Autor Thema: (W)LAN absichern/separieren  (Gelesen 3237 mal)

Offline Wuppi68

  • Developer
  • Hero Member
  • ****
  • Beiträge: 2040
  • On the Highway to Shell
Antw:(W)LAN absichern/separieren
« Antwort #90 am: 11 April 2019, 09:03:29 »
Habe ich schon. DHCP macht nur noch der Switch. Hatte du mir schon mal als Tipp gegeben, da es dann etwas leichter wird.

Die Lernkurve... ja, fühlt sich manchmal eher wie eine Lernrutsche an. Immer wenn ich denke etwas im Ansatz zu verstehen, ist es wieder ganz anders. Aber es hat ja auch seinen Grund, dass es Leute gibt die sowas lange lernen...

Eine Frage zum VLAN 1 default habe ich. Das VLAN1 scheint ja ein bisschen der Buhmann zu sein :)
Ich habe noch Geräte im VLAN 1 (zb. der PiHole).
Wenn ich es richtig verstanden habe, sollen keine Geräte im VLAN1 sein. Außerdem verwende ich auch noch Native VLAN 1 in den Porteinstellungen.

Ich habe es jetzt so verstanden, dass das Native VLAN alles auffängt, was ohne VLAN-Tag am Port ankommt und es eben in dieses VLAN packt. Soweit richtig?

Zum testen habe ich mir mal ein SG250 dazu geholt. Am SG350 habe ich auch ein Trunk-Port eingerichtet, der VLAN 40+50 Tagged und Native VLAN1 ist. Ebenso der GI1 am SG250.

VLAN40 ist mein Zocken-LAN.

Kann ich denn jetzt das Native VLAN auch auf 40 setzen? Nur ist dann der SG250 nicht mehr erreichbar (Adminoberfläche, hat eine IP aus dem 172.16.1 Netz).   Oder brauche ich das Native VLAN auch, um die Switchverwaltung durchzuführen?

VLAN1 sollte für "normale" Umgebungen das Management und native VLAN bleiben, es erspart Dir jede Menge Knoten im Kopf wenn Du z.B. einen neuen Switch bekommst (Neuer Switch hat VLAN1 default --> muss also an einen untagged Port im Mgmt LAN angeschlossen werden ... und jetzt stell den mal bitte auf das Mgmt LAN um ...)

Gedanklich würde ich das VLAN 1 als Infrastruktur VLAN sehen - dort sind alle wichtigen Netzgeräte mit ihren Mgm IPs vorhanden (Switche, PiHole, DNS, Fritte, APs, Unifi-Controller...)

Ich würde im Vl1 den DHCP Pool auch auf nur eine Adresse setzen und diese IP dann auch "nur" von einem ganz begrenzten Kreis Zugriff erlauben (z.B. Vl40) - quasi als Quarantäne

wenn Dein Mgm PC direkt via Kabel am Switch hängt kannst Du z.B. den Port auf untacked 40 (Zocken) stellen und gleichzeitig Vl1 tagged erlauben, jetzt kannst Du eine 2. (virtuelle) Netzwerkarte direkt im Vl1 am PC anlegen, Interface Down --> kein direkter Zugriff auf Infrastruktur; Interface Up --> Du hast Zugriff
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

Offline darkness

  • Sr. Member
  • ****
  • Beiträge: 677
Antw:(W)LAN absichern/separieren
« Antwort #91 am: 11 April 2019, 10:53:36 »
Ok, werde ich test.

Ich habe jetzt jedem VLAN auch ein IP gegeben. Damit habe ich wohl unbewusst das InterVLAN-Routing ermöglicht.
Anders herum, wenn ein VLAN keine IP bekommt, kann ich wahrscheinlich auch kein Internetzugriff ermöglichen, da keine Route zur Fritzbox besteht, oder?
Da können sich nur alle Geräte innerhalb des VLAN erreichen.

Offline Wuppi68

  • Developer
  • Hero Member
  • ****
  • Beiträge: 2040
  • On the Highway to Shell
Antw:(W)LAN absichern/separieren
« Antwort #92 am: 11 April 2019, 14:25:08 »
Ok, werde ich test.

Ich habe jetzt jedem VLAN auch ein IP gegeben. Damit habe ich wohl unbewusst das InterVLAN-Routing ermöglicht.
Anders herum, wenn ein VLAN keine IP bekommt, kann ich wahrscheinlich auch kein Internetzugriff ermöglichen, da keine Route zur Fritzbox besteht, oder?
Da können sich nur alle Geräte innerhalb des VLAN erreichen.

Du mischst noch 2 Themen miteinander ;-)

ein VLAN ist nur ein "LAN Kabel" --> NUR Layer 2 Switching - jeder in diesem VLAN sieht alle Pakete (wenn kein Bridging (ein Switch tut es) gemacht wird)

Packst Du in das VLAN ein TCP/IP Routerinterface wird auch Layer 3 Kommunikation darüber via TCP möglich - ohne Tricks klappt es auch nicht mit Broadcasts und Multicasts über die VLAN Grenzen hinweg ;-)

Für Deinen Fall: Also ohne Interface im VLAN keine Verbindung nach außen möglich
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen