Netzwerk mit 1793VA vernünftig einrichten

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Netzwerk mit 1793VA vernünftig einrichten

Beitrag von tar »

Hallo,

ich bin Lancom-Neuling und stehe etwas auf dem Schlauch bzgl. der Einrichtung meines Netzwerk mit dem 1793VA. Bisher habe ich Fritz!Boxen und andere "simplere" Router genutzt. Ferner habe ich bisher noch nicht mit VLANs hantiert, möchte aber nun mein Netzwerk intern trennen und gleichzeitig sinnvoll von außen schützen sowie intern entsprechende Zugriffsregeln einbauen, damit ich bspw. von der Workstation auf alle Geräte oder von mehreren Geräten auf den Server (Datengrab) zugreifen kann.

Sonderlocke:
Aktuell ist noch ein Kabel-Routermodem (Fritz!Box 6490 Cable) vorgeschalten, das ein WLAN-Mesh zum WLAN-Access Point (FB 450E) durchreicht. Das Kabel-Routermodem soll spätestens April wegfallen (dann soll ein VDSL2-Zugang mittels 1793VA genutzt werden) und der WLAN-Access Point in einigen Tagen durch einen Lancom WLAN-Access Point (LW-500) ersetzt werden.

Es ist momentan alles wie folgt verbunden:
  • Kabel-Routermodem: FB 6490 Cable
    • TV-Kabel -> TV-Dose (72/2 mbps)
    • LAN-2 (Bridge-Port) -> Lancom 1793VA
  • VDSL2-Routermodem: Lancom 1793VA
    • ETH-1 -> Lancom GS-2326
    • ETH-2 -> FB 6490 Cable (vorläufig, soll später wegfallen)
    • ETH-3 -> Workstation (Win 10 LTSC) (Workstation soll nach Router-Einrichtung wieder mit dem Switch verbunden werden)
  • Full Managed Layer-2-Switch: Lancom GS-2326
    • WLAN-Access Point (FB 450E, später Lancom LW-500)
    • TV
    • Medienstreamer
    • IoT: Philips Hue Hub
    • Server (Datengrab) (noch nicht vorhanden)
    • Outdoor Cam (noch nicht vorhanden)
    • ggf. Indoor Cam (noch nicht vorhanden)
  • WLAN-Access Point: FB 450E (später Lancom LW-500)
    • Drucker
    • Scanner
    • Smartphone
    • IoT: Backofen
    • IoT: Geschirrspüler
    • ggf. Indoor Cam (noch nicht vorhanden)
    • weitere eigene WLAN-Geräte (bspw. Laptop)
    • fremde WLAN-Geräte (Gäste-Smartphones, etc.)
Was ich bereits vorgenommen habe:

Nach den Grundeinstellungen (IP-Vergabe auf 10.0.0.7 -> soll später 10.0.0.1 werden, aktuell von FB belegt) hatte ich von der Workstation direkt weiterhin Zugriff auf alles und das Internet funktionierte. Vorab musste ich lediglich auf der FB LAN-2 (woran der 1793VA hängt) als Bridge-Port einstellen.

Da ich aber das DHCP der FB loswerden und in den 1793VA übertragen möchte, habe ich den Port ETH-2 des 1793VA (woran die FB hängt) als Internet-Zugang "Kabelmodem (DHCP)" eingerichtet. Dies finde ich nun unter Kommunikation -> Gegenstellen -> Gegenstellen (DSL): "Internet"
lc-1.png
Das hat erst nicht funktioniert, aber nach ca. 1-minütiger Trennung der FB und des 1793VA vom Strom ging es dann. Dabei habe ich den Zugriff von der Workstation auf die FB verloren (obwohl deren IP ja 10.0.0.1 sein sollte). Ferner vergibt die FB per DHCP eine zusätzliche IP zum 1793VA (10.0.0.200) und seltsamerweise auch weiterhin zum WLAN-Access Point (10.0.0.100 - hier vergibt der 1793VA seltsamerweise keine DHCP-IP, wird auch im LanMonitor unter DHCP nicht angezeigt), der aber erst hinter dem 1793VA am Switch angeschlossen ist. Ansonsten werden aktuell alle IPs dynamisch vom 1793VA im 10.0.0.x-Netz vergeben (die WLAN-Geräte nun dynamisch auch von dem 1793VA bzw. vom Access-Point). Auf den WLAN-Access Point kann ich zugreifen.

Die IPs werden aktuell wie folgt vergeben:
  • FB 6490 Cable: hart 10.0.0.1 (allerdings aktuell kein Zugriff möglich)
  • Lancom 1793VA: hart 10.0.0.7 und per FB-DHCP 10.0.0.200
  • Lancom GS-2326: per 1793VA dynamisch 10.0.0.48, ignoriert FB-DHCP
  • FB 450E (später Lancom LW-500): per FB-DHCP 10.0.0.100 (unklar, wieso - sollte er hier nicht auch eine dynamische DHCP-IP vom 1793VA bekommen?)
  • Workstation: per 1793VA dynamisch 10.0.0.72, ignoriert FB-DHCP
  • alle anderen LAN-Geräte: per 1793VA dynamisch 10.0.0.x, ignorieren FB-DHCP
  • alle anderen WLAN-Geräte: per 1793VA bzw. FB 450E dynamisch 10.0.0.x, ignorieren FB-DHCP per Mesh
Zwischenfragen:

Benötige ich für den Zugriff von der Workstation auf die FB ein separates Kabel von der FB zum 1793VA bzw. zum Switch über ein (ungebridgtes) Port?
Sollte ich dann, sobald ich wieder Zugriff auf die FB habe, das DHCP der FB bereits jetzt gänzlich deaktivieren?


