Setup VLANs (vor allem für 2 WLANs)?

@BobbyD: Danke für den Hinweis mit dem Web-UI Port, Reverse-Proxy steht auch auf der ToDo-Liste. Ob NativeVlanId 1 oder 0 will ich mal austesten. Wenn ich das richtig verstehe, führt der Aruba alles untagged als VLAN "1". Wobei...wahrscheinlich ist das am Ende egal, denn der Switch wird dann vermutlich ja nicht eine "1" dranhängen... Naja, mal schauen.

@Supaman: hab ich sogar, ist nur vielleicht nicht auf den ersten Blick erkennbar. ;)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Weiß jetzt nicht, ob Du das schon beschrieben hattest: Die Router-VM-NICs in Hyper-V sollten "MAC address spoofing" aktiviert haben.
 
Zuletzt bearbeitet:
@BobbyD: nein, habe ich noch nichts zu geschrieben. Habe ich nicht gemacht und im Netgate HowTo steht da auch nichts von. Wofür brauch ich das?
 
Merci! Behalte es mal vor allem als potenzielle Lösung für etwaige auftauchende Probleme im Hinterkopf. :d
 
So, bin gerade durchaus zufrieden mit mir. Mein Setup (aus Post 28) läuft soweit auch direkt im Außenverhältnis.

Der Port, an dem mein Hyper-V mit der pfSense-VM hängt, lässt nur (alle) VLANs durch. Wenn ich nun einem anderen Port für "tagged" ein VLAN zuweise und für "untagged" ein anderes, dann kommt es auf die Konfig im verbundenen Rechner an, in welchem Subnetz er landet.

Beispiel:

1774296755448.png


Stöpsele ich nun einen Rechner an Interface 38 und stelle sonst nix weiter im Treiber ein, bekommt der Rechner die IP vom DHCP-Server für VLAN 200. Stelle ich Treiber vom Rechner die VLAN-ID auf 20, wird es entsprechend die IP vom DHCP-Server für VLAN 20.

Nach diesem Test in der "physischen Welt", kann es also grundsätzlich weitergehen... :)
 
besterino schrieb:
Stelle ich Treiber vom Rechner die VLAN-ID auf 20
Zum Vergrößern anklicken....
Darauf würde ich mich nicht verlassen bzw. ich würde den Switch gar nicht so konfigurieren, dass ein Port für einen PC ein Trunk-Port ist. Aber ich bin auch nicht vom Fach.
 
Das war ja nur zu Testzwecken, vor allem weil ich verstehen wollte, was es mit den Settings "tagged" und "untagged" in dem Switch auf sich hat.

Die Alternative wäre, "untagged" auf None zu setzen - das macht aber nur den Unterschied, dass ein untagged Paket halt nirgends hinkommt und nicht in ein vordefiniertes VLAN.

Aber ich sach mal so, ähnlich wie MAC-Spoofing kann ich ja nicht verhindern, dass jemand ein VLAN an seinem Rechner einstellt. Sobald jemand physischen Zugang zu einem für VLAN konfigurierten Port hat (trunk oder nicht), ist der kompromittierbar bzw. nutzbar (wenn man die richtige VLAN-ID weiß/errät). Dagegen hilft nur physischen Zugang verhindern und alle theoretisch zugänglichen Ports auf ein unkritisches VLAN festnageln (oder ganz sperren). Das ist aber wiederum @home nicht wirklich handhabbar: Ein Angreifer könnte ja auch z.B. auf der anderen Seite einen AP ausstöpseln und dann mit seinem Rechner an den Port gehen und VLAN (und zur Not sogar MAC) einstellen.

Für @home reicht es mir wohl, wenn ich die Logik grds. sauber habe und sich die wirklich wichtigen VLANs (Infrastruktur, Core-Server) mit denen unsichereren VLANs keine phyischen Ports teilen. Das sollte kein Problem darstellen. Wie gesagt, ich sehe wenig Bedarf, mich gegen "physischen Einbruch" schützen zu müssen. Es geht eher um die Bösen da draußen, die über das Internetkabel kommen wollen...

Gerade drüber gestolpert: Gute Einführung
 
Zuletzt bearbeitet:
Nunja, dafür gäbe es noch 802.1x oder so: MAC-basierte Authentifizierung. Nur bekannte MAC werden an jedwedem Port akzeptiert.
 
Und dann „spooft“ mir einer die MAC…

Wenn man sicher sein will, braucht man andere Features oder extra Software.

Habe auch hier mein Ei noch nicht endgültig gelegt, aber ich will es @home auch nicht over-engineeren. Ich hab keine Lust, bei der nächsten LAN-Party mit alten Schulfreunden erstmal im großen Stil MACs einzusammeln, manuelle Freigaben zu erstellen oder Voucher zu verteilen. ;)
 
Das ist doch alles mit Kanonen auf Spatzen geschossen. Erstmal die Basics, dann kann man immer noch 'aufruesten'.
Im ersten Step wuerde ich mir erstmal Gedanken um die unterschiedliche Netze/Netzbereiche etc.. machen. Dann halt schauen wie meine Physik aussieht und ob eventuell noch n Geraet oder sonstwas her muss.
Dann nach und nach in die Firewall einarbeiten (Wuerde ich in dem Fall empfehlen, weil man maximale flexibilitaet hat) und damit 'warm' werden. Wenn die Trockenuebungen laufen ne Woche Urlaub nehmen und alles Platt + Neu machen :d
 
Ist vielleicht nicht angekommen, aber mir reicht im Zweifel eine reine VLAN-Separierung mit ner Firewall-VM völlig. :d

@p4n0: und seit wann kaufen wir denn bitte nur Geräte, die wir auch wirklich brauchen?!?

P.S.: …habe voraus. demnächst 2-3 unmanaged Switches mit so 2-5 10Gbit Ports (mal Glas, mal Kupfer) abzugeben….
 
Meine Güte, da hab ich mir ja was ans Beim gebunden. In lustigen Kaskaden Unifi APs, Mikrotik-Switches, Aruba Switch und ne Hyper-VM (glaub die längste Kette ist VM—>Hyper-V—>Aruba—>Mikrotik—>Unifi-APs) in ein gemeinsames Management VLAN zu zwingen ist echt nicht vergnügungssteuerpflichtig. Verstehe so langsam, warum bisweilen für homogene Umgebungen (so viel) Geld ausgegeben wird…
 
Müssen wir das als "Bitte um Kaufempfehlung" interpretieren?
Das ist halt der Trick bei SDN, wie z.B. Ubi.
Da stellste irgendwo nen VLAN ein und dann rumpelt die Software los. (in der Hoffnung, dass sie schlauer ist als man selber)

Und jetzt stell dir das mal in einem Unternehmensnetzwerk vor, wo man 3-stellig Switche/Router hat.
Und spannend wirds dann, wenn man da noch sowas die LACP, spanning tree , stacking und andere Scherze drunter packt.
Wenn man dann noch weiß, wo welches VLAN rauskommt, dann hast man Netzwerk L2 durchgespielt. Und bekanntlich kommt nach Level 2 Level 3.

EDIT:
Es hat nen Grund, warum Cisco damals VTP eingeführt hat. (damals sogar noch mit Begrenzungen)
Zum Glück gibt es standardisiert sowas wie GVRP. (was aber leider auch nicht jedes Gerät kann)
 
Zuletzt bearbeitet:
Mein Glück: es ist ja nur mein Hobby - bei dem ich absolut gar nichts nutzen kann, was ich beruflich mache (manchmal denke ich, ich hab das falsche Hobby, manchmal denke ich, ich hab den falschen Job...). :d

Der Weg ist das Ziel und es schadet ja nicht, wenn sich die grauen Zellen ab und an mal wieder komplett neu verknüpfen dürfen... ich scheitere mich fröhlich voran.

Der größte Aufwand ist eigentlich die Migration des Ist-Zustands. Machste einen falschen Schritt, kostet das u.U. wieder ewig Zeit, das rückgängig zu machen (weil ganze Teilbereiche ausfallen). Mein bisheriges Highlight: ich dachte ca. 14x, ich hätte mich selber vom Switch ausgesperrt (gefolgt von Reset, Recherche "was könnt's gewesen sein", neuer Konfigurationsanlauf, usw.), bis ich gerafft habe, dass einmal kurz stromlos die Lösung ist... stand aber nirgends.

