Einsteiger - be.ip plus VLAN konfigurieren

Dieses Thema im Forum "Bintec" wurde erstellt von christiande, 19. Oktober 2017.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. christiande

    christiande Aufsteiger

    Registriert seit:
    2. Dezember 2006
    Beiträge:
    42
    Punkte für Erfolge:
    8
    Hallo an Alle

    Ich habe das erste mal eine be.ip plus in der Hand und versuche damit 2 VLANs zu konfigurieren. Leider verstehe ich die vorgehensweise noch nicht und würde mich freuen wenn mir jemand dabei Schritt für Schritt hilft. Technisches Verständnis ist vorhanden reicht wohl aber dafür zunächst nicht.

    Die be.ip plus läuft als MGW in Grundeinstellung.
    DefaultIP der Box ist 192.168.0.251

    Konkret: Wie erstelle ich ein VLAN mit der ID10 und dem Adressbereich 192.168.10.1 - 192.168.10.254 am physikalischen Port 2 der Box?
     
  2. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    629
    Punkte für Erfolge:
    18
    Wieso ein VLAN wenn der Port 2 für nichts anderes verwendet wird?
    Vielleicht beschreibst du mal die eigentliche Aufgabenstellung, und danach suchen wir den optimalen Lösungsweg.
     
  3. christiande

    christiande Aufsteiger

    Registriert seit:
    2. Dezember 2006
    Beiträge:
    42
    Punkte für Erfolge:
    8
    Na ich will eigentlich erstmal grundsätzlich verstehen wie man das macht. Am Schluss sollen es 2 VLANs werden, die über einen Trunkport zB Port 2 an einen VLAN Switch weitergegeben wird. 2 getrennte Netzwerke, die zwar das Internet über die Box nutzen sollen dürfen aber sonst untereinander nicht zugreifen dürfen. (quasi wie Kinder, Eltern Netz)

    Am Port 1 soll man die be.ip ja zum konfigurieren anschließen. Sie hat ja als default 192.168.0.251 . Das will ich in Zukunft am besten auch so belassen, daß ich dann mal was ändern kann.
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.536
    Punkte für Erfolge:
    160
    Hi,

    willkommen im Forum.

    Es gibt zwei Möglichkeiten, VLANs im bintec zu konfigurieren:

    1. Der Port befindet sich im Routing-Modus: Dann kann ein VLAN-Interface über "LAN->IP-Konfiguration" und Klick auf "Neu" angelegt werden. Bei "Basierend auf Ethernet-Schnittstelle" wird der Port 2 gewählt und bei "VLAN-ID" das gewünschte VLAN eingetragen, z.B. 10. Die IP-Adresse setzt du auf 192.168.10.1/24. Unter "Lokale Dienste->DHCP-Server" wird ein neuer Scope definiert, bei dir z.B. 192.168.10.100-192.168.10.150. Dieser wird dem neuen virtuellen Interface, z.B. en1-1-1, zugewiesen.

      Wenn jetzt ein Client per DHCP mit dem VLAN-Tag 10 am Port 2 eine IP-Konfiguration anfordert, so bekommt einer eine IP-Adresse aus dem Subnetz 192.168.10.0/24.
      Pakete im VLAN#10 müssen eingehend getagged sein und werden vom bintec ausgehend ebenfalls getagged. Der Client muss also auch mit VLAN-getaggten Netzwerk-Paketen umgehen können - übliche PCs können das nicht! Der von dir angesprochene Switch muss das können, benötigt aber natürlich ebenfalls eine entsprechende VLAN-Konfiguration.

      Bei dieser Art der VLAN-Konfiguration verhält sich Port 2 also wie ein VLAN-Trunk: Getaggte Pakete werden eingehend erwartet und ausgehend gesendet.

    2. Der Port befindet sich in einer Bridge-Group (mit anderen LAN-/WLAN-Ports): In diesem Fall wird die VLAN-Konfiguration unter "LAN->VLAN" vorgenommen. Dieser Menüpunkt wird allerdings nur dann angezeigt, wenn der eingebaute WLAN-Controller der be.ip nicht aktiviert ist - bintec wird sicher irgendwie erklären können, warum das so ist. Wie man in diesem Fall den WLAN-Controller wieder los wird - ich meine - deaktivieren kann, wenn er denn einmal aktiviert wurde, steht in einem Artikel über die be.ip plus in irgendeiner c't aus diesem Jahr. Man kann also entweder selbst VLANs konfigurieren oder den WLAN-Controller verwenden, beide gleichzeitig sieht bintec nicht vor,

      Ich denke, wie VLANs im "LAN->VLAN" Menü konfiguriert werden, ist sicher im Handbuch der be.ip beschrieben.

      Um nach der VLAN-Konfiguration einem bestimmten VLAN ein eigenes Subnetz zuzuweisen, ist grundsätzlich wie unter 1. beschrieben vorzugehen. Bei "Basierend auf Ethernet-Schnittstelle" ist allerdings keine Ethernet-Schnittstelle, sondern die Bridge, in der sich der Port befindet und für die die VLAN-Konfiguration durchgeführt wurde, auszuwählen.
    Wie du siehst, ist es also nicht ganz einfach für einen Neuling, sich der VLAN-Materie zu nähern ;). Deshalb empfehle ich,
    1. die ein oder andere allgemeine Einführung in das Thema VLANs zu lesen und
    2. das be.ip Handbuch zur konkreten Konfiguration anzuschauen - zugegebenermaßen gehört das Handbuch nicht zu den Besten seiner Art:rolleyes:.
    Dann kann man weitersehen. Um eine Trennung der VLANs wie von dir beabsichtigt durchzuführen, muss noch die Firewall des Routers konfiguriert werden: Der Netzwerkverkehr zwischen den beiden Subnetzen muss unterbunden werden. Darum braucht man sich aber erst nach der erfolgreichen VLAN-Konfiguration zu kümmern :up:.

    VG
     
  5. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    629
    Punkte für Erfolge:
    18
    Zum Thema VLAN in der be.IP noch eine Info:
    Um verschiedene getrennte WLAN - Netze einrichten zu können, benötigt der WLAN - Controller die Kontrolle über die VLAN - Steuerung. Dazu gibt es in der aktuellen Firmware beim WLC - Wizard einen neuen Menupunkt "Wireless LAN Controller VLAN Konfiguration". Erstellt man über den WLAN - Assistenten ein Gäste-WLAN, dann taucht dieses danach an dieser Stelle auf.
    Ein neues VLAN zu einer vorhandenen Schnittstelle kann man auch unter LAN -> IP-Konfiguration als NEU e Schnittstelle anlegen und dann als Tagged Interface mit einer VLAN - ID versehen.
     
  6. christiande

    christiande Aufsteiger

    Registriert seit:
    2. Dezember 2006
    Beiträge:
    42
    Punkte für Erfolge:
    8
    Danke Euch für die Tips !!!

    Ich habe mal bissel gelesen und probiert und denke das klappt.

    Bei der ersten Variante mit den Routing Ports über "LAN - IP Konfiguration"stelle ich fest, daß ich auf Port2 (bei mir en1-1) auch 3 tagged VLANS anbinden kann. (en1-1-1 VLAN20 192.168.20.1 / en1-1-2 192.168.30.1 VLAN30 und en1-1-3 192.168.40.1 VLAN40)

    Den DHCP Server Dienst konnte ich für alle 3 Adressbereiche anlegen und bei "DHCP-Konfiguration" den Schnittstellen zuweisen.

    Jetzt wollte ich aber den Traffic aus VLAN20 auch aber untagged an den Port 3 der be.ip plus laufen lassen damit ich das mit einem PC mal prüfen kann. Ich habe also versucht auch diese Schnittstelle mit der selben IP Adresse jedoch untagged einzurichten, das klappt leider nicht ! Er bemängelt bei der Einrichtung , daß die MAC Adresse falsch ist. Außerdem wenn ich untagged auswähle kann ich keine VLAN ID mehr auswählen.

    Ist das richtig, daß ich in meinem Fall nicht mit Routing-Modus arbeiten kann und dafür den Bridge Modus nehmen muss oder mache ich was falsch?
     
  7. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.536
    Punkte für Erfolge:
    160
    Hi,
    hört sich doch alles schon gut an...
    Wenn eine Schnittstelle Mitglied in einem VLAN ist und ungetaggte Pakete empfangen und senden soll - eine Schnittstelle mit solch einer Konfiguration nennt man "Access Port" -, so muss in der Tat eine Bridge-Gruppe erstellt und die VLAN Konfiguration der Ports dieser Bridge-Gruppe im VLAN-Menü durchgeführt werden. Der Access Port bekommt eine "PVID" in dem VLAN, zu dem er gehört. Und er sollte nicht mehr Mitglied im Management-VLAN sein, üblicherweise VID#1.

