VLAN und Probleme mit der Konfiguration

[Hobbyfahrer]

Hallo,

ich breche mir schon seit Tagen einen ab und bekomme die VLAN Konfiguration hin.

Folgende Situation haben wir:

Wir haben als Router einen Lancom 17881EF+ der an einem Kabelmodem angeschlossen ist. An dem Router sind ein Edge-Core ECS 2000-26P (PoE) und ein ECS 2000-18T Switche angeschlossen die untereinander per LWL im Trunk verbunden sind.

Auf den Switchen läuft ein recht umfangreiches IP Videosystem, mehrere Rechner inkl. Time Machine und ein QNAP NAS.

Als TK Anlage habe ich eine AVM 7330 installiert. Diese nimmt Verbindung zu Easybell und Sipgate auf. Als VoIP Endgeräte betreibe ich ein DECT Multicellensystem von Gigaset N720 und ein Auenwald Comfortel 3500.

Zusätzlich gibt es noch einen Apple Airport Extrem AC für die WLAN Versorgung.



Was möchte ich erreichen?

Trennung des VoIP, IP Video und normalen Netzes voneinander


Anforderungen:

Es muss verschiedenen Rechner geben, die auf alle VLAN Netz Zugriff haben. Die VLANs sollen auf MAC Ebene aufgebaut werden, da mein System lebt und portbezogenes VLAN bei mir unpraktisch wäre

Die Switche bieten sehr viele VLAN Möglichkeiten an die mich aber derzeit überfordern. Alle Versuche VLANs auf dem Lancom einzurichten sind gescheitert (keine Verbindung mehr).

Ich nutze auch VPN und möchte auf das IP Video und das normale Netz zugreifen können.


Ich würde mich sehr über Hilfe und an die Hand genommen werden freuen.


Gruß

Thorsten

[Jirka]

Hi,

einfach das VLAN-Modul deaktiviert lassen, für die lokalen Netze Schnittstellen-Tags vergeben (z. B. 1, 2, 3; es sollte keine bisherige Firewall-Regel geben, die diese Routing-Tags vergibt, ansonsten andere Schnittstelle-Tags verwenden) und VLAN-IDs eintragen (z. B. 0, 2, 3; 0 für das ungetagte Intranet). Fertig. Du könntest aber auch jedes Netz auf einen der ETH-Ports ausgeben, Du hast ja genug Ports. Ist halt die Frage, an welchen Ports Du welche Netze haben möchtest, oder ggf. an welcher Switch.
Für Clients, denen der Zugriff auf ein anderes Netz erlaubt werden soll, trägt man eine entsprechende Firewall-Regel mit Routing-Tag ein.

Viele Grüße,
Jirka

[Hobbyfahrer]

Moin Jirka,

kannst du mir das bitte etwas genauer erklären. Ich bin leider zu lange aus der Konfiguration der Lancoms raus.

Was muss ich ich wie eingeben auf der Lancomseite?

Ich würde das gerne alles über ETH-1 laufen lassen
Das VoIP VLAN 5 sollte QoS Klasse 6 oder 7 bekommen


Auf den Switchen mache ich folgendes:

MAC VLAN

Ich lege alle VoIP Geräte in das VLAN 5
Die IP Kameras in das VLAN 6
Der Rest kann ohne VLAN sein, also 0

Das NAS muss z.B. im VLAN 6 und 0 sein

Einige Rechner im VLAN 5,6 und 0



Danke

Thorsten

[Jirka]

Hallo Hobbyfahrer,

kannst du mir das bitte etwas genauer erklären. Ich bin leider zu lange aus der Konfiguration der Lancoms raus.

Was muss ich ich wie eingeben auf der Lancomseite?

na Du wirst doch noch wissen, wo die IP-Netze konfiguriert werden...
Konfiguration -> IPv4 (ok, das ist neu) -> Allgemein -> IP-Netzwerke

Ich würde das gerne alles über ETH-1 laufen lassen

Was ist mit ETH 2 bis 4? Sollen da das gleiche anliegen? Dann brauchst Du nichts zu machen, ansonsten weist Du unter Konfiguration -> Schnittstellen -> LAN -> Ethernet-Ports ETH 2 bis 4 z. B. LAN-2 zu. In Deinen Netzwerken unter Konfiguration -> IPv4 -> Allgemein -> IP-Netzwerke stellst Du dann als Schnittstelle LAN-1 ein.

Das VoIP VLAN 5 sollte QoS Klasse 6 oder 7 bekommen

Das Beste ist, Du stellst das gleich im VoIP-Endgerät so ein, ansonsten einfach eine Firewall-Regel erstellen.

Viele Grüße,
Jirka

[Hobbyfahrer]

Moin Jirka,

bitte nicht verzweifeln.

Meinst du so?

INTRANET 192.168.178.1 255.255.255.0 Intranet 0 Beliebig Flexibel 0 local intranet
DMZ 0.0.0.0 255.255.255.0 DMZ 0 Beliebig Flexibel 0 demilitarized zone
VLAN_VOIP 192.168.178.1 255.255.255.0 Intranet 1000 Beliebig Flexibel 1000

Ich habe dann eine MAC Adresse auf den Switchen in ein VLAN mit der ID 1000 gepackt. Das geht auch und ich habe dann keinen Zugriff mehr auf das Gerät.

Mit ist es aber nicht gelungen über eine FW Regel von meinem Rechner dann darauf wieder zugreifen zu können.

Die SIP Accounts werden auch nicht mehr angemeldet.

Regel:

ZUGRIFF_MAC_VLAN_VPOIP ANY %A192.168.178.121 ANYHOST ACCEPT An Aus Aus An 0 0 1000




Anmerkung:

Ich möchte nicht mit unterschiedlichen IP Bereichen arbeiten sondern alles in meinem Bereich 192.168.178.xxx lassen

[Hobbyfahrer]

Ich bekomme es nicht hin. Das hat wieder Stunden ohne Ergebnisse gebracht.

Ich fange nochmals an und möchte nur das VoIP Netz vollständig vom Rest trennen.

Ich habe eine 192.168.178.xxx Netz

Lancom ist die .001

Auf den Switchen richte ich ein MAC basiertes VLAN Netzwerk (ID 1000). Dort packe ich alle MAC Adressen der VoIP Endgeräte rein.

Wenn ich das mache habe ich aus dem ungetagten Netz keinen Zugriff mehr auf dieses VLAN und die Geräte registrieren sich auch nicht mehr bei den VoIP Providern


Ich möchte nicht mit unterschiedlichen IP Bereichen arbeite sondern ausschliesslich die Trennung per VLAN machen und es gibt nur eine Verbindung auf LAN-1/ETH-1 zu den Switchen.


Wie sage ich nun dem Lancom, dass er das VLAN 1000 auch für das Internet zulassen soll und alle SIP/VoIP Pakete auch wieder in das VLAN 1000 sollen? Sieht der Lancom dieses netz denn überhaupt?

Das wäre der erste Schritt den Broadcast und die Netzlax des IP Videosystem auf dem VoIP Netz rauszubekommen.



Der zweite Schritte wäre dann, wie ich auf dem ungesagten Netz z.B. zur Administration in das VLAN 1000 Netz komme?




Sorry für diese Anfängerfragen aber es ist nicht meine Welt möchte es aber verstehen

[Hobbyfahrer]

Moin,

kennt jemand eine Forum wo ich meine Anfänger und Verständnissfragen stellen kann? Also kein Profiforum

Danke


Thorsten

[P4killer]

Hallo,

also ich habe da mal einen Beitrag verfasst, der geht zwar um uplinks aber umgkehrt funktioniert er auch.
Und es half mir das thema VLAN und lancom zu verstehen.
http://www.lancom-forum.de/lancom-allge ... 12687.html

mfg Peter

[Bernie137]

Hallo Thorsten,

man kann hier schon eihiges abklären. Aber man bekommt nur Antworten, sofern die anderen auch Zeit haben.

Prinzipiell irritiert mich Dein Vorhaben/Problemstellung:

Was möchte ich erreichen?

Trennung des VoIP, IP Video und normalen Netzes voneinander

So weit, so gut.

Es muss verschiedenen Rechner geben, die auf alle VLAN Netz Zugriff haben.

Gut, ok.

Die VLANs sollen auf MAC Ebene aufgebaut werden, da mein System lebt und portbezogenes VLAN bei mir unpraktisch wäre

Da habe ich gerade keine Vorstellung, wie man das macht. Aber wenn, dann hat es wohl nix mit dem Lancom zu tun, sondern mit den Switchen.

Anmerkung:

Ich möchte nicht mit unterschiedlichen IP Bereichen arbeiten sondern alles in meinem Bereich 192.168.178.xxx lassen

Das ist mir der größte Widerspruch. Einerseits willst Du die Netze trennen, aber dann doch alles in einem IP-Kreis lassen. Ich denke, dass ist der falsche Ansatz.

Viele Grüße
Heiko

[Hobbyfahrer]

Moin Heiko,

danke für deine Antworten und Fragen.

Mein Switch hat die Möglichkeit die MAC Adressen in entsprechende VLANs zu packen und das ist natürlich sehr komfortabel.

Ich bin immer davon ausgegangen, das ich gerade in einem IP Netz eine Trennung nur durch die die VLAN Tags machen kann. Wenn ich das mit unterschiedlichen IP Adressen mache, brauche ich ja kein VLAN mehr oder?


Ich habe nur ein Ziel und das ist, das besonders die VOIP Geräte nicht durch BC und Netzbelastungen gestört werden.

Was wäre der richtige Weg und wie. Ich bekomme es nicht hin.



Thorsten

[Bernie137]

Hallo Thorsten,

Ich bin immer davon ausgegangen, das ich gerade in einem IP Netz eine Trennung nur durch die die VLAN Tags machen kann.

Das ist schon so möglich, Aber: Stelle es Dir so vor, es sind verschiedene Netzwerk Kabel und in jedem ist das gleiche IP Netz. So weit kein Problem. Nun sollen aber bestimmte Rechner mit allen Netzen kommunizieren können, also steckst Du die Netze zusammen. Und nun ist doch alles wieder ein Netz...

Wenn ich das mit unterschiedlichen IP Adressen mache, brauche ich ja kein VLAN mehr oder?

Ja und nein. Bei verschiedenen IP Netzen in einem Netzwerkkabel ohne VLAN können zwar die unterschiedlichen Netze nicht kommunizieren, aber Broadcasts an 255.255.255.255 empfangen doch alle. Pro IP Netz kann man keinen eigenen DHCP betreiben, weil geht an alle und kollidiert. Ein Angriff auf ein anderes Netz funktioniert dann so: Man vergibt sich einfach eine statische IPs vom anderen Netz und man kann auch auf ein solches "fremdes" Netz zugreifen. Mit VLAN trennst es richtig auf, wie eigene Kabelverbindungen und an einem Router (Lancom) verbindest die Netze durch Routing und kannst per Firewall festlegen, welche IPs in welche Netze "durchgelassen" werden (Deine bestimmten Rechner für alle VLANs).

So weit meine Auffassung von Trennung der Netze.
Wie weit bist denn bis jetzt gekommen und woran scheitert es im Moment?

Viele Grüße
Heiko

[Hobbyfahrer]

Also ich habe auf dem Lancom unter IP-Netzwerke ein weiteres Netz mit

192.168.179.1 und VLAN-ID 179 angelegt


Auf den beiden Switchen habe ich ein MAC VLAN 179 angelegt und mein Auerwald IP Telefon dort eingetragen. Dieses VLAN habe ich allen Ports zugewiesen.

Im Telefon habe ich als IP Adresse 192.168.179.12, GW 192.168.178.1 usw. angelegt. Zusätzlich habe ich die VLAN ID 179 eingetragen aber auch diese immer wieder auch deaktiviert.

Das Telefon meldet sich nicht mehr bei den Providern an und hat auch keine Internetverbindung mehr.

Es wäre schon ein erfolg wenn wenigsten das gehen würde


P.S. Ohne VLAN geht es

[Bernie137]

Also ich habe auf dem Lancom unter IP-Netzwerke ein weiteres Netz mit

192.168.179.1 und VLAN-ID 179 angelegt


Auf den beiden Switchen habe ich ein MAC VLAN 179 angelegt und mein Auerwald IP Telefon dort eingetragen. Dieses VLAN habe ich allen Ports zugewiesen.

Gut OK. Haben die Switche auch eine IP im VLAN 179 mit 192.168.179.x? Ist diese IP anpingbar von einem Member des 179er VLAN? Betrachte es so, als wäre alles was 179er ist, in einem eigenen Kabel. Die Geräte müssen erst mal untereinander im LAN kommunizieren können. Geht das?

Das Telefon meldet sich nicht mehr bei den Providern an und hat auch keine Internetverbindung mehr.

Das ist der 2. Schritt vor dem ersten. Kann das Telefon überhaupt erst mal im 179er VLAN kommunizieren. Also geht ein Ping vom Telefon zum Lancom Router und zurück? Ggf. nutze einen Computer mit Intel Netzwerkkarte. Meistens kann man da das aktuelle Intel ProSet installieren. Damit kann man dann für die Netzwerkkarte mal ein bestimmtes VLAN hinterlegen, in Deinem Fall 179, vergibt noch ne 192.168.179.x und dann gehts ans testen mit ping... das Bild ganz unten http://www.intel.com/support/network/sb/cs-009743.htm

Erst wenn das gewährleistet ist, kann man sich kümmern, dass das Telefon ins Internet kommt.

Viele Grüße
Heiko

[Hobbyfahrer]

Ich möchte es noch einfacher haben um überhaupt mal einen Erfolg zu sehen

Es gibt nun zwei Netze

192.168.178.xxx ist das Hauptnetz. Dort hängen alle Geräte inkl. der Switche

192.168.179.xxx ist das VoIP Netz. Dort ist derzeit nur ein Telefon mit der .012


Nun möchte ich erstmal aus dem Hauptnetz mit einem Rechner auf die Weboberfläche des Telefon zugreifen



Ich habe eine FW Regel angelegt

Aktionen Objekt Accept
Verbindungs-Quelle: 192.168.178.139 (das ist mein Mac)
Verbindungs-Ziel: 192.168.179.0/255.255.255.255
Dienste: Alle



So komme ich aber nicht auf das Telefon. Pingen geht aber

[Bernie137]

Ich möchte es noch einfacher haben um überhaupt mal einen Erfolg zu sehen...
Nun möchte ich erstmal aus dem Hauptnetz mit einem Rechner auf die Weboberfläche des Telefon zugreifen

Das ist aber erst mal nicht einfacher, denn es setzt funktionierendes Routing vorraus, über folgenden Hin- und Rückweg!
PC -- Switch -- Lancom Router -- Switch -- Telefon

Daher solltest erst mal die Kommunikation untereinander im 179er Netz prüfen:
PC -- Switch -- Telefon oder ---> Ping 192.168.179.12 und z.B. 192.168.179.13 (PC, aber eben mit VLAN 179)
Lancom -- Switch -- Telefon/PC ---> Ping zwischen 192.168.179.1 (Lancom) und 192.168.179.12/13

Viele Grüße
Heiko