[fli4l] VLANs - Fragen zum Setup

Alexander Dahl lespocky at web.de
Do Mär 5 07:09:59 CET 2015 

Moin, 

K  Dreier <usenetforum at gmx.net> schrieb:
> Hab im Switch meine 4 VLANs eingerichtet mit der Portzuweisung und dazu
> passend im fli4l-Setup die Netze erstellt. Build läuft fehlerfrei und
> fl4il bootet auch und zeigt mir, daß er die VLANs wie gewünscht mit
> den IPs eingerichtet hat. Host-Setup für dhcp sowie firewall ist
> angepasst (auch wenn ich nicht ausschliessen will, daß ich zumindest
> bei letzterem was verbockt hab...).

D.h. der fli4l ist jetzt über ein Kabel mit dem Switch verbunden und
tagged da alles mit unterschiedlichen VLANs?

> Nicht gänzlich klar ist mir jedoch, wie ich den Switch passend dazu
> konfigurieren muß, wenn es ums tagging geht - bekomme widersprüchliche
> Infos von Internetseiten und Switch-Doku.

Welches Gerät ist es denn genau?

> Mal ein Bsp:
> Sagen wir ich habe 3 Ports - 3, 4 und 7 - die im gleichen VLAN1 sind.

Was soll an den Ports angeschlossen werden? Geräte, die VLAN können oder
nicht?

> Port 4 ist hier zudem der Eingang in den Switch von fli4l kommend (kommt
> von einer dedizierten NIC eth1, die auf das VLAN1 für die drei
> genannten Ports gemapt ist).

Das klingt irgendwie falsch.

> Port 2 ist ein eigenes VLAN2, ebenso Port 5 als VLAN3 - beide diese
> VLANs sind ebenfalls an eth1 gebunden.

An eth1 vom fli4l nehme ich an?

> Port 6 ist mein Switch-Managementport mit einem Mgmt-VLAN. Der Rechner,
> der hier dran hängt, ist aber Teil vom VLAN1. Der Mgmt-port muß im
> Mgmt-VLAN gemäß Switch-Doku untagged sein. An dieser Stelle zunächst
> die Frage: brauche ich im fli4l überhaupt ein eigenes VLAN für dieses
> Mgmt-VLAN?

Du kannst das management VLAN auch komplett weglassen. Wenn ich mich
recht entsinne ist VLAN ID 1 für management reserviert, d.h. ich würde
VLAN 1 nicht für irgendwas anderes vergeben.

Ich bin nicht sicher, ob es Switches gibt, die erlauben über einen Port
gleichzeitig untagged und tagged auszugeben. Würde ich nicht von
ausgehen.

> Ich meine verstanden zu haben, daß ich die Ports wie folgt festsetzen
> muß:
> Port 2 ist untagged für VLAN2 - der einzige client von VLAN2 hängt
> direkt an Port 2.
> Port 5 ist untagged für VLAN3 - hier hängt der WLAN-Router direkt
> dran

Der was? Ist das noch ein extra Gerät?

> Port 6 ist untagged für Mgmt-VLAN und bei VLAN1 als tagged gesetzt.

Das klingt falsch.

> Port 3, 4 und 7 sind für VLAN1 untagged
> (Ports 1 und 8 sind ungenutzt und als untagged im Default-VLAN gesetzt
> und in allen anderen VLANs als excluded)
>
> So eingestellt komme ich vom Port6-client nicht auf meine clients, die
> ja eigentlich im gleichen VLAN sind. Auch fli4l (im gleichen Netz/VLAN
> via fli4l Konfig) erreiche ich nicht. Auch WLAN von diesem client (was
> ja in VLAN3 wäre) erlaubt keinen Zugriff.
> Wahrscheinlich muß ich zunächst mal noch was für VLAN3 machen - denn
> die WLAN-clients sollen ja durchaus auf die clients in VLAN1 zugreifen
> dürfen. Also Port 5 für VLAN1 tagged? Macht das Sinn oder kann ich
> dann den WLAN-Router gleich ins VLAN1 hängen?

Denk dran, dass Du auch im fli4l entsprechende Firewall Regeln brauchst.
Ich würde da zweistufig vorgehen: erstmal Zugriff auf den fli4l
sicherstellen und wenn das korrekt funktioniert schauen, ob man in die
anderen Subnetze kommt. Du hast doch im fli4l unterschiedliche Subnetze
für die einzelnen VLANs vergeben?

> Mein Problem ist, daß ich mir ziemlich sicher bin, daß ich einen
> Fehler gemacht habe, jedoch weiß ich nicht wo. Habe die MTU für eth1
> (die einzige NIC, die für VLANs aktiv ist) auf 1496 gesetzt - kann ich
> irgendwo testen, ob das überflüssig ist und evtl hier das Problem
> liegt?
> Ich denke aber eher, daß es an der Switch-Konfig bzgl der VLANs mit dem
> tagging liegt.

MTU brauchst Du vermutlich nicht anfassen. Beim Switch ist wichtig zu
wissen, dass es für untagged zwei Richtungen gibt. Der Switch kriegt von
irgendwo getaggte Pakete und soll jetzt auf Port x was ausgeben, da muss
man einrichten für welche VLANs er die Tags rausnehmen soll. In der
Regel ist das genau ein VLAN. Dann gibt's die Gegenrichtung, d.h. an
einem Port kommen ungetaggte Pakete rein und Du willst die einem VLAN
zuordnen, das ist dann logischerweise nur ein einziges, der Switch kann
ja nicht wissen, welches ungetaggte Paket sich wie von welchem anderen
ungetaggten Paket unterscheidet, also kriegen alle reinkommenden
ungetaggten Pakete das gleiche VLAN verpasst oder bleiben ungetaggt.

Achtung: es gibt Switches, wo man beide Richtungen getrennt voneinander
konfigurieren muss. Für einen Netgear GS108Tv2 hab ich das letztes Jahr
mal in meinem Blog beschrieben:
http://blog.antiblau.de/2014/05/31/port-based-vlan-mit-netgear-gs108tv2/

Hoffe, das hilft ein wenig weiter.

Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: 02C8 A590 7FE5 CA5F 3601  D1D5 8FBA 7744 CC87 10D0

Mehr Informationen über die Mailingliste Fli4L