Würde bei dem Aufbau ein VLan möglich sein?

[JoGi65]

Hallo,

wäre bei dem Aufbau lt. Zeichnung ein VLan möglich?

DS115 (ganz rechts) - LTE Router (ganz links)

Der Router hat keine Möglichkeit für ein VLan zum einstellen, der große Switch kann das und noch mehr. Weitere Kabel sind nicht möglich.
Ich kenne mich mit Vlans noch nicht aus, und bevor ich mich einlese, hätte ich gerne gewußt, ob das bei dem Aufbau überhaupt möglich wäre.

Die DS115 hat aktivierten Web Server und Photostation, und ist als einziges Gerät von aussen zu erreichen.
Port Forwarding ist am Router eingestellt.
DynDNS macht die DS115, weil der Router kein Http"s" kann.

 

[jugi]

Welche VLANs willst du denn später haben? Ich erkenne das aus deiner Grafik gerade nicht…

 

[tschortsch]

Wofür benötigst du VLAN überhaupt?

Und wenn nur der große Switch VLAN kann bringt dir das nicht viel. Wenn dann müssen alle Switch und Router es können.

Wofür is die 1815 mit 4 und die 2411 mit 2 Kabeln mit dem Switch im Keller verbunden? Von dem Switch geht ja sowieso nur ein Kabel zum Cisco 8P im EG. Das ist dann der Flaschenhals.

 

[JoGi65]

Wie gesagt, ich kenne mich da noch nicht aus.
Ich habe gedacht, das von extern über den Router auf die DS115 ein Vlan möglich wäre, da ich die Ports ja auch auf ein anderes Subnet weiterleiten kann, oder nicht? Und die dummen Switche lassen ja eh alles durch, oder?

Das Vlan möchte ich zur Trennung der 115, die extern erreichbar ist. Wenn das anders sinnvoller ist, gerne Vorschläge.

Die 1815 ist in erster Linie wegen der MAC Verteilung mit 4 Lans angeschlossen.
Aber auch der AP hat eine zweite Leitung ins EG und bringt immerhin fast 500mbit auf die neuern Notebooks. Und im Keller ist auch manchmal wer, da sind noch mehr Anschlüsse.

 

[jugi]

Wenn das anders sinnvoller ist, gerne Vorschläge.

Du willst also einfach nur die DS115 "separieren"? -> DMZ

 

[JoGi65]

Ok, ist für mich ein neuer Begriff. Dazu brauche ich im Router erst mal eine Firewall, oder?
Ich glaube sowas hat mein Dovado nicht, aber ich hab eh schon ein Auge auf den Draytek 2925.
Wenn Du Lust hast, kannst Du mir das etwas erklären, da ich es glaub ich so nicht leicht verstehe. Also werd mal lesen anfangen.

Den Wikipedia Artikel hab ich durchgelesen, aber da fehlt mir zum Verständnis schon Grundwissen.

 

[tschortsch]

Die 4 Anschlüsse bringen aber nur etwas wenn am Switch im Keller mehrere PCs hängen und gleichzeitig Zugriffen. Wenn mehrere aus dem EG zugreifen bringts nichts. Da müßte zumindest ein Switch im EG LAG Unterstützen um mit mehrern Leitungen mit dme Kellerswitch verbunden sein.

Zu deinem "Problem"

Ja der Router muß dann eine Firewall haben. Wenn du an einer selbstbaulösun interessiert bist (DSen, Switche und Geräte hast du ja genug ;-) ) kannst du dir auch ein APU-Board mit IPCOP oder PFSense als Router nehmen

Dann Kannst du dort eine DMZ aufbauen in die du die 115 stellst.

Hast du nur 2 Leitungen die in den Keller gehen oder mehr?

Wenn du mehr hast könntest du vom Router 2 Leitungen direkt in den Keller laufen Lassen (eine für den großen Switch, eine für dei DMZ mit der 115) und eine wieder retour ins EG für den Rest

 

[JoGi65]

Die 4 Anschlüsse bringen aber nur etwas wenn am Switch im Keller mehrere PCs hängen und gleichzeitig Zugriffen. Wenn mehrere aus dem EG zugreifen bringts nichts. Da müßte zumindest ein Switch im EG LAG Unterstützen um mit mehrern Leitungen mit dme Kellerswitch verbunden sein.

Der AP hat eine eigene Leitung ins EG.

Zu deinem "Problem"

Ja der Router muß dann eine Firewall haben. Wenn du an einer selbstbaulösun interessiert bist (DSen, Switche und Geräte hast du ja genug ;-) ) kannst du dir auch ein APU-Board mit IPCOP oder PFSense als Router nehmen

Dann Kannst du dort eine DMZ aufbauen in die du die 115 stellst.

Hast du nur 2 Leitungen die in den Keller gehen oder mehr?

Wenn du mehr hast könntest du vom Router 2 Leitungen direkt in den Keller laufen Lassen (eine für den großen Switch, eine für dei DMZ mit der 115) und eine wieder retour ins EG für den Rest

Leider hab ich nicht mehr Leitungen runter.

 

[jugi]

Ich denk mal laut:
- den AP an den 8er Cisco
- beide Leitungen ausm Keller ans 8er Cisco (LAG)
- die DS direkt an den Router
- einen günstigen zweiten Router mit Firewall kaufen und den auch an den ersten Router
- 115 in die neue DMZ

spricht da was gegen?

 

[tschortsch]

Der AP hat eine eigene Leitung ins EG.

Der ist aber auch nur maximal mit 1 Gbit angeschlossen an den großen Switch. Ausserdem müssen sich alle Geräte die WLAN Bandbreite teilen und Lasten damit wahrscheinliche auch nicht das Gbit Lan aus.

Leider hab ich nicht mehr Leitungen runter.

Das ist Schade.

Auf was legst du generell Wert?
Wenn es egal ist wenns beim Router "laut" wird würd ich die 115 dort direkt zum Router (der eine separaten Port dann für die DMZ hat) hinstellen. Hier ist die Variante von Jugi (wenn der Cisco 8P LAG kann) auch möglich. Da hast du den geringsten Aufwand.

Wenn du es "professioneller" willst muß der Router mindestesn VLAN können (LAN, DMZ) und mit dem Switch im Keller direkt verbunden sein. Dort kannst du dann das VLAN das über ein Kabel kommt wieder splitten (1 Port für die 115, den Rest fürs LAN)
Mit dem 2ten Kabel gehst du dann wieder retour ins EG an den dummen Switch an dem du deinen WLAN AP hängst.

Willst du es "noch professioneller" mit eigenem GästeWLAN (der Router muß das dann können: LAN, DMZ, WLAN intern, WLAN Gäste und alles über VLAN; PFSense kann das) das komplett vom LAN getrennt ist müßtest du
- den Cisco8P gegen eine intelligenten Switch mit LAG und VLAN tauschen.
- an den hängst du den Router und über die 2 Kabel in den Keller machst du LAG zwischen den Switchen und lässt darüber sämtlich VLAN laufen. Dann ist der Keller mit dem EG zumindest über 2Gbit verbunden
- im Keller splittest du wieder auf (1 Port für die 115, den Rest fürs LAN) und
- am intelligent Swicht im EG hängst du den WLAN AP. Der AP muss dann natürlich auch VLAN unterstützen und das interne WLAN udn das Gäste WLAN auf das entsprechende VLAN leiten.
In dem Fall muss der Router auch GBit haben da sämtlicher Datenverkehr zwischne den Netzen (LAN, WLAN) auch über den Routern läuft. Ausser die Switche können Routen (Der große Cisco kann das soweit ich das richtig gelesen habe in Datenblatt)

In allen Fällen brauchst du eine zusätzlichen Router der optimaler weise gleich GBit LAN hat und VLAN kann (Stichwort DDwrt), in der luxusvariante brauchs du noch einen LAG und VLAN fähigen Switch.

Ich hoffe ich hab dir keine Flausen für neues IT Equipment in den Kopf gesetzt aber dien Profilbild hat mich inspiriert

 

[JoGi65]

Danke Euch zwei für die vielen Möglichkeiten. Und grundsätzlich ist mein Kopf immer voll mit neuem IT Spielzeug .

Ich hab mir das jetzt alles ein bisschen angeschaut, und hoffe ein bisschen verstanden. Da mein LTE Router nur einen Lan Anschluß hat, bräuchte ich bei DMZ ja zwei Router.
Deswegen hab ich mir folgendes gedacht.
Ein neuer LTE Router Draytek 2925. Der kann VLan. Die DS115 direkt an den 2925 Router (wird vom Keller übersiedelt), und ein Vlan für die 115. Den Rest kann ich dann so lassen, oder? Die Kameras kommen ev auf das TS453, weil die ja sonst im falschen Netz wären.

Der Cisco 8P. ist nicht managed, und der AP braucht POE vom großen Switch. Für den hab ich nicht mal ein Netzteil.

 

[tschortsch]

Wenn du dir den neuen Router zulegst und die DS daneben hinstellst brauchst du theoretisch kein extra VLAN wenn er die Funktion einer DMZ von Haus aus hat (intern händelt der Router dann das wahrscheinlich e mit einem VLAN).
Dein Restliches LAN kannst du dann einfach so belassen.

Neuer LTE Router ==> LAN mit bestehnden Verkabelung ab dem alten LTE Router
_______________==> DMZ an einen separaten Port mit der 115

 

[JoGi65]

Genau so hab ich es mir gedacht, aber den Begriff DMZ hab ich im Menü nicht gefunden, aber Vlan kann er:

http://tw.draytek.com:12925/

 

[tschortsch]

Unter "NAT" findest du den Punkt DMZ. Dort kannst du das einstellen.

Alternativ nutzt du dafür portbasierendes VLAN.

Port 1-4 fürs VLAN1 (LAN),
port 5 für VLAN2 (DMZ)

Dann musst du noch entsprechende Firewallregeln dazu erstellen. Da muss ich mich dann aber ausklinken, da hab ich zu wenig Erfahrung.
(Bei meinem AlixBoard mit IPCop ging das recht einfach, mit PFSense wars schon mehr Einarbeitugnszeit und nachdem ich es nicht umbedingt gebraucht hab bin ich beim IPCOP geblieben.)

 

[JoGi65]

So auf die schnelle verstehe ich jetzt nur das Port basierende VLan. Aber das passt soweit.

Inzwischen ist aber noch eine Frage aufgetaucht. In den unendlichen Tiefen meines Switch hab ich den Punkt "Vlan Trunking" gefunden. Das würde heißen, der Switch kann über eine Leitung zwei oder mehr Vlans schicken, sofern ich richtig gelesen habe. Damit müsste ich die DS nicht übersiedeln (gemeinsame USV derzeit).

Frage: gehen so getrunkte VLans über einen normalen Switch in der mitte (SW1 Vlan Trunk --- SW2 normaler Switch --- SW3 Vlan Trunk) drüber, oder funktioniert das nicht?
Ganz schön komplex das Zeug!

 

[tschortsch]

DMZ bedeutet das auf eine PC/Server/DS alles vom internet durchgereicht wird. Ob nur gewisse Ports oder alles muss dann dementsprechend konfiguriert werden im Router

Richtig, VLAN Trunking kann über eine Leitung mehrere VLANs schicken.
Das müssen aber dann alle Switche können. Du musst auf jedem Switch (zwischen Router und Kellerswitch) die VLAN Trunks konfigurieren können.
Die inteligenten Switch können dann aus dem Trunk wieder die VLANs auf einzelne Ports abbilden.

Hängst du einen dummen Switch an den Trunking port passiert garnix weil der dumme Switch nix damit anfangen kann.
(Siehe auch meinen Post in dem ich die 3 Varianten beschrieben habe)

 

[JoGi65]

Der Nebel lichtet sich. Hab auch vergessen, dass die DSn dann ja eh nich miteinander wegen der USV reden können.

Noch die letzte Frage, bevor es mich dann beim konfigurieren sicher aufstellt :
Soweit ich das verstehe, kann ich dann ja nur mehr extern auf die DMZ DS zugreifen. Oder kann ich das dann beim Router einstellen, dass ich noch intern über einen Rechner hinkomme?

 

[tschortsch]

Bezüglich USV wirds sowieso schwierig wenn sie neben dem neuen Router im EG steht.

Nein natürlich kannst du dann auch noch von internen LAN auf die DS in der DMZ zugreifen. Aber die DS in der DMZ kann nichtmehr auf das intern LAN zugreifen. Das regelt dann die Firewall der Routers.
Also wenn du dann zb ein Backup der 115 auf die 1815+ erstellen willst muss das von der 1815+ aus (irgendwie, soweit bin ich nicht in der Materie) gestartet werden. Eventuell reicht es auch gewisse Ports zwischen DMZ und LAn zu öffen dann gehts auch wieder von der 115 aus. Aber dann besteht möglicherweise das Risko eines Angriffs welches du aber ja nicht haben willst sonst würde diese Diskusion nicht statt finden

 

[JoGi65]

Bezüglich USV wirds sowieso schwierig wenn sie neben dem neuen Router im EG steht.

Ich hab eh zwei. Die TS453 wandert dann einfach in den Keller zur den anderen DSn. Dann ist eine Frei.

Danke nochmals für den NW Kurs!

 

[tschortsch]

Gern geschehen!
Was hast du auf der QNAP laufen? Virtuelle Maschinen?