcher Router geht ins Internet? Der müsste ja auch was mit VLAN anfangen können.

 

[RockNLol]

MAC-Address-Passthrough geht leider nicht, weil ich nicht ins BIOS vom Arbeitslaptop kann und mein C940 das nicht unterstützt.
VLAN1 für das Standardnetz rührt daher, dass ich einen DD-WRT-Router hatte, der das zwingend benötigt hat, um das Guest-WLAN auch in das Guest-VLAN zu-bridgen. Diesen habe ich aber gegen einen UniFi AP getauscht, das könnte ich also bei Gelegenheit ändern. Bedeutet nur ein bisschen Arbeit am Proxmox-Server mit den VMs.

Erfahrung mit VLANs? Naja, ich bin kein gelernter Netzwerktechniker, sonst würde ich nicht in einem Forum fragen müssen. Ich habe mich aber sehr wohl mit der Thematik befasst und im Internet belesen und weiß ungefähr was es macht und wie es anzuwenden ist. Ich verwende es seit einigen Jahren in meinem Heimnetzwerk, seit ich einen in der Arbeit ausrangierten TP-Link TL-SG2216 bekommen habe, der VLANs unterstützt. Dann kamen halt die VLANs für Gäste und IoT-Geräte dazu und zum Testen von VMs verwende ich auch ganz gern ein separates VLAN.

Mein Router ist eine OPNsense-VM auf meinem Proxmox-Server, das hat aber mit meinem Problem soweit ich das sehe nicht viel zu tun.

*EDIT: Ich habe ein bisschen herumprobiert. Egal, was ich für ein VLAN in den Adapteroptionen einstelle, ich komme immer ins VLAN, auf das die PVID gestellt ist. Auch ohne gesetztes VLAN landet man im VLAN3, zumindest das funktioniert wie gewollt.

 

[Raijin]

das hat aber mit meinem Problem soweit ich das sehe nicht viel zu tun.

Die Fragen von @leipziger1979 rühren daher, dass 99 von 100 Leuten, die hier im Forum Fragen zu VLANs stellen, eine vollkommen falsche Vorstellung davon haben und denken, dass ein 20€ Smart Managed Switch ausreicht, um im Heimnetzwerk siebenunddrölfzig VLANs aufzuziehen - und das ohne einen Router zu haben, der mit mehreren Netzwerken, seien es physische LANs oder virtuelle VLANs, umgehen kann. VLANs an einem Switch wie dem GS108E sägen den Switch nur virtuell in mehrere Teilswitches. Dadurch sind sie noch in keinster Weise miteinander verbunden, um beispielsweise einen gemeinsamen Internetzugang zu nutzen.

In deinem Szenario würde ich erstmal die Basisfunktion testen. Am Switch zwei Ports als untagged für jeweils ein VLAN konfigurieren und dort die beiden Laptop separat anschließen. Sind sie so im passenden VLAN bzw. dessen Subnetz? Haben sie so eine Internetverbindung bzw. ist der Zugriff auf die restlichen Geräte wie NAS, etc. wie gewünscht geblockt oder wider Erwarten doch möglich?

Im nächsten Schritt würde ich einen Port dann als Tagged konfigurieren und im Treiber des dorigen Laptops eben jenes VLAN-Tag einstellen. Erneut testen.

Wenn das bis hierhin geklappt hat, aber im Test mit der Dockingstation nicht klappt, ist eben diese tendentiell die Ursache für dein Problem.


Übrigens: Wenn du magst, kannst du ja mal eine kurze Skizze mit den verwendeten Geräten (Router, Switches) sowie den VLANs und IP-Adressen nebst der Verkabelung machen. Das hilft ungemein, wenn man versucht, Probleme in fremden Netzwerken zu lösen. Schließlich wissen wir ja nicht ob an der VLAN-Konfiguration bzw. dem gesamten Netzwerk überhaupt alles korrekt eingerichtet ist.