FB 7590 + TP Switch + Vlan + 2 IP Adressbereiche

[Don Bademeister]

Hallo zusammen, ich habe folgendes vor und bin mir nicht sicher wie genau ich mein kleines Projekt umsetzten kann. Ich habe einen TP TL-SG605E siwtch auf dem ich 2 Vlans eingerichtet habe um Technik und PCs zu trennen. Beide Netzwerke sollen unterschiedliche IP Adressbereiche bekommen. sie sollen an der selben Fritzbox hängen und auch ins Internet kommen. Und ich möchte ein VNC Server (in Vlan2) von Vlan 1 aus erreichen können. Die Einrichtung auf dem Switch mit 2 Vlans ist nicht schwer und funktioniert. Nur wie muss ich sie mit der Fritzbox verbinden und die Fritzbox konfigurieren das ich einmal 192.168.2.x auf vlan 1 habe, 192.168.0.x auf vlan 2 und mit Geräten aus 192.168.2.x den VNC in 192.168.0.x errichen kann.
Kann die Fritzbox das Managen und reicht der einfache Switch mit den 2 Vlans für mein vorhaben?
Vielen Dank für die Hilfe

 

[UdoAA]

Fritzboxen können kein VLAN, daher mußt du die beiden VLAN vorher zusammenführen, evtl. im Switch.

 

[Don Bademeister]

Die fritzbox kann kein vlan, das weiß ich. Die Frage ist wie ich, wenn ich im switch 2 vlans habe von einem Netz ins andere komme. Im switch selbst kann ich nicht viel einstellen. Ich kann keine ipadreseen für sie verwenden vlans einstellen, auch kein portforwarding oder ähnliches. Der switch ist dazu nicht in der Lage. 2 vlans ist kein Problem, ichbann auch von der fritzbox 2 lankabel für die verschiedenen vlans legen und hab in beiden vlans Internet von der frirzbox. Ich weiß nur nicht wie und ob ich der fritzbox Routingpunkte setzen muss. Die ipv vom switch hinterlegen und dann den Zugriff von vlan 1 auf 2 herstellen.

 

[the other]

Moinsen,
Vlan routing macht entweder ein vlan fähiger Router oder ein vlan fähiger switch, der auf osi layer 3 zwischen den vlans routen kann.
Die fritzbox ist da raus, da sie eben für die lan ports nur mit dem einen (plus Gast lan) netzwerkbereich arbeiten kann. Sie kann, wie oben schon gesagt, mit dem typischen vlan nix beschicken...also für vlans entweder einen passenden Router oder einen passenden switch nutzen, wobei ich auf den Router setzen würde.
Zum Thema layer 3 und so: https://de.m.wikipedia.org/wiki/OSI-Modell

 

[Don Bademeister]

Moinsen,
Vlan routing macht entweder ein vlan fähiger Router oder ein vlan fähiger switch, der auf osi layer 3 zwischen den vlans routen kann.
Die fritzbox ist da raus, da sie eben für die lan ports nur mit dem einen (plus Gast lan) netzwerkbereich arbeiten kann. Sie kann, wie oben schon gesagt, mit dem typischen vlan nix beschicken...also für vlans entweder einen passenden Router oder einen passenden switch nutzen, wobei ich auf den Router setzen würde.
Zum Thema layer 3 und so: https://de.m.wikipedia.org/wiki/OSI-Modell

D.h. ich brauch ein Layer 3 fähigen switch. Sonst kann ich mein Vorhaben nicht umsetzen.

 

[the other]

Moinsen,

D.h. ich brauch ein Layer 3 fähigen switch.

Oder eine Router...zb mikrotik, pfsense, opnsense...

 

[blurrrr]

Von Mikrotik gibt es schon ziemlich günstige (irgendwo um 50€ oder so rum, ich hatte mir selbst mal einen Mikrotik Hex S gekauft). Schauste vielleicht mal auf deren Seite nach Routern, irgendwas kleines tut es da ganz locker. Alternativ halt irgendwas anderes... Ich hab auch eine Fritzbox, danach kommt aber nochmal eine Firewall und erst danach werden die Netze entsprechend aufgeteilt.

 

[Barungar]

Von Mikrotik gibt es schon ziemlich günstige (irgendwo um 50€ oder so rum, ich hatte mir selbst mal einen Mikrotik Hex S

Cooles Gerät, vorallem der Hinweis in der Produktbeschreibung "dishwasher safe" also kann ich den ab und zu in die Spülmaschine packen, wenn er wieder staubig ist.

 

[Don Bademeister]

Von Mikrotik gibt es schon ziemlich günstige (irgendwo um 50€ oder so rum, ich hatte mir selbst mal einen Mikrotik Hex S gekauft). Schauste vielleicht mal auf deren Seite nach Routern, irgendwas kleines tut es da ganz locker. Alternativ halt irgendwas anderes... Ich hab auch eine Fritzbox, danach kommt aber nochmal eine Firewall und erst danach werden die Netze entsprechend aufgeteilt.

Ok, ich besorg mir den Router und versuch es einzurichten. Falls ich nicht weiter komme, melde ich mich nochmal.

Vielen Dank für die Infos

 

[blurrrr]

Kannst Du dann eigentlich einfach hinter die Fritz!Box packen (und später hinter das Mikrotik-Gerät den Switch). Kannst Dir auch nochmal folgendes dazu anschauen: https://help.mikrotik.com/docs/spaces/ROS/pages/103841826/Basic+VLAN+switching.

 

[Don Bademeister]

Hi, hab den Router, hab 2 Bridges eingerichtet, eine Heimnetz mit DHCP 192.168.2.xxx eine Technik mit DHCP 192.168.0.xxx
Soweit funktioniert das auch, bekomm ein beiden Netzen eine IP und auch Internetzugang.
Welche Firewall/Nat Regel muss ich anlegen das ich von dem 2er IP Bereich den VNC 192.168.0.30 erreichen kann.
Geht es so wie ich es gemacht habe? Oder muss ich vlans einrichten.
Die fritzbox hat 192.168.1.1
Kann
das so bleiben?

 

[blurrrr]

Welche Firewall/Nat Regel muss ich anlegen das ich von dem 2er IP Bereich den VNC 192.168.0.30 erreichen kann.

Indem Du so tust, wie Du Dir das vorstellst... VNC wird ja über einen bestimmten Port laufen, dann wäre es z.B. etwas in die Richtung "192.168.2.0/24 -> VNC (Port/Protokoll) -> 192.168.0.30 -> allow".

Wenn Du "pro Bridge" nun noch einen unmanaged Switch hättest, wäre das wohl soweit ok - einfach an den jeweiligen Port und jut ist. So wie Du es derzeit hast, müssten theoretisch 2 Kabel zum Switch gehen. Ich hätte es eher auf 1 Kabel beschränkt (dann halt als Trunk).

Schau Dir nochmal die Abbildung im o.g. Link an. Dort wird unterschieden zwischen a) Access-Ports) und b) Trunk-Ports. Die Access-Ports sind meist so konfiguriert, dass sie "untagged" sind, bedeutet, dass das Endgerät nix davon wissen muss. Einfach einstecken und schon im richtigen VLAN. Ein Trunk-Port hingegen ist eine Bündlung von VLANs auf einem Port.

So könnte das ganze z.B. wie folgt aussehen (wenn wir mal einfach von 3 Netzen/VLANs ausgehen)...

Router:
Port 1 -> Internet
Port 2 -> Trunk (VLAN 10+20+30) -> Switch Port 1

Switch:
Port 1 -> Trunk (VLAN 10+20+30) -> Router Port 2
Port 2 -> Access (VLAN 10) -> PC 1
Port 3 -> Access (VLAN 20) -> PC 2
Port 4 -> Access (VLAN 30) -> PC 3

Heisst, dass alle VLANs, welche sich auf dem Switch tummeln, über den Trunk-Port (über welchen dann alle angegebenen VLANs laufen) zum Router gelangen (und umgekehrt natürlich auch).

Da Du nun 2 Ports konfiguriert hast (anstatt einen), bräuchtest Du demnach also 2 Kabel zum Switch. Diese darfst Du dann aber nicht einfach nur einstecken, sondern musst auf den beiden jeweiligen Switch-Ports auch die VLANs entsprechend konfigurieren, da sich die Netze ansonsten auf dem Switch wieder vermischen würden (beim Router sind sie ja derweil Port-technisch getrennt).

Kannst diesbezüglich vielleicht auch nochmal einen Blick auf diesen Link werfen: https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen bzgl. der "tagged"-Geschichte. Was "Trunk" angeht, so kannst Du einfach mal bei Wikipedia schauen (letzter Satz vor dem Inhaltsverzeichnis).

 

[Don Bademeister]

Hi,wie falsch ist den meine Nat Regel?
Oder was muss ich noch einstellen?
Sorry für die Fragen, aber bin zum ersten Mal damit beschäftigt.

 

[mkonline]

Den Ouellport würde ich gar nicht einstellen, da der selten dem Ziel Port entspricht. Eigentlich kannst Du die Ports weglassen - Du willst ja ein NAT und kein PAT.