Nun bin ich an dem Punkt, an dem ich per DHCP feste IPs vergeben und das am Besten in VLANs getrennt vergeben möchte. Dabei habe ich mir folgende Aufteilung überlegt:
  • VLAN #1 (10.0.1.x/24): "Management" mit Routermodem (zzgl. aktuell auch das Kabel-Routermodem), Switch und WLAN-Access Point
  • VLAN #2 (10.0.2.x/24): "Fertile" mit Workstation, Server, Laptop, WLAN-Drucker und WLAN-Scanner
  • VLAN #3 (10.0.3.x/24): "Media" mit TVs und Medienstreamern
  • VLAN #4 (10.0.4.x/24): "IoT" mit Haushaltsgeräten per LAN (Philips Hue Hub) und WLAN (hier aktuell: Backofen, Geschirrspüler)
  • VLAN #5 (10.0.5.x/24): "Surveillance" mit Cam(s) (Outdoor per PoE-LAN, Indoor per WLAN und ggf. LAN)
  • VLAN #6 (10.0.6.x/24): "Mobile" mit eigenen WLAN-Laptop(s), -Tablet(s) und -Smartphone(s)
  • VLAN #7 (10.0.7.x/24): "Guests" mit fremden WLAN-Laptop(s), -Tablet(s) und -Smartphone(s)
Wie genau muss ich vorgehen, um die VLAN-Netzwerke einzurichten, dann per DHCP die IPs zu vergeben und mich nicht gleichzeitig bei der Workstation vom Router 1793VA auszusperren? Richtet der Router sich ggf. automatisch eine eigene IP je Teilnetz als Gateway-IP für das jeweilige Netzwerk ein? Also bspw. 10.0.1.1 fürs VLAN #1 und 10.0.2.1 fürs VLAN #2? Inwiefern muss ich dabei auch Einstellungen am Switch vornehmen, der portbasiertes VLAN ermöglicht?

Wie setze ich dann sperren bzw. routen, um
a) von einem Gerät auf ein anderes zugreifen zu können (bspw. von der Workstation Zugriff auf alles, vom Smartphone nur Zugriff zur Workstation & Web, von IoT- und Gastgeräten nur Zugriff aufs Web, usw.)
b) den Zugriff von einem Gerät auf ein anderes (bzw. ganze Netzwerke) zu verbieten (bspw. IoT kein Zugriff auf andere interne Geräte)?


Vielen Dank vorab und viele Grüße!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: Netzwerk mit 1793VA vernünftig einrichten

Beitrag von tar »

Mangels bisheriger Antwort scheint das wohl sehr komplex zu sein.

Ich habe daher mal eigenständig weitergemacht:

1. Schnittstellen -> LAN -> Ethernet-Ports (Interface-Verwendung zugewiesen)
- ETH-1: LAN-1
- ETH-2: DSL-1
- ETH-3: LAN-1
- ETH-4: keine (Strom aus)

2. Schnittstellen -> VLAN -> VLAN-Tabelle (VLANs definiert)

lc-2.png

3. Schnittstellen -> VLAN -> Port-Tabelle (so belassen, aber der Übersicht halber hier mitaufgenommen)

lc-3.png

4. IPv4 -> Allgemein -> IP-Netzwerke... (Netzwerke entsprechend erstellt und den definierten VLAN-IDs zugeordnet)

lc-4.png

... weiter im nächsten Beitrag (wegen Limit der Bilder/Anhänge) ...
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von tar am 07 Feb 2021, 18:29, insgesamt 1-mal geändert.
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: Netzwerk mit 1793VA vernünftig einrichten

Beitrag von tar »

5. IPv4 -> DHCPv4 -> DHCP-Netzwerke... (Einträge entsprechend dem vorhandenen INTRANET einfach auf die neuen Netzwerke kopiert, um erstmal grundsätzlich DHCP zu aktivieren)

lc-5.png

6. IPv4 -> BOOTP -> Stationen... (Testweise einen Eintrag für Workstation erstellt mit Zuweisung auf VLAN #2-Adressbereich)

lc-6.png

Alles mit "OK" bestätigt.

Nach einem Neustart des Routers wird der Workstation allerdings nachwievor die dynamische IP 10.0.0.72 (INTRANET-Adressbereich) zugewiesen.

Was mache ich falsch? Was fehlt?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von tar am 07 Feb 2021, 18:58, insgesamt 4-mal geändert.
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: Netzwerk mit 1793VA vernünftig einrichten

Beitrag von tar »

Im LanMonitor zeigt er mir nun eine doppelte Zuweisung an. Einmal hat er eine IP im INTRANET und einmal im FERTILE-VLAN. Daraufhin habe ich im BOOTP der Workstation mal zusätzlich eine feste IP im INTRANET (10.0.0.10) zugewiesen. Die zieht er nun auch (zusätzlich zeigt es noch die alte 10.0.0.72 an):

lc-7.png

Heißt das, alle Geräte erhalten zunächst mal grundsätzlich eine IP im "normalen" 10.0.0.x-INTRANET-Netzwerk und zusätzlich entsprechend gepflegte VLAN-IP-Adressen, die aber nur der Router sieht? Was ist da bitte der Sinn der Sache? Es geht doch gerade darum, dass man Geräte von vornherein trennen können sollte, was bei einem Layer-2-Switch wohl nur mittels VLAN möglich wäre. Ich bin komplett verwirrt :(
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Netzwerk mit 1793VA vernünftig einrichten

Beitrag von Jirka »

tar hat geschrieben: 07 Feb 2021, 13:16 Zwischenfragen:
Benötige ich für den Zugriff von der Workstation auf die FB ein separates Kabel von der FB zum 1793VA bzw. zum Switch über ein (ungebridgtes) Port?
Nein.
tar hat geschrieben: 07 Feb 2021, 13:16
Sollte ich dann, sobald ich wieder Zugriff auf die FB habe, das DHCP der FB bereits jetzt gänzlich deaktivieren?
Nein, da Du den Internetzugang des LANCOMs mit DHCP konfiguriert hast, dann hättest Du es mit IPoE machen müssen ("feste IP").
tar hat geschrieben: 07 Feb 2021, 18:28
Was mache ich falsch? Was fehlt?
Offensichtlich wurde das VLAN-Modul nicht eingeschaltet? Danach sieht es jedenfalls aus.

Viele Grüße,
Jirka
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: Netzwerk mit 1793VA vernünftig einrichten

Beitrag von tar »

Hallo Jirka,

vielen Dank.

Ich hab den bisherigen Web-DHCP-Zugang nochmal entfernt und mit IPOE und festen IP-Adressen hat es nun funktioniert. So habe ich nun auch Zugang zur FB, deren DHCP ich direkt deaktiviert habe.
Jirka hat geschrieben: 07 Feb 2021, 23:04Offensichtlich wurde das VLAN-Modul nicht eingeschaltet? Danach sieht es jedenfalls aus.
Zumindest zum Teil. Mit aktiviertem VLAN-Modul wird nun zumindest die VLAN ID 1 gesetzt, d.h. alles (bis auf die FB) ist erstmal im Management VLAN 10.0.1.x. Das "INTRANET"-LAN (10.0.0.x) habe ich daher komplett entfernt.

Allerdings gelingt es mir nachwievor nicht, dass er die Workstation dem VLAN 2 zuweist.

Einstellungen am Router:
- ETH-1 (an dem der Switch hängt) ist Interface LAN-1 zugewiesen
- VLAN-Modul nun aktiv und VLAN 1 bis 7 sind LAN-1 zugewiesen
- IPv4-Netzwerke zu VLAN 1 bis 7 sind definiert und LAN-1 zugewiesen (die Router-IP habe ich dabei nun jeweils auf 10.0.x.1 geändert)
- DHCPv4-Server ist für LAN-1 aktiv
- DHCPv4-Netzwerke für VLAN 1 bis 7 sind definiert (sämtliche IP-Angaben darin noch auf 0.0.0.0)
- IPv4-BOOTP für die Workstation-MAC ist für VLAN 1 (10.0.1.10) und VLAN 2 (10.0.2.10) definiert

Einstellungen am Switch:
- im VLAN-Membership sind VLAN 1-7 definiert
- im VLAN-Membership sind VLAN 1-7 für Port 1 aktiv, an dem der Router hängt
- im VLAN-Membership ist VLAN 2 für Port 6 aktiv, an dem die Workstation hängt
- VLAN-Port 1 Einstellungen sind: Unaware, kein Ingress Filtering, Frame Type "All", Egress Rule "Hybrid", PVID "1"
- VLAN-Port 6 Einstellungen sind: C-port, kein Ingress Filtering, Frame Type "All", Egress Rule "Trunk", PVID "2" (Ziel ist, dass er ausgehend grundsätzlich VLAN ID "2" tagged)

Sobald ich nun auf dem Switch "Apply" drücke, landet meine Workstation im 169.x.x.x-Netz und das wars. Setze ich dann im Workstation-Ethernet-Adapter hart die IP 10.0.2.10, kann ich mich dennoch nicht zum Router oder sonstwohin verbinden.

Wo liegt der Fehler?

Nachtrag:
Nach Aktualisierung des Intel-Treibers auf der Workstation habe ich es zumindest mal hinbekommen, VLAN 2 mittels NIC zu setzen. Dann zieht er auch die zugehörige IP aus dem VLAN 2-Netz per DHCP vom Router. Versuche ich es aber einfach per Port, indem ich dort die PVID auf "2" setze (und sonst nichts ändere, also VLAN Port Config steht auf: Unaware, -, All, Hybrid, 2), kappt die Verbindung und ich lande im 169er-Netz. Seltsam.

Viele Grüße!
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Netzwerk mit 1793VA vernünftig einrichten

Beitrag von C/5 »

Hallo tar,

Du bist ja schon ziemlich weit vorgedrungen.
Für mich war dieser Beitrag seinerzeit recht hilfreich.
Dazu diese Grafik:
Lancom ETH zu IP Schema.PNG
Außerdem sollte in der Port-Tabelle für LAN-1 nicht Hybrid, sondern tagged stehen. Du musst dafür sorgen, dass auf dem Uplink-Port des LANCOM zum Switch alle Pakete getagged sind. Der Port vom Switch muss entsprechend konfiguriert sein.

