Nopp Geschrieben 18. Juli 2016 Geschrieben 18. Juli 2016 Moin, vorneweg, ich bin nicht im "Netzwerken" zuhause, sondern bin Serveradministrator. Ein Grundverständnis habe ich aber. Folgendes: Haus A: Clients -> HP Switch 1810-48G. An dem Switch angeschlossen eine Firewall. Auf einem der Ports der Firewall eine Richtunkantenne, die Haus A mit Haus B verbindet. Haus B: Clients -> HP Switch 1810-48G -> HP Switch 1810-48G. An dem letzten Switch angeschlossen die andere Firewall UND die Richtfunkantenne, nicht seperat an der Firewall, wie in Haus A. Geht leider nicht von den Anschlüssen her. Nun zum Problem: Seit dem die Verbindung so steht, kommen DHCP Broadcasts aus dem anderen Haus bei uns an (2 verschiedene Subnetze), was daran liegt, dass die Richtfunkantenne im Haus B einfach alles weiterleitet, was bei Ihr ankommt. Idee: Implementierung von VLANs. Nur jedoch weiß ich nicht genau, wie man das am Besten hinbekommt, da ich leider bis jetzt nur in der Theorie mit VLANs zu tun hatte. Ebenfalls habe ich in der Schule selbst nur mit Cisco gearbeitet. Und das Cisco Trunking gibt es ja in der Hinsicht bei den Konkurrenten so nicht. Kann mir hier jemand helfen, bin da langsam echt am verzweifeln... Danke und Grüße, Nopp Zitieren
RipperFox Geschrieben 19. Juli 2016 Geschrieben 19. Juli 2016 Ich denke, Du könntest die Richtfunkverbindung zwischen den Häusern in ein VLAN packen und mittels der Firewalls DHCP filtern. Die FW in Haus A taggt den Verkehr über WiFi, die FW in Haus B kriegt ein neues virtuelles Interface im VLAN - sollte klappen. Zitieren
Crash2001 Geschrieben 19. Juli 2016 Geschrieben 19. Juli 2016 Da stellen sich mir direkt ein paar Fragen. Was für eine Firewall ist das jeweils? Kann sie per dot1q-Trunk angeschlossen werden? Kann sie routen? Hast du eventuell noch einen Router zur Verfügung alternativ? Sind das öffentliche oder private Netze? Ich würde pro Haus ein Netz planen und die Richtfunk-Verbindung dann an einem Router terminieren lassen, so dass die Broadcast-Pakete nicht über die Netzgrenzen verteilt werden. Je nachdem was die Firewall alles kann, muss man halt schauen, wie man sie einsetzen kann. Sollte die FW jeweils dot1q sprechen und routen können, könnte man ein vlan (vlan 10) über den Switch in Haus A und zu Port 1 der FW A aufspannen, dann ein separates Netz (vlan 20 - auf FW-Seite muss es nicht ein vlan sein, es reicht, wenn es am 1810er Switch in Haus hinter der Richtfunkantenne ins vlan 20 als USer Port getaggt wird) vom Port 2 der FW A über Richtfunkantenne A zu Richtfunkantenne B durch den Switch per vlan 20 zur Firewall getunnelt aufspannen. Von dort aus könnte man dann vlan 30 aufspannen für alle anderen Ports der beiden Switche in Haus B. Dafür muss die zweite Firewall jedoch zwingend routen können und dot1q sprechen können per Trunk. Zitieren
Nopp Geschrieben 19. Juli 2016 Autor Geschrieben 19. Juli 2016 vor 6 Stunden schrieb RipperFox: Ich denke, Du könntest die Richtfunkverbindung zwischen den Häusern in ein VLAN packen und mittels der Firewalls DHCP filtern. Die FW in Haus A taggt den Verkehr über WiFi, die FW in Haus B kriegt ein neues virtuelles Interface im VLAN - sollte klappen. Dann könnten die Clients doch nicht mehr von Haus A nach Haus B, was zwingend notwendig ist, da sie in einem anderen VLAN sind, als die Richtfunkantenne. Zitieren
Nopp Geschrieben 19. Juli 2016 Autor Geschrieben 19. Juli 2016 vor 3 Stunden schrieb Crash2001: Da stellen sich mir direkt ein paar Fragen. Was für eine Firewall ist das jeweils? -> Lancom (Modell muss ich noch gucken) Kann sie per dot1q-Trunk angeschlossen werden? -> Weiß ich leider nicht. Kann sie routen? -> Jop Hast du eventuell noch einen Router zur Verfügung alternativ? -> Nein Sind das öffentliche oder private Netze? -> Private An dem Netzaufbau kann ich "eigentlich" nichts mehr ändern. Das Problem ist halt, dass die Richtunkantenne nicht hinter der Firewall liegt, sondern davor, weswegen die Firewall hier nichts filtern kann. Ich habe mir das nun so gedacht, dass ich einfach 2VLANs habe. VLAN 5 für alle Clients untagged und VLAN 10 für die Richtunkantenne, damit die Clients dort nicht mehr direkt hindürfen sondern erst zum Lancom müssen. Die jeweiligen Ports der Switche, die die Strecke bilden tagge ich mit VLAN 5 und 10, sodass alles ordentlich zum Lancom transportiert wird. Am Lancom sage ich dann deny Broadcasts bzw. einfach Port 67 von VLAN ID 5 nach Hausnetz B. Aber ich glaube das geht so nicht, wie ich mir das vorstelle... Mein Problem ist einfach, dass ich an der Konstellation von Firewall/Switches nicht viel ändern kann... Danke für die bisherigen Antworten. Ich muss mir deins Crash nochmal in Ruhe durchlesen. Ein paar Fragezeichen bleiben Zitieren
RipperFox Geschrieben 19. Juli 2016 Geschrieben 19. Juli 2016 vor 4 Stunden schrieb Nopp: Dann könnten die Clients doch nicht mehr von Haus A nach Haus B, was zwingend notwendig ist, da sie in einem anderen VLAN sind, als die Richtfunkantenne. Über die Firewall routen? Ich ging jetzt wegen getrennten DHCP Bereichen auch von sonst getrennten Netzen aus Zitieren
Crash2001 Geschrieben 20. Juli 2016 Geschrieben 20. Juli 2016 (bearbeitet) @Nopp: Am Aufbau / der Verkabelung würde sich nichts ändern. Nur an der Konfiguration der Switche und der Firewalls. Die müssten halt routen können und dot1q unterstützen. Tun sie das nicht, bekommst du das Problem ohne zusätzliche Hardware nicht so einfach beseitigt. Aber apropos LanCom - wo steht der denn? In Gebäude A oder B? Ich habe mal eine kleine Zeichnung erstellt, damit es eventuell einfacher zu verstehen ist. Die beiden Firewalls müssten dafür jedoch routen und bei der rechten müsste es möglich sein, virtuelle Interface in vlans zu erstellen und einen dot1q-Trunk zum switch zu nutzen. Geht das, dann sollte es so problemlos funktionieren. Nachtrag: Links bräuchte man eigentlich noch nichtmals ein vlan. ein separates Netz (wie man dies pro vlan ja im Normalfall auch hat) würde reichen. Bearbeitet 20. Juli 2016 von Crash2001 Nachtrag hinzugefügt. Nopp reagierte darauf 1 Zitieren
RipperFox Geschrieben 20. Juli 2016 Geschrieben 20. Juli 2016 Das sollte auch mit "dummen" Switches gehen, welche mit VLANs/802.1Q überhaupt nichts anfangen können. Diese können auch getaggte Pakete transparent switchen und Netzwerkkarten werden Pakete mit für sie "unpassendem" Tag einfach verwerfen. Man sollte sich das zweite VLAN30 rechts also ggf. sparen können - sauberer getrennt ist es natürlich so, wie Crash2001 es gemacht hat.. Zitieren
Nopp Geschrieben 20. Juli 2016 Autor Geschrieben 20. Juli 2016 (bearbeitet) vor 2 Stunden schrieb Crash2001: @Nopp: Am Aufbau / der Verkabelung würde sich nichts ändern. Nur an der Konfiguration der Switche und der Firewalls. Die müssten halt routen können und dot1q unterstützen. Tun sie das nicht, bekommst du das Problem ohne zusätzliche Hardware nicht so einfach beseitigt. Aber apropos LanCom - wo steht der denn? In Gebäude A oder B? Ich habe mal eine kleine Zeichnung erstellt, damit es eventuell einfacher zu verstehen ist. Die beiden Firewalls müssten dafür jedoch routen und bei der rechten müsste es möglich sein, virtuelle Interface in vlans zu erstellen und einen dot1q-Trunk zum switch zu nutzen. Geht das, dann sollte es so problemlos funktionieren. Nachtrag: Links bräuchte man eigentlich noch nichtmals ein vlan. ein separates Netz (wie man dies pro vlan ja im Normalfall auch hat) würde reichen. Moin Crash, danke für Deine Hilfe. Die Skizze hat mir als Veranschaulichung sehr geholfen! Ich prüfe mal ob die Lancoms einen Trunk abbilden können, denke aber schon, jedenfalls sollte der Preis sowas hergeben... Btw sind beide Firewalls Lancom-Geräte. Ändert aber denke ich nichts an deinem Bild. Muss dann nur noch schauen, was ich wie "tagged/untagged" lasse auf den Switches. Da bin ich auch noch etwas unsicher. Clients: Untagged im jeweiligem VLAN, Verbindungen zu FW/Router: Tagged?, Und im anderen VLAN die Clients excluden, damit sie dort nicht rein dürfen? Sorry für die ganzen Fragen, aber ich denke man sieht, dass ich hier nur Laie bin. Danke für die Hilfe an alle P.S In Haus A lasse ich das VLAN denke ich dann raus. Bearbeitet 20. Juli 2016 von Nopp Zitieren
Crash2001 Geschrieben 20. Juli 2016 Geschrieben 20. Juli 2016 (bearbeitet) vor 2 Stunden schrieb RipperFox: Das sollte auch mit "dummen" Switches gehen, welche mit VLANs/802.1Q überhaupt nichts anfangen können. Diese können auch getaggte Pakete transparent switchen und Netzwerkkarten werden Pakete mit für sie "unpassendem" Tag einfach verwerfen. Man sollte sich das zweite VLAN30 rechts also ggf. sparen können - sauberer getrennt ist es natürlich so, wie Crash2001 es gemacht hat.. Da nur eine Leitung zur rechten Firewall geht, geht das eben nicht mit Switchen, die kein dot1q sprechen, da es im vlan 20 von Port Gi0/1 kommend auf Switch B1 auf den Trunk (Gi0/2) zur Firewall geschickt und dabei ins vlan 20 getaggt werden müsste und auf dem gleichen Trunk über vlan 30 (hinter der FW) wieder auf den Switch geht, um dann verteilt zu werden. Funtionieren würde es zwar auch mit dummen Switchen - dann hätte man jedoch keine echte Trennung der Netze, sondern auf Switch B1 und B2 würden das Transfernetz (vlan 20) und das Clientnetz (vlan 30) vermischt werden, was zu zusätzlichem und unnötigen Traffic (Broadcasts) führt, der bis zur Richtfunkantenne geht und auch darüber hinweg, falls die Antennen ihre IP-Adressen rein zum Management haben und ansonsten nur Bridges (L2) auf Funk sind. Bearbeitet 20. Juli 2016 von Crash2001 Zitieren
Crash2001 Geschrieben 20. Juli 2016 Geschrieben 20. Juli 2016 (bearbeitet) vor 15 Minuten schrieb Nopp: [...]Clients: Untagged im jeweiligem VLAN, Verbindungen zu FW/Router: Tagged?, Und im anderen VLAN die Clients excluden, damit sie dort nicht rein dürfen? Ja Richtig. Die Clients sind in Client-vlans auf den Switches - also Ports, die erst beim Eingang in den Switch dem vlan zugeordnet werden. Der Trunk ist tagged, da es ein trunk ist und mehr als ein vlan darüber geht. Zitat [...]P.S In Haus A lasse ich das VLAN denke ich dann raus. Da kann man es sich auch problemlos sparen - wobei das vlan eh nur auf dem Switch vorhanden sein müsste - ob das jetzt alles vlan 1 ist, oder aber ein anderes, ist eigentlich komplett egal, solange kein weiteres Netz darauf vorhanden ist, das durch ein separates vlan separiert werden sollte. Die von mir gewählten Netze sind natürlich auch nur Beispielnetze, wobei ich das dritte Oktett dabei wie das vlan gewählt habe zum einfacheren Verständnis. Bei der Firewall rechts sind es dann Subinterface im jeweiligen vlan. Bearbeitet 20. Juli 2016 von Crash2001 Zitieren
Nopp Geschrieben 20. Juli 2016 Autor Geschrieben 20. Juli 2016 vor 9 Minuten schrieb Crash2001: Ja Richtig. Die Clients sind in Client-vlans auf den Switches - also Ports, die erst beim Eingang in den Switch dem vlan zugeordnet werden. Der Trunk ist tagged, da es ein trunk ist und mehr als ein vlan darüber geht. Muss von die Verbindung von Switch B1 und Switch B2 nicht auch tagged sein? Also Switch B1 Gi0/3 VLAN 30 tagged und Switch B2 Gi0/3 VLAN 30 tagged? Dachte ich immer, damit er das Tag später weiter an der Firewall verarbeiten kann... Zitieren
Crash2001 Geschrieben 20. Juli 2016 Geschrieben 20. Juli 2016 vor 3 Minuten schrieb Nopp: Muss von die Verbindung von Switch B1 und Switch B2 nicht auch tagged sein? Das ist in dem Fall nicht notwendig, da nur ein vlan durchgeleitet wird. Somit ist es dabei irrelevant. Im Normalfall verbindet man Switche aber natürlich per Trunk, da im Normalfall mehr als ein vlan über den Trunk übertragen werden muss. vor 3 Minuten schrieb Nopp: Also Switch B1 Gi0/3 VLAN 30 tagged und Switch B2 Gi0/3 VLAN 30 tagged? Dachte ich immer, damit er das Tag später weiter an der Firewall verarbeiten kann... Entweder du konfigurierst die beiden Ports als Access Ports im selben vlan, oder aber du machst einen Trunk draus und taggst den Traffic somit in die entsprechenden vlans. Ob ein Paket beim Eintritt in den Switch getaggt wird (und beim Austritt das Tag entfernt wird, damit Netzwerkkarten kein dot1q unterstützen müssen), oder ob es bereits getaggt in den Switch rein kommt, macht vom Prinzip her für deinen Trunk zur Firewall keinen Unterschied. Zitieren
Nopp Geschrieben 20. Juli 2016 Autor Geschrieben 20. Juli 2016 Okay danke, dann lasse ich sie auch untagged. Ich probiere es mal so. Termin zum Einbinden ist Freitag Zitieren
Nopp Geschrieben 5. August 2016 Autor Geschrieben 5. August 2016 Danke Crash, hat genauso funktioniert ! Crash2001 reagierte darauf 1 Zitieren
Crash2001 Geschrieben 8. August 2016 Geschrieben 8. August 2016 Freut mich, dass es so problemlos läuft. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.