    VG
     
  8. christiande

    christiande Aufsteiger

    Registriert seit:
    2. Dezember 2006
    Beiträge:
    42
    Punkte für Erfolge:
    8
    Hallo

    Ich habe nun am WE viel gelesen, Videos dazu angesehen und herumprobiert doch gelang es mir nicht anhand des GUI der be.ip plus meine Wunschkonfiguration funktionierend einzustellen. Irgendwie verstehe ich die Denkweise der Hersteller dieses GUI nicht. Andere Anleitungen von anderen Herstellern haben dagegen mehr Sinn gemacht. ;-(

    Also ich dachte mir den Port 1 so zubelassen um immer eine Möglichkeit zu haben an die Konfiguration zu kommen über den default Wert.
    Am Port 2 habe ich über den Routing Modus meine 3 VLANs erstellt und mit DHCP Service versehen wie oben beschrieben.

    Dann habe ich am Port 3 einen Bridge Modus erstellt und mittels VLAN Menü nochmal mein VLAN20 dort angebunden. Ich bekomme aber vom VLAN20 keine IP Adresse. Scheinbar ist das zuerst erstellte VLAN20 am Port2 anders als das VLAN20 am Port3. Ich möchte wie gesagt den Traffic vom VL20 am Port 3 ungetagged abfassen können.

    Am Port4 will ich den Traffic vom VL30 abgreifen, das wäre ja dann nur synchron zu Port3

    Wenn Ihr Euch mit dieser be.ip plus auskennt vielleicht kann mir jemand helfen mal eine Schritt für Schritt Anleitung zu geben?

    Gruß
    Christian
     
  9. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.536
    Punkte für Erfolge:
    160
    #9 CapFloor, 5. November 2017
    Zuletzt bearbeitet: 11. November 2017
    Hi,

    ich habe mal was zusammengestellt:

    Ausgangslage ist: Beim bintec sind alle Ports im Routing-Mode.
    Zielkonfiguration: Die ersten drei Ports werden als Bridge mit VLAN 1 als Management VLAN und zwei zusätzlichen VLANs 20 und 30 konfiguriert, Port#1 ist Trunk-Port (VID 1/untagged, 20/tagged und 30/tagged), Port#2 Access-Port für VID 20/untagged, Port#3 Access-Port für VID 30/untagged. VLAN 1 hat Subnetz 192.168.251.0/24, VLAN 20 Subnetz 192.168.20.0/24, VLAN 30 Subnetz 192.168.30.0/24.

    Zusätzlich habe ich zwei WLAN-Interfaces mit konfiguriert, eins für VLAN 20 und eins für VLAN 30.

    VG

    - bintec VLAN Konfiguration -
     
    frank.td hat sich bedankt.
  10. christiande

    christiande Aufsteiger

    Registriert seit:
    2. Dezember 2006
    Beiträge:
    42
    Punkte für Erfolge:
    8
    Hallo CapFloor

    Das ist ganz Spitze Dein Tutorial. Ich glaube ich habe meinen Denkfehler beim ersten ansehen schon bemerkt und werde es morgen nachexerzieren.

    Vielen Dank !!!!
     
  11. christiande

    christiande Aufsteiger

    Registriert seit:
    2. Dezember 2006
    Beiträge:
    42
    Punkte für Erfolge:
    8
    Hallo CapFloor

    Ich habe dieses Video nun einige male durchgespielt und es funktioniert Prima !!! Mir sind da aber Fragen aufgekommen.

    Du hast die Ports alle in die br0 Bridge Gruppe genommen obwohl sie alle in unterschiedlichen Netzwerken sind. Ich dachte die BridgeGruppe ist wie ein virtueller Switch mit dem Namen br0. Aber das macht keinen Sinn wenn da unterschiedliche Netzwerke eingestellt werden. Das muss ich also noch falsch verstehen. Kannst du mir das bitte erklären.

    Dann sehe ich im Schittstellen Menü bei Basisparameter von br0(VLAN1), daß bei Schnittstellen Modus von VLAN 1 "Tagged" steht und im VLAN Menü bei VLANS bei VLAN 1 an der Schnittstelle en1-0 (ausgehende Regel) "untagged" ausgewählt ist. Warum das?

    Ich nehme an, daß ich meine 2. Frage nicht selbst beantworten kann weil ich die erste nicht verstanden habe. ;-)

    Also wie muss ich die Schnittstelle en1-0 im Verhältnis zu br0 verstehen?

    LG
     
  12. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.536
    Punkte für Erfolge:
    160
    #12 CapFloor, 10. November 2017
    Zuletzt bearbeitet: 12. November 2017
    Hi,
    das ist auch der Fall - die Ports kommunizieren auf Layer 2 untereinander, wie in der VLAN Konfiguration des "Switches" festgelegt.

    "br0" selbst stellt logisch die Schnittstelle zu Layer 3 (und höher, z.B. Firewall) Diensten des Routers dar, deshalb ist die IP-Adresse an "br0" gebunden und nicht an einen der darunterliegenden Ports.

    Für den Router stellt "br0" eine virtuelle Schnittstelle dar, die selbst Mitglied im VLAN 1 des Switches ist, der durch die Bridge repräsentiert wird: Ungetaggter, über "br0" eingehender Verkehr - also die Richtung vom Router in den Switch - wird im Switch als VLAN 1 getaggter Netzwerkverkehr behandelt (also wie "br0 hat PVID=1"). Über "br0" ausgehender Verkehr - die Richtung vom Switch zum Router - gehört zum VLAN 1 (also wie "br0 ist Mitglied im VLAN 1").

    Die Übertragung von getaggten und ungetaggten Netzwerkpakten ist für "br0" unabhängig von der VLAN Konfiguration der Ethernet-Ports. "br0" muss auch nicht unbedingt Mitglied in VLAN 1 sein: Wenn man das Management VLAN ändert, so ändert man damit praktisch die VLAN Mitgliedschaft der Bridge. Damit ist auch klar, dass Netzwerkverkehr, der an irgendeinem "Switch-Port" mit VLAN 1 Mitgliedschaft und PVID=1 reinkommt (und das muss nicht nur der Port en1-0 sein), über "br0" in den Router läuft: Zum Beispiel DHCP-Requests im VLAN 1. Aus diesem Grund ist der DHCP Scope für VLAN 1 an "br0" gebunden.

    Die virtuellen Schnittstellen auf Basis von "br0" übernehmen die Rolle, die "br0" im VLAN 1 spielt, für die VLANs 20 und 30.

    VG
     
  13. tms

    tms Fachmann

    Registriert seit:
    4. Oktober 2014
    Beiträge:
    190
    Punkte für Erfolge:
    18
    @CapFloor

    OT: Btw, womit machst Du diese Videos?
     
  14. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.536
    Punkte für Erfolge:
    160
    Hi,

    ich nutze für die Bildschirmaufnahmen Camtasia Studio von TechSmith.

    VG
     
    tms hat sich bedankt.
  15. christiande

    christiande Aufsteiger

    Registriert seit:
    2. Dezember 2006
    Beiträge:
    42
    Punkte für Erfolge:
    8
    @CapFloor

    Danke für die Erklärung. So ganz richtig leuchtet es mir noch nicht ein . An irgendeiner Stelle fehlt mir da noch die Vorstellung glaube ich. Aber es funktioniert sehr gut und jetzt auch mit meinem Ubiquiti Switch. Das Internet steht in allen Netzen zur Verfügung :) . Diese Oberfläche macht da mehr Sinn ;-) (für mich).

    Nun verbindet mir die Bridge br0 ja alle Netze und ich komme aus jedem Netz ins andere rein. Das soll in der Praxis dann aber doch nicht so sein. Ich vermute nun muss ich die Firewall so einstellen, daß die Kommunikation untereinander nicht mehr möglich ist, Internet aber doch.
    Wie sehen da die Arbeitsschritte aus um die VLANs nun auch wirklich voneinander zu trennen?
     
  16. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.536
    Punkte für Erfolge:
    160
    Hi,
    das kommt noch :D.
    Im angehängte Video ist die Trennung der Subnetze der VLANs 20 und 30 und das partielle Zulassen von Netzwerk-Verkehr zu sehen zwischen:

    1. Einem spezifischen Client und einem spezifischen Server,
    2. Einem spezifischer Client und einem Netzwerk,
    3. Einem Netzwerk und einem spezifischen Server.
    Da sollte für jeden was dabei sein:cool:.

    Zum Schluss des Videos ist noch zu sehen, dass die vollständige Trennung der VLAN Subnetze bei bintec auch erreicht werden kann, indem die beiden Interfaces, im Beispiel br0-1 und br0-2, auf "nicht vertrauenswürdig" eingestellt werden. Dann können die beiden expliziten Blockierungen durch Firewallregeln entfallen.

    - bintec VLAN Firewall -

    Das ist ja auch nur ein Switch...;)

    VG
     
  17. christiande

    christiande Aufsteiger

    Registriert seit:
    2. Dezember 2006
    Beiträge:
    42
    Punkte für Erfolge:
    8
    Hallo

    Wieder mal ein TOP Video !! 5 Daumen nach oben !!

    Ich habe das mal ausprobiert und in der Tat sind die Freigaben im jeweils anderen VLAN zumindest als Ping nicht erreichbar. Mir fällt aber auf, daß ich aus den beiden VLANs nun immer noch auf mein Management VLAN drauf komme. Also wenn zB VLAN 30 mein Kindernetz ist, dann möchte ich nicht, daß die Kids auf meinen Router drauf kommen (192.168.1.1).

    Ich dachte mir, daß ich dafür eine zusätzliche Richtlinie anlegen muss wo quelle= Br0-2 Ziel= Br0 Dienst=ANY Aktion= Verweigert angelegt werden muss. Aber leider komme ich mit dem Browser immer noch aus dem VLAN30 auf die 192.168.1.1 drauf.

    Wo liegt denn hier mein Denkfehler?
     
  18. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.536
    Punkte für Erfolge:
    160
    Hi,
    das ist das Problem, wenn die Firewall-Funktion eines Routers nicht klar definiert ist...
    Die von dir (und von mir im Beispiel) genannte Regel wird für die Forward-Queue des Routers eingerichtet: Das Paket kommt auf "br0-2" an und verlässt den Router über "br0".

    Das ist aber genau nicht der Fall, wenn du den Zugriff von "br0" auf irgendeine der Router-IPs verhindern willst: Dabei verlässt das Paket den Router nicht. Die Firewall-Regel betrifft also die sog. Input-Queue. Bei bintec musst du dafür explizit den Zugriff auf die Router-IPs verbieten, also nicht "Ziel=br0", sondern "Ziel="Router-IPs".

    VG
     
  19. christiande

    christiande Aufsteiger

    Registriert seit:
    2. Dezember 2006
    Beiträge:
    42
    Punkte für Erfolge:
    8
    Danke auch für diesen TIP !!

    in meiner be.ip plus habe ich bei den Quell bzw Ziel "INTERFACE ALIASES" kein Interface mit dieser Bezeichnung "Routers-IPs" gefunden. Allerdings stand bei mir "LAN_LOCAL". Ich habe also eine Richtlinie Quelle: BRIDGE_BR0-2 zu Quelle LAN_LOCAL erstellt mit "any" und "verweigert". Die folge war, daß ich tatsächlich meine be.ip aus dem VLAN30 nicht mehr erreichte ABER leider war auch das Internet damit weg. Ich besann mich also wie du die Interface Aliases angelegt hattest und erstellte mir eine Adressliste von 192.168.1.1 bis 192.168.1.254 mit dem Namen "Routers-IPs" und siehe da nun gab es sie. ;-)

    Ich habe die Richtlinie dann mit diesem Interface angelegt und nun konnte ich meine be.ip und alle Geräte, die im 192.168.1.0 'er Netz waren nicht mehr anpingen ABER das Internet blieb erhalten. Das verstehe ich allerdings nicht. Ich habe doch die Router IP mit any (= alle Dienste??) verweigert aber trotzdem kann ich im VLAN30 surfen? Es ist schön, daß es geht aber wieso habe ich das nicht mit dieser Regel blockiert?

    Momentan kommt mein Internet über LAN_EN1-4 (der blaue Eth Port) rein an dem eine Fritzbox hängt sozusagen als externes Gateway und die be.ip als DHCP Client.
    In Zukunft soll die be.ip aber an einem Anlagenanschluss mit VDSL von Telekom sein. Dann wird das interne Modem genutzt.
    Spielt das bei dem Firewallregeln da irgend eine Rolle?

    LG
     
  20. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.536
    Punkte für Erfolge:
    160
    Hi,
    Mit "Router-IPs" meinte ich die IP-Adresse des Routers in den jeweiligen Subnetzen, also: 192.168.1.1, 192.168.20.1 und 192.168.30.1.
    "LAN-LOCAL" sind alle LAN-Ports, en1-4 ist ein LAN-Port. Das du ihn als WAN-Port benutzt, weiß der Router nicht. Deshalb wird auch der Internet-Verkehr durch die Firewall-Regel blockiert.
    Das Ziel der Netzwerkpakete, die vom VLAN30 ins Internet geschickt werden, ist weder die Router-IP noch das Subnetz 192.168.1.0/24. Deshalb greift für diese Pakete auch nicht die Firewall-Regel.

    VG
     
Status des Themas:
Es sind keine weiteren Antworten möglich.