normal Gelöst Bestimmte Clients in eigenes LAN / VLAN zwingen?


Mehr
27 Okt 2017 21:22 #75490 von mensa
Hallo,

in meinem Netzwerk zu Hause sind alle Clients (ca. 40) im gleichen LAN 192.168.1.255. 40 erscheint jetzt vielleicht viel, aber es sind halt auch alle netzwerkfähigen Geräte dazugezählt. Eigentlich egal.
Ich hab einen Asus RT-N18U Router mit Tomato Firmware und da hängt ein unmanaged 16 Port Switch (D-Link Go-SW 16G/E) dran. An diesem Switch hängen ein paar Clients direkt dran und es hängen auch ein paar weitere unmanaged 8 Port Switches (D-Link DGS-108/E) dran und an denen dann erst die Clients (eine Sternverkabelung wäre hier leider nur mit sehr großem Aufwand möglich). Für WLAN hab ich 2 Ubiquiti UAP-AC-LR.
Soweit funktioniert mein Netzwerk sehr gut und schnell.

Es ist jetzt so, dass ich vereinzelt PCs bzw. auch einzelne VMs (auf einem ESXi) habe, welche ich aus Sicherheitsbedenken / Testzwecken nicht direkt in meinem LAN 192.168.1.255 haben möchte. Den Zugriff ins Internet sollen sie kriegen, aber sonst nichts.

Gibt es hier eine Möglichkeit, dass ich bestimmte Clients in ein anderes LAN / VLAN "zwinge"?
Ich möchte diese Clients nicht eigens verkabeln. Ist es also möglich, dass ich mit passender Hardware (evtl. Switches austauschen?), die bestehende Verkabelung nutze und nur gewisse Clients in ein separates Netz zwinge?
Wie würde dann sichergestellt sein, dass diese Clients dann auch wirklich garantiert im anderen Netz landen? Über die MAC-Adresse, oder wie? Das Problem dabei wäre halt, dass man die MAC-Adresse ja einfach überschreiben könnte und so erst wieder ins normale LAN kommen würde, oder?
Die Clients, die das betreffen würde, sind zur Zeit eigentlich alle per Kabel verbunden. Wenn es eine Lösung gibt, wäre es aber natürlich gut, wenn die auch über WLAN funktionieren würde. Vorerst wäre aber nur LAN notwendig.

Oder gibts hierfür gar keine Lösung und ich müsste für die gewünschten Clients sowieso eine eigene Verkabelung machen?

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • andi
  • andis Avatar
  • Offline
  • Administrator
  • Administrator
  • Der Chef bin i.........
Mehr
28 Okt 2017 09:44 #75494 von andi
Hallo,
nein. Eigene Verkabelung brauchst du keine.
Du müsstest folgendes machen: Am Router ein eigenes VLAN definieren und auf Switches umsteigen, die du managen kannst. Du kannst dann jeden Port einzeln einem bestimmten Vlan zuweisen. Alle Ports, die mehrere Vlan-Pakete transportieren müssen, musst du als Trunkports eben beiden Vlans zuordnen, dem default vlan und dem zusätzlich definierten.
Vom Router geht grundsätzlich nur ein Kabel zum ersten Switch. Ich kenne deinen ASUS nicht, aber ich hoffe, das Teil kann mit virtuellen Interfaces umgehen. Also wenn vom Lanport eth1 das Kabel zum ersten Switch geht, muss das default vlan über eth1 und das neu definierte vlan über ein auf eth1 definiertes virtuelles interface laufen. Beispielsweise definierst du ein vlan mit der id 101 und dem virtuellen Interface eth1.101

Der Port am ersten switch, an dem das Kabel rein geht, musst du beiden vlans zuordnen. Und ein Client, der zu dem eigenen neuen Netz gehört wird an einen Port angeschlossen, der dem vlan 101 zugeordnet wird usw....

Dann sollte das passen. Wlan-Erweiterung ist gar kein Problem, weil du ubiqity - Hardware einsetzt. Im Unify-Controller kannst du die vlan-Definitionen einfach übernehmen. Die APs müssen allerdings im default vlan laufen....

lg
andi

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
28 Okt 2017 12:46 - 28 Okt 2017 12:47 #75497 von mensa
Servus andi! Vielen vielen Dank für die ganzen Infos, das ist wirklich nett von dir :)

Ich bin jetzt draufgekommen, dass folgendes aber ein Problem sein könnte:
Also ich möchte bestimmte PCs ja aus meinem LAN raus haben und deshalb in ein eigenes VLAN verbannen. Diese PCs sollen aber weiterhin Internetzugriff haben und zusätzlich auch von meinem Standard-PC (welcher im "normalen" LAN ist) per Remote Desktop gesteuert werden können. Irgendwie schließt sich das ja gegenseitig aus, oder?
Zum Einen möchte ich diese PCs aus meinem LAN verbannen, aber dann doch wieder per RDP steuern können. Ist sowas überhaupt möglich? Oder haben die managed Switches da auch eine Art Firewall drauf, wo man das ganz einfach einstellen kann?

Eine andere Frage hätte ich auch noch:
Also der Router ist ja VLAN fähig. Am Rouer hängt Switch1 und an Switch1 hängt dann Switch2. Am Switch2 möchte ich Switch3 dranhängen und an diesen dann ein paar Clients, welche in ein abgeschottetes VLAN sollen.
Muss ich für mein Vorhaben jetzt auch Switch1 und Switch2 auf einen managed Switch tauschen, oder reicht es, wenn ich nur Switch3 auf einen managed tausche?

Also zur Verdeutlichung:
Router -> Switch1 -> Switch2 -> Switch3 -> Clients (gemischt VLAN1 und VLAN2)

Also ich möchte einfach wissen, ob ich sämtliche Switches im LAN auf managed tauschen muss, oder nur jene, wo ich die Switchports dann konfigurieren will?
Aber vermutlich könnten unmanaged Switch1 und unmanaged Switch2 nichts mit den VLAN Infos vom managed Switch3 anfangen und das ganze würde nicht funktionieren, oder?

Wäre dieser Switch ok?
geizhals.at/d-link-dgs-11-desktop-gigabit-smart-switch-dgs-1100-08-a1009054.html?hloc=at
Letzte Änderung: 28 Okt 2017 12:47 von mensa.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • andi
  • andis Avatar
  • Offline
  • Administrator
  • Administrator
  • Der Chef bin i.........
Mehr
28 Okt 2017 13:16 #75498 von andi
Hi,

also zum Problem 1: Die Vlan-Definition passiert am Router. Nachdem der eben ist, was er ist (eben ein Router) routet der normalerweise per default zwischen beiden Netzen. Also dem default vlan 1 und dem vlan 101. Du MUSST also auch die Firewall am Router so konfigurieren, dass du den Clients im Vlan 101 den Zugriff auf Clients im Vlan 1 verbietest (wenn du das willst) und umgekehrt. Genauso kannst du natürlich auch NUR eine Richtung beschränken. Keine Ahnung, wie das bei deinem ASUS und Tomato ist. Bei einem "richtigen" Router ist das aber so.

Und zu den Switches: Du vermutest richtig. Du musst alle drei Switches austauschen. Wichtig ist, dass der Switch Vlan nach 802.1Q beherrscht, das tut das Teil. Ich empfehle dir diesen Switch: www.tp-link.com/at/products/details/cat-41_TL-SG108E.html

Aber auch nur deswegen, weil ich den Dlink nicht kenne und mit den TP-Link Switches gute Erfahrungen gemacht habe.

lg
andi

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
28 Okt 2017 14:59 #75499 von mensa
Alles klar, vielen Dank nochmal dafür!
Ich werd mal sehen, ob und wie ich das hinbring :)

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Moderatoren: andifrm1912enjoyherby68benderrwhomegeko
Ladezeit der Seite: 0.281 Sekunden
Powered by Kunena Forum