DSM 6.x und darunter DSM Zugang auf LAN-Interface limitieren (-> VLAN)

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

free8

Benutzer
Mitglied seit
24. Mai 2015
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich plane die Neuanschaffung einer DS718+, welche ja zwei Lan-Ports hat.
Dabei würde ich gerne im Sinne der Netzsegmentierung die DSM Oberfläche als Management-Applikation betrachten, welche dementsprechend nur in einem Management-VLAN erreichbar sein soll.

  1. Hierzu wäre es mir am liebsten die Erreichbarkeit des DSMs auf einen physikalischen Port zu beschränken und diesen dann als untagged im Management VLAN am Switch konfigurieren, sodass sicher kein Traffic von anderen VLANs ans DSM kommt. Geht das?
  2. Wenn 1. möglich ist: Kann ich dann Netzwerkshares derselben DSM-Instanz über den anderen LAN Port freigeben, welcher dann ein Trunk (also mehrere VLANs) sein soll?
  3. Wenn 2. möglich ist: Kann ich dann für die Shares flexibel festlegen in welchem VLAN die Freigabe erfolgen?
  4. Außerdem sollen noch verschiedenen virtuelle Maschinen aus dem VMM auf der DSM in unterschiedlichen VLANs des Trunks erreichbar sein, das scheint mir aber sicher zu gehen mit den virtuellen Switchen des VMMs, oder?

Mir schwebt quasi etwas vor wie:
DSM an ETH01 -> mit PVID am Switch untagged auf Management VLAN (ID 5, aber die weiß die Syno ja dann gar nicht)
Netzwerkshare X aus der DSM-Instanz an EHT02 -> VLAN ID 10
Netzwerkshare Y aus der DSM-Instanz an EHT02 -> VLAN ID 20
VM01 aus der DSM an ETH02 -> VLAN ID 10
VM02 aus der DSM an ETH02 -> VLAN ID 30
...

Habe versucht über die Firewall Dialoge oÄ. meiner jetzigen DS215j ein paar Config-Möglichkeiten abzuleiten, das sah allerdings nicht so vielversprechend aus. Freue mich auf Erfahrhungswerte!

Danke und Gruß
Nils
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Warum sollte das per Firewall nicht gehen? Wenn du weißt, welches VLAN an welchem Interface hängt, kannst du das in der Firewall auch so angeben. In der Systemsteuerung des DSM beim Anzeigen der Firewallregeln ist rechts oben in der Ecke ein Auswahlfeld für das Interface.

MfG Matthieu
 

free8

Benutzer
Mitglied seit
24. Mai 2015
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
Aaaah, das Feld habe ich übersehen - ich habe immer bei einzelnen Regeln gesucht.
Okay, super - das löst ja schon mal Frage 1+2.

Shares in ein bestimmes VLAN eines Trunks freigeben (Frage 3) geht aber nicht, oder?

Danke und Gruß
Nils
 

free8

Benutzer
Mitglied seit
24. Mai 2015
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
Gutes Argument. Habe bei meinen Planungen zu wenig über die zugrundeliegenden Tools Pakete des DSMs nachgedacht.
Nochmal Danke für's Denken helfen.

Wegen der VMM-Details frage ich dann besser nochmal im zugehörigen Forum nach, wollte es hier nur erwähnt haben, da es ja doch etwas enger mit den Interface-Geschichten zusammenhing.

Gruß
Nils
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Man kann einem Trunk ein VLAN zuordnen. Leider geht dies nicht über die GUI der Syno, da muss man selbst Hand anlegen.

Über die Konsole einloggen, dann

cd /etc/sysconfig/network-scripts

Hier findest du die Konfiguration im file ifcfg-bond0.1.
Hier kopierst du einfach das Script für das neue Interface ein: ifcfg-bond0.2.

cp ifcfg-bond0.1 ifcfg-bond0.2

dann nur noch die korrespondierenden Parameter für das neue Interface einfügen

vi ifcfg-bond0.2

Sollte dann so aussehen

DEVICE=bond0.2
VLAN_ROW_DEVICE=bond0
VLAN_ID=3
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.1.11 (hier muss deine IP stehen)
NETMASK=255.255.255.0
IPV6INIT=auto_dhcp
IPV6_ACCEPT_RA=1

Dann setze die VLAN_ID zum zugehörigen VLAN und IPADDR auf die gewünschte IP.

Um den Bond zu aktivieren starte den Nw-Service neu:
/etc/rc.network restart

In der GUI der Syno wird es dann auch korrekt angezeigt!
 

free8

Benutzer
Mitglied seit
24. Mai 2015
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
Man kann einem Trunk ein VLAN zuordnen. Leider geht dies nicht über die GUI der Syno, da muss man selbst Hand anlegen.
Über die Konsole einloggen, dann(...)

Hi NSFH,

danke für die ausführlich Info! Das ganze kann ich für einen Trunk dann aber auch mehrmals machen, sodass ich zwei VMs verschiedenen VLANs des Trunks zuordnen kann?

Zum Verständnis wären DSM-Screenshots einer solchen Config super hilfreich! :)

Grüße
Nils
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Wie du die BOND konfigurierst, ob 1Bond mit 3x1GB oder 2Bond mit je 2GB ist egal. Der Ablauf ist immer der gleiche.
Der Screenshot nützt dir nichts, da er in der GUI nur die beiden Nw-Zugänge anzeigt, nur dann mit VLAN.
Eigentlich ist es verständlich, wenn du die config Datei vor dir hast. Da muss halt alles 2x drin stehen, nut mit VLAN TAG.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat