ComputerBase Menü
Aktuelles

Wie "verbinde" ich VLANs?

S

surface3

Cadet 4th Year
Registriert
Mai 2015
Beiträge
78
Hallo,
mittels Netgear Switch 105E habe 2 virtuelle Netzwerke aufgebaut, die sich nicht gegenseitig sehen können.
Wie kann ich dennoch allen PCs (trotz unterschiedlicher VLANs) den Internetzugang ermöglichen?
Ich habe im Vorfeld im Internet gelesen, das man hierfür ein Routing braucht. Die Fritzbox 7390 kann das anscheinend nicht.

Kennt jemand eine billige und stromsparende Lösung, mit der ich das Routing herstellen kann? Oder muss es wirklich ein teurer VLAN-fähiger Router sein, der mehrere hundert Euro kostet?
 
Du bist auf dem richtigen Weg.
Ja du brauchst einen VLAN fähigen Layer 3 Router der die VLANs verbindet.

Ich habe es selbst noch nicht getestet aber ich glaube es gibt für die Fritzbox einen "Freetz" Mod, der die FB VLANs routen lassen kann.
 
Darf man fragen warum du mit VLANs arbeiten möchtest?
 
Ein EdgeRouter-X von Ubiquiti für ~50€ hat 5 Interfaces und kann soviel routen wie du willst. Ein herkömmlicher L2-Switch mit VLANs kann nur die Ports separieren, nicht mehr. So als wenn man quasi einen 24-Port-Switch in der Mitte durchschneidet und 2x 12-Port daraus macht. Wobei man auch Tagged VLAN einstellen kann, also ein Port, der quasi mit einem Bein im linken "Teilswitch" und mit dem anderen Bein im rechten steht.

Anstelle eines ER-X kann man zB auch MikroTik nehmen oder gar einen OpenWRT/DD-WRT-Router. Wobei ich persönlich von den OpenX weg bin seit ich die EdgeRouter verwende. Billiger als ein ER-X geht es kaum, wenn man den Funktionsumfang der Kiste bedenkt..
 
Zuletzt bearbeitet: (Aus Drei-Bein mach Zwei-Bein ....)
MikroTik hört sich gut an, denn diese HW kostet nur knapp 30 Euro.
Da ich auf meine Fritzbox nicht verzichten kann (Stichwort "interner S0-Bus"), werde ich den MikroTik zwischen Fritzbox und Netgear Switch schalten.

Nehmen wir jetzt mal an, am Netgear Switch hat jeder Port eine andere VLAN. Wie kann ich dann dem MikroTik "beibringen", dass jede VLAN ins Internet darf (die Frames werden in diesem Fall in Richtung Fritzbox weitergeschickt), während sich die VLAN untereinander nicht unterhalten dürfen.
Erfolgt das Routing ausschließlich anhand von IP-Adressen? Muss ich demnach für jede VLAN ein eigenes Subnetz einrichten?

Ich habe so etwas vorher noch nie konfiguriert. Ich bitte daher um Eure Hilfe.
 
Wie man VLANs physikalisch an einem Router zusammenführt, kommt auf die Verkabelung bzw. den Router bzw. Switch an. Wenn ausreichend Ports zur Verfügung stehen, würde ich persönlich von jedem VLAN-Segment einen Uplink zum Router führen. Möchte man das nicht, muss man am Switch einen Port als Trunk konfigurieren, ein Port, der alle VLANs getagged überträgt. Dort klemmt man dann den Router an, der seinerseits die Tags auswertet und die Pakete aus den VLANs wieder trennt.

So sähe das jeweils aus:

1)
VLAN-Switch mit 8 Ports. Port 1-4 = VLAN10. Port 5-8 = VLAN20. Endgeräte an Port 1-3 bzw. 5-7 und jeweils vom letzten Port des VLANs (Port 4 bzw. 8) geht ein Kabel zum Router in einen eigenen Port. Der Port wiederum muss in dieser Konfiguration nichts vom VLAN wissen, weil dort sowieso nur Pakete vom jeweiligen VLAN ankommen bzw. sie gar nicht getagged sind (also keine VLAN-ID haben). Für den Router sind das also einfach zwei getrennte Netzwerke. Routing und Firewall werden dann ganz normal für die jeweiligen Interfaces, Subnetze, Ports, etc. konfiguriert.

2)
Derselbe Switch mit 8 Ports. Port 1-4 = VLAN 10. Port 5-7 = VLAN20. Port 8: Tagged VLAN10+20. Endgeräte wie gehabt an die normalen VLAN-Ports (Port 4 ist jetzt auch für Endgeräte gedacht). An Port 8 wiederum kommt ein LAN-Kabel zum Router. Da hier die Pakete mit VLAN-IDs versehen sind, muss auch der Port am Router für VLAN eingerichtet sein. Routing, etc. erfolgt dann nicht zwischen physikalischen Interfaces, sondern zwischen den VLAN-Interfaces für VLAN10 bzw. 20.


Ein VLAN ist ein separates Netzwerk bzw. Subnetz, das sich aber die physikalische Infrastruktur - also Kabel/Switches/Router - mit anderen VLANs teilt. Ein VLAN kann dabei zB vom MikroTik einen eigenen DHCP, DNS, etc. bekommen. Ich persönlich gestalte die Subnetze dann so, dass ich zB VLAN10 auf das Subnetz 192.168.10.0/24 setze und VLAN20 auf das Subnetz 192.168.20.0/24. Man darf aber kreativ sein.


Sofern noch keine Firewall-Regeln definiert wurden, ist ein Router in der Regel so eingestellt, dass er Traffic ungehindert weiterleitet. D.h. VLAN10 und VLAN20 bzw. die beiden Subnetze sehen sich auch. Möchte man das nicht, muss man die Firewall entsprechend konfigurieren, dass sie Traffic von 10 nach 20 und andersherum reglementiert (zB nur bestimmte IPs/Ports) oder ganz blockt. Für den Weg ins Internet muss man nichts weiter tun als dem Router ein Default-Gateway an die Hand zu geben (zB die Fritzbox). Sofern man im Internet-Router statische Routen anlegen kann, sollte man dies dann aber auch tun. Eine Route für das 10er Subnetz mit Ziel = VLAN-Router-IP und analog dazu eine in das 20er Subnetz. Kann der Internet-Router das nicht, dann muss man am VLAN-Router noch ein SNAT einrichten, ein masquerade. Damit kaschiert der VLAN-Router die beiden VLAN-Subnetze hinter seiner eigenen LAN-IP - ganz genau so wie es der Internet-Router mit dem LAN vs Internet macht.
 
Zuletzt bearbeitet:
Raijin schrieb:
2)
Derselbe Switch mit 8 Ports. Port 1-4 = VLAN 10. Port 5-7 = VLAN20. Port 8: Tagged VLAN10+20. Endgeräte wie gehabt an die normalen VLAN-Ports (Port 4 ist jetzt auch für Endgeräte gedacht). An Port 8 wiederum kommt ein LAN-Kabel zum Router. Da hier die Pakete mit VLAN-IDs versehen sind, muss auch der Port am Router für VLAN eingerichtet sein. Routing, etc. erfolgt dann nicht zwischen physikalischen Interfaces, sondern zwischen den VLAN-Interfaces für VLAN10 bzw. 20.
Zum Vergrößern anklicken....

Ein dickes Dankeschön für deine Ausführungen, Raijin.

Ich möchte die Variante 2 nutzen, also einen Tagged-VLAN-Port. Von der Umsetzung her habe ich jetzt alles verstanden, bis auf den fett markierten Text.

Wie muss ich mir die Konfiguration des Routings am MikroTik-Gerät bzw. EdgeRouter-X vorstellen?

MikroTik Port 1 (tagged) -> Verbindung zum Netgear Switch (mit den VLAN-Ports 10 und 20)
MikroTik Port 2 -> Verbindung zur Fritzbox

Was muss ich genau am MikroTik konfigurieren, damit (von Port 1 kommende) Frames mit VLAN 10 und 20 getagged, zum Port 2 weitergeleitet werden? Ist folgende Konfiguration möglich -> "VLAN 10 zum pyhsikalischen Port 2 weiterleiten", "VLAN 20 zum pyhsikalischen Port 2 weiterleiten"
Ist also eine Zuweisung "VLAN X routet zum pyhsik. Port y" möglich? Oder kann ich nur sagen "IP-Adresse X darf zum pyhsik. Port Y"?
 
Das unterscheidet sich eigentlich nicht wirklich voneinander. Eine Routing-Tabelle beinhaltet nur IP-Adressen und Subnetzmasken. Ob die nu aus dem VLAN kommen oder nicht. Bei Firrwall- bzw NAT-Regeln ist das ähnlich bzw. da kommen dann noch TCP/UDP Ports als Parameter dazu.

Der entscheidende Unterschied ist die Einrichtung der Ports an sich. Du musst im MikroTik bzw im ER an dem jeweiligen Interface ein VLAN hinzufügen und die entsprechende VLAN ID angeben. Dann steht bei den EdgeRoutern zB unter "eth2" (das ist der eigentliche LAN-Port) ein neues Interface mit dem passenden Namen "eth2.10". Dort kommen dann automatisch nur die Pakete raus, die für VLAN10 bestimmt sind und die physikalisch bei eth2 reinkommen (mit Tags). Nach der Einrichtung der VLAN-Interfaces läuft die Konfiguration von Routing, NAT, Firewall, etc genau so ab als wenn man statt 3 Ports +2 VLANs auf einem Port einfach direkt 5 Ports hätte. Die VLANs werden also einfach als virtuelle Ports behandelt.

Bei der Firewall stellst du nach Wunsch ganz normal ein, dass zB Quell-IP 192.168.10.0/24 nicht auf 192.168.20.0/24 zugreifen darf und andersherum. Als Ausnahme zB dein PC , also eine Ausnahme für 192.168.10.123 oder so. Statt der Subnetze kann man auch sagen, dass alles aus eth2.10 in Richtung eth2.20 geblockt wird. Wie man will...

Bei direkt an den Router angeschlossenen Subnetzen muss man in der Regel keine weiteren Routen im Router setzen, weil die als lokale Routen automatisch angelegt werden. D.h. dass der Router sofort den Traffic routet sofern nicht explizit eine Firewall eingerichtet wurde.
 
Zuletzt bearbeitet:
Falls es nur um 2 VLANs und nur um Internetzugriff geht, kann man sich auch mit dem Gastnetz der Fritzbox behelfen.

Dazu Gastnetz auf LAN 4 aktivieren. LAN 1 mit dem einem und LAN 4 mit dem anderen VLAN verbinden.

Vorteil: Einfach zu konfigurieren, keine Kosten
Nachteil: Man lernt nichts über Router, Routing usw... ;) , nur für einfache Szenarien, Gastnetz lässt sich nicht konfigurieren bzgl. IP-Netz, DHCP, etc.

LG Bam
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

F
Günstiges Heimnetz mit VLANs
2
Antworten
28
Aufrufe
1.084
GrillSgt
GrillSgt
D
Verschiedene Adressbereiche/VLANs an FritzBox
Antworten
5
Aufrufe
520
DN0412
D
W
Neue Netzwerk mit VLANs
Antworten
9
Aufrufe
824
DLMttH
DLMttH
B
3 Vlans mit 2 Internetzugriffen
2
Antworten
33
Aufrufe
1.976
syhm
S
wildcarts
2 PCs mit gemeinsamen zweiten Monitor verbinde
Antworten
12
Aufrufe
682
bisy
B
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz