[fli4l] Br?==?utf-8?Q?äuchte nochmal Hil?==?utf-8?Q?fe zu VLAN-Setup (spezifisc?==?utf-8?Q?h: mit Ubiquiti Hardware)

[K. Dreier]

Hallo,

> > Brauche ich noch irgendwelche Einträge bei IP_ROUTE? Noch geht
> > es
> > nämlich immer noch nicht.
> 
> So wie ich Dein Setup verstanden habe, sollte das nicht nötig
> sein.

Ok. Werde es ultimativ sehen, ob noch was fehlt, einstweilen läuft es
ja (siehe meinen anderen Beitrag).

> Ich hab selbst in VLAN 1 immer nur Switches.

Mit anderen Worten: für diese ist kein VLAN eingerichtet, sondern sie
laufen alle sämtlich untagged. Verstehe ich das richtig? Damit wären
sie bei mir im 192.168.1.x-Netz.

> > Bedeutet aber, daß dann das Mgmt-LAN sein eigenes VLAN bekommen
> > muß,
> > s.u.
> 
> Ja, mit VLAN Id 1. ;-)

Verstehe das anders. Habe gelesen, daß Leute sagen, daß das standard
VLAN0/1 auch als DO NOT TOUCH bezeichnet werden kann und man z.b. ein
VLAN 10 explizit als Mgmt-VLAN einrichten soll. Wenn dem so ist: dann
gehören _dort_ (=10) auch die Switches rein. Oder nicht?

> Die untagged Ports sind für normale Geräte, die mit VLAN nichts
> anfangen
> können oder davon nichts wissen brauchen, also Laptop, PC,
> Fernseher, ...

Sofern man die Datenschleudern à la TV nicht auch mittls VLAN
separieren will...
 
Von der Logik her, stecke ich meinen Laptop in das Mgmt-VLAN. Denn der
ist das Gerät, mit dem ich manage. Dazu tatsächlich auch mein
Smartphone, das ebenfalls (als einziges WLAN-Gerät) auf den fli4l httpd
zugreifen darf. Gleiches gilt für die Unifi Controller-Software.
Letzterer steht für mich einem Switch gleich.
Macht das Sinn?

> Und ja, d.h. meine Switches (VLAN 1) sind in einem anderen Subnetz
> als
> meine Rechner. Zugriff ist ja über den Router möglich, sprich wenn
> ich
> mit meinem Laptop einen Switch konfigurieren will, dann routet der
> fli4l
> ja von einem ins andere VLAN. Der Verkehr geht dann zwar vom Laptop
> durch den Switch zum fli4l und wieder zurück zum Switch, aber
> egal.

Ok. Das wäre mir nie in den Sinn gekommen, aber macht, äh, Sinn. :-)
Wobei: warum die Switches "raus" nehmen?

> Dafür kann man dann auf dem fli4l Paketfilterregeln schreiben, die
> den
> Zugriff auf das Management-Netz einschränken. Da soll ja vmtl.
> sowieso
> nicht jeder rein?

Richtig. Wobei, eigentlich jeder aus dem Mgmt-VLAN, was theoretisch alle
PCs sein könnten. Aber natürlich nicht müssen. Grundsätzlich ist bei
mir (zu hause) alles, was an PCs LAN-verkabelt ist, vertrauenswürdig
und damit potentiell Teil vom Mgmt-VLAN. Muß aber natürlich nicht,
erhöht jedoch die Komplexität.

> Was ich zusätzlich zu Hause gemacht hab: bei meinem ALIX hängt an
> einem
> Ethernet-Port der (VLAN-fähige) Switch und am zweiten
> Ethernet-Port
> nüscht, der dritte ist WAN. Auf dem Port zum Switch ist nur tagged
> VLAN,
> also kein untagged Verkehr, auf dem freien Port ist nur untagged.
> Das
> VLAN für meine normalen Client-Geräte hab ich mit dem freien
> Router-Port
> gebridget, so dass ich mich einfach mit normalem Crossover-Kabel
> per
> Laptop an den Router hängen kann ohne bei der Netzwerk-Config
> Kopfstände
> machen zu müssen. Also so hier:
> 
> BRIDGE_DEV[] {
>   NAME='br-lan'
>   DEVNAME='br0'
>   DEV[] {
>     DEV='eth1'
>   }
>   DEV[] {
>     DEV='eth2.128'
>   }
> }
> 
> Die IP-Config für's client LAN wird dann natürlich auf br0
> gemacht.

Interessant. Aber das halte ich bei mir nicht für nötig. Denn: ich
könnte ja jederzeit den Laptop direkt an die NIC fürs interne (Mgmt)
LAN anschliessen. Dort liegt ja "all" an, also Mgmt untagged - sofern
ich nicht das alles ins VLAN 10 verschiebe... Mist. :-)

[...]
> So kann man sich zumindest nicht vom Router aussperren, wenn man
> gerade
> keinen korrekt konfigurierten Switch (aus welchen Gründen auch
> immer) am
> Router hängen hat.

Ja. Die Gefahr besteht ja tatsächlich, wenn Mgmt in VLAN !=1 verschoben
wird. Denn default ist nur VLAN1 untagged. VLAN10 wäre zwar via "all"
getagt, aber das dürfte dann der Laptop evtl nicht verstehen. Muß das
mal mit einem Port testen.

Danke fürs super Input!

Gruß
Klaus