Feb 05, 2018, updated at 03:14:11 (UTC)

7601

VLAN - erste Gehversuche

Hallo zusammen,

ich versuche folgendes Netzwerk per VLAN abzubilden.
Allerdings komme ich mit der Konfiguration der Switche nicht ganz zurecht und hoffe auf eure Hilfe.
Es handelt sich um 2x Zyxel GS1200-5HP

Netzwerk ist wie folgt verkabelt

Zyxel USG60W als Router ins Internet. Port 1 und 2 sind WAN Ports
Port 1: (offizielle IP) Glasfaser Uplink Dt. Glasfaser
Port 2: leer
Port 3: (192.168.0.252) verbunden mit Switch 1 - Port 1
Port 4: (192.168.1.1) verbunden mit Switch 1 - Port 3
Port 5 leer

Switch 1:
Port 1: verbunden mit Zyxel USG60W Port 2
Port 2: verbunden mit internem Netz (192.168.0.0/24)
Port 3: verbunden mit Zyxel USG60W Port 4
Port 4: Fritte als WLAN-Gastzugang (192.168.1.0/24)
Port 5: TK-Anlage (192.168.0.0/24)

Switch 2
Port 1: internes Netz
Port 2: leer
Port 3: Fritte WLAN-Gastzugang (Gartenhütte)
Port 4: Fritte WLAN-Gastzugang (Wohnzimmer)
Port 5: PC (192.168,0.0/24)

WLAN-Gastzugang 192.168.1.0/24
internes Netz: 192.168.0.0/24

Nun möchte ich, dass an Switch2 2 VLANs aufgespannt werden, die an Switch 1 wieder auseinander gelöst werden und in unterschiedliche Ports der USG60W geleitet werden.
Da ich mich jetzt schon 4x ausgesperrt habe, richte ich nun die Frage an euch.

Wie muss ich die VLANs konfigurieren an Switch 1 und 2 ?
Ja, es ist Absicht, dass an der USG60W 2 seperate Netze ankommen.

Aktuell sieht es auf beiden Switchen so aus:

Ich komme mit den "Tag egress Member" und "Untag Egress Member" nicht klar.
Ich möchte nicht an den Clients irgendwas an VLAN konfigurieren, das sollen nur die Switche machen.

Switch 1 VLAN1 mit Tag Egress Member auf folgenden Ports: 1,2
Switch 2 VLAN1 mit Tag Egress Member auf folgenden Ports: 1,5

Switch 1 VLAN2 mit Tag Egress Member auf folgenden Ports: 3,4
Switch 2 VLAN2 mit Tag Egress Member auf folgenden Ports: 1,3,4

Ausgesperrt, RESET der Switche nötig

-nächster Versuch:

Switch 1 VLAN1 mit UnTag Egress Member auf folgenden Ports: 1,2
Switch 2 VLAN1 mit UnTag Egress Member auf folgenden Ports: 1,5

Switch 1 VLAN2 mit UnTag Egress Member auf folgenden Ports: 3,4
Switch 2 VLAN2 mit UnTag Egress Member auf folgenden Ports: 1,3,4

Ausgesperrt, RESET der Switche nötig

Hier noch eine Übersicht, wie es aussehen soll, die beiden WLAN-APS sind ein Gerät, anders habe ich es in der Zeichnung nicht hinbekommen.

Kann mir mal jemand den Tritt in die richtige Richtung geben ?

Grüße, Henere

Please also mark the comments that contributed to the solution of the article

Content-Key: 363572

Url: https://administrator.de/contentid/363572

Printed on: May 9, 2024 at 17:05 o'clock

32 Comments

Latest comment

Hallo Henere,
zuerst denke ich in Deiner Beschreibung von Switch1 ist Port1 des Switch mit Port3 des USG60 und nicht mit Port2 verbunden. Weiterhin sollte es eigentlich schon nicht mehr richtig funktionieren, wenn Du den USG60 und Switch1 mit zwei Kabeln verbindest ohne eine VLAN-Trennung vorzunehmen.

