Vlan mit Router kommunizieren
- Ersteller Hermes
- Erstellt am
Fusion
Active member
Ist ja erst mal nur ein managebarer Switch / Geräteserie, Modell hast du nicht genannt.
Leitfäden Konfiguration, Installation...
https://www.arubainstanton.com/de/produkte/switches/1930-serie/
Wie sieht denn das lokale Netz aktuell aus an Komponenten und Konfigurationen?
Leitfäden Konfiguration, Installation...
https://www.arubainstanton.com/de/produkte/switches/1930-serie/
Wie sieht denn das lokale Netz aktuell aus an Komponenten und Konfigurationen?
Folgendes Vorhaben und Struktur:
Hardware: - Aruba Instant On 1930 24G PoE, AP22
- tp-Link ER605
Ziel: Anschluß an GlasfaserModem der Telekom mit ER605
Stauts: aktuell ist der ER605 per DHCP mit einer Avm FB 7490 verbunden. FB an DSL angeschlossen
Aruba 1930: der Aruba 1930 ist als kablegebundener Switch konfiguriert, WebGui
AP22: ist per PoE mit dem 1930 verbunden, WLAN eingerichtet, Client-Zugriffe funtionieren, Basis IP 172.16.0.0, NAT-Modus
Vlan's auf dem 1930:
- Vlan1
- Vlan 10 für PC's etc.
- Vlan 20 für PC's etc.
port1: Vlan20 tagged, Vlan1 untagged
port13 Vlan20 tagged, Vlan1 untagged
port24 Vlan 10,20 tagged, Vlan1 untagged, verbunden mit ER605 Port5
Global Configuration Routing: aktiv, Gateway 172.15.0.1 (ER605)
DHCP-Relay: Server UDP Destination Port 67, IP:172.15.0.1
DHCP-Relay Interface Port 24
ER605: 172.15.0.1
Port 1: WAN-Port
Port5: LAN-Port zu 1930, Vlan 10,20 tagged, Vlan1 untagged
VLAN1 : IP-Adresse 172.15.0.1 255.255.255.0 Mode:Bridge DHCP enable 172.15.0.100 - 199, gateway: leer
VLAN10: IP-Adresse 172.16.10.1 255.255.255.0 Mode:Bridge DHCP enable 172.15.10.100 - 199, gateway:172.15.10.1
VLAN20: IP-Adresse 172.16.20.1 255.255.255.0 Mode:Bridge DHCP enable 172.15.20.100 - 199, gateway:172.15.10.1
Vlan4094, WAN-Port
Ich hoffe, dass ich nichts Wichtiges vergessen habe.
Verbinde ich auf dem 1930 Port1 einen Pc, erhält er das Lease 172.15.0.103. Der Pc sollte aber in Vlan20 liegen.
Wie muß ich die Konfig anpassen um für Clients in den Vlan's eine IP-Adresse für das Vlan 10 oder 20 zu erhalten und ins www kommunizieren können.
Gruß
Hermes
Hardware: - Aruba Instant On 1930 24G PoE, AP22
- tp-Link ER605
Ziel: Anschluß an GlasfaserModem der Telekom mit ER605
Stauts: aktuell ist der ER605 per DHCP mit einer Avm FB 7490 verbunden. FB an DSL angeschlossen
Aruba 1930: der Aruba 1930 ist als kablegebundener Switch konfiguriert, WebGui
AP22: ist per PoE mit dem 1930 verbunden, WLAN eingerichtet, Client-Zugriffe funtionieren, Basis IP 172.16.0.0, NAT-Modus
Vlan's auf dem 1930:
- Vlan1
- Vlan 10 für PC's etc.
- Vlan 20 für PC's etc.
port1: Vlan20 tagged, Vlan1 untagged
port13 Vlan20 tagged, Vlan1 untagged
port24 Vlan 10,20 tagged, Vlan1 untagged, verbunden mit ER605 Port5
Global Configuration Routing: aktiv, Gateway 172.15.0.1 (ER605)
DHCP-Relay: Server UDP Destination Port 67, IP:172.15.0.1
DHCP-Relay Interface Port 24
ER605: 172.15.0.1
Port 1: WAN-Port
Port5: LAN-Port zu 1930, Vlan 10,20 tagged, Vlan1 untagged
VLAN1 : IP-Adresse 172.15.0.1 255.255.255.0 Mode:Bridge DHCP enable 172.15.0.100 - 199, gateway: leer
VLAN10: IP-Adresse 172.16.10.1 255.255.255.0 Mode:Bridge DHCP enable 172.15.10.100 - 199, gateway:172.15.10.1
VLAN20: IP-Adresse 172.16.20.1 255.255.255.0 Mode:Bridge DHCP enable 172.15.20.100 - 199, gateway:172.15.10.1
Vlan4094, WAN-Port
Ich hoffe, dass ich nichts Wichtiges vergessen habe.
Verbinde ich auf dem 1930 Port1 einen Pc, erhält er das Lease 172.15.0.103. Der Pc sollte aber in Vlan20 liegen.
Wie muß ich die Konfig anpassen um für Clients in den Vlan's eine IP-Adresse für das Vlan 10 oder 20 zu erhalten und ins www kommunizieren können.
Gruß
Hermes
Barungar
Well-known member
Da passt aber so einiges nicht. Die DHCP-Range sollte schon im gleichen Subnet wie das VLAN liegen. Und auch das Gateway sollte im Subnet des VLANs sein!
Sorry, Übertragungsfehler, auf dem ER605 steht:
VLAN10: IP-Adresse 172.15.10.1 255.255.255.0 Mode:Bridge DHCP enable 172.15.10.100 - 199, gateway:172.15.10.1
VLAN20: IP-Adresse 172.15.20.1 255.255.255.0 Mode:Bridge DHCP enable 172.15.20.100 - 199, gateway:172.15.20.1
the other
Well-known member
Moinsen,
Ich stolpere hier:
Also für Access Ports (PCs, vlanunfähige Endgeräte) VLAN 20 untagged auf P1 und 13, als Uplink (bei cisco Trunk) Port zu anderen vlan-bewussten Geräten dann das default VLAN(1) untagged, die VLANs 10 und 20 tagged.
So jedenfalls die Logik in der GUI von cisco und zyxel und tp link...den Ports mit untagged dann eine PVID geben, Mitglied im jeweiligen VLAN werden, das sollte es gewesen sein.
Ich stolpere hier:
Wenn P1 und P5 für Endgerät sein sollen (nicht Router, weiterer switch u.ä.) dann würde ich hier erwarten, dass die zur PVID gehörenden VLANs untagged sind.
Also für Access Ports (PCs, vlanunfähige Endgeräte) VLAN 20 untagged auf P1 und 13, als Uplink (bei cisco Trunk) Port zu anderen vlan-bewussten Geräten dann das default VLAN(1) untagged, die VLANs 10 und 20 tagged.
So jedenfalls die Logik in der GUI von cisco und zyxel und tp link...den Ports mit untagged dann eine PVID geben, Mitglied im jeweiligen VLAN werden, das sollte es gewesen sein.
Hallo,
da sind noch Verständnisprobleme bzw. Anforderungen, die ich nicht im Griff habe:
Die Vlan's 10,20 erhalten jetzt DHCP-Leases und kommunizieren aus den jeweiligen definierten subnets (172.16.10.1/24 und 172.16.20.1/24). Die Clients im subnet kommen allerdings überall hin. Ich möchte z.B, Vlan 10 so definieren, dass die Clients in ihrem subnet kommunizieren und über das Gateway raus in www können, mehr nicht.
Ich finde die richtigen Einstellungen nicht.
Gruß
Hermes
da sind noch Verständnisprobleme bzw. Anforderungen, die ich nicht im Griff habe:
Die Vlan's 10,20 erhalten jetzt DHCP-Leases und kommunizieren aus den jeweiligen definierten subnets (172.16.10.1/24 und 172.16.20.1/24). Die Clients im subnet kommen allerdings überall hin. Ich möchte z.B, Vlan 10 so definieren, dass die Clients in ihrem subnet kommunizieren und über das Gateway raus in www können, mehr nicht.
Ich finde die richtigen Einstellungen nicht.
Gruß
Hermes
Mein Versuch auf dem ER605:
Router: Access Control/
Policy: Block All
Service: All
direction LAN-> LAN
Source: Vlan 10
dest: Vlan 20
time: any
Anschließend geht der ping von VLan 10 auf gateway Vlan 20 durch.
the other
Well-known member
Moinsen,
ohne jetzt deine Firewall / Router Software zu kennen:
sicher dass "direction: LAN > LAN" so stimmt?
Sollte da nicht das jeweilige VLAN auftauchen also VLAN20 > zb VLAN10 usw?
Und: dieses direction LAN > LAN stimmt ggf so nicht, denn dann wäre der Router eh außen vor (ist ja innerhalb EINES Netzsegmentes, nämlich LAN, da wird dann nix geroutet...)
Tip: dazu nochmal in die Handbücher der jeweiligen Software schauen, wie die Syntax auszusehen hat...
Und ich schließe mich der Frage von @blurrrr an...
ohne jetzt deine Firewall / Router Software zu kennen:
sicher dass "direction: LAN > LAN" so stimmt?
Sollte da nicht das jeweilige VLAN auftauchen also VLAN20 > zb VLAN10 usw?
Und: dieses direction LAN > LAN stimmt ggf so nicht, denn dann wäre der Router eh außen vor (ist ja innerhalb EINES Netzsegmentes, nämlich LAN, da wird dann nix geroutet...)
Tip: dazu nochmal in die Handbücher der jeweiligen Software schauen, wie die Syntax auszusehen hat...
Und ich schließe mich der Frage von @blurrrr an...
the other
Well-known member
Moinsen,
gerade mal geschaut: https://static.tp-link.com/upload/manual/2023/202310/20231009/1910013510_ER605(UN)_UG.pdf
Da sieht die Eingabemaske aber etwas anders aus...
Was hast du bei "Interface"?
Da ist das Handbuch (s. link) etwas bescheiden: im screenshot steht "Interface" im Text darunter aber zur Erklärung "Direction"...
gerade mal geschaut: https://static.tp-link.com/upload/manual/2023/202310/20231009/1910013510_ER605(UN)_UG.pdf
Da sieht die Eingabemaske aber etwas anders aus...
Was hast du bei "Interface"?
Da ist das Handbuch (s. link) etwas bescheiden: im screenshot steht "Interface" im Text darunter aber zur Erklärung "Direction"...
Hallo,
wieder zurück aus dem Kurzurlaub möchte ich ein Feedback geben:
Ein Zugriff mit RDP wird z.B. geblockt. Andere Protokolle habe ich jetzt nicht getestet, bezweifele aber nicht, dass auch diese blockiert werden.
Habe dann eine Einstellung gefunden, die alle Zugriff incl. ICPM blockiert.
Damit ist mein Problem gelöst, ich kann gezielt die Kommunikation zwischen den Vlan's blocken, Zugriff ins Internet bleibt wie gewünscht erhalten.
Danke Euch für die zielführenenden Hinweise
wieder zurück aus dem Kurzurlaub möchte ich ein Feedback geben:
LAN > LAN ist im Tp-Link ER605 wohl die richtige Kommunikationsebene, die Vlan's werden dort auch angeben, allerdings mit den Kurznamen. Die Einstellungen sind soweit korrekt.
Das habt Ihr richtig gesehen, ich hatte tatsächlich nur den Ping getestet.
Ein Zugriff mit RDP wird z.B. geblockt. Andere Protokolle habe ich jetzt nicht getestet, bezweifele aber nicht, dass auch diese blockiert werden.
Habe dann eine Einstellung gefunden, die alle Zugriff incl. ICPM blockiert.
Damit ist mein Problem gelöst, ich kann gezielt die Kommunikation zwischen den Vlan's blocken, Zugriff ins Internet bleibt wie gewünscht erhalten.
Danke Euch für die zielführenenden Hinweise