Wenn's dann läuft, vergewissere Dich, dass die VLANs wirklich isoliert sind. Zum Beispiel, in dem Du Deinen Test mit der Konfiguration eines VLAN-Tagg auf der Netzwerkkarte des Client wiederholst.
Aus diesem Umstand wird dann hier auch öfter mal auf ARF hingewiesen. Dafür kämen dann Routing-Taggs ins Spiel.

Unter Schnittstellen - LAN gibt es auch noch eine Port-Tabelle, wie sieht die denn bei Dir aus?

Ach ja, denk daran, auf der Fritz!Box eine Rückroute ins jeweilige 10.0.x.x-Netz zu konfigurieren. Sonst gelangen die Pakete zwar bis zur Fritz!Box, aber mangels deren Wissen, wo sie mit den 10.0.x.x. Antworten hin soll, nicht wieder zurück.

Gruß
C/5
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: Netzwerk mit 1793VA vernünftig einrichten

Beitrag von tar »

Hallo C/5,

also ich habe das die Nacht umgesteckt und nun wie folgt verbunden:

Router
- ETH-1 -> LAN-1: hängt am Switch
- ETH-2 -> DSL-1: geht zur Fritte (Zugang zum Web jetzt per IPOE)

Switch:
- hier hängt alles andere dran, auch der AP (an dem halt das WLAN-Zeugs "hängt")

Von daher habe ich auch keine Bridges eingestellt - und selbst, wenn ich ETH-3 oder ETH-4 noch nutzen würde, würde ich das einfach demselben LAN-1 zuordnen wie ETH-1 und bräuchte auch da keine Bridge.

Die Einstellungen in Schnittstellen -> LAN -> Port-Tabelle sind aktuell für LAN-1: aktiv, kein Private Mode, keine Bridge-Gruppe, automatischer Point-to-Point Port, keine DHCP-Begrenzung.

Was mich aber etwas wundert, ist dein letzter Punkt mit dem Rückweg von der Fritte. Der muss doch bereits so funktionieren, da ich ja eine Anfrage von der Workstation über den Switch zum Router zur Fritte mache und die mir die Antwort zurückliefern muss - anderenfalls würde ich weder Zugang zur Fritte, noch zum Web haben (also im Browser kein Ergebnis meiner Anfrage sehen). Oder gehts da um etwas ganz anderes?

Ich habe gerade mal in Schnittstellen -> VLAN -> Port-Tabelle den Tagging-Modus für LAN-1 auf Trunk (immer) gestellt und -zack- war ich vom Router ausgesperrt. Wahrscheinlich, weil der Port am Switch nicht alle Frames tagged und ich an der Workstation das VLAN im NIC wieder deaktiviert habe.

Nun weiß ich nicht weiter:
- ändern des Port-VLANs am Switch auf "2" sperrt mich komplett aus
- ändern des LAN-1 am Router auf "Trunk" sperrt mich vom Router aus (bzw. den Router vom Switch und damit ist das ganze Netzwerk kaputt)
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: Netzwerk mit 1793VA vernünftig einrichten

Beitrag von tar »

Nach Stunden des Probierens und Grübelns habe ich es endlich wie folgt hinbekommen:

Code: Alles auswählen

Port                         Port Type   Ingress Filter   Frame Type   Egress Rule   PVID   erlaubte VLANs
----------------------------------------------------------------------------------------------------------
Switch-Port zur Workstation  C-port      Aus              All          Trunk         2      1, 2
Switch-Port zum Router       C-port      Aus              All          Hybrid        1      1 bis 7
Router-Port zum Switch                                                 Hybrid        1      auch andere (also alle)
Damit erhält die Workstation endlich eine DHCPv4-IP aus dem VLAN 2-Netzwerk und kann erstmal weiterhin auf alles zugreifen.

Ich versuche nun, auch alle weiteren LAN-Geräte/Ports entsprechend einzurichten, morgen die WLAN-Geräte und danach gehts ans Routing/FW/usw.
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: Netzwerk mit 1793VA vernünftig einrichten

Beitrag von tar »

Zwei kurze Zwischenfragen:

1. DHCP-Anzeige im LanMonitor

Im LanMonitor sieht man ja die DHCP-Zuweisungen des Routers an die Endgeräte. Wenn ich den Switch neu starte, sind diese mit einem blauen Monitor hinterlegt und zeigen mir detaillierte Informationen zur Zuweisungs-Zeit und dem Timeout an. Sobald ich allerdings irgendwas an der Router-Config ändere und danach den LanMonitor aktualisiere, wird der Monitor neben allen Geräten grau angezeigt und die beiden Informationen fehlen. D.h. ich kann im LanMonitor nicht länger erkennen, ob und welche Geräte auch tatsächlich zugewiesen sind.

Ist das ein normales Verhalten oder kann ich da irgendwas einstellen, damit ich immer die aktuelle DHCP-Zuweisung im LanMonitor sehe?

2. Kommunikation zwischen 2 Geräten in unterschiedlichen VLANs ermöglichen

Die Geräte sind ja durch die VLANs an sich getrennt - bis auf die Ausnahme, dass wohl alle Geräte Zugriff auf das Management-VLAN 1 haben. Nun würde ich aber gerne das ein oder andere Gerät aus VLAN 1+x explizit mit einem Gerät aus VLAN 1+y kommunizieren lassen.

Hier geht es konkret darum, dass 10.0.2.10 (VLAN 2) auf 10.0.4.10 (VLAN 4) zugreifen kann.

Dazu habe ich testweise eine simple ACCEPT-Firewallregel angelegt, wobei ich beide Geräte als Station mit ihren IPs angelegt und beide auf die "von-" und "zu-Seite" eingetragen habe (es soll hier also beidseitige Kommunikation möglich sein). Diese Regel ist mit Prio 10 aktiv und "hält die Verbindungszustände nach" (was immer dies auch bedeuten möge).

Nach Übernahme der Regel ist mir aber weder ein Ping noch ein Browserzugriff von Station 1 auf Station 2 möglich. Daraufhin habe ich die Regel geteilt und zwei Regeln mit entsprechenden Tags draus gemacht, d.h. in Regel 1 soll VLAN-2-Station mit Quell-Tag "2" auf VLAN-4-Station mit Routing-Tag "4" zugreifen können und in Regel 2 umgekehrt (dazu habe ich zu den VLANs die Schnittstellen-Tags entsprechend der VLAN ID gesetzt).

Dies brachte jedoch leider auch nicht den gewünschten Erfolg.

Was muss ich tun, damit 10.0.2.10 (VLAN 2) auf 10.0.4.10 (VLAN 4) zugreifen kann?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Netzwerk mit 1793VA vernünftig einrichten

Beitrag von backslash »

Hi tar
Die Geräte sind ja durch die VLANs an sich getrennt - bis auf die Ausnahme, dass wohl alle Geräte Zugriff auf das Management-VLAN 1 haben. Nun würde ich
sobald die Kommuikation über den Router läuft, sind die VLAN-Tags irrelevant - denn das sind "Layer-2" Informationen. Routung läuft aber auf "Layer-3". Hier ist nur wichtig, welches Routing- bzw Schnittstellen-Tag die beteiligten Netze haben. Und da die Netze laut deinem Post (" Schnittstellen -> VLAN -> VLAN-Tabelle (VLANs definiert)") alle das Tag 0 haben müssen, sie sich sofort sehen - auch ohne Firewallregeln - zumindest solange du keine Deny-All Regel hast, die den Traffic erstmal unterbindet. (und natürlich solange das LANCOM im jeweiligen Netz das Default-Gateway ist...)

Wenn die den Netzen aber mitlerweise mit Routing- bzw Schnittstellen-Tags versehen hast, dann mußt du je nach Richtung poassedn umtaggende Regeln in die Firewall aufnehmen, also im Prinzip so

Code: Alles auswählen

Name:        ALLOW-NETx->NETy
Routing-Tag: Schnittstellen-Tag von Nety
Aktion:      übertragen
Quelle:      alle Stationen in NETx
Ziel:        alle Stationen in NETy
Dienste:     alle Dienste
wenn das Zielnetz das Tag 0 hat, dann muß als Routing-Tag 65535 angegeben werden, denn das Routing-Tag 0 bedeutet in einer Firewallregel, daß ein etwaig vorhandenes Tag nicht geändert wird.

Wichtig: Routing- bzw Schnittstellen-Tags sind vollkommen unabhängig von VLAN-Tags

Gruß
Backslash
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: Netzwerk mit 1793VA vernünftig einrichten

Beitrag von tar »

Hallo backslash,
backslash hat geschrieben: 09 Feb 2021, 11:27 ...da die Netze laut deinem Post (" Schnittstellen -> VLAN -> VLAN-Tabelle (VLANs definiert)") alle das Tag 0 haben müssen, sie sich sofort sehen - auch ohne Firewallregeln - zumindest solange du keine Deny-All Regel hast, die den Traffic erstmal unterbindet. (und natürlich solange das LANCOM im jeweiligen Netz das Default-Gateway ist...)
Das funktioniert so bei mir bereits nicht. Ich habe die Schnittstellen-Tags aus den VLAN-Netzwerken wieder entfernt (d.h. auf 0 gesetzt). Laut deiner Aussage müssten sich nun prinzipiell alle Netze sehen, was bei mir nicht funktioniert. Alle VLAN-Netzwerke sehen nur sich selbst und das Management-VLAN (ID 1).

Ich vermute, das liegt entweder daran, welche VLANs ich an welchem Port am Switch als erlaubt eingestellt habe oder an den DHCP-Einstellungen im Router. Daher nochmal der Reihe nach meine Config:

Switch (Port 6 und 21 können wir ignorieren, da die Geräte noch nicht da sind):

lc-switch-settings.png

Wie man sieht, habe ich überall VLAN 1 erlaubt - deswegen ist das momentan wohl auch von jedem VLAN aus sichtbar. Ich weiß aber nicht, ob das so "korrekt" ist (also sein muss) oder man das besser über Routing löst und man nur jeweils das eigene VLAN an dem Port erlauben sollte.

Zusätzlich dazu habe ich MAC-based VLAN eingerichtet und für alle angeschlossenen Geräte die jeweilige MAC und VLAN ID eingerichtet sowie dem einzelnen Port zugewiesen, an dem diese hängen.

Dann der Router (sorry für die Größe, Bitte Rechtsklick -> Grafik anzeigen/herunterladen):

lc-router-settings.png

Die DSL-1 (gelb), LAN-1 (rot), VLAN- (rotbraun) und DHCPv4-Settings (grün) sind farblich hervorgehoben.

Hier habe ich mittlerweile die DHCPv4-Settings genauer spezifiziert (also konkrete Adressen und jeweils zugehörigen Broadcast eingepflegt). Das Gast-Netzwerk (VLAN 7) ist nun auch auf die 192.168.10.x gewandert - aber das spielt erstmal keine Rolle.

Wie man sieht, stehen die Schnittstellen-Tags jetzt alle auf "0".

Im Router habe ich unter "IP-Router" nichts manuell gepflegt. Die IPv4-Routing-Tabelle sieht so aus:

Code: Alles auswählen

IP-Adresse        Netzmaske     Tag   Schaltzustand       Router    RIP-Distanz   Mask.  Adm.Dist.   Kommentar
192.168.0.0       255.255.0.0   0     Aus                 0.0.0.0   0             Aus    0           template: block private networks: 192.168.x.y
172.16.0.0        255.240.0.0   0     Aus                 0.0.0.0   0             Aus    0           template: block private networks: 172.16-31.x.y
10.0.0.0          255.0.0.0     0     Aus                 0.0.0.0   0             Aus    0           template: block private network: 10.x.y.z
255.255.255.255   0.0.0.0       0     An, sticky für RIP  0.0.0.0   0             An     0           Diese Route wurde durch den Internet-Assistenten erzeugt
Die IPv4-Firewall ist aktiv und sieht jetzt erstmal so aus:

lc-router-fw.png

Die IPv6-Firewall ist ebenfalls aktiv und hat diverse Einträge. Da aber IPv6 nicht aktiv ist, vermute ich mal ins Blaue, dass die keine Auswirkungen hat. Korrekt?

backslash hat geschrieben: 09 Feb 2021, 11:27 Wenn die den Netzen aber mitlerweise mit Routing- bzw Schnittstellen-Tags versehen hast, dann mußt du je nach Richtung poassedn umtaggende Regeln in die Firewall aufnehmen, also im Prinzip so

Code: Alles auswählen

Name:        ALLOW-NETx->NETy
Routing-Tag: Schnittstellen-Tag von Nety
Aktion:      übertragen
Quelle:      alle Stationen in NETx
Ziel:        alle Stationen in NETy
Dienste:     alle Dienste
wenn das Zielnetz das Tag 0 hat, dann muß als Routing-Tag 65535 angegeben werden, denn das Routing-Tag 0 bedeutet in einer Firewallregel, daß ein etwaig vorhandenes Tag nicht geändert wird.

Wichtig: Routing- bzw Schnittstellen-Tags sind vollkommen unabhängig von VLAN-Tags
Danke, aber das hat mit den Tags leider nicht geklappt, weil wohl noch grundsätzlich etwas "schief" hängt (siehe oben), so dass bereits ohne gesetzte Tags keine Kommunikation von VLAN 2 auf VLAN 4 möglich ist.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Netzwerk mit 1793VA vernünftig einrichten

Beitrag von backslash »

Hi tar,

die Switch-Konfig ist hier egal, da es um Routing geht...

Wenn die Rechner das LANCOM erreichen, dann müssen sie sich auch gegenseitig erreichen - es sei denn, das LANCOM ist nicht das Default-Gateway...
Schau dir mal die Rechner an, von denen du und auf die du zugreifen willst... ggf. haben die auch nich Firewalls aktiviert, die einen Zugriff aus fremen Netzen verhindern.

Das kannst du am LANCOM über einen IP-Router-Trace prüfen - am besten natürlich gefiltert auf die beteiligten Rechner:

Code: Alles auswählen

trace # ip-router @ IP-Adresse-Rechner-1 IP-Adresse-Rechner-2
Und dann pings du von Rechner 1 den Rechner 2 an
Wenn der Trace leer bleibt, dann ist das LANCOM auf Rechner-1 nicht das Default-Gateway.
Wenn der Trace nur Traffic von Rechner 1 nach Rechner-2 anzeigt, dann ist das LANCOM auf Rechner 2 nicht das Default-Gateway oder auf Rechner 2 blockiert eine Firewall den Zugriff...

Gruß
Backslash
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: Netzwerk mit 1793VA vernünftig einrichten

Beitrag von tar »

Okay.

Kleine Seitenbemerkung: Ich kann trace- (und ping- und wohl auch alle anderen "laufenden")-Befehle nicht mittels STRG+C und auch nicht mittels der Special Commands im PuTTy-Fenstermenü (BREAK und diverse SIG-Befehle) abbrechen. D.h. ich muss jedesmal das Fenster komplett schließen und mich neu einloggen - auch geil. Dass mal irgendwas auf Anhieb funktioniert, scheint unmöglich. :roll:

Also ich hab mich jetzt mal in PuTTy per SSH auf 10.0.1.1 eingeloggt und zunächst mal einen trace zwischen der Workstation, von der ich hantiere zum Router selbst zu starten. Dabei landet er einer Endlos-Schleife zwischen LAN und WAN.

Code: Alles auswählen

| LANCOM 1793VA
| Ver. 10.40.0414RU3 / 04.11.2020
| SN.  400...
| Copyright (c) LANCOM Systems

Router, Connection No.: 002 (LAN)


root@Router:/
> trace # ip-router @ 10.0.2.1 10.0.1.1
IP-Router                  ON  @ 10.0.2.1 10.0.1.1

root@Router:/
>
[IP-Router] 2021/02/09 16:29:07,903
IP-Router Rx (LAN-1, FERTILE, RtgTag: 0):
DstIP: 3.84.191.22, SrcIP: 10.0.2.10, Len: 40, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 55873, Flags: A
Seq: 1434186225, Ack: 890443122, Win: 1025, Len: 0
Route: WAN Tx (INTERNET)

[IP-Router] 2021/02/09 16:29:08,107
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 10.0.2.10, SrcIP: 3.84.191.22, Len: 77, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 55873, SrcPort: 443, Flags: PA
Seq: 890443122, Ack: 1434186225, Win: 108, Len: 37
Route: LAN-1 Tx (FERTILE):

[IP-Router] 2021/02/09 16:29:08,149
IP-Router Rx (LAN-1, FERTILE, RtgTag: 0):
DstIP: 3.84.191.22, SrcIP: 10.0.2.10, Len: 40, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 55873, Flags: A
Seq: 1434186225, Ack: 890443159, Win: 1025, Len: 0
Route: WAN Tx (INTERNET)

[IP-Router] 2021/02/09 16:29:08,206
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 10.0.2.10, SrcIP: 3.84.191.22, Len: 101, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 55873, SrcPort: 443, Flags: PA
Seq: 890443159, Ack: 1434186225, Win: 108, Len: 61
Route: LAN-1 Tx (FERTILE):

[IP-Router] 2021/02/09 16:29:08,248
IP-Router Rx (LAN-1, FERTILE, RtgTag: 0):
DstIP: 3.84.191.22, SrcIP: 10.0.2.10, Len: 40, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 55873, Flags: A
Seq: 1434186225, Ack: 890443220, Win: 1024, Len: 0
Route: WAN Tx (INTERNET)

[IP-Router] 2021/02/09 16:29:08,332
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 10.0.2.10, SrcIP: 3.84.191.22, Len: 116, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 55873, SrcPort: 443, Flags: PA
Seq: 890443220, Ack: 1434186225, Win: 108, Len: 76
Route: LAN-1 Tx (FERTILE):

[IP-Router] 2021/02/09 16:29:08,373
IP-Router Rx (LAN-1, FERTILE, RtgTag: 0):
DstIP: 3.84.191.22, SrcIP: 10.0.2.10, Len: 40, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 55873, Flags: A
Seq: 1434186225, Ack: 890443296, Win: 1024, Len: 0
Route: WAN Tx (INTERNET)

[IP-Router] 2021/02/09 16:29:08,433
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 10.0.2.10, SrcIP: 3.84.191.22, Len: 74, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 55873, SrcPort: 443, Flags: PA
Seq: 890443296, Ack: 1434186225, Win: 108, Len: 34
Route: LAN-1 Tx (FERTILE):

[IP-Router] 2021/02/09 16:29:08,474
IP-Router Rx (LAN-1, FERTILE, RtgTag: 0):
DstIP: 3.84.191.22, SrcIP: 10.0.2.10, Len: 40, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 55873, Flags: A
Seq: 1434186225, Ack: 890443330, Win: 1024, Len: 0
Route: WAN Tx (INTERNET)

[IP-Router] 2021/02/09 16:29:08,615
IP-Router Rx (LAN-1, FERTILE, RtgTag: 0):
DstIP: 10.0.1.2, SrcIP: 10.0.2.10, Len: 444, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 59655, Flags: PA
Seq: 1737738975, Ack: 640483461, Win: 1025, Len: 404
Route: LAN-1 Tx (MANAGEMENT):

[IP-Router] 2021/02/09 16:29:08,615
IP-Router Rx (LAN-1, FERTILE, RtgTag: 0):
DstIP: 10.0.1.2, SrcIP: 10.0.2.10, Len: 404, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 62591, Flags: PA
Seq: 3605663935, Ack: 773795830, Win: 1022, Len: 364
Route: LAN-1 Tx (MANAGEMENT):

[IP-Router] 2021/02/09 16:29:08,617
IP-Router Rx (LAN-1, MANAGEMENT, RtgTag: 0):
DstIP: 10.0.2.10, SrcIP: 10.0.1.2, Len: 252, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 62591, SrcPort: 80, Flags: PA
Seq: 773795830, Ack: 3605664299, Win: 17520, Len: 212
Route: LAN-1 Tx (FERTILE):

[IP-Router] 2021/02/09 16:29:08,618
IP-Router Rx (LAN-1, MANAGEMENT, RtgTag: 0):
DstIP: 10.0.2.10, SrcIP: 10.0.1.2, Len: 252, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 59655, SrcPort: 80, Flags: PA
Seq: 640483461, Ack: 1737739379, Win: 17520, Len: 212
Route: LAN-1 Tx (FERTILE):

[IP-Router] 2021/02/09 16:29:08,658
IP-Router Rx (LAN-1, FERTILE, RtgTag: 0):
DstIP: 10.0.1.2, SrcIP: 10.0.2.10, Len: 40, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 62591, Flags: A
Seq: 3605664299, Ack: 773796042, Win: 1021, Len: 0
Route: LAN-1 Tx (MANAGEMENT):

... und zig tausend weitere ...
-> Abbruch
Seltsamerweise kann ich aber von 10.0.2.10 (Workstation) auf 10.0.1.1 (Router) zugreifen, sonst hätte ich mich ja auch nicht per SSH drauf einloggen können.

Denselben Trace-Wirrwarr erzeugt er zwischen 10.0.2.10 (Workstation) und 10.0.4.10 (Hue Hub). Auf den Hue Hub kann ich aber nicht zugreifen.

Ping von der 10.0.2.10 (Workstation) zu 10.0.1.1 (Router) klappt, zu 10.0.4.10 (Hue Hub) nicht. Da hat mich nun interessiert, wie der pingt:

Code: Alles auswählen

| LANCOM 1793VA
| Ver. 10.40.0414RU3 / 04.11.2020
| SN.  400...
| Copyright (c) LANCOM Systems

Router, Connection No.: 002 (LAN)


]0;root@Router:/root@Router:/
> trace e # ip-router @ "echo request"

IP-Router                  ON  @ "echo request"

]0;root@Router:/root@Router:/
> trace # ip-router @ "echo request"" " " " " p"l"a"" y"

IP-Router                  OFF

]0;root@Router:/root@Router:/
> trace # ip-router @ "echo reply"

IP-Router                  ON  @ "echo reply"

]0;root@Router:/root@Router:/
> ping 10.0.2.1

    56 Byte Packet from 10.0.2.1 seq.no=0 time=0.168 ms 
    56 Byte Packet from 10.0.2.1 seq.no=1 time=0.145 ms 
    56 Byte Packet from 10.0.2.1 seq.no=2 time=0.153 ms 
    56 Byte Packet from 10.0.2.1 seq.no=3 time=0.163 ms 
    56 Byte Packet from 10.0.2.1 seq.no=4 time=0.166 ms 
    56 Byte Packet from 10.0.2.1 seq.no=5 time=0.181 ms 
    56 Byte Packet from 10.0.2.1 seq.no=6 time=0.156 ms 
    56 Byte Packet from 10.0.2.1 seq.no=7 time=0.158 ms 
    56 Byte Packet from 10.0.2.1 seq.no=8 time=0.157 ms 
    56 Byte Packet from 10.0.2.1 seq.no=9 time=0.153 ms 
    56 Byte Packet from 10.0.2.1 seq.no=10 time=0.150 ms 
Leider nicht viel zu sehen... der trace scheint hier nicht zu funktionieren.

Der Gateway am 10.0.2.10 ist 10.0.2.1. Gemäß DHCP sollte der Gateway auf der 10.0.4.10 entsprechend 10.0.4.1 lauten. Prüfen kann ich das mangels Zugriff überhaupt nicht. Ich weiß aktuell nicht mal, ob das Teil überhaupt da ist, da die DHCP-Übersicht im LanMonitor rumspinnt (siehe Vorbeitrag). Daher versuche ich es als nächstes zwischen Workstation und einem Laptop, den ich dazu erstmal per LAN am Switch einrichten und am Router alles einrichten muss, so dass er in VLAN 4 landet.

Parallel ist nun endlich der PoE-Injektor für den LW-500 angekommen. Mir wärs am Liebsten, den später einzurichten, wenn das LAN-VLAN & -Routing erstmal ordentlich hinhaut und werde meine Fragen dazu dann im anderen Unterforum stellen.
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: Netzwerk mit 1793VA vernünftig einrichten

Beitrag von tar »

Ah - ich hab auf 10.0.1.1 den trace für echo request mal aktiviert und dann von der 10.0.2.10 in der shell nen ping auf die 10.0.4.10 gestartet:

SSH@10.0.1.1:

Code: Alles auswählen

| LANCOM 1793VA
| Ver. 10.40.0414RU3 / 04.11.2020
| SN.  400...
| Copyright (c) LANCOM Systems

Router, Connection No.: 002 (LAN)


root@Router:/
> trace # ip-router @ "echo request"
IP-Router                  ON  @ "echo request"

root@Router:/
>
[IP-Router] 2021/02/09 16:54:25,526
IP-Router Rx (LAN-1, FERTILE, RtgTag: 0):
DstIP: 10.0.4.10, SrcIP: 10.0.2.10, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0040
Route: LAN-1 Tx (IOT):

[IP-Router] 2021/02/09 16:54:30,300
IP-Router Rx (LAN-1, FERTILE, RtgTag: 0):
DstIP: 10.0.4.10, SrcIP: 10.0.2.10, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0041
Route: LAN-1 Tx (IOT):

[IP-Router] 2021/02/09 16:54:35,304
IP-Router Rx (LAN-1, FERTILE, RtgTag: 0):
DstIP: 10.0.4.10, SrcIP: 10.0.2.10, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0042
Route: LAN-1 Tx (IOT):

[IP-Router] 2021/02/09 16:54:40,300
IP-Router Rx (LAN-1, FERTILE, RtgTag: 0):
DstIP: 10.0.4.10, SrcIP: 10.0.2.10, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0043
Route: LAN-1 Tx (IOT):
shell@10.0.2.10:

Code: Alles auswählen

d:\>ping 10.0.4.10

Ping wird ausgeführt für 10.0.4.10 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 10.0.4.10:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
    (100% Verlust),
Er scheint schonmal die richtige Route" IOT" zu haben - womöglich block der Hue Hub den Ping, aber er sollte im Browser zumindest eine Template-Site anzeigen, wenn ich drauf zugreife.

Egal, ich muss den Lappi ranholen und das mit dem testen.
Antworten