Du musst zuerst an beiden Switchen ein weiteres VLAN anlegen, zum Beispiel VLAN2. An dem Port an dem beide Switche verbunden sind ist VLAN1 untagged und VLAN2 tagged (Switch1 Port2 und Switch2 Port1). Dann stellst Du an Switch1 den Port1 ausschließlich untagged an VLAN2 und die Ports3 bis Port5 ausschließlich untagged an VLAN1 (sollte schon sein).
Jetzt noch an Switch zwei den Port2 untagged an VLAN2 und nun hast Du an diesem Port das zweite Netz vom USG60.

Viel Spass und viel Erfolg!!

Grüße
Alex

Moin,

Vom grundsatz her musst du folgendes machen:
Die VLANs werden an den jeweiligen Ports per se auf untagged gesetzt.
Ausnahme ist der Link zwischen den beiden switchen:ein VLAN bleibt auf untagged (das interne), da es das "native VLAN" ist, das andere VLAN setzt du auf tagged.

Gruß
em-pie

Vielleicht erstmal die "VLAN Schnellschulung" lesen und verstehen:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Dann das hiesige VLAN Tutorial lesen, was zu deinem Design ein entsprechendes Praxisbeispiel fertig zum Abtippen hat !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Als Router denkst du dir dann statt der im Tutoril aufgeführten Geräte deine Zyxel UTM Gurke.

Grundsätzlich gehst du so vor:

VLANs mit ihren IDs auf BEIDEN Switches einrichten
Auf beiden Switches diesen VLANs entsprechende untagged Endgeräte Ports zuweisen.
Auf beiden Switches einen tagged Uplink Port zuweisen über den die Switches verbunden sind und der für beide VLANs tagged ist. (Hier im Beispiel Port 5 und an Switch 1 zusätzlich noch Port 1 auf den USG Router)
Fertig

Etwas besonders ist es wenn du z.B. dein privates Netz im Default VLAN 1 laufen hast und das Gastnetz im VLAN 10, dann brauchst du nur ein VLAN einrichten (nämlich 10) und nur das Taggen auf dem Uplink.
So sähe es dann richtig aus:
Zyxel USG60W als Router ins Internet. Port 1 und 2 sind WAN Ports
Port 1: (offizielle IP) Glasfaser Uplink Dt. Glasfaser
Port 2: leer
Port 3: leer
Port 4: leer
Port 5 : Tagged Uplink Port für VLAN 1 und VLAN 10 (Vlan 1 als default VLAN untagged, PVID 1, VLAN 10 Tagged)

Switch 1:
Port 1: Tagged Uplink Port USG für VLAN 1 und VLAN 10 (Vlan 1 als default VLAN untagged, PVID 1, VLAN 10 Tagged)
Port 2: Untagged VLAN 1 Endgerät internem Netz (intern)
Port 3: Untagged VLAN 1 Endgerät internem Netz (intern, TK-Anlage (192.168.0.0/24))
Port 4: Untagged VLAN 10 Endgerät Gastnetz z.B. Fritte als Gastzugang Access Popint
Port 5: Tagged Uplink Port auf Switch 2 für VLAN 1 und VLAN 10 (Vlan 1 als default VLAN untagged, PVID 1, VLAN 10 Tagged)

Switch 2
Port 1: Untagged VLAN 1 Endgerät internes Netz
Port 2: leer
Port 3: Untagged VLAN 10 Endgerät Gastnetz AP (Gartenhütte)
Port 4: Untagged VLAN 10 Endgerät Gastnetz AP (Wohnzimmer)
Port 5: Tagged Uplink Port auf Switch 1 für VLAN 1 und VLAN 10 (Vlan 1 als default VLAN untagged, PVID 1, VLAN 10 Tagged)

So sähe es richtig aus.
Wie man einen WLAN Router als normalen Accesspoint betreibt kannst du hier nachlesen:
Kopplung von 2 Routern am DSL Port

Servus,

ich habe jetzt folgende Config auf den Switchen:

Switch 1

Switch 2

Wenn ich das jetzt richtig verstanden habe, müsste ich doch an Switch1 den Port 2 für VLAN1 und VLAN2 auf getagged stellen. Das gleiche dann auf Switch 2 Port 1. Wenn ich das jedoch mache, darf ich die Switche hart resetten, da ich dann nicht mehr dran komme.

Das interne Netz 192.168.0.0 soll im VLAN 1 mitlaufen.

