ComputerBase
Aktuelles

Vlan Ubuntu doppelt zu erreichen

FabianX2

FabianX2

Lieutenant
Registriert
Apr. 2006
Beiträge
824
Hey,

ich hab ein mehrere Problem mit der Vlan config in Ubuntu.

1. apt-get install vlan
2. modprobe 8021q
3. vconfig add MEIN NETZWERKADAPER VLANID
4. ip link set up Netzwerkadapter.VLANID
5. ifconfig NETZWERKADAPTER.VID IPRECHNER netmask SUB broadcast BCAST

In Oberfläche des Unifi Controllers erscheint der Rechner mit der richtigen ID und wird auch dem richtigen VLAN zugeordnet. Ich kann die Ip auch anpingen. Funktioniert soweit wie zu erwarten.

Probleme:
1. Der alte Netzwerkadapter auf dem das Vlan aufbaut bleibt samt IP erhalten und es ist auch weiterhin möglich diesen anzupingen. Ich möchte aber das der Rechner nur noch im Vlan unter der neuen IP zu erreichen ist. Ich hab bereits versucht einfach einen quatsch IP in den alten Adapter zu schreiben dann geht aber gar nichts mehr.

2. Sobald ich neu starte ist die config logischerweise weg. Idee war die /etc/network/interfaces zu editieren. Die Datei gibt es aber gar nicht mehr. Ich hab es ohne erfolg trotzdem versucht.
auto ADAPTER.VID
iface ADAPTER.VID inet static
address IP RECHNER
netmask SUB
broadcast BCIP
vlan-raw-device ADAPTER

Inzwischen hab ich auch schon geslesen dass Ubuntu jetzt Netplan nutzt. Wie mit YAML umgeht und was da genau rein muss hab ich noch nicht kapiert.

Hoffe ihr seid so gnädig mir zu helfen. Nutze erst seit gestern Linux.

Danke und Grüße,
Fabi
 
Bei Ubuntu ist mittlerweile Netplan das Mittel der Wahl, wenn es um die Netzwerk config geht. Außerdem hat Ubuntu (zumindest Server) schon von Haus aus alles installiert, um vlan zu nutzen.
Bei den yaml ist wichtig, dass du nur Leerzeichen und keine Tabs verwendest.
Eine Demo yaml kann ich dir gerne zusammen schreiben, dafür brauche ich aber noch weitere Informationen, wie z. B. nutzt du in den VLANs statische ips/ dynamsiche, den Namen der Lan Eingang in deinen Rechner, VLAN ID, DNS, ...
Wenn du die Datei in /etc/netplan/ abgelegt hast, aktivierst du die mit dem Befehl "netplan apply".
 
Hat jemand eine Idee was die Erreichbarkeit über die nicht VLAN IP angeht (siehe oben)? Das macht ja den ganzen Sinn des Vlan zunichte.

Jules153 schrieb:
Außerdem hat Ubuntu (zumindest Server) schon von Haus aus alles installiert
Zum Vergrößern anklicken....

Ist mein Desktop Rechner hatte mich daher für 19.10 entschieden. Ein File liegt auch unter /etc/netplan/ nur kann ich damit nix anfangen. Weiß nicht mal wie ich die yaml einsehen gescheigeden editieren kann. Vlan hab ich dann wie oben beschrieben nachinstalliere. Gui gibts ja für Server so oder so net oder? Damit gehe ich davon aus dass es keinen Unterschied macht ob Server OS oder nicht. Noch könnte ich umsteigen ist ein komplett neues Setup.

Jules153 schrieb:
Eine Demo yaml kann ich dir gerne zusammen schreiben, dafür brauche ich aber noch weitere Informationen.
Zum Vergrößern anklicken....

Danke sehr gerne.
Rechner IP: 192.168.6.2; Broadcast: Standart letzte (192.168.6.255); Gateway: 192.168.6.1 Netzwerkdaten: 192.168.6.0/24; VlanID 60; DNS 192.168.1.27; Ips Sind statisch. Es läuft aber aktuell noch ein DHCP. Der vergibt von 192.168.6.2 bis 192.168.6.254 komplett alles. Netzwerkadapter: "enp42s0".

Brauchst du sonst noch was?
 
Zuletzt bearbeitet:
Die yaml sind normale Text Dateien, wenn du eine gui dafür findest, wird die auch nur die Dateien schreiben. Wenn du im Datei Browser auf mit root Rechten öffnen oder so ähnlich klickst, solltest du das Bearbeiten können.

Config Beispiele findest du auf der Seite von
Netplan, unter dem Punkt Network Bridges sollte das zweite Beispiel dem entsprechen, was du ungefähr brauchst. Anpassen musst du da die IPs, oder dhcp aktivieren, die VLAN iD anpassen und enp0s25 an die Bezeichnung deines Lan Port am Rechner anpassen. Wenn du nur ein VLAN nutzt, kannst du aber in der Unifi Oberfläche auf auf untagged stellen, dann brauchst du die ganze VLAN config am Rechner nicht. Das macht erst Sinn, wenn du mehrere VLAN auf tagged, trunk, o.ä eingestellt hast.
Code: 
network:
  version: 2
  renderer: networkd
  ethernets:
    enp42s0:
      dhcp4: true
  bridges:
    br60:
#      addresses: [192.168.6.2/24]
#      gateway4: 192.168.6.1
#      nameservers:
#                search: [192.168.6.1]
#                addresses: [192.168.1.27]
       dhcp4: true
       interfaces: [vlan60]
  vlans:
    vlan60:
      id: 60
      link: enp42s0
Das Auskommentierte brauchst du erst, wenn du den DHCP deaktivierst, sonst liefert der alle Daten davon.
Um von einem VLAN in ein anderes zu kommen, brauchst du ein Gerät (Ubuntu: iptables), dass Source-NAT kann. Da muss man aber genau wissen, was man macht, damit man die Separierung durch VLANs nicht wieder aufhebt.
 
Zuletzt bearbeitet:
Ich bin mir nicht ganz sicher zu verstehen was du damit meinst dass ich am Rechner selbst eigentlich keine Vlan Zuweisung brauchen. Wie soll den der DHCP dann wissen zu welchem Netz der Rechner gehört und aus welchem Netz er eine IP vergeben soll?

Vielleicht damit wir nicht aneinander vorbei reden der Grundsätzlich Aufbau im Spoiler:
Ich habe abgesehen von meinem Modem ein Markenreines Unifi Netzwerk. Mehrere APs, Switches, USG, Controller. Ansonsten noch einen einen Heimserver mit 3 Nics, Raspberrys für Dinge wie PiHole, Controller, IoBroker etc. und das übliche an Laptops, Tablets, Handys, Workstations, PCs, IOT-Kram, Mediacenter, etc.

Auf dem Server läuft unter anderem FreeNAS (nur von innen zu erreichen), Nextcloud (von außen erreichbar - auch von nur bedingt vertrauenswürdigen personen daher eigener NIC am Server und eigener Port am Modem) und anderer hier nicht relevanter Kram.

Es gibt ein komplett restriktiv abgeschottetses Gästenetz, nur Internet. Alles andere ist auf 10 verschiedene VLans für die spezifischen Geräte aufgeteilt. Das verfolgt den Zweck die Kommunikation innerhalb und außerhalb des LANs besser per Firewall verwalten zu können. Zum einen regelt das die Proxmox Firewall zum anderen die Unifi Firewall.

In erster Linie geht es darum die von außen erreichbare Nextcloud von allem innen zu trennen. Darüber hinaus müssen einfach nicht alle Geräte einander kennen und auch nicht alle erreichbar sein oder nach draußen Funken.

Die Basiseinstellung für ein Unifi Vlan der Unternehmensgruppe (so sind aktuell alle Vlans angelegt) ist die Kommunikation zwischen allen Vlans zu erlauben. Die Beschränkungen macht man dann hinterher händisch. Natürlich kann man auch andersrum ein Netzwerk als reines Vlan erstellen bei dem die Kommunikation auf ein Vlan beschränkt ist. Ich habs halt anders rum gemacht. Denke am Ende spielts keine Rolle. Ich kann ja jetzt genauso als erste Regel für eine Netzwerkadresse alles blocken und dann einzeln drüber wieder auf machen.

Aktuell bin ich dabei alle Geräte vom alten Netz ins neue samt Vlans zu migrieren. Das gestaltet sich jedoch deutlich schwieriger als erwartet. Die VMs und LXCs waren problemlos innerhalb von Proxmox umzukonfigurieren hier lief alles wie gedacht. Gleiches gilt für Win10. Erweiterten Netzwerktreiber laden Vlan Tag eintragen - läuft. Bei den Android Geräten (und ich hab nich nicht alle durch) gab es schon Probleme vor allem mit den Samsung Geräten. Die laufen inzwischen. Es fehlt aber auch noch ein ganzer Batzen will mich da nicht zu früh freuen. Völlig unerwartet sind jetzt die unnachzuvollziehbaren Probleme mit Ubuntu 19.10.

Danke auf jeden Fall für dein yaml! Das sieht gut aus. Auch der Aufbau ist nachvollziehbar und damit hoffe ich das auch editieren zu können ohne Fehler einzubauen. Ich kann das leider erst später heute Abend testen wenn ich wieder zuhause bin.

Darüber hinaus bleibt aber immer noch das Problem mit dem Ursprungs Netzwerkadapter bestehen der weiter eine IP hat und fröhlich kommuniziert. Das macht den ganzen effekt der Vlan Einstellungen natürlich nichtig.

Wenn ich wie im eingangs Post beschrieben ein Vlan konfiguriere taucht der Rechner auch mit der Vorgesehenen IP im vorgesehen Vlan auf (im Unifi Controller) und die Ip ist auch zu erreichen. Leider ist auch noch die alte IP von dem Netzwerkadapter (Pysikalisch der gleiche - der Rechner hat nur einen Port) zu erreichen.

Um das nochmal nachvollziehbar zu machen an einem abstrakten Beispiel. Angenommen ich hab Netzwerkadapter Eth0 dem füge ich dann ein Vlan 5 hinzu. Dann habe ich in ifconfig einen Eintrag mehr: Eth0 mit der alten IP sagen wir 192.168.1.2 ohne vlan und einen neuen eintrag der Eth0.5 heißt im Vlan mit einer bsp. Ip von 192.168.5.2. Beide sind zu pingen und erreichbar. Ich will aber das nur der neue im Vlan zu erreichen ist. Sonst ist das ja alles Quatsch. Wenn ich aber Eth0 deaktiviere indem ich quatschige Netzwerkadressen eingebe die es in meinem Netzwerk nicht gibt wie bspw. 5.5.5.5 dann funktioniert auch die Verbindung über den Vlan Netzwerkadapter und dessen Ip nicht mehr obwohl daran nichts verändert wurde. Ich weiß nicht wie ich den alten Natzwerkadapter sonst deaktivieren soll iwie scheint das vlan davon abhängig zu sein.

Jetzt bin ich total verwirrt. Lief also der traffic evtl. doch über die alte IP? Und die Vlan Ip war nur Pingbar aber sonst nicht aktiv?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

Dieser Dialog konnte nicht vollständig geladen werden, eine Zustimmung gilt daher nur vorläufig. Blockiert ein Browser-Add-on Third-Party-Scripte?

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 157 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz