Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 5 replies
  • Answers 1 answer
  • Subscribers 27 subscribers
  • Views 3128 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mehrere Interfaces (Tagged und Untagged) in 1 VLAN

Azrael White

Guten Abend,

 

ich versuche mich seit mehreren Tagen an einer VLAN Konfiguration mit einer UTM 9.600-5. 

Ich bekomme Clients auf mehreren Wegen an den Rechner welcher die Firewall stellt. Der Rechner hat 3 NIC. Geplant ist eine als External (WAN), und 2 als VLAN Schnittstellen.

Ich muss 2 Kabel an 2 Karten anschließen und im selben Subnetz zusammenführen, aktuell wird das ganze noch durch eine Watchguard T30 gelöst, welche ich zu Hause gern durch die Sophos ersetzen möchte. 

 

Die Herausforderung ist es für mich aktuell folgendes:

Ich hätte gern VLAN 10 im Subnetz 192.168.123.0/24

1 NIC bekommt die Pakete "klassisch" ohne VLAN Tag geliefert und müsste daher untagged auf VLAN 10 konfiguriert werden.

Die 2te NIC bekommt die Pakete bereits fürs VLAN 10 Tagged geliefert. Hier müssen die Pakete also Tagged VLAN 10 entgegen genommen werden und ebenfalls in das genannte Subnetz geleitet werden.

 

Meinem Verständnis nach ist die Einstellung Ethernet-VLAN auf einer Hardware eine Tagged Schnittstelle. Hier kann ich dann auch den IP Bereich etc. angeben. Aber wie führe ich dieses nun mit der anderen Schnittstelle zusammen und wie kann ich eine Untagged Schnittstelle definieren?

 

 

Ich hoffe ihr könnt mir folgen und helfen.

Viele Grüße

Azrael



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Arael,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    You will want to define two Interfaces on the same NIC. one untagged and the other tagged VLAN 10.  See 3.1 in Rulz which warns against connecting two NICs into the same Ethernet segment unless they are in the same Link Aggregation Group.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0 in reply to BAlfson

    Hallo Bob,

     

    vielen Dank! 

     

    Kein Problem, lesen klappt problemlos, auch in Englisch. Schreiben in Englisch ist aber nicht so meins ;-).

     

    Ja Prinzipiell hast Du wohl recht das ich genau gegen diese Warnung handeln würde. Außer es gibt eine Möglichkeit ein untagged und ein tagged Interface in einem LAG zu verbinden.

    Was wäre die Alternative? 2 Interfaces in separate Netze zu definieren und diese über das Regelwerk zu verbinden?

    Das halte ich für sehr umständlich da auch nicht alle angeschlossenen Geräte ein zugriff auf ein "fremdes" Subnetz unterstützen.

     

     

    Grüße

    Azrael

Reply
  • 0 in reply to BAlfson

    Hallo Bob,

     

    vielen Dank! 

     

    Kein Problem, lesen klappt problemlos, auch in Englisch. Schreiben in Englisch ist aber nicht so meins ;-).

     

    Ja Prinzipiell hast Du wohl recht das ich genau gegen diese Warnung handeln würde. Außer es gibt eine Möglichkeit ein untagged und ein tagged Interface in einem LAG zu verbinden.

    Was wäre die Alternative? 2 Interfaces in separate Netze zu definieren und diese über das Regelwerk zu verbinden?

    Das halte ich für sehr umständlich da auch nicht alle angeschlossenen Geräte ein zugriff auf ein "fremdes" Subnetz unterstützen.

     

     

    Grüße

    Azrael

Children
  • 0 in reply to Azrael White

    Hi Azrael,

    ich verstehe deine Ausgangssituation noch nicht ganz.

    Warum zwei Netzwerkkarten? Redundanz oder Mehrere Netze/Switche/VLans

     

    folgende vier Deutungen sind aus deiner Ausführung möglich, bitte spezifizieren:

    1. du hast das selbe IP Netz in zwei verschiedenen VLANs und möchtest es über die Firewall miteinander "Brücken"

    2. du hast zwei switches (einer VLAN fähig, einer Unmanaged)

    3. du hast zwei Subnetze im selben VLAN

    4. du hast zwei Subnetze auf zwei Switches (oder auf zwei VLANs)

    Zieh bitte eine Nummer und dann suchen wir zusammen nach der Lösung ;)

    Gruß Lukas

  • 0 in reply to lna

    Guten Morgen Lukas,

     

    entschuldige bitte. Ist nicht ganz einfach zu beschreiben ohne Grafik.

     

    Ich ziehe die Nummer 2 :-) diese beschreibt die Situation sehr gut. 

    Es gibt einen VLAN fähigen Switch welcher leider bereits voll belegt ist, parallel kommt via Power LAN / DLAN eine weitere Verbindung an welche ebenfalls in dieses VLAN eingebunden werden muss.

    Aktuell hab ich bei der Watchguard Appliance 5 Ports, daher habe ich einen davon als VLAN Trunk für alle VLAN auf dem Switch konfiguriert und einen weitere Port als VLAN Untagged für die Verbindung des DLAN Netzes. Dieses versuche ich auf der UTM ebenfalls so zu konfigurieren. 

     

    Gruß

    Azrael

  • 0 in reply to Azrael White

    Hi Azrael,

     

    am einfachsten und saubersten wäre es, deine Powerline Strecke an den anderen Switch anzubinden und diesen an die UTM zu stecken. Setzt natürlich einen freien Port vorraus.

     

    Der andere weg es ein Bridge-Interface zu erstellen. (als Workaround für zuwenige switchports aber nicht gut, schafft unnötig komplexität, lieber einen größeren / weiteren switch kaufen)

    Du kannst in der UTM allerdings keine Tagged und Untagged Ports als Bridge mischen, der Tag gilt entweder für beide oder für keins.

     

     

    sieht in der Konfiguration dann wie folgt aus - setzt aber vorraus, dass der Switchport zur UTM als Accessport / Untagged in VLAN10 konfiguriert ist.

    ARP Broadcast und Spanningtree ist vom rest deines Netzes abhängig..

    wenn die Clients sich über das Bridge Interface sehen sollen, brauchst du noch eine Firewallregel alá

    (beliebig granularer)

     

    Gruß Lukas