Jump to content
noobi

Server in neues IP-Netzwerk

Recommended Posts

vor 21 Stunden schrieb testperson:

Zum Einen willst du doch grade euer gewachsenes nicht getrenntes Netzwerk trennen. Warum dann gleich weiter pfuschen? Zum Anderen, was passiert denn, wenn ein "Gast" sich mal etwas umsieht und seinem Device einfach eine IP im Server-Netz gibt?

Was wäre denn dein Vorschlag? Wie würdest du vorgehen? VLANs am Router definieren für Server, Clients, Drucker, Alarmanlage, Wechselrichter, Telefon, WLAN Intern, WLAN extern?

 

vor 2 Stunden schrieb MrCocktail:

Und was sich mir nicht erschliesst, wenn du nur die WLAN Gäste abtrennen möchtest, wieso willst du dann eure Infrastruktur verändern und nicht einfach ein neues Netz für die WLAN Endgeräte erstellen? Im Zweifel einfach eine FritzBoy als Router anklemmen?

Ja, das wäre die einfachste Variante, würde aber gerne vom 192.168.er "Standard-IP-Bereich" weggehen...

Share this post


Link to post
Share on other sites

Moin

 

Wurden schon Netzwerkpläne erstellt? Einen für die jetzige Setup und einen weiteren für die angestrebte Setup? Die hier einstellen!

 

Den Telekom-Lancom auch als internen LAN-Router verwenden? Ist das ein guter, ist der vertrauenswürdig, auch das Stromversorgungsnetzteil? Ob man sich einen in Reserve hinlegt? Oder etwas besseres kauft fürs LAN, eventuell einen Layer-3-Switch? Natürlich können auch eingebaute Netzteile defekt gehen.

 

Wenn man nun unbedingt Geräte "trennen" will - warum auch immer - ist das natürlich möglich mit VLAN`s als sozusagen Basis(Layer 2) und in jedem VLAN ein seperater IP-Kreis. Zwischen den einzelnen VLANs ist dann bei Bedarf jeweils ein IP-Routing(Layer 3) einzurichten.

 

Beliebt scheint zu sein ein IP-Netz für Drucker, das müssen dann die Clients aus ihrem IP-Netz erreichen können, dafür muss es dann ein Routing geben zwischen den IP-Netzen. Mit einem richtigen Layer 3-Switch ist das problemlos möglich.

 

Welche Problem könnte auftreten? Die Clients oder ein neu ins IP-Netz kommender Client bekommt keine Verbindung zum Drucker. Warum? Sein Gateway-Adresse zeigt auf die Adresse des Internetrouters nicht auf den IP-Kreis der Drucker. Es wird also ein Routing zum Druckernetz benötigt. Nun, meist hilft der Eintrag für ein statisches Routing mit dem Befehl Route. Weiter zu beachten, das Routing muss auch "rückwärts" funktionieren, die Verbindung zwischen Client und Router ist ja bi-directional.

 

Mehr fällt mir momentan nicht ein, ich weiss- ich habe etwas vergessen.

 

Ahja, da fällt mir noch etwas ein.

Zwei Anschlüsse vom Lancom verbinden mit dem Switch, ist wahrscheinlich keine gute Idee, wenn nach dem Verbinden unerwartet nichts mehr funktioniert, dann nicht wundern.

 

 

 

Edited by lefg
  • Thanks 1

Share this post


Link to post
Share on other sites

Guten Morgen, 

 

vielen Dank für deine ausführliche Antwort, mit so einem Beitrag hatte ich schon gar nicht mehr gerechnet... Wie schon erwähnt, ich bin in meine Situation so hineingerutscht, habe eine Weiterbildung zum Betriebsinformatiker abgeschlossen und mache die Administration neben meinem eigentlichen Job hier in der Firma. (Ja, ich weiß, das sich jetzt bei einigen hier wieder die Nackenhaare aufstellen, bitte spart euch die Kommentare :rolleyes:) Ich habe daher keine praktischen Erfahrungen mit VLANs, möchte mich aber jetzt einarbeiten. Vieles teste ich zu Hause soweit es eben geht. Aber mit der Fritzbox sieht es ziemlich mau aus mit VLANs. Ich probiere hier nichts in dieser Umgebung, wenn ich vorher nicht geklärt habe ob das so funktioniert. 

 

Bezüglich meinem ersten Vorhaben hier ganz am Anfang hatte ich bereits vorab mit einem Techniker von der Telekom gesprochen, der nichts anderes macht, als Lancom Router zu konfigurieren. Ihm habe ich mein Vorhaben genau so erklärt und er meinte, dass kann man so machen und wird auch problemlos funktionieren. 

 

Aber dank euch weiß ich jetzt, dass das Käse ist... Aber egal, soviel dazu ;-)

 

vor 12 Stunden schrieb lefg:

Den Telekom-Lancom auch als internen LAN-Router verwenden? Ist das ein guter, ist der vertrauenswürdig, auch das Stromversorgungsnetzteil? Ob man sich einen in Reserve hinlegt? Oder etwas besseres kauft fürs LAN, eventuell einen Layer-3-Switch? Natürlich können auch eingebaute Netzteile defekt gehen.

Naja, davon gehe ich aus, die Lancom Router, gehören jetzt nicht gerade zum Billigsegment. 

vor 12 Stunden schrieb lefg:

Wurden schon Netzwerkpläne erstellt? Einen für die jetzige Setup und einen weiteren für die angestrebte Setup? Die hier einstellen!

Für das neue Setup gibt es aufgrund der noch offenen Fragen noch keinen Netzwerkplan. Der Bestand sieht so aus:

Netzwerk-IST.thumb.png.6b7164281be0072ca4bc9adbc770d417.png

(Die roten Verbindungen sind 10G Leitungen (Kupfer)

vor 12 Stunden schrieb lefg:

Wenn man nun unbedingt Geräte "trennen" will - warum auch immer - ist das natürlich möglich mit VLAN`s als sozusagen Basis(Layer 2) und in jedem VLAN ein seperater IP-Kreis. Zwischen den einzelnen VLANs ist dann bei Bedarf jeweils ein IP-Routing(Layer 3) einzurichten.

Sorry für die für euch vermutlich blöde Frage aber ich war die ganze Zeit der Meinung das der Router meine diversen Netze (VLANs) verbinden muss. Ich bin davon ausgegangen das ich am Lancom die IP-Bereiche definieren und dann eben ein VLAN zuordne. Die Geräte werden dann mit statischen Adressen in den entsprechenden VLANs definiert und finden über den Router auch wieder in die anderen VLANs. Die 10G Switche sind Netgear XS716T ProSAFE 16-Port, das sind Layer 3 Switche. Ist eure Empfehlung dann das Routing vom Switch erledigen zu lassen? Die IP-Bereiche stellt aber dennoch der Router?!

 

vor 12 Stunden schrieb lefg:

Beliebt scheint zu sein ein IP-Netz für Drucker, das müssen dann die Clients aus ihrem IP-Netz erreichen können, dafür muss es dann ein Routing geben zwischen den IP-Netzen. Mit einem richtigen Layer 3-Switch ist das problemlos möglich.

Da wir kein Großkonzern sind, möchte ich es möglichst einfach halten, daher war mein Gedanke, Server, PCs, Drucker usw. in ein Netz zu packen. Und dann nur Bereiche abtrennen, die zum produktiven Arbeiten gar nicht benötigt werden. (Videoüberwachung, Photovoltaik usw...)

 

vor 12 Stunden schrieb lefg:

Zwei Anschlüsse vom Lancom verbinden mit dem Switch, ist wahrscheinlich keine gute Idee, wenn nach dem Verbinden unerwartet nichts mehr funktioniert, dann nicht wundern.

Ja, das war ja nur die ursprüngliche Idee, die ich inzwischen verworfen habe...

Edited by noobi

Share this post


Link to post
Share on other sites

Was ist denn dein Ziel? Mehr Sicherheit?

 

Zwischen alles in einem Netz (wie bisher) und für jede Funktion (Gäste, Clients, Server, AD, Drucker, Mangement, Backup, ...) in ein eigenes Netz (VLan) ist alles möglich.

Für letzteres wirst du aber neue Hardware benötigen. Die unmanaged Switches werden durch Managed ausgetauscht. Als zentrale Routing Instanz sollte ggf. eine neuer Router / Firewall her.

 

Sind im aktuellen Zustand an einem unmanaged Switch Geräte aus dem geplanten Gäste und aus dem geplanten internen Netz? Oder hängen an den unmanaged Switchen nur Geräte eines Netzes?

 

Wie wäre es mit einem DL, der ein entsprechendes Konzept erstellen kann und dies ggf. auch umsetzen kann?

  • Thanks 1

Share this post


Link to post
Share on other sites
vor 43 Minuten schrieb Dukel:

Was ist denn dein Ziel? Mehr Sicherheit?

Hauptziel ist es das Firmennetzwerk mit einem eigenem WLAN vom WLAN der Mitarbeiter/Gäste zu trennen. Nebenbei sollte noch das 192.168er Netz beseitigt werden. 

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb noobi:

mache die Administration neben meinem eigentlichen Job hier in der Firma. (Ja, ich weiß, das sich jetzt bei einigen hier wieder die Nackenhaare aufstellen,

 

Das halte ich nicht für schlimm, ich wünsche dir viel Erfolg und Freude dabei. :)

 

Schöne Darstelleung, gut gemacht!

 

Ja, befasse dich mit VLAN, schaue dir die Grundlagen dafür an, denke darüber nach. Auch ich hatte Anfangs eine falsche Vorstellung davon. Für VLAN werden dafür geeignete Geräte benötigt. Prinzipiell ist VLAN eine einfache Angelegenheit. Immer daran denken, VLAN ist Layer 2.

 

Es ging früher auch ohne VLANs, eben nur mit Routing, da brauchte man erstmal für jedes Subnet eben mindestens einen Hub - Vorgänger von Switch -  die dann an einen Zentralrouter als "Sammelschiene"verbunden. Im Prinzip ist dein Lancom auch solche eine "Sammelschiene".

vor 19 Minuten schrieb noobi:

Hauptziel ist es das Firmennetzwerk mit einem eigenem WLAN vom WLAN der Mitarbeiter/Gäste zu trennen. Nebenbei sollte noch das 192.168er Netz beseitigt werden. 

 

Für ein weiteres WLAN? Kann der derzeitige Accesspoint kein weiteres WLAN aufspannen? Wurde schon mal in die Gerätebeschreibung geschaut und in die Konfiguration des Gerätes?

Edited by lefg
  • Thanks 1

Share this post


Link to post
Share on other sites
vor 16 Minuten schrieb lefg:

Ja, befasse dich mit VLAN, schaue dir die Grundlagen dafür an, denke darüber nach. Prinzipiell ist VLAN eine einfache Angelegenheit. Auch ich hatte Anfangs eine falsche Vorstellung davon. Immer daran denken, VLAN ist Layer 2.

Ja, das werde ich jetzt mal als erstes angehen. Bin zu Hause auch gerade dabei eine OPNsense Firewall auf einem APU Board einzurichten. In diesem Zuge werde ich mal zuhause VLANs einführen und testen... Habe noch einen kleinen Ubiquiti Switch für meine Kameras, der kann mit VLANs arbeiten.

 

@lefg Welches Gerät übernimmt bei euch das Routing der VLANs? 

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb noobi:

Da wir kein Großkonzern sind, möchte ich es möglichst einfach halten,

 

Wenn die Anforerungen es zulassen, auch Grosskonzerne wollen es möglichst einfach halten, Wohl niemand macht es unnötig kompliziert. Es hat aber erstmal nichts mit der Grösse zu tun.

Share this post


Link to post
Share on other sites
vor 54 Minuten schrieb noobi:

 

@lefg Welches Gerät übernimmt bei euch das Routing der VLANs? 

 

Hm, bei uns werden keine VLANs geroutet, nicht zwischen VLANs geroutet. Bei uns werden IP-Netze geroutet zwischen der Zentrale und den Niederlassungen, Aussenstellen. Bei uns in einer Niederlassung gibt es keine Notwendigkeit zwischen Teilnetzen zu routen.

 

Ich versuche einmal das "bei uns" zu erklären und wofür es bei uns VLANs gibt.

 

In the beginning wurden zwei Netze gebaut, eines für den Bereich Verwaltung und eines für die Veranstaltungsräume (hiessen damals noch Unterrichtsräume. Wir sind eine Weiterbildungseinrichtung, ursprünglich der IHK.

 

Ein Grundsatz war, die strenge Trennung der beiden Netze.

 

Die Einrichtung erstreckt sich auf einem grossen Grund und mehreren Gebäuden. Auch die Verwaltung ist über mehrere Gebäude verteilt, ebenso die Veranstaltung. Von den Gebäuden zum Serverraum deshalb jeweils zwei Kabel. Es wurden deshalb in jedem Haus Hubs  - später einfache Switche - mindestens ein Gerät für jedes Netz benötigt, meist aber mehrere. Im Laufe der Zeit gelang es mir konfigurierbare Switche zu beschaffen, darauf konnte man eben auch VLANs konfigurieren- Ich brauchte damit keine zwei getrennte Gerätegruppen mehr. Die ersten Geräte wurden wie eine Perlenkette aufgereiht verbunden. Das default VLAN 1 erstreckte sich damit über die ganze Anlage über alle Hauptgebäude, alle Sitche. Dann wurde auf allen Geräten VLAN 2 konfiguriert, die Ports zum jeweils nächsten Switch tagged, damit erstreckte sich das VLAN 2 über alle Switche und an jedem Switch konnten Ports für Endgeräte beliebig dem VLAN 2 hinzugefügt werden. Ich machte daserstmal für die Veranstaltung, Anschlüsse in den EDV-Unterrichtsräumen, die Drucker, den Server für die Domäne, den Internetrouter, alle an Ports, die dem VLAN 2 verbunden.Nachdem das gelungen konnte ich mich an die Verwaltung machen,  VLAN 3 auf allen Switche konfiguriert und an Samstag nach Betriebsschluss die Ports der Geräte der Verwaltung dem VLAN 3 zuördnen, PC, Drucker, den Port zum Telekom-Gerät für die Verbindung zur Zentrale.

 

Später kamen noch weitere VLANs hinzu.

 

Wozu waren also die neuen Switche und VLAN gut? Die alten Geräte wurden entfernt und verschenkt, es wurde nur noch jeweis ein Switch für mehrere Netze benötigt.

 

Ich mach jetzt erstmal Schluss hier, ich muss  Brötchen holen.

 

 

 

 

Edited by lefg

Share this post


Link to post
Share on other sites
1 hour ago, noobi said:

Hauptziel ist es das Firmennetzwerk mit einem eigenem WLAN vom WLAN der Mitarbeiter/Gäste zu trennen. Nebenbei sollte noch das 192.168er Netz beseitigt werden. 

 

Kann der LANCOM ein Gäste WLan einrichten? Das wäre das einfachste und du musst dich (auf jeden Fall nicht hierfür) mit VLans auseinander setzen. Alternativ WLan AP's einführen, die Gäste WLans können.

 

4 minutes ago, lefg said:

Hm, bei uns werden keine VLANs geroutet, nicht zwischen VLANs geroutet. Bei uns werden IP-Netze geroutet zwischen der Zentrale und den Niederlassungen, Aussenstellen. Bei uns in einer Niederlassung gibt es keine Notwendigkeit zwischen Teilnetzen zu routen.

Normalerweise erstellt man auch für jedes VLan ein eigenes IP Netz. Daher würde ich VLan Routing / IP Routing hier Äquivalent sehen.

Wie das Routing dann genau aussieht kommt auf die Anforderungen an.

Share this post


Link to post
Share on other sites
vor 27 Minuten schrieb Dukel:

Kann der LANCOM ein Gäste WLan einrichten?

Es gibt Lancom Devices die per Public Spot (Option) ein Gästenetzwerk mit Landing-Page / Anmeldung bereitstellen können. Ohne Lancom WLC wird man aber an VLANs oder physikalisch getrennten Netzen nicht vorbeikommen. Mit WLC könnte man verschiedene Netze per Layer-3 Tunnel über den Controller tunneln.

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb Dukel:

Normalerweise erstellt man auch für jedes VLan ein eigenes IP Netz.

 

Nun, ja, in den VLANs Verwltung und Veranstaltung gibt es separate IP-Netze bei uns, die IP-Netze waren schon vor den VLANs vorhanden. Nach dem Einrichten der VLANs wurden die Ports der Geräte der IP-Netze in das ihnen zugedachte VLAN "geschoben", damit wird das jeweilige IP-Netz vom VLAN transportiert, genauer die IP-Pakete transportiert auf L2.

 

Erstellen eines IP-Netzes für ein VLAN? Ein VLAN weiss nichts von einem IP-Netz. Aber man kann auf dem Switch für ein VLAN ein virtuelles Interface mit einer IP-Adresse einrichten. Darüber kann dann der Switch verwaltet werden.

 

Natürlich kann man für ein VLAN auf einem geeigneten Switch einen DHCP einrichten.

 

Hier ein Tipp @noobi  https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

Edited by lefg

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...