[fli4l] Bräuchte nochmal Hilfe zu VLAN-Setup (spezifisch: mit Ubiquiti Hardware)

[Alexander Dahl]

Moin,

K  Dreier schrieb Dienstag, 22. Januar 2019, 21:04 (CET):
>> Auch die Paketfilter-Regeln sind normal
>> so einzustellen als wären das alles separate Netzwerkkarten.
>
> Und da mußte ich noch Hand anlegen und INPUT- (und FORWARD-) Regeln
> anlegen, die Zugriff auf fli4l erlauben - so wie es scheint.
> Brauche ich noch irgendwelche Einträge bei IP_ROUTE? Noch geht es
> nämlich immer noch nicht.

So wie ich Dein Setup verstanden habe, sollte das nicht nötig sein.

>> Dann untagged oder nur mit einem anderen Tag?
>
> Bisher untagged, da Teil vom Mgmt-VLAN respektive aktuell vom VLAN1 (was
> auf das gleiche raus läuft).

Jein. Also richtig ist, dass das Management-VLAN die VLAN-Id 1 bekommen
sollte. Bin nicht ganz sicher, ob das auch so im Standard steht, oder
"nur" best practice ist, aber ich meine ich hätte Switches gesehen, bei
denen das hart verdrahtet ist. 

Ich hab selbst in VLAN 1 immer nur Switches.

>> Ich würde da bei den Switch-Ports nicht mischen. Entweder auf einem
>> Port
>> ist nur tagged VLAN Verkehr drauf oder nur untagged.
>
> Bedeutet aber, daß dann das Mgmt-LAN sein eigenes VLAN bekommen muß,
> s.u.

Ja, mit VLAN Id 1. ;-)

> Wofür brauche ich denn dann an einem Switch noch untagged ports? Denn
> ich muß ja mind. mal das (neue) Mgmt-VLAN immer und überall taggen,
> oder nicht?

Die untagged Ports sind für normale Geräte, die mit VLAN nichts anfangen
können oder davon nichts wissen brauchen, also Laptop, PC, Fernseher, …

Und ja, d.h. meine Switches (VLAN 1) sind in einem anderen Subnetz als
meine Rechner. Zugriff ist ja über den Router möglich, sprich wenn ich
mit meinem Laptop einen Switch konfigurieren will, dann routet der fli4l
ja von einem ins andere VLAN. Der Verkehr geht dann zwar vom Laptop
durch den Switch zum fli4l und wieder zurück zum Switch, aber egal.
Dafür kann man dann auf dem fli4l Paketfilterregeln schreiben, die den
Zugriff auf das Management-Netz einschränken. Da soll ja vmtl. sowieso
nicht jeder rein?

>> Ich würde da wie gesagt Dein 192.168.x.x/24 auch noch in ein VLAN
>> stecken, damit auf dem LAN Port vom fli4l nur tagged VLAN rausgeht.
>> Hängt ja eh nur der VLAN-fähige Switch direkt an dem Port, der sollte
>> das dann aussortieren.
>
> Ok, habe dafür schon mal das .10.0/24 eingerichtet aber noch nicht
> aktiviert. Beim ersten Versuch vor ein paar Tagen habe ich mich
> ausgeschlossen, als ich das Mgmt-LAN umtaggen wollte LOL Aufgabe für
> das Wochenende, sobald alles mal mit Mgmt VLAN1 läuft.

Ja ist u.U. tricky, ich hab da auch schon Switches hart auf Factory
Defaults zurück stellen müssen. O:-)

Was bei mir wie gesagt geholfen hat, war meinem Laptop selbst mal
temporär VLAN beizubringen.

Was ich zusätzlich zu Hause gemacht hab: bei meinem ALIX hängt an einem
Ethernet-Port der (VLAN-fähige) Switch und am zweiten Ethernet-Port
nüscht, der dritte ist WAN. Auf dem Port zum Switch ist nur tagged VLAN,
also kein untagged Verkehr, auf dem freien Port ist nur untagged. Das
VLAN für meine normalen Client-Geräte hab ich mit dem freien Router-Port
gebridget, so dass ich mich einfach mit normalem Crossover-Kabel per
Laptop an den Router hängen kann ohne bei der Netzwerk-Config Kopfstände
machen zu müssen. Also so hier:

BRIDGE_DEV[] {
  NAME='br-lan'
  DEVNAME='br0'
  DEV[] {
    DEV='eth1'
  }
  DEV[] {
    DEV='eth2.128'
  }
}

Die IP-Config für's client LAN wird dann natürlich auf br0 gemacht.

Im Verein hab ich es ähnlich laufen, nur dort ist der zweite Port in br0
kein echter Ethernet-Port, sondern wlan0. ;-)

So kann man sich zumindest nicht vom Router aussperren, wenn man gerade
keinen korrekt konfigurierten Switch (aus welchen Gründen auch immer) am
Router hängen hat.

Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF  08FA 34AD CD00 7221 5CC6