info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Was ist besser?
2 views
Skip to first unread message
Kay Martinen
Aug 9, 2020, 1:50:02 PM8/9/20
to
Hallo
Ich habe einen/mehrere Hosts an einem VLAN-Fähigen Switch mit mehreren
VLANs verbunden die alle hinter einem 2. internen Router liegen. Und
einige der VLANs sollen oder dürfen nicht ins Internet.
Wenn ich diesen dann ein weiteres VLAN gebe das direkt zum WAN-Router
führt (den internen also quasi umgeht) auf was sollte ich da besonders
achten?
Das ich auf dem interface privacy-extensions aktiviere und den
paketfilter scharf schalte, checke das ip-forwarding aus ist, ist soweit
klar. Aber was noch?
Konkret geht es dabei um ein Ubuntu 18, ein Linux Mint 19
Und per WLAN (ohne VLAN und direkt am WAN-Router) ggf. ein Windows 10
und vielleicht auch ein Iphone 5s oder Lumia mit Windows 10 Mobile sowie
ein Tablet mit Windows 8.1
Beteiligte Switches sind ein TP Link TLSG108E und ein Lancom ES-2126+
(ohne PoE) dazu halt der unumgängliche Speedport Hybrid und nach innen
ipfire oder pfsense.
Kay
--
Posted via leafnode
Ich habe einen/mehrere Hosts an einem VLAN-Fähigen Switch mit mehreren
VLANs verbunden die alle hinter einem 2. internen Router liegen. Und
einige der VLANs sollen oder dürfen nicht ins Internet.
Wenn ich diesen dann ein weiteres VLAN gebe das direkt zum WAN-Router
führt (den internen also quasi umgeht) auf was sollte ich da besonders
achten?
Das ich auf dem interface privacy-extensions aktiviere und den
paketfilter scharf schalte, checke das ip-forwarding aus ist, ist soweit
klar. Aber was noch?
Konkret geht es dabei um ein Ubuntu 18, ein Linux Mint 19
Und per WLAN (ohne VLAN und direkt am WAN-Router) ggf. ein Windows 10
und vielleicht auch ein Iphone 5s oder Lumia mit Windows 10 Mobile sowie
ein Tablet mit Windows 8.1
Beteiligte Switches sind ein TP Link TLSG108E und ein Lancom ES-2126+
(ohne PoE) dazu halt der unumgängliche Speedport Hybrid und nach innen
ipfire oder pfsense.
Kay
--
Posted via leafnode
Günter Frenz
Aug 9, 2020, 2:15:02 PM8/9/20
to
erreichen willst. Einige Rechner sollen nicht ins Internet und
denen willst du ein weiteres VLAN geben, oder wie? Erklär das mal etwas
genauer und man kann dir eher Tipps geben.
Günter
Kay Martinen
Aug 9, 2020, 3:50:02 PM8/9/20
to
Am 09.08.20 um 20:15 schrieb Günter Frenz:
(Speedport Hybrid)
|
LAN & via VLAN A
|
(Interner Router 2)
|
LAN & via VLAN B
|
Internes Netz --- (internes Gateway) --- VLAN C, VLAN D
| |
PC1 PC2
Hierbei sind PC1 und PC2 mit jeweils einem Physischen Interface am
Switch angeschlossen. Bekommen das Interne Netz nativ (Default-VLAN,
untagged) und VLAN C und VLAN D getaggt. Letzteres (+VLANs) ist relativ
neu. Bisher war dafür das interne Gateway dessen forwarding und routing
sich noch ändern soll. Dort liegt auch der interne DHCP und DNS für
mehrere Segmente.
Jetzt soll auf diesen Beiden Geräten dazu VLAN A kommen um direkten
Inet-zugriff zu haben. Die Anderen Verbindungen werden aber ebenso
benötigt wg. Fileserver im Internen Netz (GbE), zugriff auf Retro-Geräte
(VLAN C) und Remote Management Ports (VLAN D).
Die letzten Beiden sollen aus leicht ersichtlichen Gründen KEIN Internet
bekommen, der Fileserver u.a. im Internen Netz brauchen den nur zw.
Updates über einen proxy auf dem Internen Router 2. Da ist es nicht
kritisch wenn die Verbindung mal weg ist.
