VLAN und D-Link DGS 1100-24

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
ThomasSWCS
Beiträge: 52
Registriert: Di 31.12.2019, 11:50

VLAN und D-Link DGS 1100-24

Beitrag von ThomasSWCS »

Hallo, nachdem ich eine Menge über VLAN gelesen habe und auch hier und im Wiki viel gefunden habe, möchte ich VLAN's verwenden. Ich habe mehrere nach der Anleitung eingerichtet und möchte die in einem Netzwerk mit D-Link DGS 1100-X Switches benutzen.

Der D-Link befindet sich direkt an der RC200 und läuft ohne VLAN, also mit der Standard-Konfiguration, ohne Probleme.

Ich habe nun laut der Anleitung ftp://ftp.dlink.de/dgs/dgs-1100-05/documentation/DGS-1100_HowTo/DGS-1100-10MP_HowTo_VLAN-802_1q_Konfiguration_RevB.pdf versucht diesen zu konfigurieren. Das VLAN hat die ID 10, die anderen sind fortlaufend bis 15. Der Testaufbau war  etwas einfacher, Port 16 ist als "Tagged Port" umgestellt, mit VID = 1, Allowed VLAN Range = 10-15.Dieser ist direkt verbunden mit der RC 200.

An Port 5 hängt ein Rechner, der eine IP aus dem VLAN bekommen hat, also 10.10.100.50, MASK 255.255.255.0 mit Gateway und DNS  10.10.100.1. Dieser Port 5 ist programmiert als ACCESS Untagged only, VID = 10.

Erwartet habe ich zumindest eine Verbindung, die einen Ping ermöglicht. Ich habe dann auch mal testweise einen DHCP Pool im Bereich 10.10.100.60 bis .80 eingerichtet und den Windows Rechner auf DHCP umgestellt. Erwartung war, das der Rechner eine IP erhält.

Das VLAN ist eingerichtet als eth1.100 10.10.100.1/24 mit der VLAN ID 10.

Es liegt sicher an mir, aber ich bin etwas ratlos und wäre für Tips echt dankbar.

Gruß

Thomas

HaPe
Beiträge: 56
Registriert: Di 09.05.2017, 22:40

Beitrag von HaPe »

Hallo,

ich nehme mal an, dass auf der Securepoint die entsprechenden VLANs 10-15 inkl. Zonen usw. ebenfalls angelegt wurden bei dem Interface, das mit Port 16 vom Switch verbunden ist?

Falls nicht, landen nämlich sämtliche Antworten von der Securepoint im VLAN 1 am Switch, also im digitalen Nirvana - aber jedenfalls nicht beim Rechner, wo sie hin sollen...

Der VLAN-Switch hängt direkt an der Securepoint?
Der Port 16 vom Switch Ist auf Hybrid oder doch Tagged eingestellt? (Wir verwenden zwar auch D-Link allerdings nur die 1210 - dort gibt´s nur tagged, untagged, no member statt Access, Hybrid, ...)
Hatte das mal bei einem Lancom-Switch, und einem billigen Accesspoint mit mehreren SSIDs mit VLANs, da entschied die Kleinigkeit von Port-Modus über AP funktioniert oder eben nicht.

ThomasSWCS
Beiträge: 52
Registriert: Di 31.12.2019, 11:50

Beitrag von ThomasSWCS »

Hallo HaPe,

danke für die Antwort
ich nehme mal an, dass auf der Securepoint die entsprechenden VLANs 10-15 inkl. Zonen usw. ebenfalls angelegt wurden bei dem Interface, das mit Port 16 vom Switch verbunden ist?
Ja, genau. Die VLAN-ID'en sind angelgt laut dem Wiki und der Port 16 ist direkt mit eth1 verbunden.
Der Port 16 vom Switch Ist auf Hybrid oder doch Tagged eingestellt?
Hybrid war der Originalzustand, ich habe den auf Tagged gestellt, wie im Beispiel.
da entschied die Kleinigkeit von Port-Modus über AP funktioniert oder eben nicht.
Das vermute ich auch, deshalb werder ich mal etwas experimentieren müssen. Danke für deine Hilfe erstmal, ich bin mir jetzt etwas sicherer, keinen groben Fehler gemacht zu haben.
Gruß
Thomas 

ThomasSWCS
Beiträge: 52
Registriert: Di 31.12.2019, 11:50

Beitrag von ThomasSWCS »

Hallo, ich habe heute noch mal getestet, bin aber nicht weitergekommen -(.
Eine Verständnisfrage hätte ich aktuell: Ein VLAN in der Securepoint ist doch grundsätzlich wie ein "normales" Netzwerk zu betrachten, welches an einer Schnittstelle der UTM anliegt.Wenn ich also einen Rechner direkt an ETH1 anschliesse und dem Rechner eine IP des VLAN gebe, dann müsste das doch funktionieren. Ich sollte doch dann zumindest einen Ping aus Richtung UTM an den Rechner absetzen können ?. Eventuell sogar die Weboberfläche der UTM aufrufen können, oder ?

Eventuell habe ich ja was falsch eingerichtet an der UTM ? Hier mal ein paar Screenshots
https://ibb.co/6DM287g
https://ibb.co/j8C4BcW
https://ibb.co/3W1F64L
Viele Grüße

Thomas

pl85
Beiträge: 79
Registriert: Di 13.03.2012, 14:54

Beitrag von pl85 »

Nein, wenn der Rechner/die Netzwerkkarte das VLAN-Tag nicht mitsendet, geht das nicht.
Ein VLAN ist wie eine physikalische Schnittstelle in der UTM, für die musst du auch Regeln erstellen - also auch Ping zulassen auf dem Interface.
Neben den Einstellungen von deinen Screenshots, brauchst du auch Portfilterregeln!

DHCP sollte aber so gehen, da passt dann an der Switch-Konfig etwas nicht.
Wenn du das VLAN auf eth1 legst, wo auch das "normale" LAN hängt, muss dein Switch an dem Port die VLANs 100-500 taggen, 1 aber Untagged auch zulassen.
Ich schau mal ob ich einen ähnlichen Switch (D-Link hat 2 verschiedene Oberflächen für die Konfig) im Bestand habe, dann mach ich einen Screenshot, das ist sonst schwer zu erklären.

E: an eth16 hängt die Firewall
https://ibb.co/HpPT4FH
https://ibb.co/x7gN8NC

E2: wenn du jetzt Clients in eines der VLANs bringen willst, müssen die Ports Untagged dieses VLAN haben.

ThomasSWCS
Beiträge: 52
Registriert: Di 31.12.2019, 11:50

Beitrag von ThomasSWCS »

Danke für die Antwort. Ich habe mich an der D-Link Beschreibung orientiert, das hat aber so nicht funktioniert. Das sieht bei dir erheblich anders aus -)))

Würde mir echt helfen, wenn Du ein paar Screenshots machen könntest. Ein paar Portfilterregeln habe ich gemacht, ebenso den transparenten Proxy für die VLAN's eingerichtet. Erwarten würde ich zumindest eine LAN-Verbindung, daher bin ich sicher, dass ich etwas bei der Switch-Konfig falsch mache.

Wenn Du die Screenshots nicht hier öffentlich ,machen willst, dann gerne auch per PN.

HaPe
Beiträge: 56
Registriert: Di 09.05.2017, 22:40

Beitrag von HaPe »

Hallo,

scheinbar sind meine Benachrichtigungen dass sich hier etwas getan hat irgendwo im digitalen Nirvana versumpft - ich nehm´s mal als gegeben hin...

Mal eine Grundsatzfrage:

Sehen die Einstellungen bei dir tatsächlich so aus wie in der Anleitung vom 1. Post (mit Portmodi Tagged, Hybrid und vermutlich noch 1 oder 2 mehr) - oder sehen die Einstellungen aus wie in den Handbüchern unter https://eu.dlink.com/de/de/products/dgs ... #downloads -> DGS-1100 Series Manual -> PDF-Seite 33 (bzw. 29 laut Verfassernummerierung) - also Tagged / Untagged / No Member?

Falls letzteres, dann ist das eigentlich relativ straightforward - man muss nur aufpassen, dass man sich nicht versehentlich selbst aussperrt - denn das geht schneller als man denkt
E2: wenn du jetzt Clients in eines der VLANs bringen willst, müssen die Ports Untagged dieses VLAN haben
Sofern du PVIDs einstellen kannst, dann für die untagged-Ports (wo vermutlich die Clients angeschlossen werden) auf jeden Fall auch die ID des jeweiligen VLAN, in welches die Daten rein sollen beim jeweiligen Switchport eintragen / anpassen, sonst kann es passieren, dass eigentlich eh alles passt - die Daten aber im falschen VLAN landen, ergo nie beim Empfänger ankommen (oder anders formuliert: Ein Ping von der FW kommt beim Client an, die Antwort auf den Ping versumpft allerdings im Switch weil sie im falschen VLAN landet).

ThomasSWCS
Beiträge: 52
Registriert: Di 31.12.2019, 11:50

Beitrag von ThomasSWCS »

Hallo,
ich bekomme auch keine Benachrichtigungen, deshalb sehe ich ab und an hier vorbei -)). Danke für den Antwort. Ich werde das mal in den nächsten Tagen nochmal intensiv testen, bin zumindest realitiv sicher, dass die VLAN in der UTM richtig sind. Dann lässt sich das Problem auf mich und/oder den Switch reduzieren -)). I

Antworten