(erledigt) Einfachste VLAN Trennung wie?

[Hobbyfahrer]

Aber wenn ich tag_all eintrage dann habe ich ja das Problem das alle ungetaggten (das ist doch alles was von den PC kommt) nicht mehr zum Lancom über den Trunk kommt.

[Dr.Einstein]

Die wurden ja schon intern getaggt an den Port, wo sie reingekommen sind (untag_all).

Schweres Brot, ich weiß ... ich kanns aber nicht besser erklären.

Wie gesagt, Risiko des Aussperrens ist bei VLANs hoch. Wenn das passiert, aber nicht direkt aufgeben ...

Gruß Doc

[Hobbyfahrer]

Ich dreh durch

Was ich nun nicht verstehe ist, dass im Switch alles auf VLAN 1 also PVID 1 läuft was nicht schon getagt wurde. Warum läuft das dann mit dem Lancom wenn dort unter Netzwerke INTRANET VLAN 0 steht?

VLAN 0 steht ja für eine ungetaggtes Netz also KEIN VLAN

[Dr.Einstein]

wenn der Port auf untag_all / untag_pvid steht, wird der VLAN Header beim Verlassen genau dieses Ports ja wieder entfernt (VLAN 0 = kein VLAn Header).

[Hobbyfahrer]

DANKE DANKE DANKE


Es geht ALLES


Ich bin begeistert das es geht und von deiner Hilfe!

[Dr.Einstein]

sauber

[Hobbyfahrer]

Nun möchte ich natürlich dieses VLAN durch eine Firewall Regel sperren aber da mache ich einen neuen Beitrag in der passenden Rubrik auf

[Hobbyfahrer]

Nun möchte ich mein VoIP Netz auch so trennen.

Ich vermute, dass ich bei den Ports, wo die VoIP Geräte angeschlossen sind (können selbst tagen), die selben Einstellungen an den Switchen mache wie die für den AP?

Die TK Anlage kann nicht tagen und dort muss der Switch den Port taggen. Wie ist dort die Einstellung?


Auf dem Lancom mache ich ein drittes IP Netz auf.



Aber


Wie komme ich dann aus meinem normalen Netz mit 192.168.178.xxx auf das 192.168.180.xxx, um die Geräte administrieren zu können?

Eines der IP Telefon muss auch auf das 178 Netz zugreifen, da das Telefon auf meine IP Kameras zugreift. Wie mach ich das?

[Dr.Einstein]

VLANs machen süchtig, wenn man weiß, wie es geht, wa

Ich gehe mal beim VoiP Gerät davon aus, das KEIN PC-Port an diesem verwendet wird. Richte den Port ein, wie du einen Trunk einrichten würdest, allerdings in der tollen Häkchen-Tabelle nur mit deiner VoIP VLAN ID anhaken. (PVID hat keine Relevanz, kannst du aber aus Übersichtsgründen auf PVID VoIP VLAN stellen).

TK-Anlage ist wie ein PC Port zu betrachten, d.h. untagged_all, C-Port, PVID VoIP VLAN.

Trunkports müssen dann natürlich erweitert werden zwischen den Switchen, optional falls gewünscht auch Richtung Lancom Router.

Für den Zugriff kannst du gleiche Schnittstellentags verwenden. Alternativ das Intranet-Netz als Schnittstellentag 0 und das VoIP Netz != 0. Dann ist Zugriff von Intranet auf VoIP möglich, andersrum nicht. Alle Wege führen nach Rom, kannst natürlich auch beide ins gleiche Tag rein nehmen, danach Deny-Regel zwischen den Netzen und nur gewünschte IPs durchlassen (Quelle Admin-PC, Ziel VoIP Netz). Korrekte Gateway Einträge sind natürlich vorausgesetzt.

Gruß Dr.Einstein

[Hobbyfahrer]

Moin Dr.

da traue ich mich nicht ran.


Ich habe nun eigentlich eine ganz einfach Trennung gemacht.

Neuer Switch und an ETH-2 am Lancom angeschlossen und ETH-2 auf LAN-2 eigestellt
Eigenes Netz mit 192.168.180.xxx eingerichtet auf LAN-2 mit eigenem DHCP Server
Endgeräte die auf dem neuen Switch laufen sollen auf 180.xxx umgestellt

Ergebnis:

Das Gäste-WLAN (VLAN) und das normale WLAN läuft nicht mehr und auch das 180.xxx läuft nicht

Ich begreife das nicht.

[Dr.Einstein]

Hol mal ein wenig aus, managbarer Switch ? Wieso explizit LAN-2 ? Kannst doch auf beliebig lassen und via VLANs separieren. Wie sieht deine VLAN-Tabelle im Router aus, deine Portkonfiguration unter VLANs ? Was ist in dem neuen Switch eingestellt ...

Gruß Dr.Einstein

[Hobbyfahrer]

Es ist alles noch so wie wir es gestern gemacht haben


Ich werde aber auf den Switchen kein weiteres VLAN für das VoIP Netz machen, da ich da nie wieder durchsteigen werde.

Deswegen habe ich mich entschieden, dass VoIP physikalisch über einen weiteren Switch zu trennen. Das habe ich gemacht. Der Switch ist managementfähig aber nutze ich nicht. Ich möchte eigentlich nur die ETH-2 Schnittstelle (da ist der VoIP Switch nun angeschlossen) vom Gesamtnetzwerk trennen.

[Dr.Einstein]

Dann versteh ich aber nicht, wieso nichts mehr funktionieren soll. Mit den Einstellungen von gestern + das VoIP Netz wie auf den Screens sollte es reichen, zur Abgrenzung höchstens noch ein Schnittstellentag für das VoIP Netz.

Funktioniert den absolut gar nix momentan?
- LAN-2 ranhängen -> bekommst VoIP-DHCP ?
- LAN-1 ranhängen -> bekommst Intranet-DHCP?

[Hobbyfahrer]

- LAN-2 ranhängen -> bekommst VoIP-DHCP ? NEIN


- LAN-1 ranhängen -> bekommst Intranet-DHCP? Intranet und WLAN JA Gäste-WLAN NEIN



So gerade nach mehreren Minuten konnte sich ein Client in das Gäste-WLAN einbuken




Nun geht es (fast).

Ich habe den Switch auf Werkseinstellungen gestellt
Schnittstellentag gesetzt
und habe alles neu gestartet




Was geht nicht:

TK Anlage meldet sich nicht bei den Providern an
Zugriff auf den VoIP netz vom 178.xxx
NTP Zeit in den beiden neuen Netzen 179 und 180


Was ist unklar:

Hat jedes Netz nun auch einen eigenen DNS Server bzw. wie sieht der Eitrig im DHCP Server dafür aus??

[Dr.Einstein]

TK Anlage meldet sich nicht bei den Providern an

Gateway / DNS der TK-Anlage auf die neue IP-Adresse aus 180 gesetzt ?

Zugriff auf den VoIP netz vom 178.xxx

Schnittstellentag des Intranets (178) auf 0 belassen? VoIP Tels etc haben alle als Gateway die 180 Lancom IP

NTP Zeit in den beiden neuen Netzen 179 und 180

Du hast jetzt hier ebenfalls die neue 179.x und 180.x vom Lancom gewählt? Wegen Tags erreichst du die alte 178 nicht mehr.

Hat jedes Netz nun auch einen eigenen DNS Server bzw. wie sieht der Eitrig im DHCP Server dafür aus??

Lass einfach 0.0.0.0 drin, dann vergibt der Lancom automatisch sich selbst als Gateway/DNS jeweils aus dem richtigen Netz