Aber auf den beiden PC1 und 2 soll Internet gern mit vollem Dualstack
laufen können. Ebenso auf den anderen genannten Mobilen Geräten.
Meine Sorge ist dabei das entweder über einen der beiden PCs oder auf
den Switches eine ungewollte Verbindung zwischen den VLANs entstehen
könnte, speziell natürlich zwischen VLAN A und den anderen.
Die Alternative wäre die Geräte alle nur mit Einer Physischen untagged
Verbindung in das VLAN A (=Zwischen WAN und Internem Router) zu
platzieren. Aber dann muß ich den internen Router von "Außen" aufbohren
um Verbindung zu bekommen. Z.b. zum Fileserver u.a. Was wg. der
Interfaces (Fastethernet vs. GbE) lahm wird und zudem löcher auf reißt
die ich so hoffe zu umgehen.
Dazu wäre noch zu sagen das ich bisher plane nur Linux zu erlauben mit
VLANs in mehr als einem Netz zu sein. Den anderen (Windows u.a.) Geräten
soll nur Internet-zugriff erlaubt werden. Auch weil ich nicht sicher bin
ob die (fest verbaute HW und die SW) VLAN kann.
|
LAN & via VLAN A
|
(Interner Router 2)
|
LAN & via VLAN B
|
Internes Netz --- (internes Gateway) --- VLAN C, VLAN D
| |
PC1 PC2
Hierbei sind PC1 und PC2 mit jeweils einem Physischen Interface am
Switch angeschlossen. Bekommen das Interne Netz nativ (Default-VLAN,
untagged) und VLAN C und VLAN D getaggt. Letzteres (+VLANs) ist relativ
neu. Bisher war dafür das interne Gateway dessen forwarding und routing
sich noch ändern soll. Dort liegt auch der interne DHCP und DNS für
mehrere Segmente.
Jetzt soll auf diesen Beiden Geräten dazu VLAN A kommen um direkten
Inet-zugriff zu haben. Die Anderen Verbindungen werden aber ebenso
benötigt wg. Fileserver im Internen Netz (GbE), zugriff auf Retro-Geräte
(VLAN C) und Remote Management Ports (VLAN D).
Die letzten Beiden sollen aus leicht ersichtlichen Gründen KEIN Internet
bekommen, der Fileserver u.a. im Internen Netz brauchen den nur zw.
Updates über einen proxy auf dem Internen Router 2. Da ist es nicht
kritisch wenn die Verbindung mal weg ist.
Aber auf den beiden PC1 und 2 soll Internet gern mit vollem Dualstack
laufen können. Ebenso auf den anderen genannten Mobilen Geräten.
Meine Sorge ist dabei das entweder über einen der beiden PCs oder auf
den Switches eine ungewollte Verbindung zwischen den VLANs entstehen
könnte, speziell natürlich zwischen VLAN A und den anderen.
Die Alternative wäre die Geräte alle nur mit Einer Physischen untagged
Verbindung in das VLAN A (=Zwischen WAN und Internem Router) zu
platzieren. Aber dann muß ich den internen Router von "Außen" aufbohren
um Verbindung zu bekommen. Z.b. zum Fileserver u.a. Was wg. der
Interfaces (Fastethernet vs. GbE) lahm wird und zudem löcher auf reißt
die ich so hoffe zu umgehen.
Dazu wäre noch zu sagen das ich bisher plane nur Linux zu erlauben mit
VLANs in mehr als einem Netz zu sein. Den anderen (Windows u.a.) Geräten
soll nur Internet-zugriff erlaubt werden. Auch weil ich nicht sicher bin
ob die (fest verbaute HW und die SW) VLAN kann.
Günter Frenz
Aug 10, 2020, 4:01:51 AM8/10/20
to
nicht den Grund dafür. Warum ist der Internetzugang von PC1 und PC2
über den "Internen Router 2" so langsam, dass der Bypass aus deiner
Sicht nötig wird? Du baust dir damit deutlich mehr Komplexität ein als
vermutlich nötig.
Damit das technisch funktioniert muss sichergestellt sein, dass bei PC1
und PC2 das Routing im Kernel abgeschaltet ist und ansonsten die
Routingtabellen deine Verkehrswünsche exakt widerspiegeln. Aber eine
kleine Unachtsamkeit bei der nächsten Konfigurationsänderung und dein
Kartenhaus bricht zusammen.
Günter
0 new messages