 

[Don Bademeister]

Danke, Intern geht es.
Wen ich per VPN auf die Fritzbox zugreife und dann auf den VNC möchte, klappt es nicht. Fritzbox hat 192.168.1.1 per VPN bekomm ich dann eine 192.168.1.xxx zugeteilt. 2te Natregel das auch 192.168.1.0/24 weitergeleitet klappt so nicht. Wie muss ich die Regle konfigurieren das er mich von der Wan Seite kommend auf den VNC lässt?

Nochmals vielen Dank für alles

 

[blurrrr]

Ein NAT will man an dieser Stelle/intern ja eigentlich auch nicht... Ich würde NAT komplett aussen vor lassen, nur die gewünschte Firewall-Regel vornehmen und auf der Fritz!Box noch eine statische Route eintragen (für das Netz hinter dem Mikrotik bzw. dem VPN-Netz, Gateway - aus Sicht der Fritz!Box dann eben die WAN-IP des Mikrotik).

Bei der Kommunikation (Client -> Server) ist es übrigens so, dass der Ziel-Port (wo der angesprochene Dienst läuft) fix ist (z.B. 590x (VNC), oder 443 (HTTPS), etc.), der "ausgehende" Port (vom Client) aber normalerweise im höheren Portbereich angesiedelt ist und dynamisch gewählt wird (auch nochmal hier nachzulesen). Insofern ist es keine gute Idee, wenn man nebst dem Ziel-Port auch noch den Quell-Port angibt, den Quell-Port also besser einfach weglassen.

NAT brauchst Du primär eigentlich bei Dir nur an einem einzigen Punkt und das ist der Übergang ins Internet (da man dort mit Deinen privaten IP-Adressen nichts anfangen kann). Das übernimmt aber schon die Fritz!Box für Dich - habe ich hier ähnlich laufen, hinter der Fritz!Box (die für NAT zuständig ist) kommt eine Firewall, die macht aber kein NAT, sondern kümmert sich nur um verschiedene Netze (Routing/Firewall). Wichtig ist halt nur, dass die Fritz!Box auch die Netze hinter dem Mikrotik kennt (LAN, VPN, etc. - was Du halt sonst so dort laufen hast und was die Fritz!Box initial nicht kennt).

 

[Don Bademeister]

Ok,der mikrotik bekommt von der fritzbox die 192.168.1.30 als statische ip. Für die ipv4 Route auf der fritzbox muss dann netzwerk 192.168.0.0 sein? Oder muss da direkt die 0.30 stehn. Subnet ist 255.255.255.0 und der gateway ist dann 192.168.1.30, also die IP vom mikrotek die er von der Fritzbox bekommt.
Stimmt die Route so in der Fritzbox?
Und wie genau muss dann die Firewall Einstellung des mikrotik sein? Src Adress und dst adress? Chin als forwarding?

 

[blurrrr]

Mach das mal ganz entspannt für die kompletten Netze... Zugriffsregeln werden dann über die Firewall-Regeln vom Mikrotik realisiert. Bisher hast Du ja folgende Netze:

192.168.0.0/24 = Mikrotik (Technik)
192.168.1.0/24 = Fritz!Box (LAN)
192.168.2.0/24 = Mikrotik (LAN)

Du hast nun 2 Netze "hinter" dem WAN-Interface vom Mikrotik. Diese beiden Netze muss die Fritz!Box kennen, damit die Kommunikation funktionieren kann. Also 2 statische Routen (mit gleichem Gateway) auf der Fritz!Box für die beiden Netze hinter dem Mikrotik.

Chin als forwarding?

Korrekt... Sofern es nicht die Firewall "selbst" (Quelle/Ziel) betrifft, gilt immer "Forwarding".

Und wie genau muss dann die Firewall Einstellung des mikrotik sein? Src Adress und dst adress?

Hatte ich weiter oben doch schon geschrieben.

 

[Don Bademeister]

Ok, versucht hab ich es,läuft aber noch nicht von der vpn Verbindung über die Fritzbox. Routen und Firewall Einträge sehen so aus.Was ist falsch in meinen Einstellungen?

 

[blurrrr]

Also nur nochmal zum Verständnis: Du stellst eine Verbindung "zur Fritz!Box" von extern her und möchtest dann über diese VPN-Verbindung weiter in ein Netz, welches hinter dem Mikrotik liegt, korrekt? Falls dem so sein sollte und nicht "sämtlicher" Traffic durch das VPN geschickt wird, musst Du das Netz hinter dem Mikrotik auch noch in der VPN-Verbindung angeben.

Ich hatte es zunächst erstmal so verstanden, dass Du nur aus dem Fritz!Box-Netz in ein dahinter gelagertes Netzwerk wolltest. Wenn bei der VPN-Verbindung nicht "alles" durch den VPN-Tunnel geschickt wird, muss explizit angegeben werden, was durch den VPN-Tunnel zu erreichen ist, ansonsten weiss der VPN-Client davon auch nichts.