Das geht soweit auch. Nur mit dem Gast-WLAN habe ich ein Problem, ich komme trotz Regel auf der Firewall (Router) Lan1 - Lan2 - any accept Log nicht dran. Ich sehe die Einträge im Log, jedoch kommt nicht ein Ping durch. Geschweige denn http oder ähnliches.

Wenn ich VLAN2 wegnehme und nur noch VLAN1 auf allen Ports untagged habe, funktioniert alles. Aber man kann halt vom Gastnetz dann ins interne zugreifen.

Grüße, Henere

Schon gleich Switch 1 hat einen Fehler !!

Hier ist das VLAN 2 auf keinem Port Tagged eingetragen !
Oben wurde mehrfach gesagt das der Uplink Port auf den 2ten Switch TAGGED für das VLAN 2 eingetragen werden muss UND auch der Port auf die UTM Gurke !
Also müsste VLAN 2 mindestens 2 tagged Ports haben. Nichts ist zu sehen

Das gleiche Drama dann auch noch bei Switch 2.

Du solltest entsprechende Ratschläge auch umsetzen bzw. die Threads hier wirkjlich mal LESEN !
Wenns daran schon scheitert wird das hier ja böse enden

müsste ich doch an Switch1 den Port 2 für VLAN1 und VLAN2 auf getagged

Nein !
VLAN 1 ist das default VLAN das wird auf allen Tagged Uplinks immer untagged übertragen. Hier musst du NICHTS machen
VLAN 2 = JA !
Genau das Tagging dieses VLANs auf den Uplink Ports (Switch zu Switch und Switch zu UTM) FEHLT !

Wenn ich das jedoch mache, darf ich die Switche hart resetten, da ich dann nicht mehr dran komme.

Ist unmöglich !
Dann machst du das an dem Port auch wo dein Konfig PC auch mit dranhängt !!
Dann ist das logisch, denn die Management IP Adresse liegt immer in VLAN 1!
Wenn du dem Konfig PC so den Ast absägst dann ist das klar. Belasse den also IMMER an einem Pret der immer in VLAN 1 bleibt !
Einzig nur der Port der beide Switches verbindet wird im VLAN 2 auf Tagged geklickt. Ab VLAN 1 musst du nichts fummeln !
ACHTUNG: Achte darauf das alle untagged Ports in VLAN 2 auch auf die PVID 2 ! gesetzt sind am Port !
Hier lesen zum Thema PVID:
Warum gibt es PVID bei VLANs?

Entschuldige, Mein Kopf ist nicht ganz frei.
Natürlich möchte ich auf die Vorschläge hier eingehen und etwas dazu lernen.

Neue Config:

Switch 1

Switch 2

Firewalllog:

Dennoch bekomme ich von keinem der Geräte aus dem 1.0/24 keine Antwort.

Grüße, Henere

Schon gleich Switch 1 hat einen Fehler !!

müsste ich doch an Switch1 den Port 2 für VLAN1 und VLAN2 auf getagged

Wenn ich das jedoch mache, darf ich die Switche hart resetten, da ich dann nicht mehr dran komme.

Nur mit dem Gast-WLAN habe ich ein Problem

Weil du einfach nicht genau das umsetzt was man dir hier wohlwollend rät.

ich komme trotz Regel auf der Firewall (Router) Lan1 - Lan2 - any accept Log nicht dran

Dir ist auch hoffentlich klar das man an der Firewall einen Tagged Port einrichten muss und auch ein VLAN 2 Interface !!
Hast du das auch umgesetzt ? (Siehe Tutorial !)

Wenn ich VLAN2 wegnehme und nur noch VLAN1 auf allen Ports untagged habe, funktioniert alles.

Ach was....ehrlich ?!
Das ist doch auch klar, und solche Bimnsenweisheiten kannst du dir (und uns) ersparen. Logisch, dann hast du ja auch nur ein einziges dummes flaches Netz aber keine 2 IP Netze wie es sein soll !

Gehe doch einfach mal strategisch und schrittweise vor:

Erstelle die beiden VLANs auf den Switches
Richte alle Ports dazu ein, die Tagged Uplinks zur Switchkopplung und die untagged Endgeräteports
Dann steckst du mal 2 PCs mit den IP Adressen 192.168.0.100 und 192.168.0.200 an 2 untagged Ports ins VLAN 1 erstmal nur an einem Switch und pingst die an.
Geht das, dann steckst du die beiden PCs im VLAN 1 an einen untagegd Port an Switch 1 und an einen VLAN 1 untagged Port an Switch 2. Da sollte der Ping auch klappen
Genau das wiederholst du nun auch für VLAN 2 !
2 PCs mit den IP Adressen 192.168.1.100 und 192.168.1.200 ins VLAN 2 an 2 untagegd Ports und erstmal an nur einem Switch und pingst die an.
Geht das, dann steckst du die beiden PCs im VLAN 2 an einen untagegd Port an Switch 1 und an einen VLAN 2 untagged Port an Switch 2. Da sollte der Ping dann auch klappen

DAS verifiziert erstmal das deinen Switch VLAN Konfig übergreifend sauber funktioniert.

Dann erst kommt die UTM an einen Tagged Uplink an Switch 1 und muss selber auch einen Tagged Port hier für VLAN 2 haben und auch ein VLAN 2 IP Interface.
Alles ganz genau so wie es im VLAN_Tutorial doch schon genau beschrieben ist !

Servus,

@aqui: Hast PN

wieso brauche ich denn VLAN Config an der UTM ?
Deshalb gehe ich doch extra mit 2 Kabeln hin.
Switch 1 P1 => UTM P3
Switch 1 P3 => UTM P4

An Switch 1 Port 1 soll 192.168.0.0/24 "rausfallen" und an Port 3 dann 192.168.1.0/24
Dann kann ich mir das an der UTM doch sparen, oder Denkfehler ?

Grüße, Henere

Zitat von @aqui:

Gehe doch einfach mal strategisch und schrittweise vor:

Erstelle die beiden VLANs auf den Switches

Gemacht

* Richte alle Ports dazu ein, die Tagged Uplinks zur Switchkopplung und die untagged Endgeräteports

Erledigt. SW1 tagging auf Port2 für beide VLANs. Die entsprechenden Ports der Endgeräte untagged.
SW2 tagging auf Port 1 für VLAN 1 und 2. Die entsprechenden Ports der Endgeräte untagged.

* Dann steckst du mal 2 PCs mit den IP Adressen 192.168.0.100 und 192.168.0.200 an 2 untagged Ports ins VLAN 1 erstmal nur an einem Switch und pingst die an.

Geht

* Geht das, dann steckst du die beiden PCs im VLAN 1 an einen untagegd Port an Switch 1 und an einen VLAN 1 untagged Port an Switch 2. Da sollte der Ping auch klappen

Geht

* Genau das wiederholst du nun auch für VLAN 2 !

2 PCs mit den IP Adressen 192.168.1.100 und 192.168.1.200 ins VLAN 2 an 2 untagegd Ports und erstmal an nur einem Switch und pingst die an.

Geht auf beiden Switchen.

* Geht das, dann steckst du die beiden PCs im VLAN 2 an einen untagegd Port an Switch 1 und an einen VLAN 2 untagged Port an Switch 2. Da sollte der Ping dann auch klappen
DAS verifiziert erstmal das deinen Switch VLAN Konfig übergreifend sauber funktioniert.

Genau das geht nicht.

Dann erst kommt die UTM an einen Tagged Uplink an Switch 1 und muss selber auch einen Tagged Port hier für VLAN 2 haben und auch ein VLAN 2 IP Interface.
Alles ganz genau so wie es im VLAN_Tutorial doch schon genau beschrieben ist !

Wieso soll ich an der UTM was Taggen ? Dort sollen an 2 Ports unterschiedliche Netze ankommen. Was ja von Switch 1 aus auch sauber funktioniert.

Ich glaube, ich bin einfach zu blöd, ich kapiere nicht wo der Fehler liegt. Gerne ruhig nochmal mit Nachdruck hinweisen.

Switch 1

Switch 2

Exceltabelle dazu:

Grüße, Henere

Hallo Henere,
in der Kopie von Switch1 ist falsch, dass an Port1 zwei VLANs untagged sind, dies sollte eigentlich gar nicht zu konfigurieren gehen.
Dann wäre eigentlich alles richtig, da gibt es aber noch eine Besonderheit. Im Normalfall muss das VLAN1 (da Standard-VLAN) auch an den Ports mit denen die Switch verbunden sind auch untagged konfiguriert sein. Das ist je nach Switch-Hersteller anders (Cisco hätte mit Dein Einstellung kein Problem, Dlink hatte es bei mir nicht "verstanden).

Also wirf an Switch1 Port1 das VLAN2 raus und stelle an Switch1 Port2 VLAN1 auf untagged. Dann noch an Switch2 Port1 VLAN1 auch auf untergefasst - Fertig

Grüße
Alex

Zitat von @Alex29:

Also wirf an Switch1 Port1 das VLAN2 raus und stelle an Switch1 Port2 VLAN1 auf untagged. Dann noch an Switch2 Port1 VLAN1 auch auf untergefasst - Fertig

Grüße
Alex

Servus Alex,

Hab ich jetzt gemacht. Ich komme dennoch vom internen LAN an kein Gerät dran, was hinter Switch2 in VLAN2 ist. Die Maschine an Switch 2 Port5 ist Problemlos erreichbar. Untergefasst war Autokorrektur und sollte untagged heissen ?

Switch 1 sieht jetzt so aus:

Switch 2 sieht jetzt so aus:

Kann das sein, das mit meinen VPID etwas nicht stimmt ?
Oder einer der Switche auf dem Weg die Tags wegschneiden ? Sind alles unmanaged "Billig" Switche

Edit: (Nachtrag)
Habe auf dem PC an SW2 P5 mal den Advanced IP Scanner laufen lassen von 192.168.0.1 - 192.168.1.254

Der sieht IP-Adressen, die gar nicht existieren ? Wie kommt das denn zustande ?

Der gleiche Scan von einem Rechner aus dem 0.1/24 Netz sieht nur die 192.168.1.1, 1.2 und 1,3. Diese sind an SW1 Port 3 und 4

Grüße, Henere

Hallo,

Du hast nur die Hälfte umgesetzt!!

An Switch1 Port1 liegen, nach Deiner Kopie, immer noch beide VLANs untagged!! Das funktioniert nicht!! "Untagged" bedeutet, dass die Pakete nicht markiert sind somit kommen an diesem Port die Pakete des VLANs 1 und 2 ohne Markierung und es kann niemand mehr unterscheiden, was in VLAN1 und was in VLAN2 gehört - funktioniert nicht!!

Du musst also am Switch1 Port1 das VLAN2 noch als "Non-Member" deklarieren!!

..ja, "untergefasst" war die Autokorrektur

Viele Grüße
Alex

Moin Alex,

danke für den Hinweis.

Ich habe es jetzt geändert und es funktioniert trotzdem nicht.

Switch 1:

Kann das sein, dass billige unmanaged Switche auf dem Weg zwischen den beiden Zyxeln das VLAN-Tag abschneiden ?

Grüße, Henere

Zitat von @Henere:
Kann das sein, dass billige unmanaged Switche auf dem Weg zwischen den beiden Zyxeln das VLAN-Tag abschneiden ?

Ja. Bzw. dann wird meist der ganze Frame verworfen.

Gruß
sk

Na dann kann ich einstellen, was ich möchte..... es wird nicht klappen.

Das sind die besten Voraussetzungen um ein neues Thema zu erlernen.

Ich denke, damit kann dann hier zu.

Ich Danke allen Beteiligten für die Tipps und auch Geduld, die sie mit mir hatten.

Grüße, Henere

Davon war in Deinem ersten Beitrag keine Rede - Ausgang war doch, dass Port2 von Switch1 direkt mit Port1 von Switch2 verbunden sind.
Wenn dies so ist muss es eigentlich funktionieren!!

Falls hier weitere Switch dazwischen sind muss dies der Grund sein!!

Gruß
Alex

den Gegentest sollte man zumindest mal machen...

Zitat von @Alex29:

Davon war in Deinem ersten Beitrag keine Rede - Ausgang war doch, dass Port2 von Switch1 direkt mit Port1 von Switch2 verbunden sind.
Wenn dies so ist muss es eigentlich funktionieren!!

Falls hier weitere Switch dazwischen sind muss dies der Grund sein!!

Gruß
Alex

Ja sorry, aber in dem 05.02.2018, aktualisiert um 22:48 Uhr hatte ich es extra reingeschrieben.
Ich wusste nicht, dass diese Switche eine Rolle spielen.

Wenn ich die betreffenden Switche durch VLANfähige austausche, muss ich an denen dann irgendwas konfigurieren ? Oder einfach einstöpseln und fertig ? Das Netz 192.168.0.0/24 ist ja das normale interne Netz was überall anliegt.

@sk: ich mache jetzt erstmal nen Netzwerkplan und schaue mir an, was da alles im Weg rumliegt. Das ist immer das Problem mit geerbten Netzwerken. Wenn ich vor Ort bin, stöpsel ich mal die 2 Geräte direkt zusammen.

Grüße, Henere

Teste erst mal die direkte Verbindung, diese sollte aber funktionieren.

Wenn dann weitere Switche zwischen Switch1 und Switch2 sind, ist das nicht das normale interne Netz. In dem Kabel kommt das VLAN1 untagged und das VLAN2 tagged. Du musst also allen Switchen auf dem Weg diese Info am "Eingang" von Switch1 und am "Ausgang" zu Switch2 "mitgeben".

Grüße

Oder einfach einstöpseln und fertig ?

Bei VLAN fähigen Switches befinden sich in der Werks (Default) Einstellungen ALLE Ports untagged im VLAN 1.
Der Switch agiert also im Default wie ein ungemanagter Billigswitch.
Fazit: Ja, einstöpseln und geht sofern du da keine Segmentierung machen musst.

Übrigens schicken ungemanagte Billigswitches VLAN Tags in der Regel weiter mit. So ungewöhnlich das klingt aber die leiten diese Pakete unverändert weiter. Jedenfalls die meisten dieser China Teile.
Verlassen kann man sich aber nicht darauf, manche blocken diese Frames auch gnadenlos.
Im Zweifel also immer ausprobieren.
Dein bester Freund ist hier mal wieder....na du ahnst es schon ?!
Ja, genau ! Der Wireshark !!! Der beste Freund des Netzwerkers

Der zeigt den VLAN Header im Paket nämlich an, wie du hier am Beispiel des VLAN 14 sehen kannst:

Servus
@alex, danke, werde ich beachten.

@aqui: Das würde aber voraussetzen, dass ich Switche habe, an denen ich Portmirroring machen kann. Sonst müsste ich ja irgendwie einem Client beibringen, dass er in VLAN2 ist, damit die Pakete bei ihm ankommen ? Oder Denkfehler ? Und das können ja die Billigheimer nicht.
Habe jetzt "zufällig" noch einen HP1820-8G im Netz "gefunden". Wurde einfach mal eingesteckt, hinter den Schrank geworfen weil ja "alles funktioniert" hat.

Ein Bekannter fährt nachher mal hin und stöpselt die 2 Zyxel-Büchsel(n) mal direkt zusammen, dann weiss ich mehr.
Wenn das dann geht, fliegen 2? oder 3? Switche die da noch im Weg sind raus und werden gegen Zyxel 1200-8G getauscht.

Histerisch gewachsenes Netzwerk in dem wohl mehr als 5 Leute immer mal wieder einfach irgendwas gemacht haben.
Ende des Jahres steht der Neubau, dann wird gleich alles richtig gemacht. Das hier ist immer wieder nur noch mehr Gefrickel. Wobei ich aber verstehe, dass der Kunde da nicht mehr wirklich viel Geld reinstecken will. Andererseits steckt er so das Geld in mich, das ist auch nicht verkehrt

Grüße, Henere

Das würde aber voraussetzen, dass ich Switche habe, an denen ich Portmirroring machen kann.

Nein, nicht unbedingt !
Wenn du einzig nur überprüfen willst ob dieser unmanaged Switch tagged Pakete weiterleitet dann schliesst du ihn an einen Tagged Port eines anderen Switches an und siehst dir mit dem Wireshark die Pakete an die aus dem unmanaged Switch rauskommen.
Kommen da Pakete und haben die ein VLAN Tag, dann gibt der unmanaged Switch die weiter.
Kommt nix dann blockt er die. Das er sie abstrippt gibt es nicht bei unmanaged, so intelligent sind die nicht.
Es reicht ja wenn du dir die Broadcast Pakete ansiehst die der Switch forwarden muss, auch die haben natürlich ein VLAN Tag.
Mirrorn musst du ausschliesslich nur wenn du Mac Adress spezifischen Traffic sehen willst von 2 Endgeräten z.B.

So, jetzt ist es nur noch 1 Kabel zwischen den 2 Switchen.
Dennoch komme ich aus dem Netz 0.0/24 an keinen Client dran, der an Switch 2 Port 3 und 4 hängt.
An Geräte die im VLAN2 (192.168.1.0/24) an Switch 1 hängen komme ich jedoch problemlos aus dem 192.168.0.0/24 dran.

Aktuelle SwitchConfig:

Sw1:

Sw2:

Die beiden bleiben jetzt direkt verkabelt um Störungen durch andere Switche auszuschliessen.

Grüße, Henere

Was schlechter Stil ist ist die Tatsache das du für den Uplink auf dem Switch unterschiedliche Ports hast.
Es wäre sinnvoller da übersichtlicher dafür immer die gleichen Ports zu nehmen. Am Besten die ganz am Anfang oder Ende.
Noch der Konfig von oben müsste das dann so sein:

Switch 1 ist am Port 2 mit dem Switch 2 dort an Port 1 verbunden ! Richtig ?
Wenn ja ist das richtig ! PVID ist auf diesen Ports 1 = Untagged Traffic wird in VLAN 1 geforwardet und VLAN 2 wird dort Tagged übertragen. Das passt also.

an keinen Client dran, der an Switch 2 Port 3 und 4 hängt.

Soweit ist die Konfig aber richtig. PVID = 2 auf beiden Ports, also sind beide Ports untagged als Endgeräte Ports in VLAN 2.
Wenn du hier 2 PCs dran hast der eine mit einer statischen IP 192.168.0.3 /24 und der andere mit einer statischen IP 192.168.0.4 /24 müssen die sich gegenseitig pingen können.
Das muss auch klappen wenn einer der Test PCs auf Switch 1 and Port 3 und 4 hängt, das ist ja alles VLAN 2.

Aus anderen IP Netzen musst das nicht immer der Fall sein und kann auch mal einseitig sein. Buhmann ist hier wie so oft die lokale Firewall.
Hier kann es sein das dir die lokale Firewall einen Streich spielt. Wenn das Windows ist, dann blockiert die Firewall in der Regel generell ICMP (Ping) Pakete und ganz besonders solche die aus fremden IP Netzen kommen !
Das musst du erst zulassen in den Firewall Settings:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen

Von der Firewall her darf 0.0 nach .1.0 alles. Ich sehe dort auch den Traffic im Log.
Ich komme ja auch von 0.0 nach .1.2 und das Gerät hängt in SW1 VLAN2 auf Port 4. Das Routing / FW-Regelwerk stimmt also.
Die Endgeräte an P3 und P4 sind 2 Fritten, die sich anpingen lassen (ließen).

Wieso 0.3 und 0.4 ? Das müsste doch 1.3 und 1.4 /24 sein ?

Grüße, Henere

Von der Firewall her darf 0.0 nach .1.0 alles

Du meinst jetzt hier deine UTM Firewall die zwiscxhen den Netzen routet, oder ?
Das war aber oben nicht gemeint sondern die lokale Windows Firewall. Also die auf den PCs oder Endgeräten selber. Die blockt segmentfremden Traffic per Default.
OK, wenn das Fritten sind dann ist dort keine Firewall. Aber auch nur dann wenn sie richtig über den LAN Port ! und NICHT über den WAN Port angebunden sind !! Siehe auch hier:
Kopplung von 2 Routern am DSL Port

Wieso 0.3 und 0.4 ? Das müsste doch 1.3 und 1.4 /24 sein ?

Sorry...Tippfehler ! Du hast natürlich recht !
Obwohl es genau genommen für den Ping Test egal ist solange die IPs im gleichen Netzwerk sind und es nur diese 2 Geräte sind. Sie können dann zwar nur sich und keine anderen IPs in dem Netz pingen.
Um die reinen VLAN Connectivity zw. den Switches zu verifizieren würde es also auch gehen.
Besser ist aber natürlich die im VLAN auch benutzen IP Adressen zu verwenden, keine Frage.

Mich hast Du jetzt ein bisschen verloren.

Funktioniert denn nun Dein eingentlicher Anspruch wie im Betreff mit "VLAN" bezeichnet. D.h. lassen sich alle Clients im selben VLAN anpingen? Also von Switch2 Port3 und Port4 auch zu Switch1auf Port3 und Port4? Welches VLAN hat welches Subnetz: VLAN1 -> 192.168.0.0/24; VLAN2 -> 192.168.1.0/24
Mit etwas Systmatik würde man auch hier besser den Überblick behalten.

D.h. lassen sich alle Clients im selben VLAN anpingen? Also von Switch2 Port3 und Port4 auch zu Switch1auf Port3 und Port4?

Genau, das ist die aktuell unbeantwortete Kardinalsfrage bei VLAN 2

Aaaaaalsooooooo.....

3h Telefonanweisungen später.....

Bekannter hat auf Zuruf gestöpselt und gemessen.

Rausgeflogen / Ausgetauscht sind jetzt
- 1 Netzwerkkabel (Durchgepiepst, hat Fehler auf einigen Adern... genau das war die Direktverbindung der Zyxel-Switche GRRRRRRRR
- 2 Switche. Einer der nach abziehen und wieder einstecken eines Kabels Probleme machte (Direkt Müll), der zweite wurde durch einen HP1820 ersetzt. Leider nur noch ein HP auf Vorrat im Auto gewesen.

Statt Fritten in VLAN2 an Port 3 und 4 jetzt mit 2 Notebooks getestet.
Die VLAN Verbindung mit neuem Netzwerkkabel zwischen den beiden Switchen funktioniert jetzt (war dank eurer Hilfe am Ende richtig konfiguriert).
Ich kann jetzt problemlos von 0.0/24 auf alle Geräte in VLAN2 hinter Switch 2 (1.0/24) zugreifen. Warum der PC in VLAN1 an Switch 2 dennoch ansprechbar war, kann ich jetzt nicht nachvollziehen.
Direktverbindung gekappt, zwischen den beiden Zyxel-Switchen steckt jetzt noch ein HP1820. Auf diesem Eingang (P1) und Ausgang (P8) mit VLAN2 getagged. Ping geht durch.

Also geht das VLAN jetzt endlich.

Nur kann ich auf die Fritten nicht zugreifen, wobei diese als IP-Client mit fester IP konfiguriert wurden. Weder auf dem WAN-Port noch an LAN-Port 1-4 sind sie ansprechbar. Wobei das am Sonntag als ich diese in der Hand hatte, (ohne VLAN) noch einwandfrei funktioniert hat. ?
Egal, das ist nun eine andere Geschichte, mit der ich auch alleine fertig werde.

Vielen Dank nochmal an alle Beteiligten für die Geduld und Mühe.
Und nun habe ich das mit den VLANs auch verstanden. Eigentlich ganz einfach, wenn keine Rödelhardware im Weg ist.

Danke !!!!

Henere

Zitat von @Henere:
Also geht das VLAN jetzt endlich.
Nur kann ich auf die Fritten nicht zugreifen, wobei diese als IP-Client mit fester IP konfiguriert wurden. Weder auf dem WAN-Port noch an LAN-Port 1-4 sind sie ansprechbar. Wobei das am Sonntag als ich diese in der Hand hatte, (ohne VLAN) noch einwandfrei funktioniert hat. ?

Bedenke, dass die Fritten die Rückroute kennen müssen, wenn sich der pingende Host in einem anderen IP-Netz befindet.

Gruß
sk

Zitat von @sk:

Bedenke, dass die Fritten die Rückroute kennen müssen, wenn sich der pingende Host in einem anderen IP-Netz befindet.

Gruß
sk

Eigentlich wollte ich diesen Fred hiermit abschliessen. Das hat ja nichts mehr mit dem VLAN zu tun.
Hab auch nach der Aktion heute keine Lust mehr.
Ist ein gutes Argument mit der Rückroute, aber die haben ja das Gateway (die Zyxel USG) eingetragen.

Danke dennoch,

Henere

Mein Hinweis gilt für den Fall, dass die Fritten per LAN-Port an den Switchen hängen. Das Defaultgateway dürfte bei solch Heimanwenderbüchsen auf dem WAN-Port definiert werden und muss vermutlich zwingend im WAN-Subnet liegen. Kenne mich allerdings mit den Fritten nicht aus.

Gruß
sk

German solved Question LAN, WAN, Wireless Networks

Hotly discussed

Wireguard with systemd and nftablesLinuxero - 9 Comments