VLAN - Router on a stick - Anfängerfrage

[DFFVB]

Hallo zusammen, ich hab eine Fritzbox. An dieser ist ein Managed Switch angeschlossen. Am Port 1 zur FB hat er VLAN 10. Am Port 2 hat er VLAN 10 und 11, am Port 3 ist es nur VLAN 11. Port 2 hängt an einem exklusiv einem per Hyper-V zugeordneten NIC an einer virtualisierten Firewall. Auf dem NIC sind zwei VLANs (10,11), respektive zwei vNICs, die Firewall erkennt diese - alles gut. Port 3 geht dann an einen Router im Access Point Modus. Soweit funktioniert auch alles - an zwei unterschiedlichen Switchen. Wenn man dann aber den Switch Port 8 einfach in den Router im AP Modus steckt (ist ja VLAN 1), dann geht gar nichts mehr. Ich dachte erst das wäre der TP-Link, aber nein auch Cisco Business 250 spielt verrückt. Wenigstens gibt der noch native VLAN mismatch als Fehler wieder, so richtig schlau geworden bin ich da nicht. Hatte dann auch kurzerhand VLAN 11 gegen VLAN 1 ausgetauscht auch das brachte nichts. Auch die Option "Exclude" für die Ports 1,2 und 3. Oder auch nur 1 & 2 hat, leider nüscht gebracht. Da es an beiden Switches auftritt, vermute ich, ich habe ein fundamentales Grundprinzip außer Acht gelassen habe, und Hilfe hier gefunden werden kann :-)

Danke vorab.

 

[CloudConnected]

Hat der Switch ne Loop Protection?
Kann der Spanning Tree?

 

[cbtaste420]

Wie sind die Ports genau konfiguriert? Welche Ports haben welche VLANs (tagged, untagged, pvid)? Wie sind die Ports an den APs eingestellt?
Hersteller und Modell des Switches und der APs wäre noch interessant.

 

[Bob.Dig]

Wieso den Router sowohl in Port 3 als auch Port 8 stecken? Ist echt schwierig das so nachzuvollziehen ohne Netzplan. 😉

 

[cbtaste420]

Ist echt schwierig das so nachzuvollziehen ohne Netzplan.

Was hat seine Projektplanung mit dem Netzwerkproblem zu tun?

 

[Raijin]

Was hat seine Projektplanung mit dem Netzwerkproblem zu tun?

Weil in der wall of text in #1 die Rede von einer Fritzbox, einer Firewall-VM und scheinbar noch einem 3. Router als AP konfiguriert die Rede ist und es ziemlich nervig ist, sich als Leser des Threads das vermeintliche Setup im Kopf selbst zusammenzubasteln. Dabei können beliebig viele Missverständnisse entstehen und am Ende versucht man eine Lösung für das falsche Setup zu finden.

Ein Bild sagt mehr als 1000 Worte. Der Spruch kommt nicht von ungefähr...

Zu einer ordentlichen Problembeschreibung gehört nun mal ein Mindestmaß an Aufwand. Eine kleine Skizze, alle beteiligten Geräte mit Hersteller, Modell bzw. OS sowie möglichst genaue Infos zur Konfiguration. Sowas wie "am Port 1 hat der Switch VLAN 10" ist nichtssagend, weil es nun mal tagged und untagged VLANs sowie die PVID gibt wie du selbst ja schon angemerkt hast. Mit sowas kann man nichts anfangen.

 

[DFFVB]

Hat der Switch ne Loop Protection?
Kann der Spanning Tree?

Ja

Wie sind die Ports genau konfiguriert?

Für den Cisco:

• Alle Ports als "access", außer Port 2, der ist "trunk"
• Für VLAN1 Port 1-3 "excluded", der Rest "untagged", PVID überall außer bei Port 1&3
• Für VLAN 10 Port 1;4-8 "excluded", Port 2 "tagged" und Port 3 "untagged", PVID nur bei bei Port 3
• Für VLAN 11 Port 3-8 "excluded", Port 1 "untagged", Port 2 "tagged", PVID nur bei Port 1

Was mich eben irritiert ist die Fehlermeldung
CDP-W-NATIVE_VLAN_MISMATCH: Native VLAN mismatch detected on interface gi8
CDP-W-NATIVE_VLAN_MISMATCH: Native VLAN mismatch detected on interface gi3

Und sobald ich an Port 8 ziehe, geht auch wieder alles. Native VLAN geht aber nur bei Trunk Ports einzustellen, bei Access Ports gibts ja nur eines. Und Port 3, verstehe ich, aber Port 8? PVID könnte er ggf eine andere mitgeben, aber ich dachte die ist bei "untagged" entfernt?

Ich hab auch schon überlegt ob ich ggf. nur 1 VLAN brauche, und den Rest auf VLAN 1 lasse, damit wollte er gestern aber nicht, aber wollte ich mit einem anderem Rechner nochmal nachstellen.

Port 3 als Trunk mit VLAN 1 und 11 geht leider auch nicht.

Welche Ports haben welche VLANs (tagged, untagged, pvid

Für den TP-Link TL-SG108E - hab ich gerade nochmal in die Einstellungen geschaut, nachdem ich die Ports 4-8 für VLAN 1 auf untagged gesetzt habe, ergo 1-3 raus sind, geht es.

Wie sind die Ports an den APs eingestellt?

Da gibt es keine Einstellmöglichkeiten, lediglich Spanning Tree kann aktiviert werden. Ist BTW ein QNAP Qhora.

Hersteller und Modell des Switches und der APs wäre noch interessant.

Cisco CBS250-8T-D

Wieso den Router sowohl in Port 3 als auch Port 8 stecken?

Also Port 3 ist ja der Ausgang der Firewall, Port 8 dann einer der Switchports vom AP; leider aber auch wenn man direkt reinsteckt.

Ergänzung (19. Dezember 2022)

Und hier noch mit Bildchen:

 

[cbtaste420]

PVID könnte er ggf eine andere mitgeben, aber ich dachte die ist bei "untagged" entfernt?

bei Access Ports gibts ja nur eines.

Nein, bei manchen Herstellern kann ein Port mehrere VLAN IDs haben, ein untagged Access-Port sein und aus diesen mehrere VLANs eine PVID gesetzt haben. Das nennt sich Asymmetric VLAN, der Port empfängt Traffic aus n-VLANs, sendet aber nur in das VLAN = PVID.

Für den TP-Link TL-SG108E - hab ich gerade nochmal in die Einstellungen geschaut, nachdem ich die Ports 4-8 für VLAN 1 auf untagged gesetzt habe, ergo 1-3 raus sind, geht es.

Bist du sicher, dass das Fehlerbild nur bei Port 8 aufgetreten war? Ich hätte vermutet, dass es bei 4-8 auftritt.

Nach deiner Beschreibung sah die Konfiguration so aus:

Port#​	1​	2​	3​	4​	5​	6​	7​	8​
Type​	Access​	Trunk​	Access​	Access​	Access​	Access​	Access​	Access​
PVID​	11​	​	10​	1​	1​	1​	1​	1​
VLAN 1​	​	​	​	u​	u​	u​	u​	u​
VLAN 10​	​	t​	u​	​	​	​	​	​
VLAN 11​	u​	t​	​	​	​	​	​	​

Und so war es wirklich eingestellt?

Port#​	1​	2​	3​	4​	5​	6​	7​	8​
Type​	Access​	Hybrid​	Access​	Access​	Access​	Access​	Access​	Access​
PVID​	11​	​	10​	1​	1​	1​	1​	1​
VLAN 1​	u​	u​	u​	u​	u​	u​	u​	u​
VLAN 10​	​	t​	u​	​	​	​	​	​
VLAN 11​	u​	t​	​	​	​	​	​	​

Also Port 3 ist ja der Ausgang der Firewall, Port 8 dann einer der Switchports vom AP; leider aber auch wenn man direkt reinsteckt.

Verstehe ich nicht, was hast du vor?

PS: Erste Regel bei VLANs, nutze niemals VLAN 1.

 

[norKoeri]

Aus reiner Neugierde: Warum ist der QNAP QHora nicht Dein Internet-Router?

 

[DFFVB]

Bist du sicher, dass das Fehlerbild nur bei Port 8 aufgetreten war?

Danke erstmal für die Mühe mit der Tabelle, das ist so korrekt! Ich hatte es nur an Port 8 getestet :-)

Verstehe ich nicht, was hast du vor?

Also das Ziel ist es (jetzt noch am Cisco) - die Ports 1-3 als VLANs für die FW VM zu benutzen, und 4-8 als normale Switchports, für das LAN was aus Port 3 kommt.

Aus reiner Neugierde: Warum ist der QNAP QHora nicht Dein Internet-Router?

Das hat verschiedene Gründe. 1. Bequemlichkeit, die Fritzbox muss man ja halbweg skompliziert umstellen, dass sie nicht die Einwahl übernimmt, so hat man auch zwei Firewalls. Dazu könnte man, wenn man unbedingt Geräte von außerhalb erreichbar machen will, diese an die FB anschließen, ich sag mal DMZ für Arme. Und schlussendlich traue ich QNAP da nicht über den Weg :-)

 

[cbtaste420]

Ports 1-3 als VLANs für die FW VM zu benutzen, und 4-8 als normale Switchports, für das LAN was aus Port 3 kommt

Die FW/Router-VM nutzt nur Port 2, mit dem sie sich in 2 Netzen befindet. Die Netze haben weitere Member, VLAN 11 hat die FB an Port 1 und VLAN 10 hat die Member 3-8.
Was du willst, ist das VLAN 10 den Ports 3-8 als untagged/Access-Ports zuweisen, damit sie miteinander kommunizieren können.
Dann würde ich den Switch so einstellen, damit sind die Ports 3-8 hinter der Router-VM.

Port#	1	2	3	4	5	6	7	8
Type	Access	Trunk	Access	Access	Access	Access	Access	Access
PVID	11		10	10	10	10	10	10
VLAN 1		t
VLAN 10		t	u	u	u	u	u	u
VLAN 11	u	t

An die Access-Ports kannst du beliebige Geräte anschließen, auch weitere APs, die Ports verhalten sich wie normale Switch-Ports. Welche VLAN ID die Ports an anderen Geräten haben ist egal, die bekommen keine Tags zu sehen, die werden vom Switch an Access-Ports entfernt.
VLAN 1 benötigst du für sicherlich für das Management vom Switch, dafür dann einfach ein zusätzliches VLAN-Interface in der FW einrichten. Alternativ kannst du auch einen Port für das Management opfern.

Update:
Einen Tipp noch für die Benennung von VLANs und IP-Adressbereichen: Die VLAN ID sollte sich in der IP wiederfinden. Z.B. die FB ist im Netz 192.168.178.0/24, dann könnte man die VLAN ID 178 am Port 1 nutzen. Oder das Netz hinter deiner Router-VM, dem du breits die VLAN ID 10 zugewiesen hast, entsprechend 192.168.10.0/24 usw...

 

[norKoeri]

so hat man auch zwei Firewalls

Entsprechendes Modem kaufen. Gibt es gebraucht teilweise sogar schon geschenkt. Ansonsten für wirklich kleines Geld. Wenn Du uns sagst, welche Anschluss-Art (DSL, Cable oder Fiber) Du mit welcher Geschwindigkeit hast, können wir Dir eine Kaufberatung machen. Willst Du die Telefonie behalten, kommt die FRITZ1Box dann im Modus IP-Client hinter den QNAP QHora.

verschiedene Gründe

Wenn Du die FRITZ!Box behalten willst, sag uns bitte warum der QNAP QHora im Modus Bridge unbedingt ein eigenes VLAN braucht. Ich verstehe die Zielsetzung nämlich noch nicht.