Und dann musste Dir überlegen, was machste am besten in welcher Reihenfolge - z.B. wann stellste das alte WLAN ab (idealerweise frühestens, nachdem alles mit fester IP auf DHCP umgestellt ist...); dann weißte aber beim (notgedrungenen) Parallelbetrieb bisweilen nicht, ob das Problem in der neuen Konfig oder im Parallelbetrieb liegt, oder oder oder...

Ich habe mich dann dafür entschieden, zunächst die neue Infrastruktur parallel von hinten nach vorne aufzubauen (also z.B. erst Routing-VM, dann "Core"-Switch, dann "Edge"-Switch, dann AP und auf jedem Zwischenschritt immer wieder Endgeräte für alle VLANs testen). Das klappt auch "wired" soweit ganz gut. Naja, bis auf die lustigen Eigenheiten der Hersteller bei der Konfiguration, wie man den Zugriff auf ein Gerät in ein Mgmt VLAN zwingt. Mir scheint, ich hab da im Grundverständnis immer noch ne Lücke...

Und beim WLAN bin ich's wahrscheinlich falsch angegangen: Wollte eigentlich die alte SSID für eines der neuen "Netze" mitnehmen, aber ich glaub, ich muss eine neue nehmen - dann wird's wohl deutlich übersichtlicher/einfacher.

Ach ja, wenn dann mal alles grundsätzlich funktioniert kommt dann ja noch der Routing-Spaß, wenn man die ganzen zu Testzwecken aufgerissenen Scheunentore auf ein funktional notwendiges Mini... ok... akzeptables Komfort-zu-Sicherheit-Verhältnis schließen will...
 
besterino schrieb:
bis ich gerafft habe, dass einmal kurz stromlos die Lösung ist... stand aber nirgends.
Zum Vergrößern anklicken....
Aber frag nicht, von wann (Kasette) das ist... (alt genug biste ja :fresse:)

Off-On in dem Fall steht ganz oben auch der Checkliste zur Entstörung.

EDIT:
Aber ja, deswegen haben wir Labore, wo wir die komplett Infrastruktur (in vereinfachter Form) realitätsnah aufbauen und betesten können. Denn der Teufel steckt immer im Details, gerade wenn es keine all in one Lösungen wie Ubi sind und selbst da muss sowas machen. Nichts ist tödlicher als nen Wochenende 2-3stellige Mannstunden in den Sand setzen, weil irgendwas komisches passiert.
(das passiert leider dennoch, nichts ist zu 100% auszuschließen)
 
Wenn man alles mit Unifi umsetzt kostet es *etwas* mehr, ist dabei aber noch bezahlbar und funktioniert vernünftig... spart Dir aber unendlich viel Zeit & Nerven bei der config oder Fehlersuche.
 
...im nächsten Leben. ;)
 
Puh, Home Assistant ist mit dem ganzen Smarthome-Gelumpe ins neue VLAN migriert. 190 Devices, 1284 Entities. Was für ein K(r)ampf, wenn man vorher viel mit festen IPs in den Clients gemacht hat (jetzt alle Clients stumpf mit DHCP und der DHCP-Server vergibt die festen IPs). Einen Shelly habe ich irgendwie dabei irgendwo im Äther verloren - muss ich morgen mal resetten...

7 VLANs up and kickin'. Die gesamte Infrastruktur ist weitgehend im Management VLAN (mein 100Gbit Netz fehlt noch, aber das ist eigentlich eh komplett getrennt). Als nächstes dann Dienste in DMZ verfrachten und Firewall vorknöpfen. Aber jetzt nicht mehr, reicht für heute.
 
Supaman schrieb:
Wenn man alles mit Unifi umsetzt kostet es *etwas* mehr, ist dabei aber noch bezahlbar und funktioniert vernünftig... spart Dir aber unendlich viel Zeit & Nerven bei der config oder Fehlersuche.
Zum Vergrößern anklicken....
Leider mit eingebauter Nach-Hause-Telemetrie - sonst würd ich sofort umsyteigen
 
@Shihatsu: aber könnte man die nicht von der Kommunikation nach außen abschneiden?
 
Ja, aber dann brauch man davor wieder eine Firewall - genau das will man ja eigentlöich nicht...
 
Das Ubi Zeug ist gut für Accesspoints zuhause, die Featurepalette und Qualität geht in Ordnung, für Switche haben sie jedoch bei den meisten Modellen ein miserables P/L Verhältnis und ihre Gateways sind okeish, wenn man ihnen vertrauen möchte.
 
Genau das ist halt mein Setup: Unifi APs an Mikrotiks. Warum der Aruba irgendwann eingezogen ist, weiß ich nicht mehr. Vermutlich wegen des niedrigsten Preises für einen lüfterlosen 48Port mit 4xSFP+ damals. :)

Aber jetzt denke ich schon wieder an einen PoE-Switch… für APs und EtagenSwitche usw. …
 
Hättest beim Engenius schnell sein müssen ^^
 
Ich bin eh schon immer zu schnell auf dem
„kaufen“ Button. War voll stolz, mich da mal zurückgehalten zu haben. :d Hab auch bei der aktuellen VLAN Aktion locker 2 Geräte gekauft, die ich zumindest „so“ nicht brauche bzw. andere wären vielleicht besser gewesen. Überlege seit langem mal wieder ernsthaft, 2 Käufe zu widerrufen…

Egal ob Widerruf oder nicht, ich hätte in jedem Fall abzugeben:

1x QNAP QSW-308-1C (8x 1Gbit, 2x SFP+, 1x Shares 10Gbase-T/SFP+) - evtl. mit 2 Transceivern (SR/LRM), weil ich die nicht mehr aus den Ports kriege… :d

1x ASUS XG-U2008 (8x 1Gbit, 2x 10Gbase-T)

1x TP-Link TL-SX105 (5x 10Gbase-T)

1x Tenda TEM2010X (8x 2.5GbaseT, 2x SFP+)

1x D-Link DXS-1210-10TS (8x 10Gbase-T, 2x SFP+)

1x Allnet ALL-SG8452M (48x 1Gbit, 4x SFP)

1x Netgear GS108E (8x 1Gbit)

Bei Interesse PN mit Preisvorschlag, am liebsten an Selbstabholer. Und Übergabe/Verschicken geht erst in ca. einer Woche, also nach Ostern.

Mal bisserl back to topic:

WLAN nun komplett migriert (hab auch den Shelly wieder gefunden :d) konnte heute das alte WLAN abschalten. Nach Jahrzehnten mit AVM als Knotenpunkt ein etwas gewöhnungsbedürftiges Gefühl… :d

Das alte WLAN teilt sich nun auf in drei neue (zugleich eigene VLANs): 1x für Smarthome (mit den diversen China-Dingern ;)), 1x für „Trusted Clients“ (…im Prinzip eigentlich irgendwie nur andere China-Dinger…) und 1x Gäste (äh… aktuell China-Dinger, die weder Smarthome noch Trusted sind…).

Nochmal Offtopic, weil die mich schon länger und bei dem Umzug besonders geärgert haben: lasst bloß die Finger von Nanoleaf…WAS FÜR EINE GRÜTZE.

Morgen dann mal Firewall. Ist aktuell noch alles irgendwie offen wie ein Scheunentor (aber YouTube meckert „Seite kann nicht geöffnet werden, da Safari keine sichere Verbindung zum Server herstellen konnte.“).

Ich glaub, mit den VLANs hab ich’s aber inzwischen soweit. Danke an alle für Eure Hilfe und Aufmerksamkeit!
 
Zuletzt bearbeitet:
Noch einen Tip zu (Unifi) WLAN: die APs können neben WEP, WPA2, WPA3 auch "PPSK". Wenn man PPSK aktiviert, kann man unter einer SSID mehrere VLAN Netze zuweisen, d.h. der Client landet z.B. in VLAN #3 in abhängigkeit vom verwendeten PW, sprich das PW entscheidet darüber, in welchem VLAN der CLient landet. <Könnte> bei Dir an der einen oder anderen Stelle oder zum testen nützlich sein ;)
 
Ach krass. Das hätte ich früher wissen müssen - jetzt bin ich mit dem WLAN durch. :)
 
Anmelden, um zu antworten.

Ähnliche Themen

X
HomeKit/UniFi: Hue-Bridge im gleichen VLAN wie iPhone/HomePod – Option A (eigenes VLAN) vs. Option B (alles im PROD-USERS) + Egress-Firewall?
Antworten
0
Aufrufe
691
XST3RN
X
°Leon°
Weg von der Fritzbox - Neuaufbau Heimnetzwerk
2
Antworten
31
Aufrufe
4K
°Leon°
°Leon°
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh